Tag Archives: Beschäftigtendatenschutz

Wird Deutschland zum Schlusslicht beim Europäischen Datenschutz?

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – zitiert als E-BDSG – an die Verbände versandt. Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird innerhalb der kurzen für das Anhörungsverfahren vorgesehenen Frist bis zum 7. Dezember zu dem Entwurf offiziell Stellung nehmen. Der vorliegende Beitrag ist insofern eine vorläufige Einschätzung, die allein vom Autor verantwortet wird.

Nachdem bereits Ende August ein Vorentwurf bekannt geworden war, der zu erheblicher Kritik Anlass gab (vgl. etwa meinen Blogpost), hat das BMI zwar einige der gröbsten handwerklichen Fehler abgemildert. Bereits eine erste Durchsicht des umfangreichen Gesetzentwurfs offenbart aber eine Reihe von inhaltlichen und formalen Schwachpunkten und Mängeln, von denen zu hoffen ist, dass sie im weiteren Gesetzgebungsverfahren (Ressortabstimmmung, Beratung im Deutschen Bundestag und im Bundesrat) ausgebessert und beseitigt werden.

Das E-BDSG weicht in verschiedenen Feldern von den Vorgaben der Datenschutzgrundverordnung (DSGVO) ab, und zwar nicht nur dort, in denen der europäische Gesetzgeber Raum für nationale Regelungen gelassen hat, etwa beim Schutz von Beschäftigtendaten oder bei den Vorschriften zu den betrieblichen Datenschutzbeauftragten.

In zentralen Punkten – insbesondere bei den Betroffenenrechten – werden die Vorgaben der DSGVO aufgeweicht mit dem Ergebnis, dass deutsche Bürgerinnen und Bürger zukünftig weniger Datenschutzrechte haben als die übrigen Europäer.

Schließlich ist zu fragen, ob auf diesem Wege Regelungen, mit denen die Bundesregierung bei den Verhandlungen der Datenschutzreform im Rat und im Europaparlament keine Mehrheiten gefunden hat, nun auf dem Umweg eines „Datenschutzanpassungsgesetzes“ doch noch realisiert werden sollen – zum Schaden Europas.

 

EU-weites „level playing field“?

Niemandem wäre damit gedient, wenn ab 25. Mai 2018, wenn die DSGVO wirksam wird – an die Stelle der 28 nationalen Datenschutzgesetze 28 neue, unterschiedliche „Ausführungsgesetze“ treten, wie es dem Ministerium offenbar vorschwebt: Mit verschiedenen Regelungen zur Datenerhebung, Speicherung und Verwendung, mit unterschiedlichen nationalen Vorgaben zu den Rechten auf Auskunft, Löschung und Widerspruch der Betroffenen, ergänzt um Sonderregelungen, die teils deutlich hinter dem EU-Recht zurückbleiben.

Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßigen wirksamen Datenschutz zu garantieren.

Große Unternehmen, die sich umfangreiche Rechtsabteilungen und teure Anwälte leisten können, werden auch in Zukunft mit einer solchen unübersichtlichen Situation umgehen können. Dies gilt aber nicht für kleinere und mittlere Unternehmen, die nicht über derartige Ressourcen verfügen. Neben den Bürgerinnen und Bürgern, deren Datenschutz ausgehöhlt wird, wären sie die Hauptleidtragenden des deutschen Sonderwegs.

 

Absenkung der Betroffenenrechte

Art. 23 DGSVO räumt den von der Datenverarbeitung betroffenen Personen ein Auskunftsrecht über die zu ihnen gespeicherten Daten ein. Nach Art. 14 DSGVO müssen Behörden und Unternehmen die Betroffenen informieren, wenn sie personenbezogene Daten verarbeiten.

Wenn es nach dem BMI geht, müssten davon abweichend gemäß § 32 i.V.m. § 31 E-BDSG öffentliche Stellen die Betroffenen nicht informieren bzw. ihnen keine Auskunft erteilen, wenn „die Information die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben“ gefährden oder „die Information die öffentliche Sicherheit oder  Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würden“. Eine solche Regelung überlässt es weitgehend den Behörden, welche Auskünfte gegeben werden, denn schließlich gibt es viele Gründe, weshalb die Informationsherausgabe die ordnungsgemäße Aufgabenerfüllung gefährden könnte. Unternehmen müssten keine Auskunft erteilen, wenn „die Information die Geschäftszwecke des Verantwortlichen erheblich gefährden würde“. Damit würden Geschäftsinteressen generell über den Schutz persönlicher Daten gestellt. Zudem müssten Unternehmen keine Auskunft erteilen, wenn „die zuständige öffentliche Stelle gegenüber dem Verantwortlichen (Unternehmen) festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.“ Auch diese Bestimmung lässt viel Interpretationsspielraum.

Nach Art. 17 DSGVO haben die betroffenen Person das Recht, von Behörden und Unternehmen die Löschung von zu Unrecht gespeicherten oder nicht mehr benötigten Daten zu verlangen. In Deutschland soll jedoch kein Recht auf Datenlöschung bestehen, „wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“ (§ 33 E-BDSG) Eine solche Vorschrift wäre geradezu eine Einladung an Unternehmen und staatliche Stellen, ihre Daten so zu speichern, dass eine Löschung nur unter größerem Aufwand möglich ist. Sie müssten die Daten selbst dann nicht löschen, wenn ihre Speicherung rechtswidrig war.

Gemäß Art. 21 DSGVO haben die Betroffenen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung im Interesse einer verantwortlichen Stelle (Behörde bzw. Unternehmen)  oder eines Dritten erfolgt und keine ausdrückliche gesetzliche Regelung die Datenverarbeitung erlaubt. Der Gesetzentwurf schränkt dieses Widerspruchsrecht erheblich ein (§ 34 E-BDSG).

Die für die Absenkung der Betroffenenrechte angeführten Begründungen, das geringere Datenschutzniveau liege im öffentlichen Interesse oder diene dem Schutz der Freiheitsrechte anderer Personen (Art. 23 DSGVO), ist selbst bei wohlwollender Auslegung der Datenschutzgrundverordnung abwegig. Die Absenkung des Datenschutzniveaus unter das EU-Level ist mit dem deutschen Grundrecht auf informationelle Selbstbestimmung und dem durch Art. 8 der EU-Grundrechtecharta garantierten Grundrecht auf Schutz personenbezogener Daten nicht zu vereinbaren. Das BMI bleibt jede Begründung schuldig, warum Geschäftsinteressen etwa von Auskunfteien oder Inkassounternehmen schwerer wiegen als die Datenschutzrechte der betroffenen Bürgerinnen und Bürger.

 

Fallbeispiele

Ein Kunde verlangt von seiner Bank aussagekräftige Informationen über das zur automatisierten Bewertung seiner Kreditwürdigkeit verwendete Scoring-Verfahren.

Europa: Die Bank erteilt diese Auskünfte, denn sie ist dazu gem. Art. 15 der Datenschutzgrundverordnung (DSGVO) verpflichtet.

Deutschland: Die Bank lehnt die Auskunft zu den Details des Bewertungsverfahrens ab, denn nach § 32 E-BDSG würden die erfragten Information die eigenen Geschäftszwecke „erheblich gefährden“; sie seien zudem Betriebs- und Geschäftsgeheimnisse des Unternehmens.

Die Besucherin eines Einkaufszentrums erkundigt sich nach dem Umfang und der genauen Speicherungsdauer der Videoaufnahmen der installierten Überwachungskameras.

Europa: Der Betreiber teilt ihr mit, wo die Kameras installiert sind und dass die Aufnahmen nach drei Tagen gelöscht werden. So sieht es die EU-Datenschutzverordnung vor.

Deutschland: Der Betreiber verweigert die erbetene Informationen mit der Begründung, die zuständige Behörde sehe darin eine Gefährdung der öffentlichen Sicherheit und Ordnung.

Ein Versicherungsnehmer verlangt von der Versicherung die Löschung unzulässig gespeicherter Gesundheitsdaten.

Europa: Nach Art. 17 der EU-Datenschutzverordnung hat er ein Recht dazu. Die Versicherung muss die Daten löschen.

Deutschland: Die Versicherung lehnt die Löschung der Daten ab. Gemäß § 33 E-BDSG müsse sie die Daten nicht löschen, denn „wegen der besonderen Art der Speicherung“ sei die Löschung nur mit unverhältnismäßig hohem Aufwand möglich.

 

Exzessive Videoüberwachung

Europa- und verfassungsrechtlich nicht akzeptabel ist auch der deutsche Sonderweg bei der Videoüberwachung: Künftig soll hier – nicht nur für öffentliche Stellen, sondern auch im privatwirtschaftlichen Bereich – die Maxime gelten: Sicherheit geht vor Datenschutz.

Damit soll ein entsprechendes Vorhaben der Bundesregierung fortgeschrieben werden, das auch nach derzeitiger Rechtslage verfassungsrechtlich problematisch ist (vgl. Stellungnahme der EAID zum „Videoüberwachungsverbesserungsgesetz“ v. 6. November 2016)  Die in der Datenschutzgrundverordnung vorgesehene Interessenabwägung müsste so einseitig zu Lasten der Grundrechte erfolgen – ein klarer Verstoß gegen Art. 8 EU-Grundrechtecharta.

 

Beschäftigtendaten

Im Hinblick auf den Beschäftigtendatenschutz begnügt sich das E-BDSG mit einem Minimalprogramm, indem es den alten § 32 BDSG unverändert übernimmt.

Erhebliche Zweifel sind angebracht, ob diese Vorschrift den Vorgaben aus Art. 88 Abs. 2 DSGVO entspricht. Eine solche nationale Regelung soll nämlich „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen.

Davon findet sich nichts im BMI-Entwurf, der deshalb erneut nicht die Erwartungen an einen dringend erforderlichen modernen Beschäftigtendatenschutz erfüllt. Dies ist besonders bedauerlich, weil im Zuge der Digitalisierung der Arbeitswelt hier klare Grenzen der Datenerfassung und -verwendung immer dringlicher werden.

 

Europarechtsbruch mit Ansage

Schließlich wiederholt der Entwurf an vielen Stellen die Vorgaben der Datenschutzgrundverordnung (DSGVO) und wandelt diese Bestimmungen teils in schwer nachvollziehbarer Weise ab. Damit verstößt der Entwurf gegen das europarechtliche Wiederholungsverbot bei direkt anwendbaren EU-Verordnungen, das Abweichungen des nationalen Rechts von EU-rechtlichen Vorgaben verhindern soll.

Als Randnote sei darauf hingewiesen, dass das neue BDSG am 25. Mai 2018 in Kraft treten soll, dem Datum des Wirksamwerdens der Datenschutzgrundverordnung. Da das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ aber auch die Richtlinie für die Bereiche Justiz und Polizei umsetzen soll, deren Umsetzung bis zum 6. Mai 2018 zu erfolgen hat (Art. 63 Abs. 1 RL (EU) 2016/680), handelt es sich sozusagen um einen Europarechtsverstoß mit Ansage – ein ziemlich einmaliger Vorgang.

Europäischer Datenschutz: Ende gut, alles gut?

Nachdem das EU-Reformpaket zum Datenschutz die letzten Hürden genommen hat, müsste man eigentlich erleichtert aufatmen. Die Datenschutz-Grundverordnung hat den Trilog von Rat, Kommission und Parlament überraschend gut überstanden. Auch die überzeugenden Voten im Europäischen Parlament und im Rat waren ein deutliches Signal für die Handlungsfähigkeit Europas beim Datenschutz – eine Handlungsfähigkeit, die man derzeit in anderen Bereichen, etwa der Flüchtlings- und Finanzpolitik, schmerzlich vermisst.

Wesentliche Elemente der von der Kommission angestoßenen Reform, die während des mehr als vierjährigen Verhandlungsmarathons immer wieder in Frage gestellt worden waren, blieben erhalten oder wurden sogar gegenüber dem Entwurfstext stärker akzentuiert. Dies gilt etwa für die Ausdehnung des Anwendungsbereichs auf Anbieter elektronischer Dienste mit Sitz in einem Drittland („Marktortprinzip“, Art. 3 Abs. 3 DS-GVO) oder die sehr deutliche Verschärfung der Sanktionen bei Datenschutzverstößen (Art. 83). Auch die Forderungen nach einer radikalen Aufweichung der Zweckbindung personenbezogener Daten blieben im Ergebnis erfolglos ebenso wie der Versuch, den Anwendungsbereich der europäischen Vorschriften drastisch einzuschränken.

Die Europäische Union hat also die (rechtlichen) Herausforderungen an das Datenschutzrecht angenommen und Konflikte zunächst durchgestanden. Die EU-weite Harmonisierung des Datenschutzrechts erfolgt auf verhältnismäßig hohem Level und schreibt nicht bloß einen kleinsten gemeinsamen Nenner fest.

Durchaus ambivalent ist es hingegen, dass der Verordnungstext den Mitgliedstaaten erhebliche Gestaltungsmöglichkeiten belässt. Dies eröffnet den nationalen Gesetzgebern zum einen die Chance, in bestimmten Bereichen über die in der Verordnung europaweit festgeschriebenen Mindeststandards hinauszugehen bzw. diese zu konkretisieren. Dies ist der Fall etwa beim Schutz von Gesundheitsdaten (Art. 9 Abs. 4 lit. a), beim Beschäftigtendatenschutz (Art. 88) und dies gilt auch für die Regelungen zur obligatorischen Benennung betrieblicher Datenschutzbeauftragter (Art. 37). Andererseits ist zu befürchten, dass die nationalstaatlichen Regelungsspielräume auch dazu herhalten müssen, bestehende Datenschutz-Schwachstellen beizubehalten  – etwa das deutsche Meldegesetz, das eine generelle Meldepflicht mit sehr freizügigen Übermittlungsmöglichkeiten ohne angemessene Zweckbindung kombiniert. Auch in anderen Mitgliedstaaten gibt es solche fragwürdigen Bestimmungen, die so eine zweite Chance bekommen haben.

Die Konferenz der Datenschutzbeauftragte des Bundes und der Länder hat jüngst gefordert, die von der Datenschutz-Grundverordnung eingeräumten nationalen Spielräume im Sinne eines möglichst hohen Datenschutzniveaus zu nutzen. Wem an einem starken deutschen Datenschutz gelegen ist, der kann diese Position nur unterstützen. Manche Äußerungen von Regierungsvertretern, etwa von Bundeswirtschaftsminister Gabriel und Bundesverkehrsminister Dobrint gegen die angeblich weltfremde und wirtschaftsfeindliche Maxime der „Datensparsamkeit“, lassen aber befürchten, dass in dieser Frage noch ein hartes Ringen bevorsteht.

Neues deutsches Zwei-Phasen-Modell?

Das Bundesinnenministerium hat inzwischen angekündigt, die erforderlichen Änderungen des deutschen Rechts in einem Zwei-Phasen-Modell zu realisieren. In einem ersten Schritt sollen die unbedingt erforderlichen Gesetzesänderungen erfolgen; in einem zweiten Schritt sollen dann weitere Anpassungen stattfinden. Zu der ersten Phase soll die Ausgestaltung der Befugnisse der Datenschutzaufsichtsbehörden und die Einpassung ihrer Sanktionsbefugnisse ins deutsche Rechtssystem gehören (Art. 51-59), auch im Hinblick auf den Rechtsschutz der Betroffenen und die gerichtliche Überprüfung der Aufsichtsmaßnahmen. Unbedingt erforderlich ist es auch, die Zusammenarbeit der deutschen Datenschutzbehörden und die Außenvertretung des deutschen Datenschutzes im neu einzurichtenden Europäischen Datenschutzausschuss zu klären. Die Gesetzgebungskompetenz für derartige Zuständigkeitsfragen liegt jedoch nicht ausschließlich beim Bund. Vielmehr muss hier eine gemeinsame Rechtsvorschrift von Bund und Ländern erlassen werden, etwa in Form eines noch auszuhandelnden Staatsvertrags. Schließlich gehört noch die Ausgestaltung des Verhältnisses von Datenschutz einerseits und der Freiheit der Meinungsäußerung und Informationsfreiheit andererseits (Art. 85 DS-GVO) zum Pflichtprogramm.

Das vom Bundesinnenministerium angekündigte Phasenmodell löst bei mir negative Assoziationen aus, erinnert es doch an die im Jahr 2000 ebenfalls in zwei Phasen angekündigte grundlegende Modernisierung des deutschen Datenschutzrechts: Nahezu sämtliche angekündigten, etwas ambitionierten Änderungen bleiben dabei auf der Strecke, denn die versprochene zweite Phase hat es nie gegeben. Auch damals saßen die Erfinder im Bundesinnenministerium.

Kompetenzfragen als Machtfragen

Bekanntlich gehören Kompetenzfragen zu den am schwierigsten zu lösenden Problemen. Anders als die bisherige Artikel-29-Gruppe wird der Europäische Datenschutzausschuss (Art. 60-67) im Falle eines Dissenses zwischen Datenschutzbehörden entscheiden. Dagegen bleibt es den Mitgliedstaaten überlassen, die jeweiligen Zuständigkeiten und die Außenvertretung der Datenschutzbehörden abzugrenzen, wenn – wie in Deutschland – mehr als eine Datenschutzbehörde eingerichtet wurde.

Eine Weile hatte man den Eindruck, Datenschutz sei aus Sicht der Politik ein gestriges Thema, von dem man sich am besten fern hält. Seit einiger Zeit hat sich der Wind aber gedreht: Niemand kann heute ernsthaft bestreiten, dass der Datenschutz eng mit der Digitalisierung der gesamten Gesellschaft verbunden ist und dass mit der datenschutzrechtlichen Kompetenzverteilung auch darüber entschieden wird, wer die Weichen in die Informationsgesellschaft stellt.

Das Bundesinnenministerium scheint davon auszugehen, dass die allermeisten datenschutzrechtlichen Spezialgesetze zunächst nicht geändert werden müssen. Ich halte diese Position für risikoreich: Zwar ist es richtig, dass die Grundverordnung für bestimmte Felder, insbesondere im Bereich der staatlichen Datenverarbeitung, weiterhin Regelungsspielräume enthält. Anderseits muss auch in diesen Bereichen die Einhaltung der europäischen Standards gewährleistet sein. Dies gilt zum Beispiel für das Sozialrecht: So sind im zehnten Buch des Sozialgesetzbuchs (SGB X) die derzeitigen Regelungen des Bundesdatenschutzgesetzes praktisch gedoppelt – etwa im Hinblick auf die Anforderungen an die Auftragsdatenverarbeitung. Es ist kaum vorstellbar, dass diese unverändert Bestand haben können, ohne bei den Rechtsanwendern zu unlösbaren Konflikten zu führen. Vergleichbare Konstellationen gibt es auch in vielen anderen Bereichen.

Betrieblichen Datenschutz und Beschäftigtendatenschutz nicht auf lange Bank schieben

Besonders intensiv waren die Diskussionen vor der Verabschiedung der Datenschutzgrundverordnung über die betrieblichen Datenschutzbeauftragten und über den Beschäftigtendatenschutz. In beiden Bereichen haben die Mitgliedsstaaten weiterhin Gestaltungsspielraum.

Bei den betrieblichen Datenschutzbeauftragten hatte Bundesregierung in letzter Sekunde im Trilog eine nationale Öffnungsklausel (Art. 37 Abs. 4) durchgesetzt, die das derzeitige deutsche Modell großenteils bewahren könnte – vorausgesetzt, eine entsprechende deutsche Bestimmung wird rechtzeitig – vor dem Inkrafttreten der DS-GVO in zwei Jahren – beschlossen. Nimmt man die Absicht des Bundesministeriums beim Wort, zunächst nur das „Unabweisbare“ gesetzlich neu zu regeln, dann würden die Regeln zum betrieblichen Datenschutzbeauftragten nicht dazu gehören.

Beim Datenschutz im Beschäftigungsverhältnis (Art. 88) stellt sich nicht nur die Frage nach einem deutschen Beschäftigten-Datenschutzgesetz. Auch die Zukunft der bisherigen Regelung des § 32 BDSG zum Umgang mit Beschäftigtendaten steht zur Disposition. Schon sind aus der Wirtschaft Warnungen zu vernehmen, hier einen „deutschen Sonderweg“ einzuschlagen. Es ist leider zu befürchten, dass derartige Meinungsäußerungen in der Politik ohne Wirkung bleiben werden. Angeblich soll es zwischen den Regierungsfraktionen der CDU/CSU und der SPD schon verabredet zu sein, in dieser Legislaturperiode auf ein Beschäftigtendatenschutzgesetz zu verzichten – ein klarer Bruch der Zusagen aus dem Koalitionsvertrag.

Anmerkung: Dieser Beitrag ist für das demnächst erscheinende Schwerpunktheft der Datenschutz-Nachrichten (DANA) vorgesehen, das sich mit der EU-Datenschutzreform beschäftigt.