Von Peter Schaar (15.03.2025) –
Am 12. März 2025 hat eine hochrangig besetzte Expertenkommission (bestehend aus den ehemaligen Bundesministern Thomas de Maizière (CDU) und Peer Steinbrück (SPD), dem früheren Präsidenten des Bundesverfassungsgerichts Andreas Voßkuhle und der Medienmanagerin Julia Jäkel) Vorschläge zu einem „handlungsfähigeren Staat“ vorgelegt. Im Kern geht es um eine grundlegende Staatsreform, die nahezu alle Politikbereiche betrifft. Angesichts der zunehmenden Herausforderungen an staatliches Handeln ist dieses Vorhaben ist aller Ehren wert. Aber nicht alle ihre Vorschläge sind überzeugend, etwa zur Neugestaltung des Datenschutzes.
Verlagerung der Datenschutzverantwortung auf die Betroffenen
Die datenschutzrechtlichen Verpflichtungen für verantwortliche Stellen zur Vorabinformationen Betroffenen sollen reduziert werden, um diese vor einer Überforderung zu bewahren. Stattdessen wird ein „einklagbares Recht der Bürgerinnen und Bürger auf Information“ vorgeschlagen, das erst nach der Verarbeitung greift. Die Betroffenen sollen dafür ein „Tracking-Recht“ erhalten, also die Möglichkeit, die Verwendung ihrer Daten nachzuvollziehen, verbunden mit einer entsprechenden Löschungspflicht. Statt von den Betroffenen eine vorherige Einwilligung zu verlangen, soll grundsätzlich ein Widerspruchsrecht zur Legitimierung der Verarbeitung ausreichen.
Unter dem Stichwort „Entbürokratisierung“ würde so ein großer Teil der Verantwortung für den Umgang mit personenbezogenen Daten von den Unternehmen zu den Bürgerinnen und Bürgern verlagert. Wer keine eigenen Recherchen anstellt und keinen Widerspruch einlegt, müsste damit rechnen, dass seine Daten für andere als die ursprünglichen Zwecke verarbeitet werden. Zusammen mit dem vorgeschlagenen Wegfall substanzieller Vorab-Informationen ergäbe sich eine besonders problematische Situation: Wie sollen diejenigen, die nicht ausreichend über die Verarbeitung der sie betreffenden Daten informiert sind, von ihrem Widerspruchsrecht Gebrauch machen?
Wo bleibt der technologische Datenschutz?
Es trifft ja zu, dass sich viele Menschen durch den Umfang und die Ausgestaltung der sogenannten „Datenschutzinformationen“ überfordert oder belästigt fühlen. Diese Texte sind häufig so formuliert, dass sie die Beantwortung zentraler Fragen erschweren. Dazu zählen beispielsweise die Frage nach den verarbeiteten personenbezogenen Daten oder die Frage nach der Rechtsgrundlage und dem Verantwortlichen für die Verarbeitung. Es ist daher empfehlenswert, die Vorgaben für Datenschutzinformationen zu konkretisieren, anstatt – wie von den Experten vorgeschlagen – die Informationsverpflichtungen einzuschränken. So könnte beispielsweise vorgesehen werden, dass Datenschutzinformationen bei digitalen Angeboten stets auch maschinenlesbar zu gestalten sind und dass die von den Betroffenen getroffenen Entscheidungen (etwa zum Tracking und Profiling) von den Anbietern befolgt werden müssen. So könnten die Betroffenen ihre Datenschutzpräferenzen fallübergreifend festlegen und durchsetzen.
Überhaupt vermisse ich in dem Expertenbericht alle Hinweise auf eine grundrechtskonformen Technikgestaltung („Privacy by Design“), wie sie etwa das europäische Datenschutzrecht vorsieht, die aber bisher nicht realisiert wurden. Das von den Autoren vorgeschlagene „Datenschutz-Cockpit“, mit dem Betroffene nachvollziehen können, wer ihre Daten zu welchen Zwecken nutzt und die Löschung der Daten veranlassen können, ist zwar an sich ein guter Ansatz. Er löst aber nicht das grundlegende Dilemma, dass Daten immer umfassender verarbeitet und genutzt werden. Die im Bericht beklagte „Überforderung“ der Betroffenen dürfte noch zunehmen, wenn – wie im Bericht vorgeschlagen – die bisherigen datenschutzrechtlichen Grenzen gelockert werden.
Datenschutzbeauftragte verzichtbar?
Die Forderung der Expertenkommission, bei kleinen und mittleren Unternehmen generell auf die Bestellung von Datenschutzbeauftragten zu verzichten, erscheint mir als nicht ausreichend durchdacht. Viele kleine und vor allem digitale Unternehmen verarbeiten eine Vielzahl von personenbezogenen Daten, die einem erheblichen Missbrauchsrisiko unterliegen. Die Forderung, auch für diese Unternehmen generell auf die Bestellung von Datenschutzbeauftragten zu verzichten, würde nicht nur dem europäischen Datenschutzrecht widersprechen, sondern auch das Vertrauen in die zunehmend digitale Wirtschaft untergraben. Wertvolles eigenes Datenschutz-Know-how würde aus den Unternehmen abfließen und müsste teuer von Dritten eingekauft werden.
Zukunft der Datenschutzaufsicht
Schließlich vermag auch der Expertenvorschlag zur Datenschutzaufsicht nicht zu überzeugen. Die bisher auf Bund und Länder verteilte Datenschutzaufsicht soll bei der Bundesbeauftragten für den Datenschutz zentralisiert werden. Das Problem, dass die Datenschutzbehörden teilweise nicht mit einer Stimme sprechen, ließe sich durch eine Stärkung der Datenschutzkonferenz eleganter lösen als durch die Schaffung einer riesigen Bundesbehörde, die die Aufsicht bis in die regionalen und örtlichen Strukturen hinein wahrnehmen soll. Leider hat es der Bundesgesetzgeber bisher versäumt, die dafür erforderlichen gesetzlichen Voraussetzungen zu schaffen.
Link zum Bericht der Expertenkommission: