Grundsätzlich wäre der heutige Tag, der Tag des Datenschutzes, ein echter Tag zum Feiern, blickt man zurück auf das letzte Jahr und damit verbunden, auf die Inkraftsetzung der Europäischen Datenschutzgrundverordung (DS-GVO) am 25. Mai 2016 mit Geltung ab dem 25. Mai 2018.
Nach langem Anlauf, mit viel Energie und Engagement, insbesondere gegen eine Schar von Lobbyisten, hat es die EU Kommissarin Viviane Reding das bis dorthin scheinbar kaum Mögliche geschafft und eine für ganz Europa direkt umzusetzende Datenschutznorm in Form einer Verordnung gegen erhebliche Widerstände der Lobbyisten verschiedenster Couleur aus der Taufe gehoben.
Und nicht nur das. Schaut man sich diese Verordnung genauer an, besteht kein Zweifel, dass das deutsche Bundesdatenschutzgesetz hier Pate gestanden hat. Auch eine Art Anerkennung für ein bislang in Europa einzigartigs Gesetz, das sich – insbesondere nach der letzten Reform 2009 – lage Zeit praktisch bewährt hat und ein gutes Schutzrecht für die personenbezogenen Daten der Menschen, die Betroffenen, wie es das Bundesdatenschutzgesetz (BDSG) ausdrückt, war.
In dieser Verordnung hinzu kamen die auch für deutsche Datenschützer neuen Grundsätze und Meilensteine im Datenschutzrecht wie das Martkortprinzip, das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit, Privacy by Design/Privacy by Default, die Datenschutz-Folgenabschätzung, Beibehaltung der Zweckbindung im bisher gültigen Umfang, Selbstregulierung und Zertifizierung, die Verhängung von erheblichen höheren Bußen als bisher, sowie die Möglichkeit der besseren Kooperation der Datenschutzaufsichtsbehörden in Europa.
Allerdings, was auch sicherlich zu erwarten war, nicht alles aus dem BDSG hat den Weg in diese neue Verordnung gefunden. Die Anforderungen an eine wirksame Einwilligung hinsichtlich der „personenbezogenen Daten besonderer Art“ wurden zurückgeschraubt, die Erfoderlichkeit der Schriftform diesbezüglich wurde ganz gestrichen. Der Grundsatz der Datensparsamkeit in der alten Form wird von der DS-GVO nicht mehr getragen ebenso wie der bisherige Wille der Einschränkung der Profilbildung. Auch blieben im Laufe des Verfahrens einige Zulässigkeitsregelungen auf der Strecke wie zum Beispiel hinsichtlich Vorschriften über die Videoüberwachung oder der automatisierte Abrufverfahren.
Wie die weithin anerkannten Datenschutzexperten Gola, Jaspers, Müthlein, Schwartmann in der Publikation„Datenschutzgrundverordung“ treffend anmerken, ist nicht zu verkennen, dass „…auf der Suche nach einem politischen Kompromiss die DS-GVO an vielen Stellen durch ihre Generalklauseln und unbestimmten Rechtsbegriffe vage geblieben ist.[…] Daher sind gem. Art. 70 Abs. 1 DSGVO von den Aufsichtsbehörden „Interpretations- und Orientierungshilfen zu erstellen beziehungsweise an die neue Rechtslage anzupassen“.
Dies findet seinen Ausdruck insbesondere in den circa 50 bis 60 „Öffnungsklauseln“, die nationalem Recht Vorrang geben sprich, die nationalen Gesetzgeber hier die Möglichkeit haben, in ihren diversen nationalen Datenschutznormen auf landesspezifische Besonderheiten einzugehen beziehungsweise noch eigene politische Zielsetzungen zum Ausdruck zu bringen.
Die freudige Erwartung der heimischen Datenschützer, dass aufgrund der „Patenschaft“ des BDSG, dieses bestenfalls im Prinzip lediglich um die neuen Grundätze erweitert werden würde, war spätestens nach dem ersten Entwurf eines neuen BDSG – dem sogenannten Allgemeinen Bundesdatenschutzgesetz (ABDSG) – von Innenminister Thomas de Maizière doch sehr gedämpft.
Neben der sicherlich zu vernachlässigen Frage, wer sich den Namen der Norm zu Umsetzung hat einfallen lassen („Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)“, haben sich viele Datenschutzexperten beim Lesen des ersten Entwurfs vom September 2016 nicht nur aufgrund diese Namens die Augen gerieben. In der Folge hagelte es von vielen diversen Verbänden und NGOs niederschmetternde Kritik. Sie sprachen sogar von „grundrechtlichem Sprengstoff“.
Auch die veröffentlichten Stellungnahmen des Bundesjustizministeriums (BMJV) und der Bundesdatenschutzbeauftragten (BfDI) sehen den Entwurf eher kritisch. Im Wesentlichen richtet sich die Kritik gegen die Aufweichung der Zweckbindung, der Schwächung der Betroffenenrechte und der ganz offensichtlichen Schaffung eines neuen Fundaments für einen Ausbau der Videoüberwachung – ganz im Sinne der gebetsmühlenartigen Forderungen de Maizières nach der Verstärkung der Videoüberwachung.
So bemängelt das BMJV in seinem Schreiben bereits zu Anfang, dass dieser Regelungsansatz „…aus Sicht der Normanwender“ – also Behörden, Unternehmen und Bürgerinnen und Bürger – „…nicht verständlich […]“ sowie „die Umsetzung der Datenschutz-Richtlinie […] äußerst lückenhaft“ sei. Insbesondere macht das BMJV explizit darauf aufmerksam, dass aus seiner Sicht und „…innerhalb der Bundesregierung immer Einigkeit [bestand- der Autor] –, das bestehende Datenschutzniveau des BDSG auch unter der DS-GVO nicht zu unterschreiten“
Die Beauftragte für den Datenschutz und die Informationsfreiheit kommt in ihrer Stellungnahme vom 31. August 2016 auf Seite 4 von 60 zu dem vernichtenden Ergebnis, dass die Zielsetzung des Entwurfs mit dem hier gewählten Ansatz nicht nur ambitioniert sei, sondern auch weitesgehend misslungen.
Die Deutsche Vereinigung für Datenschutz (DVD) kritisiert, dass der Entwurf „alte und teilweise auch neue europarechts- und verfassungswidrige inakzeptable Regelungen“ enthalte. Deren Vorsitzender, Frank Spaeing, kritisiert: „Der Entwurf ist eher ein Datenschutzverhinderungsgesetz.“ Peter Schaar, der ehemalige Bundesdatenschutzbeauftragte und heutige Vorsitzende der Europäischen Akademie für Datenschutz und Informationsfreiheit, kritisiert den Entwurf als europarechtswidrig, handwerklich schlecht gemacht und als Schwächung des Datenschutzes.
In der Folge dieser massiven Kritik zog das Innenministerium diesen Entwurf wieder zurück und veröffentlichte am 23. November 2016 einen zweiten Entwurf. Ergebnis: Von Verbesserung keine Spur – im Gegenteil. Wiederum stellen die Datenschutzanalysten dem Innenminister ein vernichtendes Urteil aus, hat sich doch gegenüber dem ersten Entwurf hinsichtlich der oben genannten wesentlichen Kritikpunkte im Wesentlichen nichts geändert.
Wenn also heute der „Tag des Datenschutzes“ ausgerufen wird, darf man zurecht die Frage stellen, ob dies vor dem Hintergrund der politischen Bestrebungen des Innenministers, die bisherigen Erfolge auf europäischer Ebene mit dem DS-GVO und dem verbesserten Schutz der Bürgerdaten national faktisch zunichte zu machen, in Deutschland wirklich ein Tag zum feiern ist? Quo vadis ABDSG?
Die Datenschutzbeauftragten und Compliance Officer in den deutschen Unternehmen werden jedenfalls aus ihrer bisherigen Situation, seit der Inkraftsetzung der DS-GVO noch immer nicht zu wissen, was sie in ihren Firmen zur Umsetzung bis 2018 konkret unternehmen müssen, nicht befreit. Ganz im Gegenteil.
An dieser Stelle darf gefragt werden – auch wenn sich diverse Protagonisten landauf, landab in Workshops und teuren Beratungsgesprächen ereifern gute Ratschläge zu geben, was zur Umsetzung zu tun sei – ob das vor dem Hintergrund dieser Situation im deutschen Gesetzgebungsverfahren nicht Kaffeesatzleserei ist?
Das Einzige, was nach Ansicht des Autors allerdings konkret getan werden kann, ist, dass Kolleginnen und Kollegen auf Ihre Geschäftsleitung und die IT-Abteilungen zuzugehen und mit ihnen beraten, wie die Grundsätze nach dem Recht auf Vergessenwerden und dem Recht auf Datenübertragbarkeit zeitnah, technisch angemessen und wirtschaftlich umsetzbar sind. Und dies nicht nur vor dem Hintergrund des Datensschutzes, sondern auch mit Blick auf die Anfordernisse, die im Rahmen von IT-Sicherheit getroffen werden müssen, da sich hierbei erhebliche Schnittmengen ergeben beziehungsweise Synergieergebnisse erzielen lassen.
Weiterführende Literatur:
- Gola/Jaspers/Müthlein/Schwartmann, Datenschutzgrundverordnung im Überblick 2016, 1. Auflage 2017, Datakontext GmbH
