Die DS-GVO kommt: Was bedeuten die neuen Datenschutzregeln für MdBs?
Der Countdown läuft: In knapp zwei Monaten müssen die Regelungen der Europäischen Datenschutz-Grundverordnung (DS-GVO), die die Rechte der Bürger an ihren personenbezogenen Daten stärken soll, von den Unternehmen und öffentlichen Stellen umgesetzt sein. Auch vom Deutschen Bundestag? Daniel Mundil vom Wissenschaftlichen Dienst des Bundestages hat die Abgeordneten in einem Infobrief über mögliche Auswirkungen der DS-GVO auf ihre Arbeit informiert. Doch die Betonung liegt auf „möglich“, denn es ist längst nicht geklärt, ob die Verordnung überhaupt für Fraktionen und Abgeordnete gilt.
Definition „Öffentliche Stellen“
Betrachtet man die Auswirkungen der DS-GVO auf die Arbeit der MdBs und Fraktionen stellt sich zunächst die Frage, ob die Regelungen der Verordnung überhaupt Anwendung auf den parlamentarischen Bereich finden. Weder in der DS-GVO noch im Bundesdatenschutzgesetz (BDSG) ist das eindeutig geregelt. Da die Organisation der nationalen Parlamente grundsätzlich nicht in den Anwendungsbereich des Unionsrechts fällt, sondern sich aus dem Verfassungsrecht der jeweiligen Mitgliedsstaaten ableitet, müsste die DS-GVO grundsätzlich gar nicht verbindlich sein – so eine Argumentation. Allerdings ist im neuen BDSG festgelegt, dass die Regelungen der DS-GVO für „öffentliche Stellen“ gelten, sofern nichts Abweichendes geregelt ist. Unter der Voraussetzung , dass Fraktionen und Abgeordnete unter „öffentliche Stellen“ fallen, findet die DS-GVO also sehr wohl auf Fraktionen und MdBs Anwendung. Die rechtswissenschaftliche Literatur tendiert dazu, den Bundestag und seine Untergliederungen – das heißt auch Fraktionen – als öffentliche Stelle in diesem Sinne anzusehen. Individuelle Abgeordnete sollen nach überwiegender Meinung allerdings nicht darunter fallen.
Dies könnte für die Anwendung der DS-GVO jedoch nicht „rechtspraktisch“ sein, argumentiert Mundil. Denn die Abgeordneten würden in diesem Fall anderen datenschutzrechtlichen Regelungen unterliegen als die Fraktionen und damit in den Zuständigkeitsbereich der Landesdatenschutzbeauftragten als Aufsichtsbehörde fallen – statt in den der Bundesdatenschutzbeauftragten. Für die Ausübung der Mandatstätigkeit liege es nach Ansicht des Autors sowieso nahe, Abgeordnete als öffentliche Stelle anzusehen, da Fraktionen ihren Status aus dem der Abgeordneten herleiten.
Aufsichtsbehörden und Gewaltenteilung
Eine weitere Argumentation, den parlamentarischen Bereich von der Anwendung der DS-GVO – zumindest hinsichtlich der datenschutzrechtlichen Aufsicht – auszunehmen führte der Ausschuss für Wahlprüfung, Immunität und Geschäftsordnung Ende April 2017 an. Der Bundestagsausschussstellte stellte in einer Stellungnahme fest:
„Die DS-GVO darf die innerstaatliche Gewaltenteilung, die ein allen Verfassungen der EU-Mitgliedsstaaten immanentes Prinzip ist, nicht aushebeln.“
Damit meint der Ausschuss, dass die Legislative – also die Parlamente – von den Kontrollrechten, die die DS-GVO der Exekutive in Gestalt der Datenschutzbeauftragten zuschreibt, ausgenommen werden müsse. Auch derzeit haben die Datenschutzbeauftragten als Aufsichtsbehörden de jure keine Kontrollbefugnis gegenüber dem Parlament – um verfassungskonform zu bleiben, wird das Verhältnis zwischen Datenschutzbeauftragten und Parlament als „Kooperation“ ausgelegt.
Was würde sich ändern?
Fazit ist: Ob die DS-GVO die Arbeit der MdBs und Fraktionen verändern und möglicherweise verkomplizieren wird, ist ungewiss. Ordnet man Abgeordnete und Fraktionen als öffentliche Stellen im Sinne des § 2 Abs. 1 BDSG ein, hätte dies zum Ergebnis, dass diese den gleichen datenschutzrechtlichen Vorgaben unterliegen wie Behörden, Stiftungen und andere öffentliche Stellen . Webseiten der Fraktionen und MdBs müssten angepasst werden, falls sie auf jenen die Daten der Nutzer erheben. Sie müssen dann Löschungsansprüchen von Betroffenen stattgegeben und Auskunftsrechten stärker Rechnung tragen. Außerdem wären die Fraktionen sowie Abgeordnetenbüros verpflichtet, einen Datenschutzbeauftragten zu benennen. Neben der Möglichkeit, dass jedes Büro einen eigenen Datenschutzbeauftragten bestellt, wäre es dabei nach Mundil rechtskonform, einen externen Dienstleister mit den Aufgaben dieser Funktion zu betrauen oder einen gemeinsamen Datenschutzbeauftragten zu bestellen.
Ob die Regelungen der DS-GVO für die MdBs und Fraktionen wirklich zum Tragen kommt, wird sich letztendlich aber erst an der Verwaltungspraxis der Aufsichtsbehörden sowie an zukünftigen Gerichtsentscheidungen zeigen.