Ende April möchte der Bundestag das novellierte Bundesdatenschutzgesetz verabschieden. Es muss an die europäische Datenschutz-Grundverordnung und die Richtlinie für den Datenschutz bei Polizei und Justiz angepasst werden. Die Frist dafür endet im Mai 2018. Die Europäische Union hebt mit ihren innovativen Richtlinien das Schutzniveau der Bürger_innen in Europa. Diese Impulse werden jedoch im deutschen Gesetzentwurf nicht ausreichend aufgegriffen.
Interessant daran ist, dass wesentliche Neuerungen der europäischen Verordnung wie die Zertifizierung von Systemen und Diensten oder „Datenschutz durch Technikgestaltung“ Ende der 90er Jahre in Schleswig-Holstein entwickelt wurden. Hieran hätte man anknüpfen können. „Europa hat innovative Impulse für einen besseren Datenschutz geliefert”, betont denn auch die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen, „doch die Bundesregierung greift dies leider in der Novelle nicht auf und dreht teilweise das Rad sogar zurück. Schade um die verpasste Chance!“ Hansen verweist auf die konkreten Vorschläge zur Verbesserung des Gesetzentwurfs, die Experten des „Forum Privatheit“ jetzt nach der ersten Lesung im Bundestag vorstellten.
Nationales Recht versus Europarecht?
Die Experten vom „Forum Privatheit“ halten die Regelungen zur erweiterten Videoüberwachung im Anpassungsgesetz durch private Unternehmen für einen idealen Streichkandidaten. Sie verstoßen ihrer Ansicht nach gegen die europäische Datenschutz-Grundverordnung. Der SPD-Abgeordnete Gerold Reichenbach hingegen hält dies nicht für europarechtswidrig, da den Privaten keine Aufgaben der öffentlichen Hand übertragen würden. Auch enthalte das Gesetz Abwägungsklauseln, womit kein Widerspruch zur Datenschutz-Grundverordnung bestehe. Die Datenschutzaufsichtsbehörden hingegen sind sich einig darin, dass der Bund hier eindeutig zu weit geht.
Europarechtswidrig ist aus Sicht der Experten auch die geplante Einschränkung der Betroffenenrechte zugunsten privater Datenverarbeiter. Unternehmen und Behörden sollten nur dann Auskunft geben oder Daten löschen müssen, wenn dies keinen „unverhältnismäßigen Aufwand“ verursachen würde. Die Einschränkung ist nach Reichenbach im aktuellen Änderungsentwurf von Union und SPD inzwischen gestrichen. Gleichwohl gibt es eine Ausnahmeregelung für Daten, die auf analogen Medien wie etwa Microfiches gespeichert sind.
Falls die Bundesregierung diese Fragen nicht eindeutig zugunsten des Europarechts klärt, entsteht für die Datenverarbeiter eine gewisse Rechtsunsicherheit. Denn die Aufsichtsbehörden, namentlich die Vorsitzende der Datenschutzkonferenz Barbara Thiel, haben unmissverständlich klargemacht, dass sie sich im Konfliktfall nicht an das nationale Recht halten können, sondern direkt nach der europäischen Grundverordnung entscheiden werden.
Vorgaben zur Technikgestaltung weithin unverbindlich
Die europäische Grundverordnung verlangt zwar bei hohen Grundrechtsrisiken, dass Datenverarbeiter vorab eine Datenschutz-Folgenabschätzung durchführen. Doch enthält die Verordnung keine Vorgaben, welche Methode dabei angewandt werden soll, oder Regeln zur Zertifizierung von Verarbeitungsvorgängen. Auch die Rechtsfolgen dieser neuen Datenschutzinstrumente werden nicht beschreiben.
Die Bundesregierung hätte an dieser Stelle ihre eigene Agenda umsetzen können, denn die Grundverordnung enthält Vorgaben zur IT-Sicherheit. Berlin will, dass sich Verbraucher_innen schon in diesem Jahr mit IT-Gütesiegeln des Bundesamts für Sicherheit in der Informationstechnik (BSI) besser orientieren können: Doch auf eine Verpflichtung der Hersteller, diese IT-Gütesiegel anzubieten, verzichtet sie im neuen Gesetz. Aus Sicht der Experten vom „Forum Privatheit“ sollten zudem Regelungen für Hersteller von IT-Anwendungen aufgenommen werden.
Niveau droht zu sinken
„Ohne diese Nachbesserungen droht der künftige Datenschutz in Deutschland unter das Niveau des bisherigen Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung zu sinken“, so Alexander Roßnagel von der Universität Kassel, der gleichzeitig Sprecher des Forschungsverbundes „Forum Privatheit“ ist.
Unklar ist, ob die Streitfrage um die Zweckbindung zufriedenstellend gelöst ist: Ursprünglich wollte die Bundesregierung diese aufweichen – was bedeutet hätte, dass Betroffene die Datenverarbeitung für einen bestimmten Zweck erlauben, das Unternehmen die Daten dann aber auch für ähnliche weitere Zwecke hätte verarbeiten dürfen. Dies kritisierten die Aufsichtsbehörden als europarechtswidrig.
Laut Gerold Reichenbach soll dies künftig nur noch dann möglich sein, wenn die Zweckbindung „kompatibel“ bleibt. Das heißt, wenn die Daten innerhalb eines Aufgabenbereichs wie etwa einer Kundenbeziehung erhoben wurden, dürfen sie innerhalb dieses Bereichs weiterverwendet werden. Sie dürfen aber nicht von dem Unternehmen an ein Tochterunternehmen für Werbezwecke weitergegeben werden. Damit könnten aber auch Sachbearbeitungs- und Verwaltungsverfahren vollautomatisiert werden, da Algorithmen dann einfache Arbeitsabläufe übernehmen könnten. Die Frage ist, ob dieser Zusatz überhaupt rechtmäßig ist, da das europäische Recht an dieser Stelle keine nationalen Ausnahmen vorsieht.
Rechtsdurchsetzung unerwünscht?
Die erfolgreiche Umsetzung der europäischen Vorgaben in die Praxis verlangt durchsetzungsfähige Aufsichtsbehörden. Doch statt diese zu stärken, schwächt der aktuelle Gesetzesentwurf sie an mehreren entscheidenden Punkten. Schwerwiegend für viele Betroffene dürfte sein, dass die Aufsichtsbehörden keine Vor-Ort-Kontrollen bei Berufsgeheimnisträgern mehr durchführen können sollen. Damit würden Branchen wie der Gesundheitssektor, die Anwaltschaft oder die Steuerberatung ausgenommen. Bundesdatenschutzbeauftragte Andrea Voßhoff warnt: „Das würde dazu führen, dass gar keine Datenschutzkontrolle mehr stattfinden würde.“ Gerade in Krankenhäusern und Arztpraxen wurden in den letzten Jahren bei Vor-Ort-Kontrollen immer wieder massive Mängel festgestellt.
Überdies soll die Bundesdatenschutzbeauftragte in Datenschutzfragen, die den Bundesnachrichtendienst betreffen, nicht mehr gegenüber dem Bundestag Stellung nehmen dürfen – dies ist wohl eine Folge des NSA-Untersuchungsausschusses. Stattdessen soll sie nur noch gegenüber der Bundesregierung sowie mit deren Zustimmung gegenüber den direkt zuständigen Gremien aussagen dürfen.
Die Grundverordnung belastet die Aufsichtsbehörden schließlich mit einer Reihe von neuen Aufgaben, wie etwa der Zertifizierung oder der Konsultation bei Datenschutz-Folgeabschätzungen. Auch können Aufsichtsbehörden bei Datenschutzverstößen künftig Verwaltungsverfahren gegen andere Behörden einleiten. Diesen Mehraufwand ignoriert der Gesetzentwurf glatt und will den Behörden allenfalls für die notwendige Koordination untereinander sowie im neuen Europäischen Datenschutzausschuss etwas mehr Personal zugestehen.
Alexander Roßnagel errechnete in einem Gutachten dagegen einen personellen Mehrbedarf zwischen 24 und 33 Stellen pro Behörde. Für die Datenschutzaufsicht im Saarland, Bremen oder Hamburg würde dies eine Verdreifachung des Personals bedeuten. Bisher erhielten mit Blick auf die neuen Anforderungen nur wenige Landesbehörden eine geringfügige Personalaufstockung. Allein Bundesdatenschutzbeauftragte Andrea Voßhoff kann sich mit einer Aufstockung von 49 Stellen für 2017 zufrieden zeigen.