Tag Archives: Auskunftsrecht

„Datenschutzanpassungs- und Umsetzungsgesetz“ – Zu kurz gesprungen

Unhandlich und trotzdem unvollständig  …

Die Bundesregierung hat heute den Entwurf für ein „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“ beschlossen. So unhandlich der Titel ist, so unlesbar ist die Vorschrift selbst. Allein die zentrale Vorschrift, das neue Bundesdatenschutzgesetz, umfasst 85 Paragraphen und ist damit doppelt so lang wie das bisherige BDSG. Wer in Zukunft wissen will, welche Datenschutzbestimmungen in Deutschland zu beachten sind, muss die EU-Datenschutzgrundverordnung (DSGVO) und das neue BDSG nebeneinanderlegen. Zudem bleibt völlig unklar, was aus den datenschutzrechtlichen Regelungen in den vielen Spezialgesetzen wird – vom Sozialgesetzbuch über das Telekommunikations- und Medienrecht bis zum Bundesstatistikgesetz -, die (zunächst) in Kraft bleiben, ganz zu schweigen von den vielfältigen Bestimmungen im Landesrecht.

Ohne Rat von auf das Datenschutzrecht spezialisierten Anwälten wird es Unternehmen und Bürgern also auch in Zukunft nicht leicht fallen, sich datenschutzkonform zu verhalten oder Datenschutzrechte – etwa das Recht auf Auskunft oder Löschung – durchzusetzen.

… europarechtswidrig …

Die Unhandlichkeit des Gesetzeswerks ist vor allem der Tatsache geschuldet, dass man in der Bundesregierung mit der von der Europäischen Union beschlossenen Datenschutzreform nicht einverstanden ist, unbeschadet der Tatsache, dass Deutschland der EU-DSGVO (Verordnung (EU) 2016/679) und der Datenschutzrichtlinie für Polizei und Justiz (Richtlinie (EU) 2016/680) zugestimmt hat, die im Mai 2018 wirksam werden. Den ganzen Text durchzieht das Bemühen, soviel vom alten BDSG zu „retten“ wie möglich. Das Ergebnis ist fatal: Das neue BDSG wiederholt viele Vorschriften des DSGVO, unterscheidet sich aber vielfach im Detail. Dies widerspricht zum einen dem „Wiederholungsverbot“ bei direkt anwendbarem EU-Recht. Viel gravierender ist es aber, dass in der Substanz von den europarechtlichen Vorgaben abgewichen wird, insbesondere bei der Verarbeitung personenbezogener Daten für andere Zwecke, bei den Rechten der Betroffenen und bei den Befugnissen der Datenschutzbehörden.

Paradoxer Weise werden trotz der hohen Regelungsintensität die in der DSGVO enthaltenen Gestaltungsspielräume für nationale Datenschutzregelungen nur unzureichend ausgefüllt. So fehlen etwa jegliche Ausführungen zum Ausgleich zwischen den Rechtsgütern Datenschutz und Meinungsfreiheit, die gerade angesichts der aktuellen Diskussionen über Fakenews und Hatespeach dringend erforderlich wären. Diese schwierige Materie will der Bund offenbar den Ländern überlassen – mit ungewissem Ausgang.

… auf reduziertem Datenschutzniveau

Die Frage drängt sich auf: Warum das ganze? Die DSGVO wird ab Mai 2018 als direkt in den Mitgliedstaaten anwendbares Recht gelten und der deutsche Gesetzgeber hätte sich mit einer schlanken Regelung begnügen können, die sich auf die wesentlichen Dinge – etwa die Ausgestaltung der Aufsichtsbefugnisse der Datenschutzbehörden, die Benennung betrieblicher Datenschutzbeauftragter, den Rechtsschutz der Betroffenen und das Füllen der expliziten Regelungsspielräume etwa bei Beschäftigten-, Gesundheits- und Forschungsdaten. Warum also so kompliziert und wortreich, wo es doch einfacher ginge?

Die Antwort erschließt sich erst auf den zweiten Blick: Viele der Regelungen senken das Datenschutzniveau gegenüber der DSGVO ab. So werden die Rechte auf Information, Auskunft und Löschung personenbezogener Daten eingeschränkt. Auf der anderen Seite werden insbesondere den Behörden zusätzliche Befugnisse eingeräumt: Sie dürfen mehr Daten erheben, auswerten und übermitteln als in der DSGVO vorgesehen. Last but not least: Auch die Videoüberwachung soll ausgeweitet werden, wobei im Zweifel die Rechte der Betroffenen zurückzustehen haben.

Fazit

Die Bundesregierung bemüht sich also nach Kräften, die Legende vom „hohen deutschen Datenschutzniveau“ zu entkräften. Dies ist insbesondere deshalb fatal, weil sie zugleich auch einen der größten europapolitischen Erfolge – an dem übrigens auch der neue SPD-Kanzlerkandidat Martin Schulz in seiner Funktion als Präsident des Europäischen Parlaments maßgeblich mitgewirkt hat -, die EU-Datenschutzreform konterkariert. Der deutsche Bundestag und der Bundesrat sollten dieses für die Zukunft der Informationsgesellschaft zentrale Vorhaben nicht durchwinken, sonderm kritisch überprüfen und korrigieren.

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

Berlin, den  1. Dezember 2016

Presseerklärung: EAID wendet sich gegen die Aufweichung des Europäischen Datenschutzes durch deutsche Gesetze

 – Stellungnahme zum Referentenentwurf des BMI für ein neues Bundesdatenschutzgesetz –

Die Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) befürchtet eine deutliche Verschlechterung des Datenschutzes, wenn die Pläne des Bundesministeriums des Innern (BMI) für ein „Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU“ realisiert werden.

In ihrer Stellungnahme kritisiert die EAID, dass viele der im Gesetz vorgesehenen Vorschriften hinsichtlich ihres Schutzniveaus nicht nur hinter dem durch das EU-Datenschutzrecht vorgegebenen Schutzniveau zurückbleiben, sondern sogar unterhalb des bisherigen deutschen Datenschutzniveaus liegen. Auf besondere Kritik stößt dabei das Vorhaben, staatlichen Stellen und Unternehmen weitergehende Befugnisse zur Verarbeitung personenbezogener Daten einzuräumen als im EU-Recht vorgesehen:
„Die für einen bestimmten Zweck erhobenen Daten dürften nahezu uferlos für andere Zwecke verwendet werden, und zwar auch dann, wenn schützenswerte Interessen der Betroffenen entgegenstehen. Das ist nicht nur europarechtswidrig, sondern es senkt auch das jetzige deutsche Datenschutzniveau ab“, kritisiert Peter Schaar, Vorsitzender der EAID.
Nicht akzeptabel ist auch die Aushöhlung der Rechte der Betroffenen auf Information über die Datenverarbeitung, über Auskunft über die zu ihrer Person gespeicherten Daten und auf Widerspruch gegen eine Datenverarbeitung. „Damit würden die in Deutschland lebenden Menschen datenschutzrechtlich schlechter gestellt als die Bürgerinnen und Bürger in anderen Ländern der EU“, führt Dr. Alexander Dix aus, stellvertretender EAID-Vorsitzender.
Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßig wirksamen Datenschutz zu garantieren.
Der Wortlaut der EAID-Stellungnahme ist abrufbar unter www.eaid-berlin.de
Kontakt: Peter Schaar, Tel. 030-754 49 550, psch(a)eaid-berlin.de

Wird Deutschland zum Schlusslicht beim Europäischen Datenschutz?

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – zitiert als E-BDSG – an die Verbände versandt. Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird innerhalb der kurzen für das Anhörungsverfahren vorgesehenen Frist bis zum 7. Dezember zu dem Entwurf offiziell Stellung nehmen. Der vorliegende Beitrag ist insofern eine vorläufige Einschätzung, die allein vom Autor verantwortet wird.

Nachdem bereits Ende August ein Vorentwurf bekannt geworden war, der zu erheblicher Kritik Anlass gab (vgl. etwa meinen Blogpost), hat das BMI zwar einige der gröbsten handwerklichen Fehler abgemildert. Bereits eine erste Durchsicht des umfangreichen Gesetzentwurfs offenbart aber eine Reihe von inhaltlichen und formalen Schwachpunkten und Mängeln, von denen zu hoffen ist, dass sie im weiteren Gesetzgebungsverfahren (Ressortabstimmmung, Beratung im Deutschen Bundestag und im Bundesrat) ausgebessert und beseitigt werden.

Das E-BDSG weicht in verschiedenen Feldern von den Vorgaben der Datenschutzgrundverordnung (DSGVO) ab, und zwar nicht nur dort, in denen der europäische Gesetzgeber Raum für nationale Regelungen gelassen hat, etwa beim Schutz von Beschäftigtendaten oder bei den Vorschriften zu den betrieblichen Datenschutzbeauftragten.

In zentralen Punkten – insbesondere bei den Betroffenenrechten – werden die Vorgaben der DSGVO aufgeweicht mit dem Ergebnis, dass deutsche Bürgerinnen und Bürger zukünftig weniger Datenschutzrechte haben als die übrigen Europäer.

Schließlich ist zu fragen, ob auf diesem Wege Regelungen, mit denen die Bundesregierung bei den Verhandlungen der Datenschutzreform im Rat und im Europaparlament keine Mehrheiten gefunden hat, nun auf dem Umweg eines „Datenschutzanpassungsgesetzes“ doch noch realisiert werden sollen – zum Schaden Europas.

 

EU-weites „level playing field“?

Niemandem wäre damit gedient, wenn ab 25. Mai 2018, wenn die DSGVO wirksam wird – an die Stelle der 28 nationalen Datenschutzgesetze 28 neue, unterschiedliche „Ausführungsgesetze“ treten, wie es dem Ministerium offenbar vorschwebt: Mit verschiedenen Regelungen zur Datenerhebung, Speicherung und Verwendung, mit unterschiedlichen nationalen Vorgaben zu den Rechten auf Auskunft, Löschung und Widerspruch der Betroffenen, ergänzt um Sonderregelungen, die teils deutlich hinter dem EU-Recht zurückbleiben.

Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßigen wirksamen Datenschutz zu garantieren.

Große Unternehmen, die sich umfangreiche Rechtsabteilungen und teure Anwälte leisten können, werden auch in Zukunft mit einer solchen unübersichtlichen Situation umgehen können. Dies gilt aber nicht für kleinere und mittlere Unternehmen, die nicht über derartige Ressourcen verfügen. Neben den Bürgerinnen und Bürgern, deren Datenschutz ausgehöhlt wird, wären sie die Hauptleidtragenden des deutschen Sonderwegs.

 

Absenkung der Betroffenenrechte

Art. 23 DGSVO räumt den von der Datenverarbeitung betroffenen Personen ein Auskunftsrecht über die zu ihnen gespeicherten Daten ein. Nach Art. 14 DSGVO müssen Behörden und Unternehmen die Betroffenen informieren, wenn sie personenbezogene Daten verarbeiten.

Wenn es nach dem BMI geht, müssten davon abweichend gemäß § 32 i.V.m. § 31 E-BDSG öffentliche Stellen die Betroffenen nicht informieren bzw. ihnen keine Auskunft erteilen, wenn „die Information die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben“ gefährden oder „die Information die öffentliche Sicherheit oder  Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würden“. Eine solche Regelung überlässt es weitgehend den Behörden, welche Auskünfte gegeben werden, denn schließlich gibt es viele Gründe, weshalb die Informationsherausgabe die ordnungsgemäße Aufgabenerfüllung gefährden könnte. Unternehmen müssten keine Auskunft erteilen, wenn „die Information die Geschäftszwecke des Verantwortlichen erheblich gefährden würde“. Damit würden Geschäftsinteressen generell über den Schutz persönlicher Daten gestellt. Zudem müssten Unternehmen keine Auskunft erteilen, wenn „die zuständige öffentliche Stelle gegenüber dem Verantwortlichen (Unternehmen) festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.“ Auch diese Bestimmung lässt viel Interpretationsspielraum.

Nach Art. 17 DSGVO haben die betroffenen Person das Recht, von Behörden und Unternehmen die Löschung von zu Unrecht gespeicherten oder nicht mehr benötigten Daten zu verlangen. In Deutschland soll jedoch kein Recht auf Datenlöschung bestehen, „wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“ (§ 33 E-BDSG) Eine solche Vorschrift wäre geradezu eine Einladung an Unternehmen und staatliche Stellen, ihre Daten so zu speichern, dass eine Löschung nur unter größerem Aufwand möglich ist. Sie müssten die Daten selbst dann nicht löschen, wenn ihre Speicherung rechtswidrig war.

Gemäß Art. 21 DSGVO haben die Betroffenen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung im Interesse einer verantwortlichen Stelle (Behörde bzw. Unternehmen)  oder eines Dritten erfolgt und keine ausdrückliche gesetzliche Regelung die Datenverarbeitung erlaubt. Der Gesetzentwurf schränkt dieses Widerspruchsrecht erheblich ein (§ 34 E-BDSG).

Die für die Absenkung der Betroffenenrechte angeführten Begründungen, das geringere Datenschutzniveau liege im öffentlichen Interesse oder diene dem Schutz der Freiheitsrechte anderer Personen (Art. 23 DSGVO), ist selbst bei wohlwollender Auslegung der Datenschutzgrundverordnung abwegig. Die Absenkung des Datenschutzniveaus unter das EU-Level ist mit dem deutschen Grundrecht auf informationelle Selbstbestimmung und dem durch Art. 8 der EU-Grundrechtecharta garantierten Grundrecht auf Schutz personenbezogener Daten nicht zu vereinbaren. Das BMI bleibt jede Begründung schuldig, warum Geschäftsinteressen etwa von Auskunfteien oder Inkassounternehmen schwerer wiegen als die Datenschutzrechte der betroffenen Bürgerinnen und Bürger.

 

Fallbeispiele

Ein Kunde verlangt von seiner Bank aussagekräftige Informationen über das zur automatisierten Bewertung seiner Kreditwürdigkeit verwendete Scoring-Verfahren.

Europa: Die Bank erteilt diese Auskünfte, denn sie ist dazu gem. Art. 15 der Datenschutzgrundverordnung (DSGVO) verpflichtet.

Deutschland: Die Bank lehnt die Auskunft zu den Details des Bewertungsverfahrens ab, denn nach § 32 E-BDSG würden die erfragten Information die eigenen Geschäftszwecke „erheblich gefährden“; sie seien zudem Betriebs- und Geschäftsgeheimnisse des Unternehmens.

Die Besucherin eines Einkaufszentrums erkundigt sich nach dem Umfang und der genauen Speicherungsdauer der Videoaufnahmen der installierten Überwachungskameras.

Europa: Der Betreiber teilt ihr mit, wo die Kameras installiert sind und dass die Aufnahmen nach drei Tagen gelöscht werden. So sieht es die EU-Datenschutzverordnung vor.

Deutschland: Der Betreiber verweigert die erbetene Informationen mit der Begründung, die zuständige Behörde sehe darin eine Gefährdung der öffentlichen Sicherheit und Ordnung.

Ein Versicherungsnehmer verlangt von der Versicherung die Löschung unzulässig gespeicherter Gesundheitsdaten.

Europa: Nach Art. 17 der EU-Datenschutzverordnung hat er ein Recht dazu. Die Versicherung muss die Daten löschen.

Deutschland: Die Versicherung lehnt die Löschung der Daten ab. Gemäß § 33 E-BDSG müsse sie die Daten nicht löschen, denn „wegen der besonderen Art der Speicherung“ sei die Löschung nur mit unverhältnismäßig hohem Aufwand möglich.

 

Exzessive Videoüberwachung

Europa- und verfassungsrechtlich nicht akzeptabel ist auch der deutsche Sonderweg bei der Videoüberwachung: Künftig soll hier – nicht nur für öffentliche Stellen, sondern auch im privatwirtschaftlichen Bereich – die Maxime gelten: Sicherheit geht vor Datenschutz.

Damit soll ein entsprechendes Vorhaben der Bundesregierung fortgeschrieben werden, das auch nach derzeitiger Rechtslage verfassungsrechtlich problematisch ist (vgl. Stellungnahme der EAID zum „Videoüberwachungsverbesserungsgesetz“ v. 6. November 2016)  Die in der Datenschutzgrundverordnung vorgesehene Interessenabwägung müsste so einseitig zu Lasten der Grundrechte erfolgen – ein klarer Verstoß gegen Art. 8 EU-Grundrechtecharta.

 

Beschäftigtendaten

Im Hinblick auf den Beschäftigtendatenschutz begnügt sich das E-BDSG mit einem Minimalprogramm, indem es den alten § 32 BDSG unverändert übernimmt.

Erhebliche Zweifel sind angebracht, ob diese Vorschrift den Vorgaben aus Art. 88 Abs. 2 DSGVO entspricht. Eine solche nationale Regelung soll nämlich „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen.

Davon findet sich nichts im BMI-Entwurf, der deshalb erneut nicht die Erwartungen an einen dringend erforderlichen modernen Beschäftigtendatenschutz erfüllt. Dies ist besonders bedauerlich, weil im Zuge der Digitalisierung der Arbeitswelt hier klare Grenzen der Datenerfassung und -verwendung immer dringlicher werden.

 

Europarechtsbruch mit Ansage

Schließlich wiederholt der Entwurf an vielen Stellen die Vorgaben der Datenschutzgrundverordnung (DSGVO) und wandelt diese Bestimmungen teils in schwer nachvollziehbarer Weise ab. Damit verstößt der Entwurf gegen das europarechtliche Wiederholungsverbot bei direkt anwendbaren EU-Verordnungen, das Abweichungen des nationalen Rechts von EU-rechtlichen Vorgaben verhindern soll.

Als Randnote sei darauf hingewiesen, dass das neue BDSG am 25. Mai 2018 in Kraft treten soll, dem Datum des Wirksamwerdens der Datenschutzgrundverordnung. Da das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ aber auch die Richtlinie für die Bereiche Justiz und Polizei umsetzen soll, deren Umsetzung bis zum 6. Mai 2018 zu erfolgen hat (Art. 63 Abs. 1 RL (EU) 2016/680), handelt es sich sozusagen um einen Europarechtsverstoß mit Ansage – ein ziemlich einmaliger Vorgang.

ABDSG-Entwurf: Gesetz zur Aufweichung des Bundesdatenschutzgesetzes?

Der Blog „Netzpolitik“ hat heute den Entwurf eines vom Bundesinnenministerium (BMI) erarbeiteten „ABDSG“ veröffentlicht. Schon vor Wochen geisterten entsprechende Meldungen durch Blogs wirtschaftsnaher Anwaltskanzleien und Unternehmensberatungen (etwa dem Hogan-Lovells-Blog v. 24. August 2016), denen der Entwurf offenbar schon sehr frühzeitig bekannt war. Es ist gut, dass nun auch die interessierte Öffentlichkeit den Entwurf kennt.

ABDSG steht für „Allgemeines Bundesdatenschutzgesetz“. Es geht um die Anpassung des Datenschutzrechts des Bundes an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), die in knapp zwei Jahren in Kraft tritt.

Während der Verhandlungen zur DSGVO hatte das BMI immer wieder für die Möglichkeit geworben, den Mitgliedstaaten weitgehende Regelungsmöglichkeiten zu belassen. Zur Begründung hatten die jeweiligen Bundesinnenminister Friedrich (CSU)  und de Maizière (CDU) angeführt, ihnen ginge es darum, das „hohe deutsche Datenschutzniveau“ zu erhalten.

Nach der Lektüre des Gesetzentwurfs drängt sich allerdings der Eindruck auf, dem Bundesinnenministerium gehe es weder um eine sinnvolle Umsetzung der EU-Vorgaben noch um die Nutzung von Regelungsspielräumen zum Erhalt eines hohen deutschen Datenschutzniveaus, sondern vorrangig um dessen Absenkung.

Drei Haupttendenzen ziehen sich durch den 79-seitigen Referentenentwurf:

Staatliche Stellen erhalten mehr Befugnisse zur Verarbeitung personenbezogener Daten.

An Stelle spezifischer Vorgaben für die Erhebung, Speicherung, Änderung und Nutzung sollen Generalermächtigungen zur Verarbeitung treten. Spezifische Zweckbindungsregeln sollen durch biegsame Verwendungsregeln abgelöst werden, die den Vorgaben des Bundesverfassungsgerichts (und der DSGVO) Hohn sprechen. Insbesondere bei den Nachrichtendiensten sollen die Schwellen zur Erhebung von Daten weiter abgesenkt werden.

Die Betroffenenrechte und die Kontrollbefungnisse der BfDI werden eingeschränkt, wo immer es die EU-Vorgaben zulassen und teils sogar dort, wo es solche Spielräume nicht gibt.

Gerupft werden sollen Auskunfts-, Informations- und Widerspruchsrechte und den Anspruch auf Löschung der Daten. Auch die Kontrollbefugnisse der Bundesdatenschutzbeauftragten sollen eingeschränkt werden, insbesondere gegenüber dem Verfassungsschutz und dem Bundesnachrichtendienst. Sie soll sich bei Angelegenheiten, welche die Nachrichtendienste betreffen, auch nicht mehr an den Bundestag oder an die parlamentarischen Kontrollgremien wenden dürfen.

Für die Datenverarbeitung durch die Wirtschaft erfindet das BMI neue Ausnahmen

Die Zweckbindung soll auch hier aufgeweicht werden. Zugleich sollen Unternehmen von lästigen Auskunfts- und Löschungspfichten entbunden werden, wenn damit ein „unverhältnismäßiger Aufwand“ verbunden wäre.

Sicher, es gibt auch einige Lichtblicke, aber diese muss man mit der Lupe suchen. So soll das bewährte deutsche System der betrieblichen Datenschutzbeauftragten erhalten bleiben. Zudem gesteht das BMI der Bundesdatenschutzbeauftragten einige neue Stellen zu. Das wars dann aber.

Vor diesem Hintergrund ist es zu begrüßen, dass – wie Netzpolitik berichtet – das Bundesjustizministerium aus verfassungsrechtlichen und handwerklichen Gründen die Notbremse gezogen und die offizielle Versendung des ABDSG-Referentenentwurfs gestoppt hat.

Um es auf den Punkt zu bringen: Ein solches Datenschutzabsenkungsgesetz brauchen wir überhaupt nicht!

Peter Schaar

Public Reporting im Gesundheitswesen: Datenmonopole darf es nicht geben

Das folgende Interview habe ich für das „Spotlight Gesundheit“ (Januar 2016) der Bertelsmann-Stiftung gegeben (Interviewer war Dr. Stefan Etgeton)
Drei Fragen zum Public Reporting im Gesundheitswesen
an den ehemaligen Bundesbeauftragten für Datenschutz und
Informationsfreiheit Peter Schaar

Frage: Ist es legitim, Anbieter im Gesundheitswesen einer öffentlichen Rechenschaftspflicht zu unterwerfen?

Schaar: Selbstverständlich. Die Bereitstellung einer effektiven Gesundheitsversorgung gehört zu den sozialen Mindeststandards, die nach der Allgemeinen Erklärung der Menschenrechte universell zu garantieren sind. Insofern ist die öffentliche Kontrolle darüber, wie Gesundheitsdienstleistungen erbracht werden, erforderlich. Transparenz erleichtert zudem dem medizinische Hilfe suchenden Menschen, sich in voller
Kenntnis der Chancen, Risiken und Kosten für oder gegen eine Therapie
zu entscheiden.
Frage: Wie verträgt es sich mit der Rechenschaftspflicht, dass Daten im Gesundheitswesen zu einem von den Akteuren monopolisierten Gut geworden sind?
Schaar: Gesundheitsdatenmonopole darf es nicht geben. Das gilt für die Qualitätskontrolle genauso wie für die verursachten Kosten. Zudem sind Ärzte, Krankenhäuser und andere Gesundheitsdienstleister gegenüber ihren Patienten rechenschaftspflichtig. Der Anspruch auf Auskunft über die zur eigenen Person gespeicherten Daten gehört zudem zu den unabdingbaren Datenschutzrechten. Wer den Betroffenen entsprechende Angaben vorenthält, handelt rechtswidrig.
Frage: Wenn Patienten die eigentlichen Eigner der Gesundheitsdaten sind, diese also quasi ein öffentliches Gut darstellen – wie lassen sich Datenschutz und Informationsfreiheit hier in Einklang bringen?
Schaar: Mit der aus dem amerikanischen Rechtsraum stammenden Ansicht, Daten als Eigentumstitel zu betrachten, kann ich mich nicht anfreunden. Sie führt dazu, dass die Daten»eigner« meinen, mit den Daten frei hantieren, sie unbegrenzt nutzen oder verkaufen zu können. Unser europäisches Rechtsverständnis sieht in dem Schutz der persönlichen Daten ein Grundrecht – Eingriffe sind nur auf Basis einer expliziten gesetzlichen Erlaubnis oder der ausdrücklichen Einwilligung des Betroffenen zulässig. Deshalb sind die personenbezogenen Gesundheitsdaten auch kein »öffentliches Gut«. Anders sieht es mit anonymen Gesundheitsdaten aus: Wofür eine Klinik ihr Geld ausgibt, wie hoch die Komplikationsrate ist und welche Therapien angeboten werden, sollte öffentlich gemacht werden. Das verhindert der Datenschutz nicht.

Löchriger Datenschutz-Schirm

Vor gut einer Woche, am 8. September 2015, gab die Europäische Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über ein Datenschutz-Rahmenabkommen („Umbrella Agreement“), das für die Kooperation zwischen Strafverfolgungsbehörden gelten soll. Das Abkommen werde nach seinem Inkrafttreten „ein hohes Datenschutzniveau für alle personenbezogenen Daten garantieren, die von den Strafverfolgungsbehörden über den Atlantik gesandt werden. Insbesondere wird es  garantieren, dass alle EU-Bürger das Recht haben, den Schutz Ihrer Daten bei US-Gerichten durchzusetzen“, führte die zuständige EU-Justizkommissarin Věra Jourová aus. Voraussetzung für die Unterzeichnung der Vereinbarung sei jedoch, dass der US-Kongress möglichst bald die erforderlichen Gesetzesänderungen („Judicial Redress Bill“) beschließe.

Obwohl die Kommission den vereinbarten Text zunächst nicht veröffentlichen wollte, ist dieser inzwischen  – auf welchen Wegen auch immer – ins Internet gelangt und ermöglicht so eine Detailprüfung, ohne die eine verlässliche Bewertung der Verhandlungsergebnisse nicht möglich ist. Ich möchte den Leserinnen und Lesern meine Eindrücke nicht vorenthalten, die ich bei der ersten Durchsicht des Abkommenstextes  gewonnen habe.

Zunächst die gute Nachricht: Das Abkommen enthält in der Tat substantielle Zugeständnisse der US-Seite, die von vielen Beobachtern vor Jahresfrist kaum für möglich gehalten wurden. Zu nennen ist in erster Linie, dass  EU-Bürger zukünftig vor US-Gerichten überhaupt einklagbare  Datenschutz-Rechte erhalten sollen. Gegen eine derartige Regelung hatte sich die US-Regierung während er sich über fünf Jahre hinziehenden Verhandlungen lange gewehrt. Statt eines  einklagbaren Rechtsanspruches sollten EU-Bürgern Datenschutzrechte nur durch eine Verwaltungsvereinbarung eingeräumt werden. Dass eine – letztlich vom Goodwill der US-Administration abhängige  – Zusicherung kein angemessenes Datenschutzniveau gewährleisten kann, wurde zu Recht von EU-Seite immer wieder betont. Insofern ist es positiv, dass die entsprechenden Rechtsansprüche in einem formellen, durch den US-Kongress zu beschließendes Gesetz, gesichert werden sollen.

Positiv ist auch, dass sich beide Seiten zu den Grundsätzen der Verhältnismäßigkeit, Erforderlichkeit und Zweckbindung bekennen und dass  sie sich verpflichten, die Verwendung und die Dauer der Speicherung personenbezogener Daten entsprechend dieser Grundsätze durch Rechtsvorschriften festzulegen.

Bei Durchsicht des Abkommenstextes wird jedoch deutlich, dass von einer rechtlichen Gleichstellung der EU-Bürgerinnen und Bürger nicht die Rede sein kann. Dabei hätte sich dies sehr leicht in die bestehenden US-Datenschutzvorschriften einfügen lassen: So hätte es genügt, die Regelungen – etwa des US Privacy Act von 1974 -, die sich bisher auf US-Bürger und dort rechtmäßig ansässige Ausländer beschränken, auf EU-Bürger zu erweitern. Stattdessen enthält der Abkommenstext komplizierte Regelungen, welche im Ergebnis die Gleichstellung nicht gewährleisten. So müssen EU-Bürger – anders als US-Bürger – zunächst versuchen, ihre Datenschutzrechte auf dem Verwaltungsweg durchzusetzen. Erst wenn sie damit endgültig gescheitert sind, dürfen sie ein US-Gericht anrufen. Zudem beschränken sich die in Art. 18 des Abkommens vorgesehenen Klagemöglichkeiten auf die ausdrücklich im Abkommen genannten Rechte auf Auskunft und Korrektur der jeweiligen personenbezogener Daten. EU-Bürger haben – anders als US-Bürger – weiterhin keine darüber hinausgehenden Möglichkeiten, die Rechtmäßigkeit des gesamten Verfahrens der Datenverarbeitung gerichtlich überprüfen zu lassen.

Ferner ist darauf hinzuweisen, dass das Abkommen nur für Strafverfolgungs- und Polizeibehörden  gelten soll, nicht jedoch für Behörden, die für die Gewährleistung der „nationalen Sicherheit“ zuständig sind. In diesem Zusammenhang ist darauf hinzuweisen, dass US-Nachrichtendienste wie die NSA und die CIA ihre Erkenntnisse, auch sofern sie diese von Behörden anderer Staaten erhalten haben, durchaus mit den Strafverfolgungsbehörden teilen. Sollte also der Bundesnachrichtendienst auch zukünftig – wie in der Vergangenheit in beachtlichem Umfang geschehen – personenbezogene Daten an US-Dienste übermitteln, welche die Informationen an das FBI weitergeben, wären darauf die Vorgaben des Rahmenabkommens nicht anwendbar. Nicht anwendbar ist das Abkommen auch bezüglich solcher Datensammlungen von US Behörden, die auf Basis anderer US-Vorschriften  –  etwa des Foreign Intelligence Surveillance Act (FISA) –  erfolgen.

Eine weitere Beschränkung soll nicht unerwähnt bleiben: Während nach dem europäischen  Datenschutzrecht sämtliche personenbezogenen Daten unabhängig von der Nationalität der Betroffenen geschützt werden, sollen die begrenzten, durch das Abkommen vorgesehenen Datenschutzrechte nur für Daten über EU-Bürger gelten, die von europäischen Behörden oder Unternehmen auf Basis von bi- oder multilateralen Vereinbarungen an US- Strafverfolgungsbehörden übermittelt wurden.
Schließlich bleibt der Abkommenstext (Art. 21) hinsichtlich der Datenschutzaufsicht hinter
dem EU-Recht (insb. Art. 8 Abs. 3 der EU-Grundrechte-Charta) zurück: Es fehlt eine ausdrückliche Verpflichtung beider Vertragsparteien, für eine unabhängige Datenschutzaufsicht zu sorgen.  Während sich die Europäische Union in dem Abkommen dazu verpflichtet, dass die unabhängigen Datenschutzbehörden die Rechtmäßigkeit der Datenverarbeitung überprüfen können, verweist das Abkommen hinsichtlich der USA auf eine Vielzahl, teils nicht unabhängiger Kontrollinstitutionen, welche die Datenschutzkontrolle „kumulativ“ ausüben sollen.

Angesichts dieser Defizite erscheint mir der Jubel über die Verhandlungsergebnisse verfrüht.  Die europäischen Gremien, die der Ratifizierung des Abkommens zustimmen müssen, allen voran das Europäische Parlament und die Parlamente der Mitgliedstaaten, sind aufgerufen, das Abkommen gründlich zu prüfen und dabei insbesondere seine Vereinbarkeit mit den Vorgaben der EU-Grundrechtecharta unter die Lupe zu nehmen. Gegebenenfalls muss eben nachverhandelt werden.

Mit freundlichen Grüßen

Peter Schaar