Kabinettsbeschluss: Lob und harsche Kritik am Bundesdatenschutzgesetz
Der Gesetzentwurf zur nationalen Umsetzung der EU-Datenschutz-Grundverordnung ist vom Bundeskabinett am 25. Januar verabschiedet worden. Der 138-seitige Entwurf aus dem Bundesinnenministerium (BMI) startet nun ins parlamentarische Verfahren. Während die Verbände der Internetwirtschaft den Kabinettsbeschluss eher positiv bewerten und nur leise Kritik anklingen lassen, lehnen die Datenschutzbeauftragten des Bundes und der Länder einige Bestimmungen des Entwurfs vehement ab.
Der Gesetzentwurf soll die EU-Datenschutz-Grundverordnung in nationales Recht umsetzen. Dafür wird das Bundesdatenschutzgesetz (BDSG) neu gefasst. Außerdem sieht der Entwurf Änderungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes, des BND-Gesetzes, des Sicherheitsüberprüfungsgesetzes und des Artikel-10-Gesetzes vor. In den vergangenen Monaten war innerhalb der Bundesregierung um den richtigen Weg zur Umsetzung der EU-Verordnung gerungen worden. Nach vehementer Kritik vor allem aus dem Bundesjustizministerium (BMJV) hatte das BMI den Referentenentwurf noch einmal umfassend überarbeitet. Schon die Gliederung des ersten bekannt gewordenen Entwurfs war umstritten.
„Mit der Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung machen wir einen großen Schritt zur Angleichung der Datenschutzregelungen in Europa und damit zu einem harmonisierten digitalen Binnenmarkt. Frühzeitig und als erstes Land in Europa schaffen wir damit Rechtsklarheit. Das gibt allen Beteiligten genug Zeit, sich auf die neue Rechtslage vorzubereiten. Durch die gleichzeitige Umsetzung wesentlicher Teile der Datenschutzrichtlinie im Bereich Polizei und Justiz schaffen wir ein stimmiges Regelungskonzept innerhalb des EU-Rechtsrahmens. Im Interesse der Betroffenen und im Interesse der Wirtschaft nutzen wir dabei die Spielräume der Datenschutz-Grundverordnung und schaffen damit zugleich Rechtssicherheit und einen angemessenen Ausgleich der Interessen“, lobt Bundesinnenminister Thomas de Maizière das Ergebnis.
Der jetzt vom Kabinett beschlossene Entwurf der Neufassung des Bundesdatenschutzgesetzes ist in vier Teile untergliedert:
- Gemeinsame Bestimmungen. In diesem Teil finden sich u.a. die Rechtsgrundlagen der Verarbeitung personenbezogener Daten durch öffentliche Stellen und die Rechtsgrundlagen für die Datenschutzbeauftragten öffentlicher Stellen und die Bundesdatenschutzbeauftragte.
- Die „Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU 2016/679) – der Datenschutz-Grundverordnung. In diesem Teil sind die Vorschriften zu finden, die jetzt von Datenschützern vor allem kritisiert werden. In Kapitel 1 Abschnitt 2 („Besondere Verarbeitungssituationen“) finden sich die Regelungen zum Beschäftigten-Datenschutz. In Kapitel 2 werden die „Rechte der betroffenen Personen“ geregelt.
- Die „Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU 2016/680) – die Richtlinie zum „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten (…)“.
- Die Bestimmungen für Datenverarbeitungen, die nicht unter die beiden EU-Richtlinien fallen.
Europäische Angleichung des Datenschutzrechtes
Das zentrale Ziel der Datenschutz-Grundverordnung war es, die europäische Datenschutzgesetzgebung zu vereinheitlichen. Inwieweit der Entwurf der Bundesregierung dieses Ziel berücksichtigt, ist einer der Streitpunkte bei der Beurteilung des Entwurfs. So urteilt eco – der Verband der Internetwirtschaft: „Das neue Datenschutzgesetz setzt das in der Europäischen Datenschutz-Grundverordnung festgeschriebene europäische Datenschutzrecht in allen Punkten um, geht aber nicht darüber hinaus“, sagt Oliver Süme, Vorstand Politik und Recht des eco. Dagegen schreiben die Datenschutzbehörden der Bundesländer in einer gemeinsamen Erklärung, ihrer Auffassung nach werde der Entwurf „den europarechtlichen Vorgaben nicht gerecht und stellt bereits bestehende datenschutzrechtliche Standards in Frage.“
Rechte der Betroffenen
Datenschützer kritisieren vor allem die vorgesehenen Einschränkungen bei den Rechten von Betroffenen (§32 ff.), etwa bei der Informationspflicht, dem Auskunfts- oder dem Widerspruchsrecht. Der grüne Europaabgeordnete Jan Philipp Albrecht sagte dazu in einem Expertengespräch:
„Der Punkt der Einschränkung von Betroffenenrechten wiegt enorm schwer und würde in dieser Form umgehend vor dem Europäischen Gerichtshof gekippt. Die Einschränkungsmöglichkeiten in der Datenschutz-Grundverordnung sind aus gutem Grund restriktiv gehalten. Es ist ein starkes Stück, dass die Bundesregierung hier offenbar die Gefährdung „allgemein anerkannter Geschäftsinteressen“ als Rechtfertigung heranziehen will, um Informations- und Auskunftsrechte von Verbrauchern auszuschließen.“
Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, hat in diesem Punkt Bedenken:
„Die Datenschutz-Grundverordnung lässt solche Beschränkungen nur unter strengen Voraussetzungen zu. Einige der von der Bundesregierung vorgesehenen Beschränkungen gehen aber zu weit und sind problematisch.“
In der Gesetzesbegründung räumt das BMI selbst ein, dass Betroffenenrechte eingeschränkt werden. Nach Ansicht des Ministeriums wurde dabei aber der „durch Artikel 23 der Verordnung (EU) 2016/679 eröffnete Rahmen“ eingehalten. Die Einschränkungen führten „bei den Unternehmen zu einer Reduzierung von Pflichten und einer Verringerung des Erfüllungsaufwandes“. Als Ausgleich für die Einschränkungen sehe das neue Bundesdatenschutzgesetz Schutzmaßnahmen vor, „wie etwa das Nachholen einer Informationspflicht oder die Dokumentation, aus welchen Gründen von einer Information abgesehen wird.“ Zur Begründung für die Einführung von Einschränkungen und Schutzmaßnahmen heißt es: „Ohne diese beiden zusammenhängenden Maßnahmen wäre der durch die Verordnung (EU) 2016/679 ausgelöste Aufwand für die Wirtschaft deutlich höher.“
Aufwand für Unternehmen
Während die Gesetzesbegründung also die Wirtschaftsfreundlichkeit des Entwurfs betont, zweifelt der Datenschutzexperte Tim Wybitul von der Wirtschaftskanzlei Hogan Lovells daran, dass die gefundene Lösung die Kosten für die Unternehmen gering hält: „Unternehmer müssten viel Geld ausgeben, um die geplanten komplexen Regeln umzusetzen. Außerdem ist der Entwurf an vielen Stellen unpräzise. Das führt zu Auslegungsproblemen – die führen zu Rechtsstreitigkeit und damit Kosten“, sagte er im Expertengespräch. Weitere Kosten kämen auf die Wirtschaft zu, wenn der Europäische Gerichtshof einzelne Regelungen in ein paar Jahren wieder aufhebe und die Unternehmen dann nachsteuern müssten.
Beschäftigtendatenschutz
Kritik von Datenschützern gibt es auch an spezifischen Regeln zu einzelnen Themengebieten: So halten die Landesdatenschutzbeauftragten ein „umfassendes Gesetz zum Beschäftigtendatenschutz“ für nötig. Der Entwurf biete lediglich einige klarstellende Regelungen. Beim Gesundheitsdatenschutz monieren sie, dass der Entwurf „sehr weitgehende Regelungen ohne Interessenabwägung“ vorsehe.
Bei aller Kritik an einzelnen Paragrafen – das Hauptproblem aus der Sicht von Datenschützern und Juristen ist die künftige Komplexität des Datenschutzrechtes: „Der Entwurf ist schön für Anwälte, aber schlecht für Anwender. Selbst Experten verstehen die geplanten Regeln kaum“, sagt Anwalt Wybitul. Der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink beschreibt das Problem:
„Künftig wird jedes Unternehmen, aber auch jeder Verbraucher nicht nur ein oder zwei, sondern drei oder gar vier Gesetze in die Hand nehmen müssen: Die Grundverordnung, das nationale Anpassungsgesetz, nationale Spezialgesetze, wie etwa im Bereich des Sozial- oder Beschäftigtendatenschutzes und daneben noch die Datenschutzrichtlinie für den Bereich der öffentlichen Sicherheit. Da blickt nur noch der Fachmann und die Aufsichtsbehörde durch.“
Durchblicken durch den Gesetzentwurf sollen nun zunächst die Bundesratsmitglieder und die Bundestagsabgeordneten. Das zustimmungspflichtige Gesetz ist als besonders eilbedürftig eingestuft. Es wird voraussichtlich am 10. März zum ersten Mal im Bundesrat auf der Tagesordnung stehen. Im Bundestag kündigte der zuständige Berichterstatter der SPD-Fraktion, Gerold Reichenbach an, den Gesetzentwurf im parlamentarischen Beratungsverfahren genau zu prüfen. „Auch der Wirtschaft wird man keinen wirklichen Gefallen tun mit Regelungen, die Gefahr laufen vom europäischen Gerichtshof wieder einkassiert zu werden“, sagte Reichenbach. In der SPD-Fraktion gibt es Zweifel, ob das Gesetz noch in dieser Legislaturperiode verabschiedet wird. Jan Philipp Albrecht, der grüne Datenschutzpolitiker appelliert an die Bundesregierung:
„Die Bundesregierung sollte sich zweimal überlegen, ob sie auf den umstrittenen Passagen besteht und damit die Gefahr schafft, dass der Entwurf nicht bis zur Anwendung der Datenschutz-Grundverordnung am 25.05.2018 in Kraft treten kann. Stattdessen sollte sie sich auf die absolut notwendigen Anpassungen an das neue EU-Recht konzentrieren.“
Um den umfangreichen Gesetzentwurf zu beraten verbleiben vor der Bundestagswahl noch acht Sitzungswochen im Bundestag, der Bundesrat tagt vor der Sommerpause noch vier Mal.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.
Empfehlung der Redaktion
Artikel teilen
Autor:in
