Gesetzentwurf: Kritik am Datenschutz

Foto: CC-By-SA 2.0 Flickr User Blue Coat Photos
Veröffentlicht am 30.11.2016

Das Bundesinnenministerium (BMI) beteiligt jetzt Länder und Verbände an der Diskussion über den Gesetzentwurf zur Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) in deutsches Recht. Ein Referentenentwurf mit Stand vom 23. November wurde geleakt. Es ist bereits der zweite Entwurf aus dem BMI, der öffentlich bekannt wur­de. Ein erster Referentenentwurf stammte aus dem August – und musste in der Zwischenzeit noch einmal überarbeitet werden, weil er bei der Ressortabstimmung massiv kritisiert wurde, vor allem aus dem Bun­desjustizministerium (BMJV). Schon von der Struktur des Gesetzentwurfs zeigten sich die Mitarbeiter von Justizminister Heiko Maas „nicht überzeugt“. „Wir halten den Regelungsansatz aus Sicht der Normanwender – also Behörden, Unternehmen, Bürgerinnen und Bürger – nicht für verständlich“, heißt es in der Stellungnahme, die ebenfalls geleakt wurde. Mit harschen Worten wurde kritisiert, dass im Entwurf Regelungen der DSGVO umfangreich wiederholt würden. Das sei europarechtlich problematisch: „BMI beruft sich zwar auf die einschlägige EuGH-Rechtsprechung und EG 8 DSGVO, dürfte aber deren Bedeutung verkennen“, schreibt das BMJV wenig freundlich.

Data-Protection-900x560
Foto: CC-By-SA 2.0 Flickr User Blue Coat Photos

Auch die Bewertung der Bundesbeauftragten für den Datenschutz fiel nicht besonders zurückhaltend aus. Nach der Beschreibung der Ziele des Gesetzes, nämlich

  • die Regelungsaufträge und einen Teil der Regelungsoptio­nen aus der DGVO umzusetzen,
  • allgemeine Bestimmungen zur EU-Richtlinie für Justiz und Inneres (JI-Richtlinie) (2016/680) zu erlassen,
  • und allgemeine Regelungen für die Verarbeitung perso­nenbezogener Daten durch solche öffentliche Stellen des Bundes zu schaffen, deren Tätigkeiten nicht im Anwen­dungsbereich des Unionsrechts liegen,

fällt das deutliche Urteil:

„Dieser gewählte Ansatz ist nicht nur überambitioniert, sondern er ist h.E. verfehlt und weit­gehend misslungen.“

Nach diesen Rückmeldungen hat das BMI den Entwurf deut­lich überarbeitet: Aus den 79 Seiten des August-Entwurfes sind nun 123 Seiten geworden, aus 62 Paragraphen wurden 79. Auch einen neuen alten Namen hat das Gesetz bekom­men, das aus dem „Gesetz zur Anpassung des Datenschutz­rechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU 2016/680)“ (DSAnpUG-EU) hervorgehen soll. Im August wollte das BMI noch ein neues „Allgemeines Bundesdatenschutzgesetz – ABDSG“ schaffen und damit das bisherige Bundesdatenschutzgesetz (BDSG) ersetzen. Jetzt soll das BDSG zwar neu formuliert, aber als Gesetzesname erhalten bleiben.

Das neue BDSG soll sich in drei Teile aufteilen. In Teil 1, den „Gemeinsamen Bestimmungen“, werden unter anderem die Rechtsgrundlagen der Verarbeitung personenbezogener Daten und der Videoüberwachung geregelt. Außerdem fin­den sich hier die Paragraphen zu den Datenschutzbeauftrag­ten öffentlicher Stellen und zum Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der zweite Teil enthält die Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der DSGVO. Im dritten Teil erfolgt die Umsetzung der EU-Richtlinie für Justiz und Inneres.

Die neue Gesetzesstruktur hat auch deutliche Auswirkun­gen auf den Inhalt der einzelnen Paragraphen. So füllte im August-Entwurf der §4 „Verarbeitung personenbezogener Daten durch öffentliche Stellen“ etwa eine DIN A4-Seite, im November-Entwurf lautet der §3 mit der gleichen Über­schrift: „Unbeschadet anderer Rechtsgrundlagen ist die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.“ Die vorher an dieser Stelle vorhandene Aufzählung von Anwendungsfällen im öffentlichen Interesse ist nun in geänderter Form in §22 zu finden und damit in Teil 2, dem DSGVO-Teil.

Was für Nicht-Juristen kompliziert klingt, ist auch für Ju­risten nicht unbedingt einfach zu verstehen. So lautet die erste Einschätzung von Rechtsanwalt Tym Wybitul von der Kanzlei Hogan Lovells zum neuen Referentenentwurf: „Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwer verständlich.“ Er verweist darauf, dass die nationale Umsetzung der DSGVO eigentlich, „die nationalen Rechtsvorschriften für die Perso­nen, für die sie gelten, verständlicher“ machen soll – und hat Zweifel, ob der Entwurf dieses Ziel erreicht.

Die große Komplexität könnte nach Meinung von Kritikern auch der Absicht des BMI schaden, die Spielräume der DSGVO wirtschaftsfreundlich zu nutzen. In der Gesetzes­begründung betont das BMI, dass dies im Gesetzesentwurf umgesetzt sein soll. „Der vorliegende Gesetzentwurf enthält keine Regelungen, die zusätzlichen Erfüllungsaufwand bei der Wirtschaft auslösen. Soweit der Gesetzesentwurf Betrof­fenenrechte einschränkt, führen sie bei den Unternehmen zu einer Reduzierung von Pflichten, die ohne den Gesetzent­wurf unmittelbar durch die Verordnung (EU 2016/679 aus­gelöst worden wären.“

Auch Anwalt Wytibul attestiert dem BMI, es versuche, „der Wirtschaft Gutes zu tun“. Dennoch kommt er zu dem Schluss, dass der erste Eindruck des geplanten Gesetzes „aus Unter­nehmenssicht wenig Gutes“ verheißt. Außer den Schwie­rigkeiten bei der Anwendung wegen der unzureichenden Verständlichkeit des Entwurfs sieht er die Unternehmen mit der Gefahr einer Rechtsunsicherheit konfrontiert. Viele Regelungen seien „europarechtlich durchaus nicht unprob­lematisch“. Auch wesentliche Kritikpunkte der Bundesdaten­schutzbeauftragten und des BMJV seien nicht ausgeräumt. Damit stelle sich die Frage ob der Gesetzentwurf eine Mehr­heit im Bundestag finde. Neben der Mehrheit im Bundestag ist auch die Zustimmung des Bundesrates nötig.

Abgesehen von der Frage, wie das Datenschutzrecht in Deutschland ab dem 28. Mai 2018 mit Inkrafttreten der DS­GVO denn nun tatsächlich aussieht, stellt sich für in mehre­ren EU-Ländern tätige Firmen auch noch das Problem, dass die nationalen Umsetzungen der EU-Richtlinie sich vonein­ander unterscheiden können – und sie sich dann trotz einer EU-Richtlinie, die für gleiche Standards sorgen sollte, mit zahlreichen nationalen Datenschutzgesetzen auseinander­setzen müssen.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.

Schlagworte

Empfehlung der Redaktion

Artikel teilen

Autor:in

Sascha Klettke