Lex Datenschutz: Verpasste Chancen

Datensicherheit - oft eine mehr als verworrene Angelegenheit Foto: Pixabay

Ende April möchte der Bundestag das novellierte Bundesdatenschutzgesetz verabschieden. Es muss an die europäische Datenschutz-Grundverordnung und die Richtlinie für den Datenschutz bei Polizei und Justiz angepasst werden. Die Frist dafür endet im Mai 2018. Die Europäische Union hebt mit ihren innovativen Richtlinien das Schutzniveau der Bürger_innen in Europa. Diese Impulse werden jedoch im deutschen Gesetzentwurf nicht ausreichend aufgegriffen.

Interessant daran ist, dass wesentliche Neuerungen der europäischen Verordnung wie die Zertifizierung von Systemen und Diensten oder „Datenschutz durch Technikgestaltung“ Ende der 90er Jahre in Schleswig-Holstein entwickelt wurden. Hieran hätte man anknüpfen können. „Europa hat innovative Impulse für einen besseren Datenschutz geliefert”, betont denn auch die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen, „doch die Bundesregierung greift dies leider in der Novelle nicht auf und dreht teilweise das Rad sogar zurück. Schade um die verpasste Chance!“ Hansen verweist auf die konkreten Vorschläge zur Verbesserung des Gesetzentwurfs, die Experten des „Forum Privatheit“ jetzt nach der ersten Lesung im Bundestag vorstellten.

Nationales Recht versus Europarecht?

Die Experten vom „Forum Privatheit“ halten die Regelungen zur erweiterten Videoüberwachung im Anpassungsgesetz durch private Unternehmen für einen idealen Streichkandidaten. Sie verstoßen ihrer Ansicht nach gegen die europäische Datenschutz-Grundverordnung. Der SPD-Abgeordnete Gerold Reichenbach hingegen hält dies nicht für europarechtswidrig, da den Privaten keine Aufgaben der öffentlichen Hand übertragen würden. Auch enthalte das Gesetz Abwägungsklauseln, womit kein Widerspruch zur Datenschutz-Grundverordnung bestehe. Die Datenschutzaufsichtsbehörden hingegen sind sich einig darin, dass der Bund hier eindeutig zu weit geht.

Europarechtswidrig ist aus Sicht der Experten auch die geplante Einschränkung der Betroffenenrechte zugunsten privater Datenverarbeiter. Unternehmen und Behörden sollten nur dann Auskunft geben oder Daten löschen müssen, wenn dies keinen „unverhältnismäßigen Aufwand“ verursachen würde. Die Einschränkung ist nach Reichenbach im aktuellen Änderungsentwurf von Union und SPD inzwischen gestrichen. Gleichwohl gibt es eine Ausnahmeregelung für Daten, die auf analogen Medien wie etwa Microfiches gespeichert sind.

Falls die Bundesregierung diese Fragen nicht eindeutig zugunsten des Europarechts klärt, entsteht für die Datenverarbeiter eine gewisse Rechtsunsicherheit. Denn die Aufsichtsbehörden, namentlich die Vorsitzende der Datenschutzkonferenz Barbara Thiel, haben unmissverständlich klargemacht, dass sie sich im Konfliktfall nicht an das nationale Recht halten können, sondern direkt nach der europäischen Grundverordnung entscheiden werden.

Vorgaben zur Technikgestaltung weithin unverbindlich

Die europäische Grundverordnung verlangt zwar bei hohen Grundrechtsrisiken, dass Datenverarbeiter vorab eine Datenschutz-Folgenabschätzung durchführen. Doch enthält die Verordnung keine Vorgaben, welche Methode dabei angewandt werden soll, oder Regeln zur Zertifizie­rung von Verarbeitungsvorgängen. Auch die Rechtsfolgen dieser neuen Datenschutzinstrumente werden nicht beschreiben.

Die Bundesregierung hätte an dieser Stelle ihre eigene Agenda umsetzen können, denn die Grundverordnung enthält Vorgaben zur IT-Sicherheit. Berlin will, dass sich Verbraucher_innen schon in diesem Jahr mit IT-Gütesiegeln des Bundesamts für Sicherheit in der Informationstechnik (BSI) besser orientieren können: Doch auf eine Verpflichtung der Hersteller, diese IT-Gütesiegel anzubieten, verzichtet sie im neuen Gesetz. Aus Sicht der Experten vom „Forum Privatheit“ sollten zudem Regelungen für Hersteller von IT-Anwendungen aufgenommen werden.

Niveau droht zu sinken

„Ohne diese Nachbesserungen droht der künftige Datenschutz in Deutschland unter das Niveau des bisherigen Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung zu sinken“, so Alexander Roßnagel von der Universität Kassel, der gleichzeitig Sprecher des Forschungsverbundes „Forum Privatheit“ ist.

Unklar ist, ob die Streitfrage um die Zweckbindung zufriedenstellend gelöst ist: Ursprünglich wollte die Bundesregierung diese aufweichen – was bedeutet hätte, dass Betroffene die Datenverarbeitung für einen bestimmten Zweck erlauben, das Unternehmen die Daten dann aber auch für ähnliche weitere Zwecke hätte verarbeiten dürfen. Dies kritisierten die Aufsichtsbehörden als europarechtswidrig.

Laut Gerold Reichenbach soll dies künftig nur noch dann möglich sein, wenn die Zweckbindung „kompatibel“ bleibt. Das heißt, wenn die Daten innerhalb eines Aufgabenbereichs wie etwa einer Kundenbeziehung erhoben wurden, dürfen sie innerhalb dieses Bereichs weiterverwendet werden. Sie dürfen aber nicht von dem Unternehmen an ein Tochterunternehmen für Werbezwecke weitergegeben werden. Damit könnten aber auch Sachbearbeitungs- und Verwaltungsverfahren vollautomatisiert werden, da Algorithmen dann einfache Arbeitsabläufe übernehmen könnten. Die Frage ist, ob dieser Zusatz überhaupt rechtmäßig ist, da das europäische Recht an dieser Stelle keine nationalen Ausnahmen vorsieht.

Rechtsdurchsetzung unerwünscht?

Die erfolgreiche Umsetzung der europäischen Vorgaben in die Praxis verlangt durchsetzungsfähige Aufsichtsbehörden. Doch statt diese zu stärken, schwächt der aktuelle Gesetzesentwurf sie an mehreren entscheidenden Punkten. Schwerwiegend für viele Betroffene dürfte sein, dass die Aufsichtsbehörden keine Vor-Ort-Kontrollen bei Berufsgeheimnisträgern mehr durchführen können sollen. Damit würden Branchen wie der Gesundheitssektor, die Anwaltschaft oder die Steuerberatung ausgenommen. Bundesdatenschutzbeauftragte Andrea Voßhoff warnt: „Das würde dazu führen, dass gar keine Datenschutzkontrolle mehr stattfinden würde.“ Gerade in Krankenhäusern und Arztpraxen wurden in den letzten Jahren bei Vor-Ort-Kontrollen immer wieder massive Mängel festgestellt.

Überdies soll die Bundesdatenschutzbeauftragte in Datenschutzfragen, die den Bundesnachrichtendienst betreffen, nicht mehr gegenüber dem Bundestag Stellung nehmen dürfen – dies ist wohl eine Folge des NSA-Untersuchungsausschusses. Stattdessen soll sie nur noch gegenüber der Bundesregierung sowie mit deren Zustimmung gegenüber den direkt zuständigen Gremien aussagen dürfen.

Die Grundverordnung belastet die Aufsichtsbehörden schließlich mit einer Reihe von neuen Aufgaben, wie etwa der Zertifizierung oder der Konsultation bei Datenschutz-Folgeabschätzungen. Auch können Aufsichtsbehörden bei Datenschutzverstößen künftig Verwaltungsverfahren gegen andere Behörden einleiten. Diesen Mehraufwand ignoriert der Gesetzentwurf glatt und will den Behörden allenfalls für die notwendige Koordination untereinander sowie im neuen Europäischen Datenschutzausschuss etwas mehr Personal zugestehen.

Alexander Roßnagel errechnete in einem Gutachten dagegen einen personellen Mehrbedarf zwischen 24 und 33 Stellen pro Behörde. Für die Datenschutzaufsicht im Saarland, Bremen oder Hamburg würde dies eine Verdreifachung des Personals bedeuten. Bisher erhielten mit Blick auf die neuen Anforderungen nur wenige Landesbehörden eine geringfügige Personalaufstockung. Allein Bundesdatenschutzbeauftragte Andrea Voßhoff kann sich mit einer Aufstockung von 49 Stellen für 2017 zufrieden zeigen.

nach oben

weiterlesen

Anlasslose Speicherung von Vorratsdaten ist EU-rechtswidrig

Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 21.12.2016 die anlasslose Vorratsdatenspeicherung in der Europäischen Union (EU) gekippt. Wie mehrere Presseagenturen berichten, dürften demnach Telekommunikationsanbieter nicht dazu verpflichtet werden, persönliche Nutzerdaten zu speichern, da sich selbst aus Verbindungsdaten „sehr genaue Schlüsse auf das Privatleben der Personen“ ziehen ließen. Ausnahmen seien lediglich zur Bekämpfung schwerer Straftaten möglich. Die Daten müssen dazu innerhalb der EU gespeichert werden. Behörden bekommen nur dann Zugriff auf die Vorratsdaten, wenn ein Gericht oder eine andere unabhängige Institution sie dazu berechtigt hat.
mehr »

Daimler unterliegt im Rechtsstreit um Reportage vom SWR

Im Rechtsstreit zwischen der Daimler AG und dem Südwestrundfunk (SWR) wegen der Undercover-Reportage „Hungerlohn am Fließband“ hat der Bundesgerichtshof (BGH) in Karlsruhe die Revision gegen das Urteil des Oberlandesgerichts Stuttgart (OLG) vom 8. Juli 2015 nicht zugelassen. Mit Beschluss vom 16. August 2016, der dem SWR jetzt zuging, wies er eine Nichtzulassungsbeschwerde der Daimler AG zurück (VI ZR 427/15). Die Reportage des SWR darf weiterhin ausgestrahlt werden.
mehr »

ZDF-Reporterin klagt gegen ungleiche Bezahlung

Erstmals in der Geschichte der Zweiten Deutschen Fernsehens (ZDF) werde der Sender wegen der ungleichen Bezahlung von Frau und Mann verklagt. Der Anwalt der Reporterin Birte Meier, so berichtet die „Berliner Zeitung“, gründe die Klage nicht nur auf das deutsche Antidiskriminierungsgesetz, sondern auch auf weitergehende europäische Normen.
mehr »

Wie deutsch ist die Deutsche Welle?

Verfügt die Deutsche Welle noch über ausreichende Mittel, um ihrer Aufgabe nachzukommen, »Deutschland als europäisch gewachsene Kulturnation und freiheitlich verfassten demokratischen Rechtsstaat verständlich zu machen“? Reicht die finanzielle Ausstattung, um mit BBC, CNN, Al Jazeera oder Russia Today konkurrieren zu können? Um diesen und weiteren Fragen nachzugehen, trafen sich in der ver.di MedienGalerie in Berlin ROG-Geschäftsführer Christian Mihr, die Vorsitzende des Gesamtpersonalrats der Deutschen Welle, Ayse Tekin, und Alex Mänz, Leiter Medienpolitik und Public Affairs bei der Deutschen Welle, zu einer von Thomas Klatt moderierten Diskussionsrunde.
mehr »