Tag Archives: Bundesdatenschutzgesetz

EU-Datenschutz: Nach der Reform beginnt die Arbeit

(Anm. d. Verf.: Die Ergebnisse des Trilogs und Synopse der Positionen der EU-Gremien  sind abrufbar unter  http://www.emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/LIBE%282015%291217_1/sitt-1739884)

Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zukünftig ein gemeinsames Datenschutzgesetz, die „Datenschutzgrundverordnung“ (DSGVO). Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“ – Art. 3 Abs. 2)). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen (Art. 79) – das lässt sich nicht mehr aus der Portokasse bezahlen. Schließlich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschwächen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweckänderungen an sehr enge Bedingungen knüpfen.

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausfällt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen können, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erklärt werden muss – lediglich bei den „besonderen Kategorien personenbezogener Daten“ (Art. 9) – etwa über die Gesundheit – wird eine ausdrückliche Einwilligung gefordert, und nicht bloß eine „zweifelsfreie“: (Definition in Art. 2: „’the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;“).

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datenschützer zurück, denn die entsprechenden Vorgaben beschränken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen führen.

Grundsätzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Befürchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbehörden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.

Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO übernommen. Der beschlossene Text enthält aber eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): „In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. …“

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie) – demnächst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europäischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilität anderer europarechtlicher Vorschriften mit der Grundverordnung überprüft werden. Dies gilt insbesondere für die Datenschutzrichtlinie zur elektronischen Kommunikation („ePrivacy-Richtlinie“). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere für Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele müssen überarbeitet werden, manche müssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Beschäftigtendatenschutz zu. Art. 82 DSGVO enthält die Möglichkeit, den Umgang mit Beschäftigtendaten detailliert zu regeln. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“). Bund und Länder müssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden müssen. Schließlich müssen Unternehmen und öffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse müssen initiiert, bestehende Verfahren müssen geändert werden …

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktmäßig mit den Auswirkungen der neuen EU-Datenschutzregelungen beschäftigen. Für 2016 planen wir Workshops für Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.

Mit freundlichen Grüßen, Peter Schaar

Hansjürgen Garstka zum Regierungsentwurf zur Stärkung der Unabhängigkeit der BfDI

Prof. Dr. Dr. Hansjürgen Garstka, Ehrenvorsitzender der Europäischen Akademie für die Informationsfreiheit und den Datenschutz (EAID), hat bei der mündlichen Anhörung des Innenausschusses des Deutschen Bundestags  1. Dezember 2014 zum Entwurf der Bundesregierung eines Zweiten Gesetzes zur Änderung des Bundesdatenschutzgesetzes – Stärkung der Unabhängigkeit der Datenschutzaufsicht im Bund durch Errichtung einer obersten Bundesbehörde zur Stärkung der Unabhängigkeit der/des Bundesbeauftragten
die folgende mündliche Stellungnahme abgegeben (es gilt das gesprochene Wort):

„Im Hinblick auf die Ihnen vorliegenden Papiere, insbesondere desjenigen von Herrn Prof. Roßnagel, dem ich mich weitgehend anschließe, möchte ich mich beschränken auf wenige Punkte, die sich auch auf die Praxis in meiner Zeit als Berliner Datenschutzbeauftragter zwischen 1989 und 2005 beziehen.

Der vorliegende Gesetzesentwurf setzt Vorgaben der Europäischen Datenschutzrichtlinie sowie der Rechtsprechung des Europäischen Gerichtshofs um. Zur Gewährleistung der „völligen Unabhängigkeit“ der „Kontrollstelle für den Schutz von Personen bei der Verarbeitung personenbezogener Daten“ (so der Text der Richtlinie, die Genderfrage vermeidend) werden Rechtsaufsicht durch die Bundesregierung (§ 22 Abs. 4 S. 4 BDSG) sowie Dienstaufsicht  durch den Bundesminister des Innern (§ 22 Abs. 5 S. 2) abgeschafft. Letzteres ist übrigens auch deswegen sachdienlich, weil das Instrument der Dienstaufsicht nach Erfahrungen von Datenschutzbeauftragten zunehmend als Versuch zur Revision missliebiger Entscheidungen genutzt wird.

Dies ist zweifellos zu begrüßen, wenn es auch erst der genannten Rechtsprechung des EuGH bedurfte, diesen seit Inkrafttreten der Europäischen Richtlinie im Jahr 1995 erforderlichen und vielfach angemahnten Schritt zu vollziehen.

Gleichwohl lässt der Entwurf die letzten Konsequenzen zur Unabhängigstellung der Datenschutzkontrolle vermissen. Vielmehr sind noch immer Aspekte zu erkennen, einerseits der Exekutive einen Rest an Einflussnahme zu bewahren, andererseits der stärkeren Anbindung an die Legislative, also an dieses Haus, entgegenzuwirken.

Im Einzelnen:

Die Bundesbeauftragte (angesichts der derzeitigen personellen Konstellation beschränke ich mich auf die feminine Form auch im Hinblick auf meine kurze Redezeit) wird als Oberste Bundesbehörde eingerichtet (im Übrigen eine Organisationsform, die der Berliner Landesgesetzgeber als erster von vornherein gewählt hat).

Der Bundestag wählt, nach wie vor die Bundesbeauftragte auf Vorschlag der Bundesregierung (§ 22 Abs. 1 S. 1). Auch wenn davon auszugehen ist, dass es dabei im Vorfeld zu einem Benehmen zwischen Bundesregierung und Bundestag kommen wird, bleibt es gleichwohl dabei, dass die zu kontrollierende Institution – die Bundesexekutive – sich ihren Kontrolleur selbst aussucht. Angemessener und der gebotenen Unabhängigkeit gemäßer wäre es, wenn, wie gemäß dem Berliner Datenschutzgesetz praktiziert (wenn auch nicht ausdrücklich formuliert), die Kandidatin aus der Mitte des Bundestages benannt würde und dies im BDSG seinen Niederschlag fände. Dass die Wahl ohne Aussprache stattfinden soll, nimmt dem Parlament zudem die Möglichkeit, der Vorgabe der Bundesregierung  kritische Einwände entgegenzubringen.
Auch die Eidesleistung vor dem Bundespräsidenten (statt vor dem Bundestagspräsidenten) bringt das gewollte Heranrücken an die Exekutive zum Ausdruck.

Die vom EuGH einforderte Unabhängigkeit in haushalts- und dienstrechtlichen Fragen kommt zwar in der Stellung als Oberste Bundesbehörde zum Ausdruck. Gleichwohl ist der unmittelbare Zugang der Bundesbeauftragten zum Bundestag als Budgetherr nicht gewährleistet, da mangels Änderung der Bundeshaushaltsordnung eine Vorlage der eigenen Haushaltsanschläge beim Parlament bei Einwänden der Finanzverwaltung (wie z.B. beim Bundesrechnungshof) nicht vorgesehen wird. In Berlin, wo dies seit Beginn an anders geregelt ist, hat es mit der unmittelbaren Haushaltsbefassung des Parlaments nie Probleme gegeben.

Ein nicht unwesentlicher Aspekt der organisatorischen Unabhängigkeit der Bundesbeauftragten ist die Frage des Dienstsitzes. Es ist nicht ersichtlich, wieso dies bereits im Gesetz geregelt werden muss. Zwar ist dies im Bundesrechnungshofgesetz ebenfalls derart geschehen, dass Bonn als Dienstsitz festgelegt wird. Allerdings sind die Aufgaben der Bundesbeauftragten insbesondere im Hinblick auf die Gesetzgebung, erheblich mehr vom Kontakt zu Bundestag und Bundesregierung geprägt. Dies gilt auch für die Beratungstätigkeit gegenüber weitgehend in Berlin angesiedelten Institutionen. Wenn überhaupt läge eine Festlegung für Berlin nahe, unbeschadet natürlich der Möglichkeit, Außenstellen einzurichten

Bei der Regelung zur Leitenden Beamtin besteht ein Widerspruch zwischen Gesetzestext und -begründung: Nach der Gesetzesbegründung soll die Bundesbeauftragte zwar ihre leitende Beamtin nicht selbst ernennen können, das Gesetz besagt aber nicht, wer dies ansonsten tut; von einer „gesetzlichen Vertretungsregelung“  kann daher keine Rede sein. Vielmehr ergibt sich nach dem Gesetzestext die Befugnis der Beauftragten, als Oberste Bundesbehörde ihre Stellvertreterin selbst zu benennen: Zudem sollte eine funktional geteilte Stellvertreterinnenregelung nicht ausgeschlossen werden (und war auch viele Jahre Praxis beim Berliner Datenschutzbeauftragten).

Eine wesentliche materielle Einschränkung der gebotenen Unabhängigkeit der Bundesbeauftragten sehe ich in den Regelungen zur Verschwiegenheitspflicht und dem Recht auf bzw. der Pflicht zur Zeugenaussage.

Zwar ist entsprechend des Entwurfs geboten, der Bundesbeauftragten ein eigenes pflichtgemäßes Ermessen einzuräumen, ob und inwieweit sie vor Gericht oder außergerichtlich aussagt oder Erklärungen abgibt (§ 23 Abs. 5 S. 3). Dass allerdings ihre Nachfolgerin ihrer Genehmigung bedarf, von diesem Recht Gebrauch zu machen, macht die Unabhängigkeit der Vorgängerin vom Urteil der Nachfolgerin abhängig. Dies scheint mir mit dem Ziel nicht vereinbar, die jeweiligen Amtsträgerinnen von Einflüssen von welcher Seite auch immer freizuhalten. Besonders heikel ist, dass diese Bestimmung auch die einfache Abgabe von Erklärungen umfasst. Da die Nachfolgerin nicht wissen kann, welche Informationen die Vorgängerin als „keiner Geheimhaltung bedürftig“ einstuft, würde diese Bestimmung zu einem permanenten Redevorbehalt der Vorgängerin führen.

Die vorgesehenen gesetzlichen Einschränkungen der Berechtigung zur Zeugenaussage (§ 23 Abs. 6) sind teils redundant und überflüssig, teils der unabhängigen Stellung  der Beauftragten kontrovers:

Die Beauftragte soll ihr pflichtgemäßes Ermessen ausüben: Das bedeutet (zumindest !) die Berücksichtigung des Staatswohles. Einer Erwähnung dessen bedarf es nicht.

Der Ausschlussgrund, eine Zeugenaussage der Beauftragten könnte Grundrechtsverletzungen zur Folge haben, ist abwegig: Diese Bestimmung impliziert eine mögliche Grundrechtsverletzung durch die Amtsinhaberin. Ich kann mir keinen anderen Anwendungsfall vorstellen als denjenigen, dass sich Unternehmen wie Facebook oder Google vor Gericht auf ihr Grundrecht auf Eigentum oder Berufsfreiheit berufen und damit die Aussage der Bundesbeauftragten über ihre Prüfergebnisse blockieren. Eine solche Mutmaßung sollte in das  Gesetz keinen Eingang finden.  Die Bundesbeauftragte wird in der Lage sein, in einer solchen Situation zu einer angemessenen Entscheidung zu kommen.

Zu der Einschränkung des Kernbereichs exekutiver Eigenverantwortung hat Herr Roßnagel hinreichende Darlegungen vorgelegt, denen ich mich voll anschließe.

Im Hinblick auf die  besondere Verantwortlichkeit dieses Hauses für die Wahrung der informationellen Selbstbestimmung möchte ich noch einen im Gesetzentwurf nicht enthaltenen Punkt eingehen:

Nach § 26 Abs. 2 S. 3 kann sich die Bundesdatenschutzbeauftragte jederzeit an den Deutschen Bundestag wenden. In welcher Form das geschehen kann, wird bisher nicht geregelt. Angesichts der entscheidenden Rolle, die dieses Haus für die Fortentwicklung des Datenschutzes spielt, möchte ich empfehlen,  über den Entwurf hinausgehend entsprechend dem Berliner Datenschutzgesetz zu bestimmen., daß die Datenschutzbeauftragte außer der Verpflichtung hierzu berechtigt ist, „vor dem Parlament oder dem betreffenden Ausschuss zu erscheinen und zu reden“.“