Auch wenn die Große Koalition kurzfristig etwas nachbessert: Die gestrige Bundestagsanhörung zur eiligen Datenschutzreform hat so viel Kritik zusammengebracht, dass sie bis Donnerstag unmöglich aufgenommen werden kann. Wenn das Parlament sich selbst ernst nimmt, darf es das Gesetz so nicht verabschieden.

Die Große Koalition macht beim neuen Datenschutzgesetz weiter Tempo: Trotz erheblicher Kritik von Bundesrat, Datenschutzbehörden, Zivilgesellschaft und Bundestagsopposition soll das Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) überraschend noch in dieser Woche verabschiedet werden. Eine öffentliche Anhörung des Innenausschusses fand erst gestern Vormittag statt. [Update: Die Abstimmung wird laut Bundestagsquellen nun doch „erst“ Ende April stattfinden. Grüne und Linke haben die Möglichkeiten der Geschäftsordnung genutzt und einem Fristverzicht nicht zugestimmt, der für das Schnellverfahren nötig gewesen wäre.]

Dabei äußerten sich die acht Sachverständigen mehrheitlich kritisch zu relevanten Aspekten des Gesetzes. Die meisten von ihnen betonten das Anliegen einer EU-weiten Rechtssicherheit im Datenschutz. Mehrfach fielen die Begriffe verfassungs- und vor allem europarechtswidrig. Nachbesserungsbedarf wurde unter anderem bei der geplanten Beschränkung von Betroffenenrechten, der Datenschutzaufsicht und dem Thema Videoüberwachung deutlich. Mit einem Änderungsantrag [PDF], den Ausschussmitglieder und Sachverständige erst direkt vor der Sitzung erhielten, wollen Union und SPD zumindest bei den Betroffenenrechten nachbessern.

Große Koalition überrumpelt Opposition

Die Sitzung des Innenausschusses begann mit einem Knall. Nicht nur der Änderungsantrag wurde von den Abgeordneten der Großen Koalition erst kurz zuvor verteilt: Die Information, dass sie das umstrittene Gesetz bereits am Donnerstag beschließen wollen, stieß auf scharfe Kritik der Opposition. Dies verstoße gegen die interfraktionelle Absprache, das Gesetz nicht in dieser, sondern erst in der nächsten Sitzungswoche Ende April abschließend zu behandeln, monierte Petra Pau von der Linkspartei. „Parlamentarischen Prinzipien und diesem Hause unwürdig“ sei das Hau-Ruck-Verfahren, mit dem das Gesetz durch die Institutionen gejagt werde, so Konstantin von Notz. „Wie soll man hier im Bundestag seriös Gesetze machen, wenn das so läuft“, fragte der sichtlich fassungslose Grünen-Politiker.

Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz wird das bisherige Bundesdatenschutzgesetz abgelöst. Notwendig ist dies, weil die ab Mai 2018 anzuwendende europäische Datenschutzgrundverordnung (DSGVO) und die Datenschutzrichtlinie für Polizei und Justiz der EU weitreichende Vorgaben machen. Nach Einschätzung von Datenschützern gehen die nun vorgeschlagenen Änderungen aber weit über den notwendigen Regelungsbedarf hinaus. Eine gewisse Zeitnot stritten auch Pau und von Notz nicht ab. Die EU-Vorgaben gelten ab Mai 2018 und müssen bis dahin umgesetzt sein. Das Parlament verzwerge sich jedoch selbst, wenn es sich nicht die Zeit für eine ordentliche Bearbeitung eines so zentralen Gesetzes lasse, so von Notz.

Diesen Vorwurf wollte der SPD-Berichterstatter für das DSAnpUG, Gerold Reichenbach, nicht auf sich sitzen lassen. „Wenn einem die inhaltlichen Argumente ausgehen, schreit man Skandal“, konterte der Sozialdemokrat. Das Gesetz sei in jedem Entstehungsstadium seit dem ersten Entwurf vor einem dreiviertel Jahr öffentlich diskutiert worden – unter anderem dank entsprechender Leaks. Von überzogener Eile könne deshalb keine Rede sein, betonte Reichenbach und legte direkt nach: „Jetzt findet man kein Haar mehr in der Suppe und neigt deshalb den Kopf so lange darüber und schüttelt ihn, bis eins hineinfällt.“

Getätigt hat Reichenbach diese Aussage freilich vor der Anhörung. Ob er sie in dieser Form danach ebenfalls getätigt hätte, ist fraglich. Schließlich förderten die Sachverständigen ganze Haarbüschel an problematischen Regelungen zutage.

Wirtschaft und Verbraucher müssten Rechtsunsicherheiten ausbaden

Fast Durchweg kritisch beurteilt wurden die Pläne, Informationspflichten von Datenverarbeitern und Auskunfts- sowie Löschrechte von Betroffenen einzuschränken, wenn erstere einen „unverhältnismäßig hohen Aufwand“ geltend machen könnten oder „allgemein anerkannte Geschäftszwecke“ gefährdet sähen. Einzig Rechtsanwalt Andreas Jaspers von der eher wirtschaftsnahen Gesellschaft für Datenschutz und Datensicherheit fand an diesen Beschränkungen der informationellen Selbstbestimmung nichts auszusetzen. Es sei praxisfern, Betroffenen beispielsweise eine Teillöschung bestimmter über sie gespeicherter Inhalte zu ermöglichen, die in Datenbanken eingebunden und verknüpft seien.

Lina Ehrig vom Verbraucherzentrale Bundesverband kritisierte, das Gesetz könne in der aktuellen Form Unternehmen möglicherweise ermutigen, Datenverarbeitungen genau so zu gestalten, dass sie sich bei Auskunfts- oder Löschersuchen auf einen zu hohen Aufwand berufen könnten. Auch die Bundesdatenschutzbeauftragte Andrea Voßhoff und ihr Vorgänger Peter Schaar kritisierten die Gesetzesfassung. Ebenso Rechtsanwalt Carlo Piltz, der die engen Spielräume der europäischen Vorgaben betonte. Hier gelte eben nicht „viel hilft viel“. Alles, was über die DSGVO hinausgehe, erhöhe die Rechtsunsicherheit. Ausbaden müssten dies am Ende die Wirtschaft, andere datenverarbeitende Stellen wie Vereine und letztlich die Betroffenen. Deshalb seien hier punktuelle Nachbesserungen erforderlich, so Piltz, selbst wenn er den Gesetzentwurf im Gesamten für gelungen hält.

Ähnlich äußerte sich Heinrich Amadeus Wolff von der Universität Bayreuth über den Gesetzentwurf. Er zeigte sich überrascht, dass „die Ministerialbürokratie so etwas Schönes hervorbringen kann“. Der ehemalige Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern, Karsten Neumann, kritisierte über die schon genannte Beschränkung der Betroffenenrechte hinaus, dass die bislang geltende Auskunftsverpflichtung über die angewendeten Datenschutzverfahren eines Unternehmens entfalle.

Tatsächlich will die Große Koalition beim Thema Betroffenenrechte kräftig nachbessern. Der kurzfristig eingebrachte Änderungsantrag [PDF] will die Einschränkungen der Informationspflichten für datenverarbeitende Stellen und der Auskunfts- und Löschrechte von Betroffenen abschwächen. Unternehmen sollen sich nicht mehr im geplanten Maße auf einen „unverhältnismäßigen Aufwand“ oder die Gefährdung „allgemein anerkannter Geschäftszwecke“ berufen können. SPD-Politiker Reichenbach erklärte hierzu nach der Sitzung:

Die weitreichenden Einschränkungen der Betroffenenrechte müssen auf wenige und konkret gefasste Fälle beschränkt werden, bei denen es um den Schutz von Kleinunternehmen mit überwiegend analoger Datenverarbeitung geht. Wir wollen den Verbraucher vor den Datenkraken schützen, ohne von dem kleinen Bäckerladen sinnlosen Aufwand zu fordern.

Rückfall hinter bisherige Standards

Die Kritik der Sachverständigen erschöpfte sich jedoch nicht beim Thema Betroffenenrechte. Mehrere von ihnen kritisierten, das Gesetz schwäche die Datenschutzaufsicht insbesondere über staatliche Stellen. Die Bundesdatenschutzbeauftragte Andrea Voßhoff monierte die Beschränkung ihrer Durchsetzungsbefugnisse gegenüber Justiz und Polizei auf das unverbindliche Instrument einer Beanstandung. Dies verstoße klar gegen die EU-Vorgabe, die etwa Möglichkeiten zur Erwirkung einer gerichtlichen Klärung vorschreibe. Auch solle ihre Behörde sich zukünftig nicht mehr proaktiv mit Stellungnahmen zu Untersuchungen beim Bundesnachrichtendienst an den Bundestag und seine Ausschüsse wenden können, so Voßhoff. Dies sei eine verfassungs- und europarechtswidrige Beschneidung ihrer Unabhängigkeit und zugleich eine Einschränkung des Informationsrechts des Bundestages.

Zur gleichen Einschätzung gelangte Hartmut Aden, Professor für Öffentliches Recht an der Hochschule für Wirtschaft und Recht Berlin. Gerade weil die Datenverarbeitung im Sicherheitsbereich unter besonderen Bedingungen stattfinde und Betroffene nicht etwa durch ungewollte Werbung darauf aufmerksam gemacht würden, sei die unabhängige Datenschutzaufsicht hier von besonderer Bedeutung. Gerade angesichts der weiteren Zersplitterung der Geheimdienstkontrolle durch das BND-Gesetz im vergangenen Jahr dürften die Aufsichtskompetenzen der Bundesdatenschutzbeauftragten hier keinesfalls eingeschränkt werden.

Aden äußerte zudem Bedenken, die weitreichenden Möglichkeiten zur Zweckänderung bei der Verwendung bereits erhobener Daten durch öffentliche Stellen würden „hinter den bisherigen Rechtsschutzstandard zurückfallen“. Hier herrsche erheblicher Präzisierungsbedarf. Die teils sehr unbestimmten Formulierungen in einem so grundrechtssensiblen Bereich würden gegen das rechtsstaatliche Bestimmtheitsgebot verstoßen, demzufolge die Folgen eines Gesetzes für Bürger absehbar sein müssen.

Warnung vor kontrollfreien Räumen

Einige Sachverständige kritisierten zudem, dass die Befugnisse der Datenschutzaufsicht über Berufsgeheimnisträger ebenfalls eingeschränkt werden sollen. Bestimmte Berufsgruppen, die einer gesetzlichen Schweigepflicht unterliegen, sollen nach dem Vorschlag der Bundesregierung nicht mehr dazu verpflichtet werden, den Kontrollbehörden Zutritt zu ihren Geschäftsräumen zu gewähren oder notwendige personenbezogene Daten und Informationen auszuhändigen. Gleiches gilt für von ihnen beauftragte Dienstleister.

Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar warnte gegenüber netzpolitik.org nach der Anhörung, dass dies nicht nur für Krankenhäuser, Arztpraxen und Anwalts- oder Notariatskanzleien, sondern auch für Apotheken, Steuerberatungs- und Buchführungsbüros sowie für Unternehmen der privaten Kranken-, Unfall- oder Lebensversicherung gelte:

Die von den Regierungsfraktionen vorgesehene Neuregelung wäre ein fatales Signal gegenüber allen, denen ein effektiver Schutz der Privatsphäre wichtig ist. Ein derartiger aufsichtsfreier Raum widerspricht den Vorgaben des Bundesverfassungsgerichts, das eine lückenlose Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften durch unabhängige Datenschutzbehörden für unverzichtbar hält.

Gleichermaßen betonte Andrea Voßhoff das Risiko kontrollfreier Räume im Gesundheitsbereich. Karsten Neumann schlug vor, den entsprechenden Satz zu streichen. Der Geheimhaltungspflicht würde Genüge getan, wenn sie auch für die Aufsichtsbehörde gelte, sofern diese im Rahmen ihrer Arbeit Kenntnis solcher Daten erhalte. Der Rechtswissenschaftler Wolff sowie die Rechtsanwälte Jaspers und Piltz sahen diesen Punkt hingegen weniger kritisch. Ihrer Ansicht nach genüge es, wenn die Datenschutzaufsicht die Konzepte prüfen würde. Zugang zu Räumen und Daten sei nicht unbedingt notwendig.

Ratlosigkeit bei Profiling und Scoring

Eine gewisse Ratlosigkeit herrschte beim Thema Profiling und Scoring. Von Verbraucherschützerin Lina Ehrig gab es hier einerseits Lob dafür, dass die Regelungen des alten Bundesdatenschutzgesetzes hierzu dem Inhalt nach in das neue Gesetz übernommen werden sollen. Die bisherigen Verbraucherschutzregeln wären Ehrig zufolge durch die DSGVO unterschritten worden und hätten so ein Scoring ausschließlich anhand der Wohnanschrift ermöglicht. Gleichzeitig betonte sie, es bedürfe eigentlich einer Konkretisierung oder gar Verschärfung der Regeln. In ihrer schriftlichen Stellungnahme monierte sie zudem, dass es Versicherungen künftig erlaubt werden soll, Leistungsentscheidungen auf Basis von Gesundheitsdaten automatisiert zu treffen.

Der Berichterstatter der Unionsfraktion für das DSAnpUG, CSU-Politiker Stephan Mayer, brachte in diesem Zusammenhang seine Sorge zum Ausdruck, etablierte Geschäftsmodelle in den Bereichen Direktmarketing, Inkasso und Auskunfteien durch die Datenschutzgrundverordnung würden unterminiert. Die Antworten der Sachverständigen Neumann und Jaspers hierzu waren jedoch eindeutig. Selbst wenn dem so wäre: Der Bundestag habe seine Regelungskompetenz hier an die EU abgegeben. In welchem Rahmen etwa die Beauftragung von Inkasso-Unternehmen rechtens sei, müsse der Europäische Datenschutzausschuss klären, so Jaspers. Anerkannte Methoden des Customer Relationship Managements könnten im Grunde vermutlich fortgeführt werden.

Heinrich Amadeus Wolff betonte, dass Scoring- und Profiling-Regeln im Datenschutzgesetz lediglich ein Hilfskonstrukt und deshalb ein Fremdkörper seien. Ehrig machte deutlich, es handele sich hierbei eigentlich um Verbraucherschutzregeln und diese benötigten ein eigenes Gesetz. Karsten Neumann empfahl, dieses wichtige Feld nicht mehr primär über das Querschnittsrecht des Datenschutzes zu regeln, sondern zu einem eigenen fachspezifischen Gesetz zu kommen.

Vorschlag zur Videoüberwachung ist europarechtswidrig

Unterschiedliche Meinungen hatten die Sachverständigen ebenfalls beim Thema Beschäftigtendatenschutz. Einige sprachen sich dafür auf, die Vorschrift beizubehalten, dass das Einverständnis eines Arbeitsnehmers zur Datenverarbeitung durch den Arbeitsgeber schriftlich vorliegen muss. Andere sprachen sich dafür aus, eine Zustimmung in elektronischer Textform ohne handschriftliche Unterschrift solle ausreichen.

Durchweg kritisiert wurde der Gesetzesabschnitt, der einen Ausbau der Videoüberwachung durch Privatpersonen und Unternehmen im Interesse der öffentlichen Sicherheit ermöglichen soll. Er ist der Großen Koalition jedoch so wichtig, dass sie die gleichen Regeln durch das Videoüberwachungsverbesserungsgesetz bereits vor wenigen Wochen noch in das aktuelle Datenschutzgesetz aufgenommen hat. Während Piltz und Wolff hier „lediglich“ formalrechtliche Bedenken hinsichtlich der Vereinbarkeit mit Europarecht hatten, meldeten Voßhoff, Schaar und Neumann inhaltliche Zweifel an.

Signalwirkung für Europa

Insgesamt kam trotz angekündigter Nachbesserungen in der Anhörung eine Menge Kritik am Datenschutzanpassungs- und Umsetzungsgesetz zusammen. Bei der teils großen Detailtiefe geriet dennoch der weitere Kontext nicht aus dem Blick.

Peter Schaar betonte Deutschlands große Datenschutztradition. Die Bundesrepublik sei schließlich weltweit das erste Land mit einem entsprechenden Gesetz gewesen. Wenn man sich jetzt gegen die gemeinsamen europäischen Regeln stelle, werde dies Symbolwirkung für den Rest Europas haben. Im schlimmsten Fall habe man wieder 27 unterschiedliche Datenschutzräume.

Auch Carlo Piltz wies mehrfach auf die Notwendigkeit klarer und einheitlicher Regeln hin. Dass einige Datenschutzbehörden im Konfliktfall nach der DSGVO und nicht nach dem neuen Datenschutzgesetz entscheiden wollen, sorge für weitere Rechtsunsicherheit. Die Haltung der Datenschützer sei indes berechtigt, da Behörden deutsches Recht nicht anwenden dürfen, das gegen europäische Vorgaben verstößt. Es ist also an der Großen Koalition, die gestern benannten Konflikte mit dem Europarecht noch vor der Verabschiedung des DSAnpUG auszuräumen. Ob dies bis Donnerstag gelingen kann, darf bezweifelt werden.