Gesetzentwurf: Kritik am Datenschutz
Das Bundesinnenministerium (BMI) beteiligt jetzt Länder und Verbände an der Diskussion über den Gesetzentwurf zur Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) in deutsches Recht. Ein Referentenentwurf mit Stand vom 23. November wurde geleakt. Es ist bereits der zweite Entwurf aus dem BMI, der öffentlich bekannt wurde. Ein erster Referentenentwurf stammte aus dem August – und musste in der Zwischenzeit noch einmal überarbeitet werden, weil er bei der Ressortabstimmung massiv kritisiert wurde, vor allem aus dem Bundesjustizministerium (BMJV). Schon von der Struktur des Gesetzentwurfs zeigten sich die Mitarbeiter von Justizminister Heiko Maas „nicht überzeugt“. „Wir halten den Regelungsansatz aus Sicht der Normanwender – also Behörden, Unternehmen, Bürgerinnen und Bürger – nicht für verständlich“, heißt es in der Stellungnahme, die ebenfalls geleakt wurde. Mit harschen Worten wurde kritisiert, dass im Entwurf Regelungen der DSGVO umfangreich wiederholt würden. Das sei europarechtlich problematisch: „BMI beruft sich zwar auf die einschlägige EuGH-Rechtsprechung und EG 8 DSGVO, dürfte aber deren Bedeutung verkennen“, schreibt das BMJV wenig freundlich.
Auch die Bewertung der Bundesbeauftragten für den Datenschutz fiel nicht besonders zurückhaltend aus. Nach der Beschreibung der Ziele des Gesetzes, nämlich
- die Regelungsaufträge und einen Teil der Regelungsoptionen aus der DGVO umzusetzen,
- allgemeine Bestimmungen zur EU-Richtlinie für Justiz und Inneres (JI-Richtlinie) (2016/680) zu erlassen,
- und allgemeine Regelungen für die Verarbeitung personenbezogener Daten durch solche öffentliche Stellen des Bundes zu schaffen, deren Tätigkeiten nicht im Anwendungsbereich des Unionsrechts liegen,
fällt das deutliche Urteil:
„Dieser gewählte Ansatz ist nicht nur überambitioniert, sondern er ist h.E. verfehlt und weitgehend misslungen.“
Nach diesen Rückmeldungen hat das BMI den Entwurf deutlich überarbeitet: Aus den 79 Seiten des August-Entwurfes sind nun 123 Seiten geworden, aus 62 Paragraphen wurden 79. Auch einen neuen alten Namen hat das Gesetz bekommen, das aus dem „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU 2016/680)“ (DSAnpUG-EU) hervorgehen soll. Im August wollte das BMI noch ein neues „Allgemeines Bundesdatenschutzgesetz – ABDSG“ schaffen und damit das bisherige Bundesdatenschutzgesetz (BDSG) ersetzen. Jetzt soll das BDSG zwar neu formuliert, aber als Gesetzesname erhalten bleiben.
Das neue BDSG soll sich in drei Teile aufteilen. In Teil 1, den „Gemeinsamen Bestimmungen“, werden unter anderem die Rechtsgrundlagen der Verarbeitung personenbezogener Daten und der Videoüberwachung geregelt. Außerdem finden sich hier die Paragraphen zu den Datenschutzbeauftragten öffentlicher Stellen und zum Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Der zweite Teil enthält die Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der DSGVO. Im dritten Teil erfolgt die Umsetzung der EU-Richtlinie für Justiz und Inneres.
Die neue Gesetzesstruktur hat auch deutliche Auswirkungen auf den Inhalt der einzelnen Paragraphen. So füllte im August-Entwurf der §4 „Verarbeitung personenbezogener Daten durch öffentliche Stellen“ etwa eine DIN A4-Seite, im November-Entwurf lautet der §3 mit der gleichen Überschrift: „Unbeschadet anderer Rechtsgrundlagen ist die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.“ Die vorher an dieser Stelle vorhandene Aufzählung von Anwendungsfällen im öffentlichen Interesse ist nun in geänderter Form in §22 zu finden und damit in Teil 2, dem DSGVO-Teil.
Was für Nicht-Juristen kompliziert klingt, ist auch für Juristen nicht unbedingt einfach zu verstehen. So lautet die erste Einschätzung von Rechtsanwalt Tym Wybitul von der Kanzlei Hogan Lovells zum neuen Referentenentwurf: „Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwer verständlich.“ Er verweist darauf, dass die nationale Umsetzung der DSGVO eigentlich, „die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher“ machen soll – und hat Zweifel, ob der Entwurf dieses Ziel erreicht.
Die große Komplexität könnte nach Meinung von Kritikern auch der Absicht des BMI schaden, die Spielräume der DSGVO wirtschaftsfreundlich zu nutzen. In der Gesetzesbegründung betont das BMI, dass dies im Gesetzesentwurf umgesetzt sein soll. „Der vorliegende Gesetzentwurf enthält keine Regelungen, die zusätzlichen Erfüllungsaufwand bei der Wirtschaft auslösen. Soweit der Gesetzesentwurf Betroffenenrechte einschränkt, führen sie bei den Unternehmen zu einer Reduzierung von Pflichten, die ohne den Gesetzentwurf unmittelbar durch die Verordnung (EU 2016/679 ausgelöst worden wären.“
Auch Anwalt Wytibul attestiert dem BMI, es versuche, „der Wirtschaft Gutes zu tun“. Dennoch kommt er zu dem Schluss, dass der erste Eindruck des geplanten Gesetzes „aus Unternehmenssicht wenig Gutes“ verheißt. Außer den Schwierigkeiten bei der Anwendung wegen der unzureichenden Verständlichkeit des Entwurfs sieht er die Unternehmen mit der Gefahr einer Rechtsunsicherheit konfrontiert. Viele Regelungen seien „europarechtlich durchaus nicht unproblematisch“. Auch wesentliche Kritikpunkte der Bundesdatenschutzbeauftragten und des BMJV seien nicht ausgeräumt. Damit stelle sich die Frage ob der Gesetzentwurf eine Mehrheit im Bundestag finde. Neben der Mehrheit im Bundestag ist auch die Zustimmung des Bundesrates nötig.
Abgesehen von der Frage, wie das Datenschutzrecht in Deutschland ab dem 28. Mai 2018 mit Inkrafttreten der DSGVO denn nun tatsächlich aussieht, stellt sich für in mehreren EU-Ländern tätige Firmen auch noch das Problem, dass die nationalen Umsetzungen der EU-Richtlinie sich voneinander unterscheiden können – und sie sich dann trotz einer EU-Richtlinie, die für gleiche Standards sorgen sollte, mit zahlreichen nationalen Datenschutzgesetzen auseinandersetzen müssen.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.