Tag Archives: BDSG

Gibt es Datenschutz auf Jamaika?

Wer im Internet nach „Datenschutz auf Jamaika“ suchte, landete bis vor kurzem auf einer Website der Regierung des karibischen Inselstaates. Offensichtlich arbeitet man dort schon seit längerer Zeit an dem Entwurf eines „Data Protection Bill“, dessen öffentliche Vorlage „demnächst“ erfolgen soll. Spätestens seit der Bundestagswahl am 24. September 2017 assoziieren wir „Jamaika“ nicht mehr im erster Linie mit dem mehr als 8000 km entfernten Eiland, dessen Landesfarben zufällig die politische Konstellation abbilden, mit der die Bundesrepublik in den nächsten vier Jahren möglicherweise regiert wird. Deshalb macht es Sinn zu fragen, was in Sachen Datenschutz von Jamaika zu erwarten ist.

Anders als in der Großen Koalition, deren Fortsetzung die SPD eine kategorische Absage erteilt hat, würden in einem Jamaika-Bündnis zwei Parteien mitwirken, die im Wahlkampf für die Verteidigung von Bürgerrechten eingetreten sind. FDP und Bündnis 90/Die Grünen lehnen die anlasslose Vorratsdatenspeicherung von Kommunikationsdaten ab, sie stehen der lückenlosen Videoüberwachung kritisch gegenüber und sie haben sich für eine unabhängige Überprüfung der vielen, seit den Terroranschlägen von 2001 beschlossenen Anti-Terror-Gesetze stark gemacht.

Insofern ist die Konstellation zunächst einmal günstiger als bei einem erneuten Zusammengehen der abgeschmolzenen „Volksparteien“, die sich in der Vergangenheit einen Wettlauf darum geliefert hatten, wer die jeweils härteren Positionen in der Innenpolitik vertritt. Weder die Liberalen noch die Grünen können es sich leisten, dass eine Bundesregierung, an der sie beteiligt sind, den Law & Order-Kurs der großen Koalition einfach fortsetzt.

Andererseits werden die Unionsparteien versuchen, nach rechts abgewanderte Wählerinnen und Wähler zurückzugewinnen, und es ist nicht zu bestreiten, dass die Kriminalitätsangst bei dieser Zielgruppe besonders ausgeprägt ist. Allerdings hat die von Bundesinnenminister de Maizière und seinem bayerischen Amtskollegen Herrmann in den letzten Jahren verfolgte „harte Linie“ offensichtlich nicht verfangen. Die immer neuen Sicherheitsgesetze, deren unterschwellige Botschaft war, dass der Staat die Bürger nicht effektiv vor Kriminalität schützt, haben im Gegenteil das weit verbreitete Unsicherheitsgefühl noch verstärkt. Eine Politik des „Mehr hilft mehr“ ist in ihrem Kern unmäßig, denn absolute Sicherheit lässt sich niemals garantieren.

Wie könnte ein neuer innenpolitischer Ansatz aussehen, der den Bürgerrechten Rechnung trägt und zugleich die öffentliche Sicherheit stärkt? Zunächst einmal sollten alle Beteiligten einen nüchternen Blick auf die Realität werfen. Dabei wird man sich sehr schnell darüber einig werden, dass beide Güter – Freiheit und Sicherheit – ihre Berechtigung haben. Auf dieser Basis gilt es, vorbehaltlos zu analysieren, wie sich die vielen in den letzten Jahrzehnten beschlossenen Sicherheitsgesetze wirklich auswirken. Dabei wird sich zeigen, dass manche Maßnahmen nicht im Ansatz den versprochenen Sicherheitsgewinn gebracht haben. Zugleich sollte die neue Koalition zügig die tatsächlichen Defizite angehen, die seit langem bekannt sind, die aber aus Rücksichtnahme auf Befindlichkeiten unterschiedlicher Art nicht behoben wurden.

Wichtig ist insbesondere die Überprüfung der Sicherheitsstrukturen. Parallele und sich überschneidende Zuständigkeiten einer Vielzahl von Behörden waren etwa ursächlich für das Versagen bei der Aufdeckung der rechtsextremistischen Terrorzelle NSU und im Fall des Berliner Weihnachtsmarkt-Attentäters Amri. Ein weiterer Aspekt ist die nach wie vor unzureichende Zusammenarbeit innerhalb der Europäischen Union bei der Terrorismusbekämpfung. Dass entsprechende Informationen in der Vergangenheit nicht weitergegeben wurden, hat mitnichten Datenschutzgründe, sondern lag im wesentlichen an der Haltung der EU-Regierungen, die „Innere Sicherheit“ als nationale Domäne anzusehen.

Jamaika wird in der Innenpolitik nur punkten können, wenn sich die Beteiligten darauf verständigen, an Stelle der Symbolpolitik der Vergangenheit einen nüchternen und unaufgeregten Blick zu entwickeln. Dazu gehört auch der Mut, auf Maßnahmen zu verzichten und Gesetze zurückzunehmen, die ineffektiv waren und mit denen die Grundrechte unverhältnismäßig eingeschränkt wurden.

Auch ansonsten ist in dieser Legislaturperiode in Sachen Datenschutz einiges zu tun. Deutschland sollte sich dafür einsetzen, dass die derzeit in Brüssel verhandelte Datenschutzverordnung für die elektronische Kommunikation (ePrivacy-Verordnung) ein hohes Schutzniveau für die Verbraucherinnen und Verbraucher garantiert. Auch nach der (teilweise verunglückten) Konkretisierung der EU-Datenschutzgrundverordnung durch das neue BDSG hängen viele bereichsspezifische Datenschutzregelungen des deutschen Rechts in der Luft und bedürfen dringend einer Überarbeitung. Die Datenschutzaufsicht muss gestärkt werden, und zwar rechtlich und tatsächlich. Dazu gehört etwa die Rücknahme der in der letzten Legislaturperiode beschlossenen Einschränkung der Befugnisse der Datenschutz-Aufsichtsbehörden im Gesundheitsbereich. Datenschutz ist ein eminent politisches Thema. Deshalb gehört der Dienstsitz der Bundesdatenschutzbeauftragten nach Berlin.

Um auf die Eingangsfrage zurückzukommen: Ja, Jamaika kann gute Chancen für den Datenschutz bringen – wenn es denn dazu kommt!

Mit freundlichen Grüßen, Peter Schaar

„Datenschutzanpassungs- und Umsetzungsgesetz“ – Zu kurz gesprungen

Unhandlich und trotzdem unvollständig  …

Die Bundesregierung hat heute den Entwurf für ein „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“ beschlossen. So unhandlich der Titel ist, so unlesbar ist die Vorschrift selbst. Allein die zentrale Vorschrift, das neue Bundesdatenschutzgesetz, umfasst 85 Paragraphen und ist damit doppelt so lang wie das bisherige BDSG. Wer in Zukunft wissen will, welche Datenschutzbestimmungen in Deutschland zu beachten sind, muss die EU-Datenschutzgrundverordnung (DSGVO) und das neue BDSG nebeneinanderlegen. Zudem bleibt völlig unklar, was aus den datenschutzrechtlichen Regelungen in den vielen Spezialgesetzen wird – vom Sozialgesetzbuch über das Telekommunikations- und Medienrecht bis zum Bundesstatistikgesetz -, die (zunächst) in Kraft bleiben, ganz zu schweigen von den vielfältigen Bestimmungen im Landesrecht.

Ohne Rat von auf das Datenschutzrecht spezialisierten Anwälten wird es Unternehmen und Bürgern also auch in Zukunft nicht leicht fallen, sich datenschutzkonform zu verhalten oder Datenschutzrechte – etwa das Recht auf Auskunft oder Löschung – durchzusetzen.

… europarechtswidrig …

Die Unhandlichkeit des Gesetzeswerks ist vor allem der Tatsache geschuldet, dass man in der Bundesregierung mit der von der Europäischen Union beschlossenen Datenschutzreform nicht einverstanden ist, unbeschadet der Tatsache, dass Deutschland der EU-DSGVO (Verordnung (EU) 2016/679) und der Datenschutzrichtlinie für Polizei und Justiz (Richtlinie (EU) 2016/680) zugestimmt hat, die im Mai 2018 wirksam werden. Den ganzen Text durchzieht das Bemühen, soviel vom alten BDSG zu „retten“ wie möglich. Das Ergebnis ist fatal: Das neue BDSG wiederholt viele Vorschriften des DSGVO, unterscheidet sich aber vielfach im Detail. Dies widerspricht zum einen dem „Wiederholungsverbot“ bei direkt anwendbarem EU-Recht. Viel gravierender ist es aber, dass in der Substanz von den europarechtlichen Vorgaben abgewichen wird, insbesondere bei der Verarbeitung personenbezogener Daten für andere Zwecke, bei den Rechten der Betroffenen und bei den Befugnissen der Datenschutzbehörden.

Paradoxer Weise werden trotz der hohen Regelungsintensität die in der DSGVO enthaltenen Gestaltungsspielräume für nationale Datenschutzregelungen nur unzureichend ausgefüllt. So fehlen etwa jegliche Ausführungen zum Ausgleich zwischen den Rechtsgütern Datenschutz und Meinungsfreiheit, die gerade angesichts der aktuellen Diskussionen über Fakenews und Hatespeach dringend erforderlich wären. Diese schwierige Materie will der Bund offenbar den Ländern überlassen – mit ungewissem Ausgang.

… auf reduziertem Datenschutzniveau

Die Frage drängt sich auf: Warum das ganze? Die DSGVO wird ab Mai 2018 als direkt in den Mitgliedstaaten anwendbares Recht gelten und der deutsche Gesetzgeber hätte sich mit einer schlanken Regelung begnügen können, die sich auf die wesentlichen Dinge – etwa die Ausgestaltung der Aufsichtsbefugnisse der Datenschutzbehörden, die Benennung betrieblicher Datenschutzbeauftragter, den Rechtsschutz der Betroffenen und das Füllen der expliziten Regelungsspielräume etwa bei Beschäftigten-, Gesundheits- und Forschungsdaten. Warum also so kompliziert und wortreich, wo es doch einfacher ginge?

Die Antwort erschließt sich erst auf den zweiten Blick: Viele der Regelungen senken das Datenschutzniveau gegenüber der DSGVO ab. So werden die Rechte auf Information, Auskunft und Löschung personenbezogener Daten eingeschränkt. Auf der anderen Seite werden insbesondere den Behörden zusätzliche Befugnisse eingeräumt: Sie dürfen mehr Daten erheben, auswerten und übermitteln als in der DSGVO vorgesehen. Last but not least: Auch die Videoüberwachung soll ausgeweitet werden, wobei im Zweifel die Rechte der Betroffenen zurückzustehen haben.

Fazit

Die Bundesregierung bemüht sich also nach Kräften, die Legende vom „hohen deutschen Datenschutzniveau“ zu entkräften. Dies ist insbesondere deshalb fatal, weil sie zugleich auch einen der größten europapolitischen Erfolge – an dem übrigens auch der neue SPD-Kanzlerkandidat Martin Schulz in seiner Funktion als Präsident des Europäischen Parlaments maßgeblich mitgewirkt hat -, die EU-Datenschutzreform konterkariert. Der deutsche Bundestag und der Bundesrat sollten dieses für die Zukunft der Informationsgesellschaft zentrale Vorhaben nicht durchwinken, sonderm kritisch überprüfen und korrigieren.

Wird Deutschland zum Schlusslicht beim Europäischen Datenschutz?

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – zitiert als E-BDSG – an die Verbände versandt. Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird innerhalb der kurzen für das Anhörungsverfahren vorgesehenen Frist bis zum 7. Dezember zu dem Entwurf offiziell Stellung nehmen. Der vorliegende Beitrag ist insofern eine vorläufige Einschätzung, die allein vom Autor verantwortet wird.

Nachdem bereits Ende August ein Vorentwurf bekannt geworden war, der zu erheblicher Kritik Anlass gab (vgl. etwa meinen Blogpost), hat das BMI zwar einige der gröbsten handwerklichen Fehler abgemildert. Bereits eine erste Durchsicht des umfangreichen Gesetzentwurfs offenbart aber eine Reihe von inhaltlichen und formalen Schwachpunkten und Mängeln, von denen zu hoffen ist, dass sie im weiteren Gesetzgebungsverfahren (Ressortabstimmmung, Beratung im Deutschen Bundestag und im Bundesrat) ausgebessert und beseitigt werden.

Das E-BDSG weicht in verschiedenen Feldern von den Vorgaben der Datenschutzgrundverordnung (DSGVO) ab, und zwar nicht nur dort, in denen der europäische Gesetzgeber Raum für nationale Regelungen gelassen hat, etwa beim Schutz von Beschäftigtendaten oder bei den Vorschriften zu den betrieblichen Datenschutzbeauftragten.

In zentralen Punkten – insbesondere bei den Betroffenenrechten – werden die Vorgaben der DSGVO aufgeweicht mit dem Ergebnis, dass deutsche Bürgerinnen und Bürger zukünftig weniger Datenschutzrechte haben als die übrigen Europäer.

Schließlich ist zu fragen, ob auf diesem Wege Regelungen, mit denen die Bundesregierung bei den Verhandlungen der Datenschutzreform im Rat und im Europaparlament keine Mehrheiten gefunden hat, nun auf dem Umweg eines „Datenschutzanpassungsgesetzes“ doch noch realisiert werden sollen – zum Schaden Europas.

 

EU-weites „level playing field“?

Niemandem wäre damit gedient, wenn ab 25. Mai 2018, wenn die DSGVO wirksam wird – an die Stelle der 28 nationalen Datenschutzgesetze 28 neue, unterschiedliche „Ausführungsgesetze“ treten, wie es dem Ministerium offenbar vorschwebt: Mit verschiedenen Regelungen zur Datenerhebung, Speicherung und Verwendung, mit unterschiedlichen nationalen Vorgaben zu den Rechten auf Auskunft, Löschung und Widerspruch der Betroffenen, ergänzt um Sonderregelungen, die teils deutlich hinter dem EU-Recht zurückbleiben.

Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßigen wirksamen Datenschutz zu garantieren.

Große Unternehmen, die sich umfangreiche Rechtsabteilungen und teure Anwälte leisten können, werden auch in Zukunft mit einer solchen unübersichtlichen Situation umgehen können. Dies gilt aber nicht für kleinere und mittlere Unternehmen, die nicht über derartige Ressourcen verfügen. Neben den Bürgerinnen und Bürgern, deren Datenschutz ausgehöhlt wird, wären sie die Hauptleidtragenden des deutschen Sonderwegs.

 

Absenkung der Betroffenenrechte

Art. 23 DGSVO räumt den von der Datenverarbeitung betroffenen Personen ein Auskunftsrecht über die zu ihnen gespeicherten Daten ein. Nach Art. 14 DSGVO müssen Behörden und Unternehmen die Betroffenen informieren, wenn sie personenbezogene Daten verarbeiten.

Wenn es nach dem BMI geht, müssten davon abweichend gemäß § 32 i.V.m. § 31 E-BDSG öffentliche Stellen die Betroffenen nicht informieren bzw. ihnen keine Auskunft erteilen, wenn „die Information die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben“ gefährden oder „die Information die öffentliche Sicherheit oder  Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würden“. Eine solche Regelung überlässt es weitgehend den Behörden, welche Auskünfte gegeben werden, denn schließlich gibt es viele Gründe, weshalb die Informationsherausgabe die ordnungsgemäße Aufgabenerfüllung gefährden könnte. Unternehmen müssten keine Auskunft erteilen, wenn „die Information die Geschäftszwecke des Verantwortlichen erheblich gefährden würde“. Damit würden Geschäftsinteressen generell über den Schutz persönlicher Daten gestellt. Zudem müssten Unternehmen keine Auskunft erteilen, wenn „die zuständige öffentliche Stelle gegenüber dem Verantwortlichen (Unternehmen) festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.“ Auch diese Bestimmung lässt viel Interpretationsspielraum.

Nach Art. 17 DSGVO haben die betroffenen Person das Recht, von Behörden und Unternehmen die Löschung von zu Unrecht gespeicherten oder nicht mehr benötigten Daten zu verlangen. In Deutschland soll jedoch kein Recht auf Datenlöschung bestehen, „wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“ (§ 33 E-BDSG) Eine solche Vorschrift wäre geradezu eine Einladung an Unternehmen und staatliche Stellen, ihre Daten so zu speichern, dass eine Löschung nur unter größerem Aufwand möglich ist. Sie müssten die Daten selbst dann nicht löschen, wenn ihre Speicherung rechtswidrig war.

Gemäß Art. 21 DSGVO haben die Betroffenen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung im Interesse einer verantwortlichen Stelle (Behörde bzw. Unternehmen)  oder eines Dritten erfolgt und keine ausdrückliche gesetzliche Regelung die Datenverarbeitung erlaubt. Der Gesetzentwurf schränkt dieses Widerspruchsrecht erheblich ein (§ 34 E-BDSG).

Die für die Absenkung der Betroffenenrechte angeführten Begründungen, das geringere Datenschutzniveau liege im öffentlichen Interesse oder diene dem Schutz der Freiheitsrechte anderer Personen (Art. 23 DSGVO), ist selbst bei wohlwollender Auslegung der Datenschutzgrundverordnung abwegig. Die Absenkung des Datenschutzniveaus unter das EU-Level ist mit dem deutschen Grundrecht auf informationelle Selbstbestimmung und dem durch Art. 8 der EU-Grundrechtecharta garantierten Grundrecht auf Schutz personenbezogener Daten nicht zu vereinbaren. Das BMI bleibt jede Begründung schuldig, warum Geschäftsinteressen etwa von Auskunfteien oder Inkassounternehmen schwerer wiegen als die Datenschutzrechte der betroffenen Bürgerinnen und Bürger.

 

Fallbeispiele

Ein Kunde verlangt von seiner Bank aussagekräftige Informationen über das zur automatisierten Bewertung seiner Kreditwürdigkeit verwendete Scoring-Verfahren.

Europa: Die Bank erteilt diese Auskünfte, denn sie ist dazu gem. Art. 15 der Datenschutzgrundverordnung (DSGVO) verpflichtet.

Deutschland: Die Bank lehnt die Auskunft zu den Details des Bewertungsverfahrens ab, denn nach § 32 E-BDSG würden die erfragten Information die eigenen Geschäftszwecke „erheblich gefährden“; sie seien zudem Betriebs- und Geschäftsgeheimnisse des Unternehmens.

Die Besucherin eines Einkaufszentrums erkundigt sich nach dem Umfang und der genauen Speicherungsdauer der Videoaufnahmen der installierten Überwachungskameras.

Europa: Der Betreiber teilt ihr mit, wo die Kameras installiert sind und dass die Aufnahmen nach drei Tagen gelöscht werden. So sieht es die EU-Datenschutzverordnung vor.

Deutschland: Der Betreiber verweigert die erbetene Informationen mit der Begründung, die zuständige Behörde sehe darin eine Gefährdung der öffentlichen Sicherheit und Ordnung.

Ein Versicherungsnehmer verlangt von der Versicherung die Löschung unzulässig gespeicherter Gesundheitsdaten.

Europa: Nach Art. 17 der EU-Datenschutzverordnung hat er ein Recht dazu. Die Versicherung muss die Daten löschen.

Deutschland: Die Versicherung lehnt die Löschung der Daten ab. Gemäß § 33 E-BDSG müsse sie die Daten nicht löschen, denn „wegen der besonderen Art der Speicherung“ sei die Löschung nur mit unverhältnismäßig hohem Aufwand möglich.

 

Exzessive Videoüberwachung

Europa- und verfassungsrechtlich nicht akzeptabel ist auch der deutsche Sonderweg bei der Videoüberwachung: Künftig soll hier – nicht nur für öffentliche Stellen, sondern auch im privatwirtschaftlichen Bereich – die Maxime gelten: Sicherheit geht vor Datenschutz.

Damit soll ein entsprechendes Vorhaben der Bundesregierung fortgeschrieben werden, das auch nach derzeitiger Rechtslage verfassungsrechtlich problematisch ist (vgl. Stellungnahme der EAID zum „Videoüberwachungsverbesserungsgesetz“ v. 6. November 2016)  Die in der Datenschutzgrundverordnung vorgesehene Interessenabwägung müsste so einseitig zu Lasten der Grundrechte erfolgen – ein klarer Verstoß gegen Art. 8 EU-Grundrechtecharta.

 

Beschäftigtendaten

Im Hinblick auf den Beschäftigtendatenschutz begnügt sich das E-BDSG mit einem Minimalprogramm, indem es den alten § 32 BDSG unverändert übernimmt.

Erhebliche Zweifel sind angebracht, ob diese Vorschrift den Vorgaben aus Art. 88 Abs. 2 DSGVO entspricht. Eine solche nationale Regelung soll nämlich „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen.

Davon findet sich nichts im BMI-Entwurf, der deshalb erneut nicht die Erwartungen an einen dringend erforderlichen modernen Beschäftigtendatenschutz erfüllt. Dies ist besonders bedauerlich, weil im Zuge der Digitalisierung der Arbeitswelt hier klare Grenzen der Datenerfassung und -verwendung immer dringlicher werden.

 

Europarechtsbruch mit Ansage

Schließlich wiederholt der Entwurf an vielen Stellen die Vorgaben der Datenschutzgrundverordnung (DSGVO) und wandelt diese Bestimmungen teils in schwer nachvollziehbarer Weise ab. Damit verstößt der Entwurf gegen das europarechtliche Wiederholungsverbot bei direkt anwendbaren EU-Verordnungen, das Abweichungen des nationalen Rechts von EU-rechtlichen Vorgaben verhindern soll.

Als Randnote sei darauf hingewiesen, dass das neue BDSG am 25. Mai 2018 in Kraft treten soll, dem Datum des Wirksamwerdens der Datenschutzgrundverordnung. Da das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ aber auch die Richtlinie für die Bereiche Justiz und Polizei umsetzen soll, deren Umsetzung bis zum 6. Mai 2018 zu erfolgen hat (Art. 63 Abs. 1 RL (EU) 2016/680), handelt es sich sozusagen um einen Europarechtsverstoß mit Ansage – ein ziemlich einmaliger Vorgang.

Stellungnahme der EAID zum Referentenentwurf eines „Videoüberwachungsverbesserungsgesetzes“

Die Europäische Akademie für Informationsfreiheit und Datenschutz bewertet den vom Bundesministerium des Innern (BMI) vorgelegten Gesetzentwurf zur Ausweitung der Videoüberwachung kritisch.

In der Stellungnahme äußert die EAID erhebliche Zweifel daran, ob die mit dem Gesetzentwurf beabsichtigte systematische Höhergewichtung der öffentlichen Sicherheit gegenüber dem Grundrecht auf informationelle Selbstbestimmung dem verfassungsrechtlichen Grundsatz der Verhältnismäßigkeit entspricht. Zweifelhaft sei schon, inwieweit die zusätzliche Videoüberwachung sich überhaupt zur Abwehr von Terroraschlägen eigne. Es sei nicht erkennbar, wie dadurch Anschläge wie in Ansbach und München im Sommer 2016 verhindert werden könnten, wie das BMI erwarte.

Hierzu führt die EAID aus: „Eine präventive Abschreckungswirkung dürfte von der Videoüberwachung und -aufzeichnung im Hinblick auf die terroristischen Anschläge jedenfalls nicht zu erwarten sein. Attentäter, die bewusst ihr eigenes Leben opfern („Selbstmordattentäter“) und die mit ihnen verbundenen Organisationen streben möglichst breite mediale Wirkung an. Videoaufzeichnungen und die Verbreitung der Aufnahmen sind insofern in ihrem Interesse. Im Hinblick auf die zur Begründung angeführten Anschläge in München und Ansbach sind keine Anhaltspunkte erkennbar, dass sich diese durch umfangreichere Videoüberwachung hätten verhindern, in ihren Auswirkungen begrenzen oder effektiver aufklären lassen.“

Bei der Videoüberwachung würden regelmäßig ganz überwiegend Personen erfasst, von denen keine Gefahr für die öffentliche Sicherheit ausgeht und die keine Straftaten begangen haben. „Eine dauerhafte, nicht anlassbezogene Videoüberwachung hat deshalb stets den Charakter einer Datenerhebung und -speicherung auf Vorrat“, die nach der Rechtsprechung des Bundesverfassungsgerichts und des Europäischen Gerichtshofs nur ausnahmsweise zulässig ist und jedenfalls einer nachprüfbaren und überzeugenden Begründung bedürfe, führt die EAID aus.

Selbst unter der Prämisse, dass sich die in der Gesetzesbegründung genannten Ziele durch vermehrte Videoüberwachung erreichen ließen, wäre deren verfassungsrechtliche Zulässigkeit auch im Hinblick auf die Vielzahl zusätzlicher Überwachungs- und Speicherungsbefugnisse zu beurteilen, die in den letzten Jahren eigeführt wurden oder die geplant sind, etwa die Vorratsdatenspeicherung von Telekommunikationsdaten, die umfassende Speicherung der Daten von Flugreisenden und das auf EU-Ebene geplante Ein- und Ausreiseregister. Eine solche, auch vom Bundesverfassungsgericht geforderte „Überwachungsgesamtrechnung“ verstärke die verfassungsrechtlichen Zweifel an dem Gesetzgebungsvorhaben.

ABDSG-Entwurf: Gesetz zur Aufweichung des Bundesdatenschutzgesetzes?

Der Blog „Netzpolitik“ hat heute den Entwurf eines vom Bundesinnenministerium (BMI) erarbeiteten „ABDSG“ veröffentlicht. Schon vor Wochen geisterten entsprechende Meldungen durch Blogs wirtschaftsnaher Anwaltskanzleien und Unternehmensberatungen (etwa dem Hogan-Lovells-Blog v. 24. August 2016), denen der Entwurf offenbar schon sehr frühzeitig bekannt war. Es ist gut, dass nun auch die interessierte Öffentlichkeit den Entwurf kennt.

ABDSG steht für „Allgemeines Bundesdatenschutzgesetz“. Es geht um die Anpassung des Datenschutzrechts des Bundes an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), die in knapp zwei Jahren in Kraft tritt.

Während der Verhandlungen zur DSGVO hatte das BMI immer wieder für die Möglichkeit geworben, den Mitgliedstaaten weitgehende Regelungsmöglichkeiten zu belassen. Zur Begründung hatten die jeweiligen Bundesinnenminister Friedrich (CSU)  und de Maizière (CDU) angeführt, ihnen ginge es darum, das „hohe deutsche Datenschutzniveau“ zu erhalten.

Nach der Lektüre des Gesetzentwurfs drängt sich allerdings der Eindruck auf, dem Bundesinnenministerium gehe es weder um eine sinnvolle Umsetzung der EU-Vorgaben noch um die Nutzung von Regelungsspielräumen zum Erhalt eines hohen deutschen Datenschutzniveaus, sondern vorrangig um dessen Absenkung.

Drei Haupttendenzen ziehen sich durch den 79-seitigen Referentenentwurf:

Staatliche Stellen erhalten mehr Befugnisse zur Verarbeitung personenbezogener Daten.

An Stelle spezifischer Vorgaben für die Erhebung, Speicherung, Änderung und Nutzung sollen Generalermächtigungen zur Verarbeitung treten. Spezifische Zweckbindungsregeln sollen durch biegsame Verwendungsregeln abgelöst werden, die den Vorgaben des Bundesverfassungsgerichts (und der DSGVO) Hohn sprechen. Insbesondere bei den Nachrichtendiensten sollen die Schwellen zur Erhebung von Daten weiter abgesenkt werden.

Die Betroffenenrechte und die Kontrollbefungnisse der BfDI werden eingeschränkt, wo immer es die EU-Vorgaben zulassen und teils sogar dort, wo es solche Spielräume nicht gibt.

Gerupft werden sollen Auskunfts-, Informations- und Widerspruchsrechte und den Anspruch auf Löschung der Daten. Auch die Kontrollbefugnisse der Bundesdatenschutzbeauftragten sollen eingeschränkt werden, insbesondere gegenüber dem Verfassungsschutz und dem Bundesnachrichtendienst. Sie soll sich bei Angelegenheiten, welche die Nachrichtendienste betreffen, auch nicht mehr an den Bundestag oder an die parlamentarischen Kontrollgremien wenden dürfen.

Für die Datenverarbeitung durch die Wirtschaft erfindet das BMI neue Ausnahmen

Die Zweckbindung soll auch hier aufgeweicht werden. Zugleich sollen Unternehmen von lästigen Auskunfts- und Löschungspfichten entbunden werden, wenn damit ein „unverhältnismäßiger Aufwand“ verbunden wäre.

Sicher, es gibt auch einige Lichtblicke, aber diese muss man mit der Lupe suchen. So soll das bewährte deutsche System der betrieblichen Datenschutzbeauftragten erhalten bleiben. Zudem gesteht das BMI der Bundesdatenschutzbeauftragten einige neue Stellen zu. Das wars dann aber.

Vor diesem Hintergrund ist es zu begrüßen, dass – wie Netzpolitik berichtet – das Bundesjustizministerium aus verfassungsrechtlichen und handwerklichen Gründen die Notbremse gezogen und die offizielle Versendung des ABDSG-Referentenentwurfs gestoppt hat.

Um es auf den Punkt zu bringen: Ein solches Datenschutzabsenkungsgesetz brauchen wir überhaupt nicht!

Peter Schaar