Andreas H. Schmidt, Mitglied der FDP Siegburg zum Europäischen Datenschutztag

Allgemeines Bundesdatenschutzgesetz– Quo vadis?
Am 28. Januar ist der Europäische Datenschutztag. Und hier ist viel in Bewegung, seitdem die neue
Europäische Datenschutzgrundverordnung (DS-GVO) in Kraft getreten ist. Doch die Verordnung und
ihre Übertragung auf die nationale Ebene lassen noch viele Fragen offen.

Grundsätzlich wäre der heutige Tag, der Tag des Datenschutzes, ein echter Tag zum Feiern, blickt
man zurück auf das letzte Jahr und damit verbunden, auf die Inkraftsetzung der Europäischen
Datenschutzgrundverordung (DS-GVO) am 25. Mai2016, mit Geltung ab dem 25. Mai 2018.
Nach langem Anlauf, mit viel Energie und Engagement, insbesondere gegen eine Schar von
Lobbyisten, hat es die EU Kommissarin Viviane Reding das bis dorthin scheinbar kaum Mögliche
geschafft und eine für ganz Europa direkt umzusetzende Datenschutznorm in Form einer Verordnung
gegen erhebliche Widerstände der Lobbyisten verschiedenster Couleur aus der Taufe gehoben.
  

 

Und nicht nur das. Schaut man sich diese Verordnung genauer an besteht kein Zweifel, dass das deutsche Bundesdatenschutzgesetz hier Pate gestanden hat. Auch eine Art Anerkennung für ein bislang in Europa einzigartigs Gesetz, das sich – insbesondere nach der letzten Reform 2009 – lage Zeit praktisch bewährt hat und ein gutes Schutzrecht für die personenbezogenen Daten der Menschen, die Betroffenen, wie es das Bundesdatenschutzgesetz (BDSG) ausdrückt, war.

 

In dieser Verordnung hinzu kamen die auch für deutsche Datenschützer neuen Grundsätze und Meilensteine im Datenschutzrecht wie das Martkortprinzip, das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit, Privacy by Design/Privacy by Default, die Datenschutz-Folgenabschätzung, Beibehaltung der Zweckbindung im bisher gültigen Umfang, Selbstregulierung und Zertifizierung, die Verhängung von erheblichen höheren Bußen als bisher, sowie die Möglichkeit der besseren Kooperation der Datenschutzaufsichtsbehörden in Europa.

 

Allerdings, was auch sicherlich zu erwarten war, nicht alles aus dem BDSG hat den Weg in diese neue Verordnung gefunden. Die Anforderungen an eine wirksame Einwilligung hinsichtlich der „personenbezogenen Daten besonderer Art“ wurden zurückgeschraubt, die Erfoderlichkeit der Schriftform diesbezüglich wurde ganz gestrichen. Der Grundsatz der Datensparsamkeit in der alten Form wird von der DS-GVO nicht mehr getragen ebenso wie der bisherige Wille der Einschränkung der Profilbildung. Auch blieben im Laufe des Verfahrens einige Zulässigkeitsregelungen auf der Strecke wie zum Beispiel hinsichtlich Vorschriften über die Videoüberwachung oder der automatisierte Abrufverfahren.

 

Wie die weithin anerkannten Datenschutzexperten Gola, Jaspers, Müthlein, Schwartmann in der Publikation„Datenschutzgrundverordung“ treffend anmerken, ist nicht zu verkennen, dass „…auf der Suche nach einem politischen Kompromiss die DS-GVO an vielen Stellen durch ihre Generalklauseln und unbestimmten Rechtsbegriffe vage geblieben ist.[…] Daher sind gem. Art. 70 Abs. 1 DSGVO von den Aufsichtsbehörden „Interpretations- und Orientierungshilfen zu erstellen beziehungsweise an die neue Rechtslage anzupassen“1.

 

1 Gola/Jaspers/Müthlein/Schwartmann, Datenschutzgrundverordnung im Überblick 2016, 1. Auflage 2017, Datakontext GmbH

 

Dies findet seinen Ausdruck insbesondere in den circa 50 bis 60 „Öffnungsklauseln“, die nationalem Recht Vorrang geben sprich, die nationalen Gesetzgeber hier die Möglichkeit haben, in ihren diversen nationalen Datenschutznormen auf landesspezifische Besonderheiten einzugehen beziehungsweise noch eigene politische Zielsetzungen zum Ausdruck zu bringen.

 

Die freudige Erwartung der heimischen Datenschützer, dass aufgrund der „Patenschaft“ des BDSG dieses bestenfalls im Prinzip lediglich um die neuen Grundätze erweitert werden würde, war spätestens nach dem ersten Entwurf eines neuen BDSG, dem sogenannten Allgemeinen Bundesdatenschutzgesetz (ABDSG), von Innenminister Thomas de Maizière doch sehr gedämpft.

 

Neben der sicherlich zu vernachlässigen Frage, wer sich den Namen der Norm zu Umsetzung hat einfallen lassen („Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“, haben sich viele Datenschutzexperten beim Lesen des ersten Entwurfs vom September 2016 nicht nur aufgrund diese Namens die Augen gerieben. In der Folge hagelte es von vielen diversen Verbänden und NGOs niederschmetternde Kritik. Sie sprachen sogar von „grundrechtlichem Sprengstoff“2

 

Auch die veröffentlichten Stellungnahmen des Bundesjustizministeriums (BMJV) und der Bundesdatenschutzbeauftragten (BfDI) sehen den Entwurf eher kritisch3. Im Wesentlichen richtet sich die Kritik gegen die Aufweichung der Zweckbindung, der Schwächung der Betroffenenrechte und der ganz offensichtlichen Schaffung eines neuen Fundaments für einen Ausbau der Videoüberwachung, ganz im Sinne der gebetsmühlenartigen Forderungen de Maizières nach der Verstärkung der Videoüberwachung4,5.

 

So bemängelt das BMJV in seinem Schreiben bereits zu Anfang, dass dieser Regelungsansatz „…aus Sicht der Normanwender“ – also Behörden, Unternehmen und Bürgerinnen und Bürger – „…nicht verständlich […]“ sowie „die Umsetzung der Datenschutz-Richtlinie […] äußerst lückenhaft“ sei. Insbesondere macht das BMJV explizit darauf aufmerksam, dass aus seiner Sicht und „…innerhalb der Bundesregierung immer Einigkeit [bestand- der Autor] –, das bestehende Datenschutzniveau des BDSG auch unter der DS-GVO nicht zu unterschreiten.“

 

Die Beauftragte für den Datenschutz und die Informationsfreiheit kommt in ihrer Stellungnahme vom 31. August 2016 auf Seite 4 von 60 zu dem vernichtenden Ergebnis, dass die Zielsetzung des Entwurfs mit dem hier gewählten Ansatz nicht nur ambitioniert sei, sondern auch weitesgehend misslungen6.

 

Die Deutsche Vereinigung für Datenschutz (DVD) kritisiert, dass der Entwurf „alte und teilweise auch neue europarechts- und verfassungswidrige inakzeptable Regelungen“ enthalte7. Deren Vorsitzender, Frank Spaeing, kritisiert: „Der Entwurf ist eher ein Datenschutzverhinderungsgesetz.“8

 

2 https://netzpolitik.org/2016/datenschutzplaene-des-innenministeriums-so-vernichtend-faellt-das-urteil-von-datenschutzorganisationen-zum-gesetzentwurf-aus/ aufgerufen am 25.01.2016

33 https://www.rdv-online.com/aktuelles/reaktionen-auf-abdsg-entwurf, aufgerufen am 25.01.2016

4 http://www.zeit.de/politik/deutschland/2016-10/innere-sicherheit-terrorbekaempfung-thomas-de-maizi-re-videoueberwachung, aufgerufen am 25.01.2016

5 http://www.rbb-online.de/politik/beitrag/2016/12/videoueberwachung-berlin-bundesinnenminister-demaiziere-breitscheidplatz.html, aufgerufen am 25.01.2016

66 https://netzpolitik.org//wp-upload/2016/09/BfDI_Stellungnahme_DSAnpUG_EU.pdf, aufgerufen am 25.01.2016

7 https://netzpolitik.org/2016/neues-bundesdatenschutzgesetz-weniger-kontrolle-weniger-auskunftsansprueche-mehr-videoueberwachung/, aufgerufen am 25.01.2016

8 ebenda

 

Peter Schaar, der ehemalige Bundesdatenschutzbeauftragte und heutige Vorsitzende der Europäischen Akademie für Datenschutz und Informationsfreiheit, kritisiert den Entwurf als europarechtswidrig, handwerklich schlecht gemacht und als Schwächung des Datenschutzes9.

 

In der Folge dieser massiven Kritik zog das Innenministerium diesen Entwurf wieder zurück und veröffentlichte am 23. November 2016 einen zweiten Entwurf. Ergebnis: Von Verbesserung keine Spur – im Gegenteil. Wiederum stellen die Datenschutzanalysten dem Innenminister ein vernichtendes Urteil aus, hat sich doch gegenüber dem ersten Entwurf hinsichtlich der oben genannten wesentlichen Kritikpunkte im Wesentlichen nichts geändert10.

 

Dieser Stelle darf gefragt werden – wenn sich diverse Protagonisten landauf, landab in Workshops und teuren Beratungsgesprächen ereifern, gute Ratschläge zu geben, was zur Umsetzung zu tun sei – ob das vor dem Hintergrund dieser Situation im deutschen Gesetzgebungsverfahren nicht letzlich doch Kaffeesatzleserei ist?

 

Die Datenschutzbeauftragten und Compliance Officer in den deutschen Unternehmen werden jedenfalls aus ihrer bisherigen Situation, seit der Inkraftsetzung der DS-GVO letzten Jahres noch immer nicht zu wissen, was sie in ihren Firmen in Deutschland zur Umsetzung bis 2018 konkret unternehmen müssen, nicht befreit. Ganz im Gegenteil. Unsicherheit , Stillstand für Weiterentwicklung und Innovationen in weiten Teilen der Republik. Politik vom Feinsten!

 

Aber das kennt man ja schon aus. Ähnliches Spiel beim IT-Sicherheitsgesetz (ITSiG). Bis heute weiß die Masse der Unternehmen nicht, ob sie zur sog. „Kritischen Infrastruktur“ zählen und daher entsprechend das Gesetz zügig umsetzen müssen bzw. ab Frühjahr nächstem Jahres bereits ein zertifiziertes Audit vorlegen müssen. Handwerklich schlecht gemachte Gesetze sind nicht mehr die Ausnahme, nein, sie sind die Regel. Zu Lasten der Unternehmen da sie alleine Kosten und Aufwand tragen müssen, und letztlich auch zu Lasten der öffentlichen Institutionen, die sie ausführen bzw. überwachen müssen und somit die sowieso knappen Ressourcen noch mehr verschleißen.

 

Wenn also heute der „Tag des Datenschutzes“ ausgerufen wird, darf man zurecht die Frage stellen, ob dies vor dem Hintergrund der politischen (Sicherheits)-Bestrebungen des Innenministers, die bisherigen Erfolge auf europäischer Ebene mit dem DS-GVO und dem verbesserten Schutz der Bürgerdaten national faktisch zunichte zu machen, in Deutschland wirklich ein Tag zum feiern ist? Quo vadis ABDSG?

 

9 https://netzpolitik.org/2016/interview-mit-peter-schaar-neues-datenschutzgesetz-soll-uferlose-datenauswertung-ermoeglichen/, aufgerufen am 25.01.2016

10 https://netzpolitik.org/2016/datenschutzplaene-des-innenministeriums-so-vernichtend-faellt-das-urteil-von-datenschutzorganisationen-zum-gesetzentwurf-aus/

Allgemeines Bundesdatenschutzgesetz– Quo vadis?

 

Am 28. Januar ist der Europäische Datenschutztag. Und hier ist viel in Bewegung, seitdem die neue Europäische Datenschutzgrundverordnung (DS-GVO) in Kraft getreten ist. Doch die Verordnung und ihre Übertragung auf die nationale Ebene lassen noch viele Fragen offen.

 

Ein Kommentar von Andreas H. Schmidt, Vizepräsident des ISACA Germany Chapter e.V. (www.isaca.de) und Mitglied der FDP Siegburg

 

Grundsätzlich wäre der heutige Tag, der Tag des Datenschutzes, ein echter Tag zum Feiern, blickt man zurück auf das letzte Jahr und damit verbunden, auf die Inkraftsetzung der Europäischen Datenschutzgrundverordung (DS-GVO) am 25. Mai2016, mit Geltung ab dem 25. Mai 2018.

 

Nach langem Anlauf, mit viel Energie und Engagement, insbesondere gegen eine Schar von Lobbyisten, hat es die EU Kommissarin Viviane Reding das bis dorthin scheinbar kaum Mögliche geschafft und eine für ganz Europa direkt umzusetzende Datenschutznorm in Form einer Verordnung gegen erhebliche Widerstände der Lobbyisten verschiedenster Couleur aus der Taufe gehoben.