Vertane Chance

Noch im April wird das Bundesdatenschutzgesetz an die europäischen Vorgaben angepasst. Diese Anpassung muss in vielerlei Hinsicht erfolgen: So verlangt die europäische Grundverordnung beispielsweise, dass Datenverarbeiter vorab eine Datenschutz-Folgenabschätzung vornehmen, sofern ein hohes Risiko besteht, dass ihre Arbeitsprozesse Grundrechte beeinträchtigen. Doch sie schreibt keine Rechtsfolgen für den Fall vor, dass Datenverarbeiter dies versäumen.

Ähnlich sieht es bei den Zertifizierungen von Systemen, Produkten und Dienstleistungen aus: Auch hier fehlen Regelungen zur Beschreibung der Rechtsfolgen dieser neuen Datenschutzinstrumente. Das wäre eine Chance für die Bundesregierung gewesen, diese Lücke im Sinne des europäischen Gesetzgebers zu füllen.

„Europa hat innovative Impulse für einen besseren Datenschutz geliefert“, konstatiert die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen, „doch die Bundesregierung greift dies leider in der Novelle nicht auf und dreht das Rad teilweise sogar zurück.“ Hansen verweist auf konkrete Vorschläge zur Verbesserung des Gesetzentwurfs, die Experten des Forschungsverbunds „Forum Privatheit“ nach der ersten Lesung im Bundestag vorgestellt hatten.

Aus Sicht der Experten des „Forum Privatheit“ sollten nicht nur Regelungen für die Datenverarbeiter aufgenommen werden, sondern konsequenterweise auch für die Hersteller von IT-Anwendungen. „Nur wenn die Software es zulässt, kann der Datenverarbeiter seine datenschutzrechtlichen Pflichten erfüllen“, betont Marit Hansen. Sie bemängelt, dass eine Konkretisierung der neuen Pflichten für Datenverarbeiter zur datenschutzfreundlichen Gestaltung der Prozesse und möglichst datensparsamer Voreinstellungen fehle.

Verstoß gegen europäisches Recht

Außerdem bleibt unklar, ob die Streitfrage um die Zweckbindung europarechtskonform gelöst ist: Laut dem SPD-Bundestagsabgeordneten Gerold Reichenbach soll das Gesetz eine Datenverarbeitung auch für „kompatible“ Zwecke ermöglichen. Wenn beispielsweise Daten im Rahmen einer Kundenbeziehung erhoben wurden, dürfen sie nur innerhalb dieses Bereichs weiterverwendet werden. Das Unternehmen darf sie nicht an ein Tochterunternehmen für Werbezwecke weitergeben. Gleichwohl könnten die Daten mit der „kompatiblen“ Zweckbindung dazu dienen, Verfahren zu automatisieren, damit Algorithmen dann einfache Arbeitsabläufe übernehmen könnten. Es ist zu bezweifeln, dass der Kompatibilitäts-Zusatz rechtmäßig ist, da das europäische Recht an dieser Stelle keine nationalen Ausnahmen vorsieht.

Eindeutig europarechtswidrig ist aus Sicht der Experten die geplante Einschränkung der Betroffenenrechte zugunsten privater Datenverarbeiter. Diese sollen nur dann Auskunft geben oder Daten löschen müssen, wenn dies keinen „unverhältnismäßigen Aufwand“ verursache. Diese Einschränkung ist laut Gerold Reichenbach im aktuellen, bislang geheim gehaltenen Änderungsentwurf der Union und SPD inzwischen gestrichen. Gleichwohl gibt es eine Ausnahmeregelung für Daten, die auf analogen Medien wie Mikrofiche gespeichert sind.

Sofern die Bundesregierung diese Fragen nicht eindeutig zugunsten des Europarechts klärt, entsteht für die Datenverarbeiter eine gewisse Rechtsunsicherheit. Die Datenschutzkonferenz-Vorsitzende Barbara Thiel stellte bereits klar, dass sich die Aufsichtsbehörden im Konfliktfall nicht an das nationale Recht halten können werden, sondern direkt nach der europäischen Grundverordnung entscheiden müssen.

Auch die aktuelle Entwurfsfassung will die Position der Aufsichtsbehörden schwächen: So sollen sie künftig keine Vor-Ort-Kontrollen bei Berufsgeheimnisträgern mehr vornehmen dürfen. Damit würden ganze Branchen wie der Gesundheitssektor, die Anwaltschaft oder die Steuerberatung ausgenommen. Auch soll die Bundesdatenschutzbeauftragte in Datenschutzfragen, die den Bundesnachrichtendienst betreffen, nur noch gegenüber der Bundesregierung sowie mit deren Zustimmung gegenüber den direkt zuständigen Gremien aussagen. Schließlich sieht der Gesetzentwurf keine zusätzlichen Personalstellen für die Behörden vor, obwohl diese zahlreiche neue Aufgaben übernehmen müssen wie Zertifizierungen oder Folgeabschätzungen. (uma@ct.de)