Seit dem 25. Mai dieses Jahres sind die europäische Datenschutzgrundverordnung (DSGVO) sowie die Datenschutz-Richtlinie (DSRL) in Kraft. Die Regelungen sollen das bislang geltende Datenschutzrecht der EU, das noch aus den 90er Jahren stammt, ablösen und fit für das digitale Zeitalter machen. Während eine Richtlinie noch der Umsetzung in nationales Recht bedarf, hat eine Verordnung in den Mitgliedstaaten grundsätzlich unmittelbare Geltung. Die Datenschutzgrundverordnung enthält allerdings zahlreiche Öffnungsklauseln, die es den einzelnen Mitgliedstaaten erlauben, von den EU-Vorgaben abzuweichen und nationale Sonderwege einzuschlagen.
Von dieser Möglichkeit will Deutschland nun offenbar reichlich Gebrauch machen. Das Bundesinnenministerium hat Ende November einen Referentenentwurf für die Anpassung des deutschen Datenschutzrechts an die neuen EU-Regeln vorgelegt und dazu verschiedene Interessenvertreter und Verbände angehört. Im Zentrum des Vorhabens steht die Neufassung des Bundesdatenschutzgesetzes. Neben Vorschriften zur Umsetzung der Datenschutz-Richtlinie sollen auch eine Reihe von Bestimmungen auf Grundlage der Öffnungsklauseln der Datenschutzgrundverordnung in das Gesetz aufgenommen werden.
Auch wir haben uns der ganze 126 Seiten umfassenden Referentenentwurf angesehen und innerhalb der äußerst knapp bemessenen Frist von nur zwei Wochen eine schriftliche Stellungnahme dazu abgegeben. Tatsächlich birgt der Entwurf eine Menge Sprengstoff.
Rote Linien überschritten: Datenschutzprinzipien und Betroffenenrechte werden aufgeweicht
Zentrale Prinzipien des Datenschutzes, insbesondere die Zweckbindung, sollen bis zur Unkenntlichkeit aufgeweicht werden. Der Zweckbindungsgrundsatz besagt, dass Daten grundsätzlich nur zu dem Zweck verwendet werden dürfen, zu dem sie auch erhoben wurden. Nach den Plänen des Bundesinnenministeriums soll das künftig beispielsweise dann nicht mehr gelten, wenn eine nachträgliche Zweckänderung „im berechtigten Interesse“ des Verantwortlichen liegt. Wann ein solches „berechtigtes Interesse“ gegeben ist, definiert der Entwurf hingegen nicht. Betroffene Personen können unter diesen Umständen kaum absehen, was mit ihren personenbezogenen Daten passieren wird, nachdem sie in eine Datenverarbeitung eingewilligt haben. Die Einwilligung, bislang eines der wichtigsten Instrumente zur Sicherung der Datensouveränität, wird auf diese Weise weitgehend entwertet.
Ähnlich besorgniserregend sieht es auch bei den Informationspflichten der Datenverarbeiter und den zentralen Betroffenenrechten wie den Rechten auf Auskunft, Widerspruch und Löschung aus. In all diesen Punkten fällt der Entwurf hinter das Niveau des geltenden deutschen Datenschutzrechts zurück. Die geplanten Regelungen überdehnen außerdem an vielen Stellen die europarechtlichen Öffnungsklauseln und stehen deshalb in offenem Widerspruch zu den EU-Vorgaben. Der Entwurf überschreitet damit klar die roten Linien, die während der „Trilog“ genannten Dreiecksverhandlungen zwischen Europäischem Parlament, Ministerrat und EU-Kommission vereinbart wurden. Außerdem torpediert er das Kernziel der Datenschutzgrundverordnung, den Datenschutz in Europa zu harmonisieren und ein EU-weit einheitliches Datenschutzniveau zu schaffen.
Neues Credo der Bundesregierung: Datenreichtum statt Datensparsamkeit
Schon während der Verhandlungen um die Datenschutzgrundverordnung hatte Deutschland sich im EU-Ministerrat für Schwächungen der Betroffenenrechte eingesetzt. Durchsetzbar waren im Ergebnis jedoch nur die bereits erwähnten Öffnungsklauseln. Der jetzige Vorstoß des Bundesinnenministeriums erweckt den Eindruck, dass genau die Verschlechterungen des Datenschutzes, welche die Bundesregierung auf EU-Ebene bislang nicht durchdrücken konnte, nun auf dem Umweg über das nationale Recht verankert werden sollen.
Dieser Eindruck wird unter anderem auch dadurch bestärkt, dass etwa Bundeswirtschaftsminister Gabriel, Bundesverkehrsminister Dobrindt und Bundeskanzlerin Merkel in den vergangenen Wochen und Monaten immer wieder eine Abkehr vom Grundsatz der Datensparsamkeit propagiert haben. An dessen Stelle soll nach ihrer Vorstellung das Prinzip des „Datenreichtums“ treten. Für sie sind personenbezogene Daten weniger ein schützenswertes Gut als vielmehr Roh- und Treibstoff für die Digitalwirtschaft. Neue datenbasierte Geschäftsmodelle sollen entstehen, weshalb personenbezogene Daten in möglichst großem Umfang anfallen und Unternehmen möglichst freie Hand beim Umgang mit diesen Daten erhalten sollen.
Fazit: In der gegenwärtigen Fassung europarechtswidrig
Bereits im Januar 2017 soll das Bundeskabinett mit dem Entwurf befasst werden. Noch vor dem Ende der Legislaturperiode soll das Gesetz dann auch den Bundestag passiert haben. Inwieweit das Bundesinnenministerium auf die Kritik an dem Referentenentwurf eingehen wird, wird also Anfang kommenden Jahres feststehen. Eine echte Kehrtwende ist angesichts des datenschutzunfreundlichen Kurses der Bundesregierung eher nicht zu erwarten. In der gegenwärtigen Fassung wird das Gesetz jedoch einer europarechtlichen Überprüfung kaum standhalten. Das sollten sich auch die Parlamentarier vor Augen halten, die im kommenden Jahr über das Gesetz abstimmen werden. Eine Aufhebung des Gesetzes durch den Europäischen Gerichtshof stünde gerade Deutschland als Mutterland des Datenschutzes äußerst schlecht zu Gesicht.
Über den Referentenentwurf haben wir in dieser Woche auch auf FluxFM im Rahmen unserer Reihe „In digitaler Gesellschaft“ gesprochen: