Tag Archives: Datenschutzkontrolle

DSAnpUG-EU: Datenschutzbehörden müssen zukünftig draußenbleiben

In der heutigen Anhörung des Bundestags-Innenausschusses zum „Datenschutzanpassungs- und Umsetzungsgesetz EU“ (DSAnpUG-EU), mit dem das deutsche Datenschutzrecht an die Vorgaben der neuen europäischen Datenschutzregelungen angepasst werden soll, wurde auch über eine brisante Neuregelung gesprochen, die bisher wenig Aufmerksamkeit hatte, obwohl sie von zentraler Bedeutung für den Schutz der Privatsphäre ist:

Wenn es nach der Bundesregierung geht, wird die Datenschutzkontrolle bei „Berufsgeheimnisträgern“ drastisch eingeschränkt. In § 29 Abs. 3 des Regierungsentwurfs heißt es:

„Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auf-tragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buch-stabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde.“

Die Mitarbeiter der Aufsichtsbehörden hätten keinen Anspruch mehr, Krankenhäuser, Arzt- und Tierarztpraxen, Anwalts- oder Notariatskanzleien, Apotheken, Steuerberatungs- und Buchführungsbüros oder Suchtberatungsstellen zu betreten, um vor Ort die Datenverarbeitung zu prüfen. Nicht mehr effektiv prüfbar wären auch Unternehmen der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle. Die Aufsichtsbehörden hätten auch keinen Zugang mehr zu den sensiblen Daten, die in diesen Bereichen verarbeitet werden. Keine Prüfung soll es auch bei Auftragsdatenverarbeitern dieser Einrichtungen geben, etwa bei Cloud Services, die medizinische Daten verarbeiten, bei der DATEV oder bei Apothekenrechenzentren.

In diesen für den Datenschutz zentralen Bereichen könnten die Datenschutzbehörden nur noch allgemeine Befragungen hinsichtlich der Datenverarbeitung durchführen, aber keinen Einblick in Datenbanken oder übertragene Informationen nehmen und sie könnten Behauptungen der Berufsgeheimnisträger bzw. der Geschäftsleitungen zum konkreten Umgang mit personenbezogenen Daten nicht mehr nachprüfen.

Die von den Regierungsfraktionen vorgesehene Neuregelung wäre ein fatales Signal gegenüber allen, denen ein effektiver Schutz der Privatsphäre wichtig ist. Ein derartiger aufsichtsfreier Raum widerspricht den Vorgaben des Bundesverfassungsgerichts, das eine lückenlose Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften durch unabhängige Datenschutzbehörden für unverzichtbar hält.

Die Regierungsfraktionen von CDU/CSU und die SPD haben heute überraschend angekündigt, den Gesetzentwurf noch in dieser Woche in 2. und 3. Lesung im Bundestag zu behandeln. Ob und inwieweit  so kurzfristig noch substanzielle Änderungen erfolgen, erscheint mir eher als unwahrscheinlich.

Mit freundlichen Grüßen

Peter Schaar

Führt das Fehlen von Dateianordnungen beim BND zur Rechtswidrigkeit der Datenverarbeitung?

In der 130. Sitzung des NSA-Untersuchungsausschusses des Deutschen Bundestags am 15.2.2017 ist die Frage angesprochen worden, wie das Fehlen einer im BND-Gesetz vorgesehenen Dateianordnung zu bewerten sei. Der Bundestagsabgeordnete Schipanski wird in einem Beitrag des Blogs Netzpolitik mit der Aussage zitiert, ich hätte als ehemaliger Bundesbeauftragter für den Datenschutz die Auffassung vertreten, dass es sich beim Fehlen einer Dateianordnung bloß um einen „formalen“ Gesetzesverstoß handele, der keine materielle Rechtswidrigkeit der Datei zur Folge habe.

Richtig ist: Nicht jeder Verstoß gegen Verfahrensvorschriften des Datenschutzrechts führt automatisch zur Rechtswidrigkeit der entsprechenden Datei. Aus einem fahrlässigen „Versäumen“ einer gesetzlich vorgesehenen Verpflichtung allein ergibt sich nicht zwingend eine Löschungsverpflichtung der betreffenden Daten. Anders sieht es aber aus, wenn eine Dateianordnung – und damit auch die Meldung gegenüber dem/der Bundesdatenschutzbeauftragten willentlich oder sogar systematisch unterbleibt und somit eine datenschutzrechtliche Prüfung der Datei nicht möglich ist. Zudem muss berücksichtigt werden, dass die Dateianordnung, die von der zuständigen Fachaufsicht (beim BND übt das Bundeskanzleramt diese Funktion aus) zu genehmigen ist, die Zwecke der Verarbeitung und die Voraussetzungen der Speicherung, Übermittlung und Nutzung (betroffener Personenkreis, Arten der Daten) festzulegen hat. Ohne Dateianordnung fehlen diese zentralen verfahrensrechtlichen Sicherungen.

Eine solche Praxis – die es offenbar gegeben hat – ist nicht nur als „minder schwerer“ Formalverstoß zu bewerten, sondern als Aushebelung der unabhängigen Datenschutzkontrolle, die vom Bundesverfassungsgericht in seiner Rechtsprechung seit dem Volkszählungsurteil von 1983 als unabdingbar für die Wahrung der Grundrechte angesehen wird.

Das BVerfG führt dazu in Rz. 207 des Urteils des Ersten Senats vom 24. April 2013 – 1 BvR 1215/07 -(„Antiterrordatei“) aus:

„Die aufsichtliche Kontrolle flankiert die subjektivrechtliche Kontrolle durch die Gerichte objektivrechtlich. Sie dient – neben administrativen Zwecken – der Gewährleistung der Gesetzmäßigkeit der Verwaltung insgesamt und schließt dabei den Schutz der subjektiven Rechte der Betroffenen ein. Dass auch Anforderungen an die aufsichtliche Kontrolle zu den Voraussetzungen einer verhältnismäßigen Ausgestaltung der Datenverarbeitung gehören können (vgl. BVerfGE 100, 313 <361> unter Verweis auf BVerfGE 30, 1 <23 f., 30 f.>; 65, 1 <46>; 67, 157 <185>), trägt dem Umstand Rechnung, dass es sich bei der Speicherung und Verarbeitung von Daten um Eingriffe handelt, die für die Betreffenden oftmals nicht unmittelbar wahrnehmbar sind und deren freiheitsgefährdende Bedeutung vielfach nur mittelbar oder erst später im Zusammenwirken mit weiteren Maßnahmen zum Tragen kommt. Eingriffe in das Recht auf informationelle Selbstbestimmung können deshalb auch dann unverhältnismäßig sein, wenn sie nicht durch ein hinreichend wirksames aufsichtsrechtliches Kontrollregime flankiert sind. Dies hat umso größeres Gewicht, je weniger eine subjektivrechtliche Kontrolle sichergestellt werden kann.“

Die  Umgehung der gesetzlich vorgeschriebenen Kontrollmechanismen und sonstigen verfahrensrechtlichen Sicherungen führt also zur materiellen Rechtswidrigkeit.