2: Pressemitteilungen
Entwurf zum Bundesdatenschutzgesetz verspielt Chance auf besseren Datenschutz!
Pressemitteilung der unabhängigen Datenschutzbehörden der Länder
Am heutigen Mittwoch hat das Bundeskabinett den Entwurf zu einem neuen Bundesdatenschutzgesetz (BDSG) beschlossen, der jetzt in den Bundestag eingebracht werden soll. Anlass der Gesetzesnovelle ist das neue EU-Datenschutzrecht, bestehend aus der Datenschutz-Grundverordnung (DS-GVO) und der Datenschutz-Richtlinie im Bereich Justiz und Inneres. Die Mitgliedstaaten haben bis Mai 2018 ihr nationales Datenschutzrecht an die Verordnung anzupassen und die Richtlinie in nationales Recht umzusetzen.
Nach Auffassung der unabhängigen Datenschutzbehörden der Länder wird der im Bundeskabinett beschlossene Gesetzentwurf den europarechtlichen Vorgaben nicht gerecht und stellt bereits bestehende datenschutzrechtliche Standards in Frage. So schränkt der Entwurf die Informations-, Auskunfts- und Löschrechte der betroffenen Personen erheblich ein. Diese Einschnitte in die Betroffenenrechte stellen lediglich eine Arbeitserleichterung für die Daten verarbeitenden Stellen dar und stehen dem Schutzcharakter der Vorschriften zur Auskunft, Information und Löschung von Daten diametral entgegen. Die DS-GVO gestattet dem nationalen Gesetzgeber nur in sehr engem Rahmen weitere Einschränkungen der Betroffenenrechte vorzusehen. Entsprechend der Intention der DS-GVO haben die Verantwortlichen vielmehr primär durch geeignete technische und organisatorische Maßnahmen dafür Sorge zu tragen, ihren Informations-, Auskunfts- und Löschpflichten zu genügen. Der nationale Gesetzgeber sollte auf eine weiter gehende Beschneidung der Betroffenenrechte verzichten.
Der Entwurf beschränkt zudem die Aufsichtsbefugnisse der Datenschutzbehörden gegenüber Berufsgeheimnisträgern dahingehend, dass sie ihnen und ihren Auftragsverarbeitern gegenüber nur ausgeübt werden dürfen, soweit hierdurch keine Berufsgeheimnisse verletzt werden. Gerade im Bereich der Tätigkeit von Berufsgeheimnisträgern werden häufig besonders schützenswerte Daten, wie z.B. Gesundheitsdaten, verarbeitet. Eine gesonderte Regelung für Beschränkungen der Aufsicht bei Berufsgeheimnisträgern ist weder notwendig noch verhältnismäßig, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Der Gesetzgeber sollte hier keine derart undifferenzierte Regelung treffen.
Darüber hinaus sieht der Gesetzentwurf zur Verarbeitung von Gesundheitsdaten sehr weitgehende Regelungen ohne Interessenabwägung vor. Er schafft damit zu allgemeine gesetzliche Verarbeitungsbefugnisse sowohl für nicht-öffentliche als auch öffentliche Stellen. Es werden zudem keine verbindlichen technisch-organisatorischen Schutzmaßnahmen geregelt. Dies kann zu Lücken im gebotenen Grundrechtsschutz führen.
Daten dürfen nur zu einem oder mehreren vorab festgelegten Zwecken verarbeitet werden. Die auch hier bestehende Möglichkeit für den nationalen Gesetzgeber, in engem Rahmen konkrete Normen zur Zweckänderung zu schaffen, ist als Ausnahmetatbestand restriktiv auszulegen. Die detaillierten nationalen Regelungen des Gesetzentwurfs überdehnen ihn aber über alle Maßen, höhlen damit die Zweckbindung weiter aus und konterkarieren überdies das Ziel der Vereinheitlichung des europäischen Rechts. Diese Aushöhlung des Grundsatzes der Zweckbindung darf nicht Gesetzeskraft erlangen.
Wiederholt haben die Datenschutzbeauftragten des Bundes und der Länder ein umfassendes Gesetz zum Beschäftigtendatenschutz gefordert. Der Gesetzentwurf sieht demgegenüber lediglich einige klarstellende Regelungen für den Beschäftigtendatenschutz vor. Stattdessen bedarf es aber detaillierter bereichsspezifischer Regelungen auf Grundlage der DSGVO.
Auch im Entwurf zum neuen BDSG findet sich die ausgeweitete Regelung zur Video- überwachung durch Private, wie sie bereits mit dem „Videoüberwachungs- verbesserungsgesetz“ eingefügt werden soll. Diesbezüglich wird auf die Entschließung der DSK vom 09.11.2016 verwiesen. Schließlich kritisieren die Datenschutzbehörden der Länder, dass die Bundesbeauftragte für den Datenschutz als alleinige Vertreterin für alle deutschen Datenschutzbehörden im Europäischen Datenschutzausschuss (EDSA) vorgesehen ist. Stattdessen fordern die Landesdatenschutzbehörden eine Vertretungsregelung, die nicht nur der Unabhängigkeit aller Aufsichtsbehörden, sondern auch den tatsächlichen Vollzugszuständigkeiten Rechnung trägt, die vorwiegend bei den Ländern liegen. Dem EDSA kommt zukünftig eine zentrale Bedeutung zu, kann dieser doch Beschlüsse treffen, die für alle Aufsichtsbehörden verbindlich sind.
Der vom Kabinett verabschiedete Entwurf ist nach alledem trotz einiger Verbesserungen im Vergleich zu Vorentwürfen an einigen Stellen europarechtlich zweifelhaft und enthält eine Reihe von datenschutzrechtlichen Rückschritten.