Der Bundestag wird morgen ein neues Datenschutzgesetz beschließen, das laut Kritikern „europarechtswidrige und datenschutzfeindliche Positionen“ enthält. Unter anderem werden die Kontrolle des Bundesnachrichtendienstes geschwächt und Videoüberwachung ausgeweitet. Wir haben zentrale Kritikpunkte zusammengefasst.

Seitdem wir im September 2016 einen Referentenentwurf des neuen Datenschutzgesetzes veröffentlichten, ist die Kritik daran nicht abgerissen. Der Gesetzentwurf wurde diverse Male durch das zuständige Innenministerium nachgebessert. Bevor es morgen im Bundestag beschlossen werden soll, liegen auch dort nochmal wichtige Änderungsanträge vor. Zufrieden dürften mit dem Gesetz trotzdem die wenigsten sein.

Die niedersächsische Datenschutzbeauftragte Barbara Thiel, gleichzeitig Vorsitzende der Datenschutzkonferenz von Bund und Ländern (DSK), konstatiert gegenüber netzpolitik.org: „Die Änderungsanträge gehen zwar in einigen Punkten in die richtige Richtung, im Ergebnis werden aber europarechtswidrige und datenschutzfeindliche Positionen beibehalten.“ Die Bundesregierung riskiere so ein Vertragsverletzungsverfahren der EU.

Warum ein neues Datenschutzgesetz?

Mit dem Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) soll das deutsche Recht an die neuen Vorgaben angepasst werden, auf die sich die Mitgliedstaaten und das EU-Parlament 2016 geeinigt haben. Dazu gehören die europäische Datenschutzgrundverordnung (DSGVO) und die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie). Letztere muss komplett in deutsches Recht umgewandelt werden. Die DSGVO tritt als Verordnung in den Mitgliedstaaten unmittelbar in Kraft, enthält aber eine Menge Öffnungsklauseln für nationale Sonderregeln.

Zentrale Kritikpunkte im Überblick

Die Große Koalition nutzt diese Möglichkeiten für Alleingänge erheblich aus. Laut Sachverständigen einer Bundestagsanhörung und der Kabinettschefin von EU-Justizkommissarin Věra Jourová enthält das neue Datenschutzgesetz sogar dort eigene Regelungen, wo keine Spielräume vorgesehen sind. Bei dem derzeitigen offenen Anti-Datenschutz-Kurs der Bundesregierung wenig verwunderlich: Das geschieht nicht, um Bürger und Verbraucher zu schützen. Wir haben einige zentrale Kritikpunkte an dem neuen Datenschutzgesetz zusammengetragen.

Noch schlechtere Kontrolle von Geheimdiensten und Behörden : Die Aufsichtskompetenzen der Bundesdatenschutzbeauftragten im „öffentlichen Bereich“ sollen geschwächt werden. Das betrifft die Kontrolle von Geheimdiensten, Polizei und weiteren Behörden. Nach den EU-Vorgaben müsste sie effektive Durchsetzungsbefugnisse gegenüber öffentlichen Stellen haben. Die Große Koalition will ihr jedoch nur nicht-bindende Beanstandungen zugestehen. „Dies ist europarechtswidrig und auch in der Sache falsch“, kommentiert die Bundesdatenschutzbeauftragte gegenüber netzpolitik.org. „Laut der EU-Richtlinie sollten Datenschutzaufsichtsbehörden zumindest die Möglichkeit haben, die Rechtmäßigkeit bestimmter Verarbeitungsvorgänge gerichtlich überprüfen zu lassen“, so Voßhoff weiter. Außerdem soll sie den Bundestag zukünftig nicht mehr proaktiv über Missstände beim Bundesnachrichtendienst informieren. In der Bundestagsanhörung zum Gesetzesvorhaben hatte der Rechtsprofessor Hartmurt Aden gewarnt, dies sei angesichts der weiteren Zersplitterung der Geheimdienstkontrolle durch das BND-Gesetz im vergangenen Jahr besonders kritisch. Aden äußerte zudem Bedenken, dass öffentliche Stellen weitreichende Möglichkeiten bekommen, bereits erhobene Daten für andere als die ursprünglich verabredeten Zwecke zu nutzen. Das würde „hinter den bisherigen Rechtsschutzstandard zurückfallen.“

: Die Aufsichtskompetenzen der Bundesdatenschutzbeauftragten im „öffentlichen Bereich“ sollen geschwächt werden. Das betrifft die Kontrolle von Geheimdiensten, Polizei und weiteren Behörden. Nach den EU-Vorgaben müsste sie effektive Durchsetzungsbefugnisse gegenüber öffentlichen Stellen haben. Die Große Koalition will ihr jedoch nur nicht-bindende Beanstandungen zugestehen. „Dies ist europarechtswidrig und auch in der Sache falsch“, kommentiert die Bundesdatenschutzbeauftragte gegenüber netzpolitik.org. „Laut der EU-Richtlinie sollten Datenschutzaufsichtsbehörden zumindest die Möglichkeit haben, die Rechtmäßigkeit bestimmter Verarbeitungsvorgänge gerichtlich überprüfen zu lassen“, so Voßhoff weiter. Außerdem soll sie den Bundestag zukünftig nicht mehr proaktiv über Missstände beim Bundesnachrichtendienst informieren. In der Bundestagsanhörung zum Gesetzesvorhaben hatte der Rechtsprofessor Hartmurt Aden gewarnt, dies sei angesichts der weiteren Zersplitterung der Geheimdienstkontrolle durch das BND-Gesetz im vergangenen Jahr besonders kritisch. Aden äußerte zudem Bedenken, dass öffentliche Stellen weitreichende Möglichkeiten bekommen, bereits erhobene Daten für andere als die ursprünglich verabredeten Zwecke zu nutzen. Das würde „hinter den bisherigen Rechtsschutzstandard zurückfallen.“ Geschwächte Datenschutzaufsicht bei Krankenhäusern, Arztpraxen und Anwaltskanzleien : Die Datenschutzkontrolle von sogenannten Berufsgeheimnissträgern soll ebenfalls eingeschränkt werden. Bestimmte Berufsgruppen, die einer gesetzlichen Schweigepflicht unterliegen, werden mit dem Gesetz nicht mehr dazu verpflichtet sein, den Kontrollbehörden Zutritt zu ihren Geschäftsräumen zu gewähren oder ihnen für die Kontrolle notwendige Daten und Informationen auszuhändigen. Aufsichtsbehörden können von ihnen dann nur noch Datenschutzkonzepte und -verfahren prüfen. Das gilt nicht nur für Krankenhäuser, Arztpraxen und Anwalts- oder Notariatskanzleien, sondern auch für Apotheken, Steuerberatungs- und Buchführungsbüros sowie für Unternehmen der privaten Kranken-, Unfall- oder Lebensversicherung. Von ihnen beauftragte Dienstleister wären gleichermaßen von der weitgehenden Kooperationspflicht befreit. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar warnte in der Bundestagsanhörung, dass für die oft besonders sensible Datenpraxis von Berufsgeheimnisträgern kontrollfreie Räume entstünden. „Ein derartiger aufsichtsfreier Raum widerspricht den Vorgaben des Bundesverfassungsgerichts, das eine lückenlose Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften durch unabhängige Datenschutzbehörden für unverzichtbar hält“, sagt Schaar gegenüber netzpolitik.org.

: Die Datenschutzkontrolle von sogenannten Berufsgeheimnissträgern soll ebenfalls eingeschränkt werden. Bestimmte Berufsgruppen, die einer gesetzlichen Schweigepflicht unterliegen, werden mit dem Gesetz nicht mehr dazu verpflichtet sein, den Kontrollbehörden Zutritt zu ihren Geschäftsräumen zu gewähren oder ihnen für die Kontrolle notwendige Daten und Informationen auszuhändigen. Aufsichtsbehörden können von ihnen dann nur noch Datenschutzkonzepte und -verfahren prüfen. Das gilt nicht nur für Krankenhäuser, Arztpraxen und Anwalts- oder Notariatskanzleien, sondern auch für Apotheken, Steuerberatungs- und Buchführungsbüros sowie für Unternehmen der privaten Kranken-, Unfall- oder Lebensversicherung. Von ihnen beauftragte Dienstleister wären gleichermaßen von der weitgehenden Kooperationspflicht befreit. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar warnte in der Bundestagsanhörung, dass für die oft besonders sensible Datenpraxis von Berufsgeheimnisträgern kontrollfreie Räume entstünden. „Ein derartiger aufsichtsfreier Raum widerspricht den Vorgaben des Bundesverfassungsgerichts, das eine lückenlose Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften durch unabhängige Datenschutzbehörden für unverzichtbar hält“, sagt Schaar gegenüber netzpolitik.org. Ausbau der Videoüberwachung : Mit dem Gesetz soll auch die Videoüberwachung des öffentlichen Raumes verstärkt werden, indem der Einsatz von Überwachungskameras in den öffentlich zugänglichen Bereichen privat betriebener Einrichtungen erleichtert wird. Wenn Private entsprechende Überwachungskameras installieren, müssen sie zuvor eine Datenschutzprüfung vornehmen, in die nun die allgemeine Sicherheitslage als „besonders wichtiges Interesse“ aufgenommen wird. Während bislang oft das Interesse der überwachten Personen überwogen hat, dürfte dieser neue Faktor die Abwägung meist pro Überwachung ausfallen lassen. Zu den in Zukunft somit vermutlich stärker überwachten Bereichen gehören öffentliche Veranstaltungen, Einkaufszentren, Diskotheken und andere Orte des öffentlichen Lebens. Mit dem Ausbau der Videoüberwachung hatte die Große Koalition es so eilig, dass sie mit dem Videoüberwachungsverbesserungsgesetz vor wenigen Monaten bereits das alte Bundesdatenschutzgesetz anpasste. Das DSAnpUG enthält nun die gleiche Regelung. In der Bundestagsanhörung kritisierten die Sachverständigen die Pläne durchweg: Sie seien europarechtswidrig und grundrechtsschädlich. Zuvor hatte unter anderem der Deutsche Richterbund den Ausbau der Videoüberwachung als „verfassungsrechtlich bedenklich“ bezeichnet. Die Datenschutzkonferenz von Bund und Ländern hatte gefordert, das Videoüberwachungsgesetz zurückzunehmen.

: Mit dem Gesetz soll auch die Videoüberwachung des öffentlichen Raumes verstärkt werden, indem der Einsatz von Überwachungskameras in den öffentlich zugänglichen Bereichen privat betriebener Einrichtungen erleichtert wird. Wenn Private entsprechende Überwachungskameras installieren, müssen sie zuvor eine Datenschutzprüfung vornehmen, in die nun die allgemeine Sicherheitslage als „besonders wichtiges Interesse“ aufgenommen wird. Während bislang oft das Interesse der überwachten Personen überwogen hat, dürfte dieser neue Faktor die Abwägung meist pro Überwachung ausfallen lassen. Zu den in Zukunft somit vermutlich stärker überwachten Bereichen gehören öffentliche Veranstaltungen, Einkaufszentren, Diskotheken und andere Orte des öffentlichen Lebens. Mit dem Ausbau der Videoüberwachung hatte die Große Koalition es so eilig, dass sie mit dem Videoüberwachungsverbesserungsgesetz vor wenigen Monaten bereits das alte Bundesdatenschutzgesetz anpasste. Das DSAnpUG enthält nun die gleiche Regelung. In der Bundestagsanhörung kritisierten die Sachverständigen die Pläne durchweg: Sie seien europarechtswidrig und grundrechtsschädlich. Zuvor hatte unter anderem der Deutsche Richterbund den Ausbau der Videoüberwachung als „verfassungsrechtlich bedenklich“ bezeichnet. Die Datenschutzkonferenz von Bund und Ländern hatte gefordert, das Videoüberwachungsgesetz zurückzunehmen. Scoring und algorithmische Entscheidungen : Das Gesetz ermöglicht es Versicherungen und Krankenkassen durch eine Ausnahme von der DSGVO, Leistungsentscheidungen zukünftig vollautomatisiert zu treffen. Das bislang geltende Prinzip, dass jeder Einzelfall von Menschen zu prüfen ist, wird damit umgekehrt. Gesundheitsdaten können künftig algorithmisch ausgewertet und Entscheidungen über Anträge dann vom Computer getroffen werden. Für Versicherte heißt das womöglich, dass sie bald nur noch automatisierte Ablehnungen in der Post finden, wenn ein Teil ihrer Arztrechnung nicht übernommen wird. Wer die Entscheidung anzweifelt, muss die Versicherung selbst anschreiben und um eine Überprüfung bitten. Auch in Sachen Scoring ist der Gesetzentwurf eine Enttäuschung: Zwar werden bislang geltende Regeln aus dem alten Bundesdatenschutzgesetz dem Inhalt nach übernommen. Ein Kredit-Scoring ausschließlich anhand der Wohnanschrift ist damit weiterhin nicht erlaubt. In Anbetracht der technischen Fortschritte in Sachen Profiling und Scoring ist dies jedoch ein schwacher Trost. Mehrere Sachverständige forderten ein eigenes Gesetz für diesen Bereich, der über Fragen des Datenschutzes hinausgehe.

: Das Gesetz ermöglicht es Versicherungen und Krankenkassen durch eine Ausnahme von der DSGVO, Leistungsentscheidungen zukünftig vollautomatisiert zu treffen. Das bislang geltende Prinzip, dass jeder Einzelfall von Menschen zu prüfen ist, wird damit umgekehrt. Gesundheitsdaten können künftig algorithmisch ausgewertet und Entscheidungen über Anträge dann vom Computer getroffen werden. Für Versicherte heißt das womöglich, dass sie bald nur noch automatisierte Ablehnungen in der Post finden, wenn ein Teil ihrer Arztrechnung nicht übernommen wird. Wer die Entscheidung anzweifelt, muss die Versicherung selbst anschreiben und um eine Überprüfung bitten. Auch in Sachen Scoring ist der Gesetzentwurf eine Enttäuschung: Zwar werden bislang geltende Regeln aus dem alten Bundesdatenschutzgesetz dem Inhalt nach übernommen. Ein Kredit-Scoring ausschließlich anhand der Wohnanschrift ist damit weiterhin nicht erlaubt. In Anbetracht der technischen Fortschritte in Sachen Profiling und Scoring ist dies jedoch ein schwacher Trost. Mehrere Sachverständige forderten ein eigenes Gesetz für diesen Bereich, der über Fragen des Datenschutzes hinausgehe. Verarbeitung besonders geschützter Datenkategorien : Die Datenschutzgrundverordnung definiert eine Reihe sensibler Datenkategorien, die besonders geschützt werden müssen. Dazu zählen Daten, aus denen Informationen über „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit“ hervorgehen. Außerdem „genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Ihre Verarbeitung ist durch die DSGVO und war auch durch das alte Bundesdatenschutzgesetz grundsätzlich untersagt und nur in wenigen Ausnahmefällen gestattet. Diese Ausnahmen werden mit dem neuen Datenschutzgesetz ausgeweitet und gehen laut der niedersächsischen Datenschutzbeauftragten Barbara Thiel über das von der DSGVO gestattete Maß hinaus.

: Die Datenschutzgrundverordnung definiert eine Reihe sensibler Datenkategorien, die besonders geschützt werden müssen. Dazu zählen Daten, aus denen Informationen über „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit“ hervorgehen. Außerdem „genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Ihre Verarbeitung ist durch die DSGVO und war auch durch das alte Bundesdatenschutzgesetz grundsätzlich untersagt und nur in wenigen Ausnahmefällen gestattet. Diese Ausnahmen werden mit dem neuen Datenschutzgesetz ausgeweitet und gehen laut der niedersächsischen Datenschutzbeauftragten Barbara Thiel über das von der DSGVO gestattete Maß hinaus. Einschränkung von Betroffenenrechten: Aufgrund der massiven öffentlichen Kritik wird die Bundesregierung ihre Pläne, von der DSGVO garantierte Rechte der informationellen Selbstbestimmung heftig zu beschneiden, wohl nicht durchsetzen können. Ursprünglich war geplant, dass Unternehmen die Lösch- und Auskunftsanfragen von Betroffenen unter anderem mit der Begrüdung eines „unverhältnismäßigen Aufwands“ ablehnen können. Ein vom Innenausschuss angenommener Änderungsantrag [PDF] der Fraktionen von Union und SPD, soll die Einschränkung der Betroffenenrechte auf ein Minimum begrenzen. „Es enthält nur noch sehr wenige Einschränkungen der Betroffenenrechte, die vor allem kleine Unternehmen mit oftmals noch analoger Datenverarbeitung entlasten sollen. Damit gilt für die Mehrzahl der Datenverarbeitungen in der digitalen Welt der hohe Standard der Datenschutz-Grundverordnung“, fasst die Bundesdatenschutzbeauftragte Andrea Voßhoff zusammen. Gleichwohl ist festzuhalten, dass die Datenschutzgrundverordnung den nationalen Gesetzgebern in diesem Bereich eigentlich gar keine Spielräume lässt. „Hier werden Regelungen getroffen, welche keine Grundlage in der DSGVO haben“, kommentiert deshalb die Vorsitzende der Datenschutzkonferenz Barbara Thiel.

Fatale Signalwirkung

Obwohl deutlich nachgebessert wurde, enthält das neue Datenschutzgesetz also trotzdem reichlich Kritikwürdiges. „Auch die aktuell vorliegenden Änderungsanträge sind daher nicht geeignet, die Absenkung des bestehenden Datenschutzniveaus und die Verstöße gegen die Vorgaben der DSGVO zu heilen“, lautet deshalb das Gesamtfazit der DSK-Vorsitzenden Barbara Thiel. Auch die Bundesdatenschutzbeauftragte Andrea Voßhoff fordert in etlichen Punkten weitere Anpassungen – konstatiert jedoch ebenfalls, dass das Gesetz immerhin im Vergleich zu dem ursprünglichen Entwurf der Bundesregierung zugunsten der Betroffenen verbessert worden ist.

Neben den konkreten inhaltlichen Schwächen des DSAnpUG geht es bei der Kritik auch um Grundsätzliches: Als eine der größten Stärken der Europäischen Datenschutzgrundverordnung gilt, dass sie erstmals einheitliche Rahmenbedingungen für den Umgang mit personenbezogenen Daten in der EU schafft. Internationale Datenkonzerne wie Facebook können sich nicht mehr das Land mit dem schwächsten Datenschutz als Sitz aussuchen, dafür hat die Wirtschaft Klarheit bezüglich dieser Regeln und muss sich (theoretisch) nicht mit 27 unterschiedlichen Gesetzen herumschlagen.

Diese gemeinsame Verbindlichkeit sollte ein zentraler Baustein des europäischen digitalen Binnenmarktes sein, den die EU und die Mitgliedstaaten als Ziel verfolgen. Wenn jetzt Deutschland als erstes Land eine Umsetzung beschließt, die den Datenschutz in manchen Punkten sogar noch über die rechtlichen Spielräume hinaus schwächt, kann dies eine fatale Signalwirkung haben – gerade weil die Bundesrepublik als Mutterland des Datenschutzes gilt.