Die Bundesregierung plant eine erste größere Anpassung des Bundesdatenschutzgesetzes. Dazu hat das Bundesinnenministerium im Sommer einen Referentenentwurf veröffentlicht, zu dem auch die Digitale Gesellschaft Stellung genommen hat.
Der Entwurf enthält einige kleinere Anpassung an die bislang ergangene Rechtsprechung zum Thema, etwa zur Videoüberwachung im öffentlichen Raum, sowie eine halbherzige gesetzliche Festschreibung der Datenschutzkonferenz (DSK) – ohne sie allerdings mit eigenen Kompetenzen auszustatten. Vor allem aber wird eine ernsthafte Einschränkung des Auskunftsrechts der Betroffenen aufgrund von „Betriebs- und Geschäftsgeheimnissen“ der Verantwortlichen, also der Datenverarbeiter, vorgeschlagen.
Eine solche Einschränkung wäre jedoch nicht nur politisch falsch und würde ein wichtiges Instrument für Betroffene und Zivilgesellschaft aufs Spiel setzen. Sie würde auch gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und wäre europarechtswidrig.
Im Folgenden findet ihr die Stellungnahme im Volltext und hier könnt ihr sie als PDF-Dokument herunterladen.
– Stellungnahme zum Referentenentwurf eines Ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes –
Über die Digitale Gesellschaft
Die Digitale Gesellschaft e.V. ist ein gemeinnütziger Verein, der sich seit seiner Gründung im Jahr 2010 für Grundrechte und Verbraucherschutz im digitalen Raum einsetzt. Die Digitale Gesellschaft hat mit Stellungnahmen und Kampagnen die Reform des europäischen Datenschutzrechts begleitet. Zum Anwendungsbeginn der DSGVO im Jahr 2018 hat die Digitale Gesellschaft e. V. mit Förderung des Bundesministeriums der Justiz das Informationsportal „Deine Daten. Deine Rechte.“ für Verbraucherinnen und Verbraucher zu den neuen EU-Datenschutzregeln umgesetzt.
Einleitung: Beschränkung des Auskunftsrechts
Im Folgenden nimmt die Digitale Gesellschaft aus Ressourcengründen nur zur vorgeschlagenen Beschränkung des Auskunftsrechts durch Änderung des § 34 Bundesdatenschutzgesetzes (BDSG) Stellung. Unserer Auffassung nach liegt dem Entwurf ein problematisches Verständnis des Auskunftsrechts als Risiko für Verantwortliche zugrunde, das zugunsten ihrer wirtschaftlichen Interessen eingehegt werden müsse. Das zeigt sich insbesondere in der vorgeschlagenen Einfügung einer Abwägung des Auskunftsrechts mit Betriebs- und Geschäftsgeheimnissen in § 34 Abs. 1 Nr. 2 BDSG. Wir halten die damit absehbar einhergehende Beschränkung des Auskunftsrechts im Interesse der Wirtschaft nicht nur für politisch bedenklich, sondern auch für europa- und grundrechtswidrig. Die Einfügung sollte daher ersatzlos gestrichen werden.
Rücknahmen der Einschränkungen des Auskunftsrechts in § 34 Abs. 1 Nr. 2 BDSG gehen nicht weit genug
Zunächst ist zu begrüßen, dass die Möglichkeit einer Einschränkung der Auskunftsrechte Betroffener durch Satzungen auf öffentlich-rechtliche Satzungen beschränkt und damit die Möglichkeit genommen wird, durch privatrechtliche Satzungen – etwa von Vereinen – Betroffenenrechte auszuhebeln. Diese Änderung geht jedoch nicht weit genug. Wie bereits der Bundesrat in seiner Stellungnahme zum damaligen Entwurf des geltenden BDSG (BT-Drs. 18/11655, Rn. 46) festgestellt hat, ist der derzeitige § 34 Abs. 1 Nr. 2 BDSG weder sachgerecht noch mit der DSGVO vereinbar. Deren Art. 23 Abs. 1 zählt abschließend die Fälle auf, in denen aufgrund wichtiger Ziele des öffentlichen Interesses die Auskunftsrechte des Art. 15 DSGVO eingeschränkt werden können. Die in § 34 Abs. 1 Nr. 2 BDSG genannten Gründe fallen nicht darunter und sollten gänzlich entfallen.
Probleme mit der Einfügung von Betriebs- oder Geschäftsgeheimnissen zur Beschränkung des Auskunftsrechts in § 34 Abs. 1 Nr. 2 BDSG
Im Folgenden führen wir im Detail aus, warum von der vorgeschlagenen Einfügung eines weiteren Satzes in § 34 Abs. 1 Nr. 2 BDSG, nach dem das Recht auf Auskunft nicht bestehen soll, wenn dadurch Betriebs- oder Geschäftsgeheimnisse offenbart würden und das Interesse an der Geheimhaltung das Auskunftsinteresse der Betroffenen überwiegt, abgesehen werden sollte.
1. Europarechtswidrigkeit
Die Beschränkung der Auskunftsrechte Betroffener aufgrund von Betriebs- oder Geschäftsgeheimnissen ist sowohl aus verschiedenen Gründen europarechtswidrig. Art. 15 DSGVO statuiert ein umfassendes Recht auf Auskunft über die Verarbeitung personenbezogener Daten sowie einen Anspruch auf Kopie der Daten. Für eine Ausnahme vom Recht auf Auskunft zum Schutz von Geschäftsgeheimnissen sieht die DSGVO keine Öffnungsklausel vor. Eine solche Bestimmung ist auch nicht von Art. 23 Abs. 1 DSGVO gedeckt. Danach dürfen Betroffenenrechte durch nationalstaatliche Regelungen insbesondere zum Schutz von Sicherheitsinteressen eingeschränkt werden. Eine Öffnungsklausel zur Einschränkung von Betroffenenrechten zum Schutz von Geschäftsgeheimnissen enthält Art. 23 Abs. 1 DSGVO dagegen nicht. Insbesondere Art. 23 Abs. 1 Buchstabe i DSGVO erlaubt keine Einschränkungen, die auf rein wirtschaftliche Interessen wie den Schutz von Geschäftsgeheimnissen gerichtet sind [Bäcker, Kühling/Buchner, DS-GVO BDSG, DS-GVO Art. 23 Rn. 32].
Im Übrigen würde die vorgeschlagene Bestimmung den Anforderungen des Art. 23 Abs. 2 DSGVO an eine nationale Regelung nicht gerecht. Demnach muss die nationale Regelung jeweils spezifische Vorschriften zur geregelten Datenverarbeitungen, und Garantien, zum Beispiel gegen Missbrauch enthalten.Erst im Frühjahr hat der EuGH am Beispiel des Art. 88 DSGVO die Anforderungen an nationalstaatliche Umsetzungen von Öffnungsklauseln der DSGVO klargestellt. Mit Urteil vom 30.03.2023 [C-34/21] entschied der EuGH, dass nationale Vorschriften zur Umsetzung von Öffnungsklauseln sich nicht auf die Wiederholung des Wortlauts der DSGVO beschränken dürfen, sondern im Hinblick auf den Schutz der Rechte und Freiheiten der Betroffenen in spezifischen Kontexten geeignete Maßnahmen vorsehen müssen.
Europarechtswidrige nationale Regelungen führen zu Rechtsunsicherheit auf Kosten aller Beteiligten. Eine solche Regelung schafft Unklarheit über die Reichweite des Auskunftsanspruch. In der Praxis ist zu erwarten, dass Konflikte über die Reichweite des Auskunftsanspruchs noch häufiger vor Gericht landen und die knappen Ressourcen der Justiz weiter beanspruchen, bis die Europarechtswidrigkeit der Regelung schließlich durch den EuGH festgestellt wird. Verantwortliche, die sich auf eine solche Ausnahme stützen würden, sähen sich nach gerichtlicher Feststellung einem erheblichen Haftungsrisiko ausgesetzt, da die Norm in Folge der Europarechtswidrigkeit unangewendet bleiben muss [EuGH, Urteil vom 30.03.2023 – C-34/21, Rn. 89] und die unvollständige Erteilung der Auskunft Schadenersatzansprüche nach sich ziehen kann.
2. Fehlende Erforderlichkeit
Nicht nachvollziehbar ist auch die Begründung der Bundesregierung für diese weitgehende Beschränkung von Betroffenenrechten. Insofern sie auf den Evaluierungsbericht vom Oktober 2021 verweist, sei darauf hingewiesen, dass in diesem umfassenden Bericht lediglich kurz und ohne weitere Ausführungen konstatiert wird, dass im Evaluierungsverfahren „angemerkt [wurde], dass Geheimhaltungsinteressen der Unternehmen im Rahmen der Auskunftspflicht nach Artikel 15 DSGVO zu berücksichtigen seien“. Es sind jedoch keine Fälle bekannt, in denen das Auskunftsrecht durch Betroffene missbraucht wird, um Geschäftsgeheimnisse in Erfahrung zu bringen und gegen die Interessen der Verantwortlichen zu verwenden. Insofern fehlt es der geplanten Regelung bereits an der gebotenen Erforderlichkeit.
3. Unterlaufen des Rechts- und Grundrechtsschutzes der Betroffenen
Sollten tatsächlich im Einzelfall ganz überwiegende Geheimhaltungsinteressen aufgrund von schutzwürdigen Betriebs- oder Geschäftsgeheimnissen bestehen, werden diese bereits jetzt durch Art. 15 Abs. 4 DSGVO und § 29 Abs. 1 S. 2 BDSG gewahrt. Indem die Bundesregierung Betriebs- und Geschäftsgeheimnisse nun als pauschal schützenswert deklariert, verschiebt sie jedoch die gebotene und in der DSGVO angelegte Abwägung einseitig zugunsten der Wirtschaft. Eine derart einseitige Positionierung stellt jedoch nicht nur das Gegenteil einer grundrechtsorientierten Politik dar, sondern widerspricht auch der grundlegenden Wertung des Art. 1 DSGVO, der auf den Schutz natürlicher Personen abzielt. Eine bloße Abwägung zwischen den Interessen der betroffenen auskunftsersuchenden Person (qua Definition Art. 4 Nr. 1 DSGVO eine natürliche Person) und den Betriebs- und Geschäftsgeheimnissen einer juristischer Personen läuft also der DSGVO grundlegend zuwider und ist nicht mit ihr vereinbar.
Der geplanten Änderung liegt somit ein problematisches Verständnis des Auskunftsrechts zugrunde, das zum einen zweckfrei und umfassend garantiert ist, aber auch die Möglichkeit der Durchsetzung des Datenschutzes garantieren soll. Das Recht auf Auskunft gemäß Art. 15 DSGVO ist eine zentrale Voraussetzung der Geltendmachung der Rechte von Betroffenen nach der DSGVO. Der Verarbeitung personenbezogener Daten wohnt in der Regel ein erhebliches Machtgefälle zwischen dem Verantwortlichen und den Betroffenen inne. Während der Verantwortliche die Einzelheiten der eigenen Verarbeitung, etwa eingesetzte Auftragsverarbeiter, kennt, fehlt den Betroffenen in der Regel dieses Wissen. Ohne den Auskunftsanspruch fehlt den Betroffenen zumeist die nötige Kenntnis, um die Rechtskonformität der Verarbeitung zu prüfen und bei Verstößen rechtliche Mittel zu ergreifen.
Die Ausnahme zum Schutz von Geschäfts- und Betriebsgeheimnissen gibt den Verantwortlichen eine weitgehende Möglichkeit diese Möglichkeit zu unterlaufen. Denn sie zielt drauf ab, dass sich Verantwortliche vermehrt auf eine solche Ausnahme berufen und etwa bislang unbekannte Verarbeitungen zu eigenen Zwecken verschweigen. Diese eigenen Zwecke und unbekannten Verarbeitungen können Geschäftsgeheimnisse im Sinne von § 2 Nr. 1 GeschGehG darstellen. Obgleich in einem solchen Fall das Interesse an der Geheimhaltung die Interessen der Betroffenen regelmäßig nicht überwiegen werden, ist eine weitgehende Anwendung der Ausnahmeregel durch Verantwortliche zu befürchten – insbesondere durch solche, deren Geschäftsmodelle auf einer exzessiven und rechtswidrigen Datenverarbeitung und -weitergabe beruhen.
Ein Beispiel zur Veranschaulichung: Der Anbieter einer Zyklus-Tracking-App verkauft die Daten der Nutzer:innen, insbesondere Beginn und Ende der Periode samt E-Mail-Adresse an Werbepartner, um Gewinne zu erzielen. Die Werbepartner nutzen diese Daten, um die Nutzer:innen anhand ihrer E-Mailadresse auf sozialen Netzwerken zu den Zeitpunkten, zu denen sie aufgrund einer Analyse des Zyklus meinen, dass die jeweilige Nutzer:in besonders offen für Werbung für bestimmte Produkte ist, mit Werbeanzeigen für eben diese Produkte zu adressieren (z. B. mittels Facebook Custom Audience). Gemäß Art. 15 Abs. 1 Buchst. c DSGVO hat der Anbieter im Fall eines Auskunftsersuchens diese Datenweitergaben offenzulegen. Sofern keine den Grundsätzen der Art. 7 sowie Art. 9 Abs. 1 Buchst. a DSGVO genügende Einwilligung vorliegt, ist die Weitergabe rechtswidrig. Prinzipiell könnte die Monetarisierung sowie die konkreten Vertragspartner als Geschäftsgeheimnis deklariert werden. Obgleich die Interessen der Betroffenen hier die Interessen des Verantwortlichen an der Geheimhaltung weit überwiegen, ist zu befürchten, dass Verantwortliche die Weitergaben verschweigen und sich dabei auf die avisierte Ausnahme stützen. Die Betroffenen hätten keine Möglichkeit, von der illegalen Verarbeitung zu erfahren und wären erheblich in ihren Rechtsschutzmöglichkeiten beschränkt.
Die geplanten Änderungen verkennen also den wesentlichen Zweck des Auskunftsrechts und würden zu einer weitgehenden Beschränkung der Durchsetzung von Betroffenenrechten führen. Im Ergebnis droht eine gesetzgeberische Fixierung des Geschäftsgeheimnisschutzes als Ausnahme von Auskunftsrecht im BDSG zu einer exzessiven Anwendung dieser Ausnahme zu führen, die in ihren Konsequenzen weit über das Auskunftsrecht selbst hinausgeht.
4. Besondere Risiken für Betroffene im Kontext automatisierter Entscheidungen
Besonders problematisch könnte die geplante Ausnahme für die Auskunft im Rahmen von Art. 15 Abs. 1 Buchst. h DSGVO sein. Danach hat der Verantwortliche, soweit er automatisierte Entscheidungsfindungsprozesse durchführt, den Betroffenen aussagekräftige Informationen über das Bestehen eines solchen Verfahrens sowie über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für betroffene Personen zur Verfügung zu stellen. Dies betrifft auch Datenverarbeitungen durch sogenannte „Künstliche Intelligenz“ (KI).
Entscheidungs- oder Empfehlungssysteme können erhebliche Auswirkungen auf die Grundrechte der Betroffenen haben, wie sowohl Art. 22 DSGVO als auch die im Entstehen befindliche KI-Verordnung (AI ACT) zeigen. Insbesondere bei Entscheidungssystemen, die auf maschinellem Lernen beruhen, besteht eine erhebliche Gefahr von Diskriminierung, vor allem durch die Fortschreibung bestehender Ungleichheiten in den Trainingsdaten. Entscheidungen dieser Art müssen daher umfangreicher rechtlicher Kontrolle unterliegen. Dies erfordert zunächst umfangreiche Transparenz der Systeme.
Laut den Schlussanträgen des Generalanwalts am EuGH vom 16.03.2023 [C-634/21] kommt dem Auskunftsanspruch im Hinblick auf Berechnungsmethoden in automatisierten Entscheidungsfindungsprozessen große Bedeutung zu. Im Verfahren hatte sich die Schufa als Verantwortliche geweigert, Informationen über die Berechnungsmethode des Schufa-Scores herauszugeben und sich dabei auf den Schutz von Geschäftsgeheimnissen berufen.
Der Generalanwalt hält fest, dass der Schutz von Geschäftsgeheimnissen im Hinblick auf den 63. Erwägungsgrund durchaus in die Abwägung bei der Herausgabe von Informationen im Rahmen der Auskunft einbezogen werden kann. Jedoch betont er, dass Geschäftsgeheimnisse „nicht dazu führen dürfen, dass der betroffenen Person jegliche Auskunft verweigert wird.“ [RN. 56, auch Erwägungsgrund 63]. Demnach sei eine hinreichend detaillierte Erläuterung zur Methode für die Berechnung des Scores sowie die Gründe, die zu einem bestimmten Ergebnis geführt haben, offenhier auch als PDFzulegen, nicht jedoch die Formeln selbst. Der Schlussantrag des Generalanwalts zeigt, dass das bestehende Recht einen interessengerechten Ausgleich zwischen Transparenz und Geschäftsgeheimnissen ermöglicht und die vorgeschlagene Ausnahmeregelung im BDSG dazu nicht erforderlich ist.
Mit den geplanten Änderungen versucht die Bundesregierung nicht nur, der anstehenden Rechtsprechung des EuGH vorweg zu greifen und mit einer einseitigen Wertung im nationalen Recht zu unterlaufen. Die Beschneidung des Auskunftsrechts droht eine zentrale Möglichkeit von Betroffenen auszuhöhlen, riskante KI-Anwendungen einer rechtlichen Kontrolle zu unterwerfen.
Ergebnis: Das Auskunftsrecht nicht aufs Spiel setzen
Die geplanten Änderungen des Auskunftsrechts im BDSG würden das Auskunftsrecht ohne Not europarechtswidrig beschneiden.
Das Auskunftsrecht ist aus Sicht der Betroffenen eine der wenigen spürbaren Verbesserungen der DSGVO. Auch die Wissenschaft und die Zivilgesellschaft konnten mit Analysen und Beschwerden auf der Grundlage von Betroffenenauskünften das Bewusstsein für den Datenschutz und seine Durchsetzung maßgeblich stärken. In Zeiten eines ausufernden Überwachungskapitalismus, der weitgehend auf dem fragwürdigen Handel mit persönlichsten Daten basiert und der flächendeckenden Etablierung von automatisierten Entscheidungssystemen, halten wir es deshalb für ein fatales Zeichen, ausgerechnet das Auskunftsrecht auf Spiel zu setzen.
Wir hoffen sehr, dass sich das BMI als Teil der Regierung auf ihren Anspruch einer evidenzbasierten und den Grundrechten verpflichteten Politik besinnt und daher im weiteren Gesetzgebungsverfahren von der Beschränkung des Auskunftsrechts Abstand nimmt. Dazu sollte mindestens die Einfügung der Abwägung des Auskunftsrechts mit Betriebs- und Geschäftsgeheimnissen in § 34 Abs. 1 Nr. 2 BDSG gestrichen werden. Im besten Fall schlägt das BMI stattdessen alternative Maßnahmen vor, die tatsächlich geeignet sind, den Datenschutz zu stärken und seine Durchsetzung und Kohärenz zu fördern.