Der Bundestag hat gestern das neue Bundesdatenschutzgesetz verabschiedet. Damit könnte bald ein denkwürdiges Gesetzesvorhaben zum Abschluss kommen, das von massiver Kritik und starkem Medienecho begleitet wurde. Der folgende Beitrag gibt einen Überblick über Hintergrund und Ablauf des bisherigen Gesetzgebungsverfahrens. Im zweiten Schritt werden die wesentlichen Kritikpunkte der geplanten deutschen Neuregelung des Datenschutzes aufgezeigt.
Der Inhalt im Überblick
Hintergrund der Neuregelung
DSAnpUG-EU – so lautet die beeindruckende Abkürzung des Gesetzesentwurfes der Bundesregierung, der Anfang Februar 2017 – im dritten Anlauf – der erwartungsvollen Öffentlichkeit präsentiert wurde. Dieser Gesetzesentwurf dient der Anpassung des nationalen Datenschutzrechts an die veränderte Rechtslage auf europäischer Ebene.
Ab 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) die nationalen Datenschutzgesetze der Mitgliedstaaten der EU unmittelbar verdrängen. Als Grundverordnung genießt die DSGVO gegenüber nationalen Regelungen nämlich einen Anwendungsvorrang. In der DSGVO selbst sind jedoch zahlreiche sog. Öffnungsklauseln enthalten, die einen gewissen Spielraum für nationale (Sonder-)Regelungen zulassen. Hiervon hat Deutschland mit dem DSAnpUG-EU erheblich Gebrauch gemacht. Zugleicht enthält die DSGVO konkrete Regelungsaufträge, die von den nationalen Gesetzgebern auszuführen sind.
Flankiert wird die DSGVO von der Richtlinie für den Datenschutz bei Polizei und Justiz (JI-Richtlinie), die bis zum 6. Mai 2018 durch die Mitgliedstaaten in nationales Recht umzusetzen ist. Dem trägt das DSAnpUG-EU ebenfalls Rechnung.
Das bisherige Gesetzgebungsverfahren
Aufgrund der hochbrisanten Thematik verwundert es kaum, dass der Gesetzesentwurf von Anfang an nicht nur in der Fachöffentlichkeit erhebliche Beachtung fand. Gemäß dem Sprichwort „aller guten Dinge sind drei“ benötigte allein der Gesetzesentwurf drei Anläufe, bevor er dem Bundesrat vorgelegt werden konnte. Aber handelt es sich beim aktuellen Entwurf tatsächlich um ein gutes Ding? Daran bestehen erhebliche Zweifeln, zumindest wenn die nicht abreißende Kritik am DSAnpUG-EU betrachtet wird.
Im Gesetzgebungsverfahren selbst bemängelte die Linksfraktion bereits in der 1. Lesung, dass der Entwurf „den Datenschutzstandard in Deutschland, sowohl im Verhältnis zum Status quo als auch zur DSGVO, deutlich absenken und das Recht auf informationelle Selbstbestimmung unangemessen einschränken“ würde. Die geplante Datenschutznovelle wurde in einer Anhörung des Innenausschusses im März 2017 von den geladenen Sachverständigen mehrheitlich sehr kritisch beurteilt. Eine hochkritische Würdigung des Entwurfs erfolgte darüber hinaus von den Grünen, die in einem sog. Entschließungsantrag die Bundesregierung unter anderem dazu aufforderte, „bei der Umsetzung verbliebene Spielräume zurückhaltend und im Sinne des Datenschutzes zu nutzen, nationale Alleingänge weitestgehend zu vermeiden und der Datenschutzgrundverordnung angemessen Rechnung zu tragen“.
Als sog. Zustimmungsgesetz wird das DSAnpUG-EU in seiner aktuellen Form nun dem Bundesrat zugeleitet, der voraussichtlich Mitte Mai 2017 darüber beraten wird. Es ist nicht zu erwarten, dass hier noch Überraschungen drohen. Das Gesetzgebungsverfahren könnte daher noch in der jetzigen Legislaturperiode zu einem Abschluss kommen.
Wesentliche Kritikpunkte
Die Idee eines einheitlich hohen Datenschutzniveaus im Raum der europäischen Union fand grundsätzlich Zustimmung über das gesamte Parteienspektrum. Das DSAnpUG-EU hingegen wurde von den Oppositionsparteien in einigen Punkten äußerst kritisch gesehen, so dass sie dem Gesetz am Ende ihre Zustimmung versagten.
Bundesinnenmister Dr. Thomas de Maizière (CDU) sprach von einer datenschutzrechtlichen Zäsur in Europa. Zukünftig gelte die Devise „ein Markt, ein Recht“. Er erklärte einleitend:
„Wir leben nicht mehr in den 70er Jahren. Deswegen dürfen wir auch nicht mehr die Streitpunkte der 70er Jahre beim Datenschutz führen. Das Verständnis eines Datenschutzes im Sinne möglichst großer Datensparsamkeit hat sich auch durch die technische Entwicklung überholt. Datensparsamkeit ist kein Wert an sich. Datenschutz schützt nämlich nicht die Daten und schon gar nicht die Daten an und für sich, sondern Datenschutz schützt die Menschen vor einem Missbrauch der Daten. Das ist der eigentliche Schutzzweck [des Datenschutzes].“
Diese Äußerung ist als klare Absage an den in der DSGVO geregelten Grundsatz der Datenminimierung zu verstehen, was heftige Kritik auslöste. Darüber hinaus wurden insbesondere die folgenden Punkte des DSAnpUG-EU kritisiert:
Videoüberwachung
Deutliche Kritik gab es an der Regelung des DSAnpUG-EU zur Videoüberwachung von öffentlich zugänglichen großflächigen Anlagen (wie Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen) oder Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs. Bezüglich der aufgezählten Bereiche gilt der Schutz von Leben, Gesundheit oder Freiheit von dort aufhältigen Personen als ein besonders wichtiges Interesse. In der Gesetzesbegründung zu § 4 DSAnpUG-EU heißt es, dass durch die Formulierung „gilt […] als ein besonders wichtiges Interesse“ die Abwägungsentscheidung zugunsten der Zulässigkeit des Einsatzes einer Videoüberwachungsmaßnahme geprägt wird. Es wird daher befürchtet, dass durch die Formulierung eine ausführliche Interessenabwägung – wie sie bisher im Falle der Videoüberwachung erforderlich war – im Grunde obsolet wird.
Betroffenenrechte
Die Kritik bezog sich ursprünglich darauf, dass bei einem „unverhältnismäßig großen“ Aufwand Rechte der Betroffenen auf Information oder Löschung ausgeschlossen sein könnten. Es wurde befürchtet, dass die weiche Formulierung des „unverhältnismäßig großen“ Aufwands im Ergebnis als Entschuldigung herhalten könne, die Betroffenenrechte weitgehend zu beschneiden. Im Rahmen der Debatte wurde die Beschneidung von Betroffenenrechten allgemein bemängelt. In diesem Bereich wurde nachgebessert. Eine kritische Auseinandersetzung mit einzelnen Nachbesserungen erfolgte nicht.
Beschränkung der Kontrollmöglichkeiten der Aufsichtsbehörde
Gegenüber Berufsgeheimnisträgern (§ 203 StGB – Ärzte, Rechtsanwälte, Steuerberater, Psychologen etc.) bestehen die in der DSAnpUG-EU vorgesehenen Untersuchungsbefugnisse der Aufsichtsbehörden nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Es wird befürchtet, dass dadurch kontrollfreie Räume gerade in solchen Bereichen entstehen, in denen die Einhaltung und Sicherstellung eines hohen Datenschutzniveaus besonders geboten ist.
Beschäftigtendatenschutz
Die in das DSAnpUG-EU aufgenommenen Regelungen zum Beschäftigtendatenschutz werden teilweise als unzureichend erachtet. Um den Herausforderungen der zunehmenden Digitalisierung gerecht zu werden, sei langfristig ein eigenes Gesetz zum Beschäftigtendatenschutz erforderlich. Zukünftige Herausforderungen könnten mit den bestehenden Regelungen allein nicht gemeistert werden.
Datenschutzrechtliche Zäsur europarechtswidrig?
Das DSAnpUG-EU weist zahlreiche problematischen Punkte auf. De Maizière kann zugestimmt werden, dass das DSAnpUG-EU eine „datenschutzrechtliche Zäsur“ im deutschen Datenschutzrecht darstellt. Ob diese Zäsur tatsächlich europarechtswidrig ist, wie von den Kritikern vermehrt vorgetragen, bleibt letztendlich einer Überprüfung des EuGH vorbehalten. Sicher ist, dass dieser Entwurf – mit dem Deutschland als erster Mitgliedstaat die europarechtlichen Vorgaben umsetzt – den anderen europäischen Mitgliedstaaten als Blaupause dienen wird.
Kritik und Hinweise von Fachleuten am neuen Gesetz sind willkommen, oppositionelles Gemecker von Linken und Grünen im Bundestag ist wohlfeil und etwas für die eigenen Anhänger. Ein Fachpodium sollte ihnen keine Tribüne bieten. Denn wenn diese Parteien es ernst meinen würden, könnten sie das Gesetz im Bundesrat mühelos stoppen. Sie stellen die Regierungschefs zweier Länder und sind in weiteren Koalitionen beteiligt.
Die Bundesregierung hat bereits am 3.9. 2010 einen Gesetzentwurf zur Regelung des Beschäftigtendatenschutzes (17/4230) vorgelegt. Was ist damit geschehen? Ist das Beschäftigtendatenschutz völlig in die Vergessenheit gerate und niemand interessiert sich dafür. video-systeme.blogspot.de/p/der-seit-2010-geplante-neue-entwurf-zum.html
Der von Ihnen genannte Gesetzesentwurf zur Regelung des Beschäftigtendatenschutzes ist in den Bundestag eingebracht, jedoch nie verabschiedet worden. Die DSGVO enthält keine zentrale Regelungsvorschrift zum Beschäftigtendatenschutz, jedoch in Art. 88 DSGVO eine sog. Öffnungsklausel. Demnach bleibt es den einzelnen Mitgliedstaaten vorbehalten, nationale Regelungen für den Beschäftigtendatenschutz zu treffen. Von dieser Ermächtigung hat Deutschland mit Verabschiedung des neuen BDSG Gebrauch gemacht. Hier ist § 26 BDSG-E einschlägig, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. Interessant ist in diesem Zusammenhang, dass laut Gesetzesentwurf der Bundesregierung vom Februar 2017 der Gesetzgeber sich vorbehält, „Fragen des Datenschutzes im Beschäftigungsverhältnis innerhalb dieser Vorschrift oder im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln“. Demzufolge ist das Thema „Beschäftigtendatenschutz“ auch mit Verabschiedung des neuen BDSG nicht ad acta gelegt. Aktuelle Entwicklungen hierzu finden Sie auf unserem Blog.