{"id":1732,"date":"2016-11-24T19:29:49","date_gmt":"2016-11-24T19:29:49","guid":{"rendered":"https:\/\/www.eaid-berlin.de\/?p=1484"},"modified":"2016-11-24T19:29:49","modified_gmt":"2016-11-24T19:29:49","slug":"wird-deutschland-zum-schlusslicht-beim-europaeischen-datenschutz","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=1732","title":{"rendered":"Wird Deutschland zum Schlusslicht beim Europ\u00e4ischen Datenschutz?"},"content":{"rendered":"

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts<\/a> an die Verordnung (EU) 2016\/679 und zur Umsetzung der Richtlinie (EU) 2016\/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU \u2013 DSAnpUG-EU) – zitiert als E-BDSG – an die Verb\u00e4nde versandt. Die Europ\u00e4ische Akademie f\u00fcr Informationsfreiheit und Datenschutz (EAID) wird innerhalb der kurzen f\u00fcr das Anh\u00f6rungsverfahren vorgesehenen Frist bis zum 7. Dezember zu dem Entwurf offiziell Stellung nehmen. Der vorliegende Beitrag ist insofern eine vorl\u00e4ufige Einsch\u00e4tzung, die allein vom Autor verantwortet wird.<\/p>\n

Nachdem bereits Ende August ein Vorentwurf bekannt geworden war, der zu erheblicher Kritik Anlass gab (vgl. etwa meinen Blogpost<\/a>), hat das BMI zwar einige der gr\u00f6bsten handwerklichen Fehler abgemildert. Bereits eine erste Durchsicht des umfangreichen Gesetzentwurfs offenbart aber eine Reihe von inhaltlichen und formalen Schwachpunkten und M\u00e4ngeln, von denen zu hoffen ist, dass sie im weiteren Gesetzgebungsverfahren (Ressortabstimmmung, Beratung im Deutschen Bundestag und im Bundesrat) ausgebessert und beseitigt werden.<\/p>\n

Das E-BDSG weicht in verschiedenen Feldern von den Vorgaben der Datenschutzgrundverordnung (DSGVO) ab, und zwar nicht nur dort, in denen der europ\u00e4ische Gesetzgeber Raum f\u00fcr nationale Regelungen gelassen hat, etwa beim Schutz von Besch\u00e4ftigtendaten oder bei den Vorschriften zu den betrieblichen Datenschutzbeauftragten.<\/p>\n

In zentralen Punkten – insbesondere bei den Betroffenenrechten – werden die Vorgaben der DSGVO aufgeweicht mit dem Ergebnis, dass deutsche B\u00fcrgerinnen und B\u00fcrger zuk\u00fcnftig weniger Datenschutzrechte haben als die \u00fcbrigen Europ\u00e4er<\/strong>.<\/p>\n

Schlie\u00dflich ist zu fragen, ob auf diesem Wege Regelungen, mit denen die Bundesregierung bei den Verhandlungen der Datenschutzreform im Rat und im Europaparlament keine Mehrheiten gefunden hat, nun auf dem Umweg eines \u201eDatenschutzanpassungsgesetzes\u201c doch noch realisiert werden sollen – zum Schaden Europas.<\/p>\n

 <\/p>\n

EU-weites \u201elevel playing field\u201c?
\n<\/strong><\/p>\n

Niemandem w\u00e4re damit gedient, wenn ab 25. Mai 2018, wenn die DSGVO wirksam wird – an die Stelle der 28 nationalen Datenschutzgesetze 28 neue, unterschiedliche \u201eAusf\u00fchrungsgesetze\u201c treten, wie es dem Ministerium offenbar vorschwebt: Mit verschiedenen Regelungen zur Datenerhebung, Speicherung und Verwendung, mit unterschiedlichen nationalen Vorgaben zu den Rechten auf Auskunft, L\u00f6schung und Widerspruch der Betroffenen, erg\u00e4nzt um Sonderregelungen, die teils deutlich hinter dem EU-Recht zur\u00fcckbleiben.<\/p>\n

Die vorgesehenen Regelungen schaden auch den europ\u00e4ischen Unternehmen<\/strong>, die auf Basis des EU-Rechts gleichm\u00e4\u00dfige Bedingungen f\u00fcr grenz\u00fcberschreitende europaweite Gesch\u00e4ftsmodelle brauchen, um so auf Augenh\u00f6he mit der internationalen Konkurrenz agieren zu k\u00f6nnen. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europ\u00e4ischen Gesetzgeber beabsichtigte Ziel, f\u00fcr alle B\u00fcrgerinnen und B\u00fcrgern der EU und f\u00fcr die im Europ\u00e4ischen Wirtschaftsraum t\u00e4tigen Unternehmen einen gleichm\u00e4\u00dfigen wirksamen Datenschutz zu garantieren.<\/p>\n

Gro\u00dfe Unternehmen, die sich umfangreiche Rechtsabteilungen und teure Anw\u00e4lte leisten k\u00f6nnen, werden auch in Zukunft mit einer solchen un\u00fcbersichtlichen Situation umgehen k\u00f6nnen. Dies gilt aber nicht f\u00fcr kleinere und mittlere Unternehmen, die nicht \u00fcber derartige Ressourcen verf\u00fcgen. Neben den B\u00fcrgerinnen und B\u00fcrgern, deren Datenschutz ausgeh\u00f6hlt wird, w\u00e4ren sie die Hauptleidtragenden des deutschen Sonderwegs.<\/p>\n

 <\/p>\n

Absenkung der Betroffenenrechte<\/strong><\/p>\n

Art. 23 DGSVO r\u00e4umt den von der Datenverarbeitung betroffenen Personen ein Auskunftsrecht<\/strong> \u00fcber die zu ihnen gespeicherten Daten ein. Nach Art. 14 DSGVO m\u00fcssen Beh\u00f6rden und Unternehmen die Betroffenen informieren, wenn sie personenbezogene Daten verarbeiten.<\/p>\n

Wenn es nach dem BMI geht, m\u00fcssten davon abweichend gem\u00e4\u00df \u00a7 32 i.V.m. \u00a7 31 E-BDSG \u00f6ffentliche Stellen die Betroffenen nicht informieren bzw. ihnen keine Auskunft erteilen, wenn \u201edie Information die ordnungsgem\u00e4\u00dfe Erf\u00fcllung der in der Zust\u00e4ndigkeit des Verantwortlichen liegenden Aufgaben\u201c<\/em> gef\u00e4hrden oder \u201edie Information die \u00f6ffentliche Sicherheit oder\u00a0 Ordnung gef\u00e4hrden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten w\u00fcrden\u201c<\/em>. Eine solche Regelung \u00fcberl\u00e4sst es weitgehend den Beh\u00f6rden, welche Ausk\u00fcnfte gegeben werden, denn schlie\u00dflich gibt es viele Gr\u00fcnde, weshalb die Informationsherausgabe die ordnungsgem\u00e4\u00dfe Aufgabenerf\u00fcllung gef\u00e4hrden k\u00f6nnte. Unternehmen m\u00fcssten keine Auskunft erteilen, wenn \u201edie Information die Gesch\u00e4ftszwecke des Verantwortlichen erheblich gef\u00e4hrden w\u00fcrde\u201c<\/em>. Damit w\u00fcrden Gesch\u00e4ftsinteressen generell \u00fcber den Schutz pers\u00f6nlicher Daten gestellt. Zudem m\u00fcssten Unternehmen keine Auskunft erteilen, wenn \u201edie zust\u00e4ndige \u00f6ffentliche Stelle gegen\u00fcber dem Verantwortlichen (Unternehmen) festgestellt hat, dass das Bekanntwerden der Daten die \u00f6ffentliche Sicherheit oder Ordnung gef\u00e4hrden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten w\u00fcrde.<\/em>\u201c Auch diese Bestimmung l\u00e4sst viel Interpretationsspielraum.<\/p>\n

Nach Art. 17 DSGVO haben die betroffenen Person das Recht, von Beh\u00f6rden und Unternehmen die L\u00f6schung<\/strong> von zu Unrecht gespeicherten oder nicht mehr ben\u00f6tigten Daten zu verlangen. In Deutschland soll jedoch kein Recht auf Datenl\u00f6schung bestehen, \u201ewenn eine L\u00f6schung wegen der besonderen Art der Speicherung nicht oder nur mit unverh\u00e4ltnism\u00e4\u00dfig hohem Aufwand m\u00f6glich ist.\u201c<\/em> (\u00a7 33 E-BDSG) Eine solche Vorschrift w\u00e4re geradezu eine Einladung an Unternehmen und staatliche Stellen, ihre Daten so zu speichern, dass eine L\u00f6schung nur unter gr\u00f6\u00dferem Aufwand m\u00f6glich ist. Sie m\u00fcssten die Daten selbst dann nicht l\u00f6schen, wenn ihre Speicherung rechtswidrig war.<\/p>\n

Gem\u00e4\u00df Art. 21 DSGVO haben die Betroffenen das Recht, aus Gr\u00fcnden, die sich aus ihrer besonderen Situation ergeben, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung im Interesse einer verantwortlichen Stelle (Beh\u00f6rde bzw. Unternehmen)\u00a0 oder eines Dritten erfolgt und keine ausdr\u00fcckliche gesetzliche Regelung die Datenverarbeitung erlaubt. Der Gesetzentwurf schr\u00e4nkt dieses Widerspruchsrecht<\/strong> erheblich ein (\u00a7 34 E-BDSG).<\/p>\n

Die f\u00fcr die Absenkung der Betroffenenrechte angef\u00fchrten Begr\u00fcndungen, das geringere Datenschutzniveau liege im \u00f6ffentlichen Interesse oder diene dem Schutz der Freiheitsrechte anderer Personen (Art. 23 DSGVO), ist selbst bei wohlwollender Auslegung der Datenschutzgrundverordnung abwegig. Die Absenkung des Datenschutzniveaus unter das EU-Level ist mit dem deutschen Grundrecht auf informationelle Selbstbestimmung und dem durch Art. 8 der EU-Grundrechtecharta garantierten Grundrecht auf Schutz personenbezogener Daten nicht zu vereinbaren. Das BMI bleibt jede Begr\u00fcndung schuldig, warum Gesch\u00e4ftsinteressen etwa von Auskunfteien oder Inkassounternehmen schwerer wiegen als die Datenschutzrechte der betroffenen B\u00fcrgerinnen und B\u00fcrger.<\/p>\n

 <\/p>\n

Fallbeispiele<\/strong><\/p>\n

\n

Ein Kunde verlangt von seiner Bank aussagekr\u00e4ftige Informationen \u00fcber das zur automatisierten Bewertung seiner Kreditw\u00fcrdigkeit verwendete Scoring-Verfahren.<\/p>\n<\/blockquote>\n

Europa<\/strong>: Die Bank erteilt diese Ausk\u00fcnfte, denn sie ist dazu gem. Art. 15 der Datenschutzgrundverordnung (DSGVO) verpflichtet.<\/p>\n

Deutschland<\/strong>: Die Bank lehnt die Auskunft zu den Details des Bewertungsverfahrens ab, denn nach \u00a7 32 E-BDSG w\u00fcrden die erfragten Information die eigenen Gesch\u00e4ftszwecke \u201eerheblich gef\u00e4hrden\u201c; sie seien zudem Betriebs- und Gesch\u00e4ftsgeheimnisse des Unternehmens.<\/p>\n

\n

Die Besucherin eines Einkaufszentrums erkundigt sich nach dem Umfang und der genauen Speicherungsdauer der Videoaufnahmen der installierten \u00dcberwachungskameras.<\/p>\n<\/blockquote>\n

Europa<\/strong>: Der Betreiber teilt ihr mit, wo die Kameras installiert sind und dass die Aufnahmen nach drei Tagen gel\u00f6scht werden. So sieht es die EU-Datenschutzverordnung vor.<\/p>\n

Deutschland<\/strong>: Der Betreiber verweigert die erbetene Informationen mit der Begr\u00fcndung, die zust\u00e4ndige Beh\u00f6rde sehe darin eine Gef\u00e4hrdung der \u00f6ffentlichen Sicherheit und Ordnung.<\/p>\n

\n

Ein Versicherungsnehmer verlangt von der Versicherung die L\u00f6schung unzul\u00e4ssig gespeicherter Gesundheitsdaten.<\/p>\n<\/blockquote>\n

Europa<\/strong>: Nach Art. 17 der EU-Datenschutzverordnung hat er ein Recht dazu. Die Versicherung muss die Daten l\u00f6schen.<\/p>\n

Deutschland<\/strong>: Die Versicherung lehnt die L\u00f6schung der Daten ab. Gem\u00e4\u00df \u00a7 33 E-BDSG m\u00fcsse sie die Daten nicht l\u00f6schen, denn \u201ewegen der besonderen Art der Speicherung\u201c sei die L\u00f6schung nur mit unverh\u00e4ltnism\u00e4\u00dfig hohem Aufwand m\u00f6glich.<\/p>\n

 <\/p>\n

Exzessive Video\u00fcberwachung<\/strong><\/p>\n

Europa- und verfassungsrechtlich nicht akzeptabel ist auch der deutsche Sonderweg bei der Video\u00fcberwachung: K\u00fcnftig soll hier – nicht nur f\u00fcr \u00f6ffentliche Stellen, sondern auch im privatwirtschaftlichen Bereich – die Maxime gelten: Sicherheit geht vor Datenschutz.<\/p>\n

Damit soll ein entsprechendes Vorhaben der Bundesregierung fortgeschrieben werden, das auch nach derzeitiger Rechtslage verfassungsrechtlich problematisch ist (vgl. Stellungnahme der EAID zum \u201eVideo\u00fcberwachungsverbesserungsgesetz\u201c v. 6. November 2016<\/a>)\u00a0 Die in der Datenschutzgrundverordnung vorgesehene Interessenabw\u00e4gung m\u00fcsste so einseitig zu Lasten der Grundrechte erfolgen – ein klarer Versto\u00df gegen Art. 8 EU-Grundrechtecharta<\/a>.<\/p>\n

 <\/p>\n

Besch\u00e4ftigtendaten<\/strong><\/p>\n

Im Hinblick auf den Besch\u00e4ftigtendatenschutz begn\u00fcgt sich das E-BDSG mit einem Minimalprogramm, indem es den alten \u00a7 32 BDSG<\/a> unver\u00e4ndert \u00fcbernimmt.<\/p>\n

Erhebliche Zweifel sind angebracht, ob diese Vorschrift den Vorgaben aus Art. 88 Abs. 2 DSGVO entspricht. Eine solche nationale Regelung soll n\u00e4mlich \u201eangemessene und besondere Ma\u00dfnahmen zur Wahrung der menschlichen Wu\u0308rde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die \u00dcbermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftst\u00e4tigkeit ausu\u0308ben, und die \u00dcberwachungssysteme am Arbeitsplatz\u201c umfassen.<\/p>\n

Davon findet sich nichts im BMI-Entwurf, der deshalb erneut nicht die Erwartungen an einen dringend erforderlichen modernen Besch\u00e4ftigtendatenschutz erf\u00fcllt. Dies ist besonders bedauerlich, weil im Zuge der Digitalisierung der Arbeitswelt hier klare Grenzen der Datenerfassung und -verwendung immer dringlicher werden.<\/p>\n

 <\/p>\n

Europarechtsbruch mit Ansage<\/strong><\/p>\n

Schlie\u00dflich wiederholt der Entwurf an vielen Stellen die Vorgaben der Datenschutzgrundverordnung (DSGVO) und wandelt diese Bestimmungen teils in schwer nachvollziehbarer Weise ab. Damit verst\u00f6\u00dft der Entwurf gegen das europarechtliche Wiederholungsverbot bei direkt anwendbaren EU-Verordnungen, das Abweichungen des nationalen Rechts von EU-rechtlichen Vorgaben verhindern soll.<\/p>\n

Als Randnote sei darauf hingewiesen, dass das neue BDSG am 25. Mai 2018 in Kraft treten soll, dem Datum des Wirksamwerdens der Datenschutzgrundverordnung. Da das \u201eDatenschutz-Anpassungs- und -Umsetzungsgesetz EU\u201c aber auch die Richtlinie f\u00fcr die Bereiche Justiz und Polizei umsetzen soll, deren Umsetzung bis zum 6. Mai 2018 zu erfolgen hat (Art. 63 Abs. 1 RL (EU) 2016\/680), handelt es sich sozusagen um einen Europarechtsversto\u00df mit Ansage – ein ziemlich einmaliger Vorgang.<\/p>\n","protected":false},"excerpt":{"rendered":"

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016\/679 und zur Umsetzung der Richtlinie (EU) 2016\/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – zitiert als E-BDSG – an die Verbände versandt. Die Europäische Akademie für Informationsfreiheit<\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[755,1160,194,726,1161,323,5,1227,860,1162,221,143,760,6,3,7,1228,4,12,17,193,15,16,14,1206,1166,1229,8],"tags":[],"class_list":["post-1732","post","type-post","status-publish","format-standard","hentry","category-auskunftsrecht","category-bdsg","category-beschaeftigtendaten","category-beschaeftigtendatenschutz","category-betroffenenrechte","category-bmi","category-bsi","category-bundesministerium-des-innern","category-datenschutzgrundverordnung","category-dsgvo","category-eaid-blog","category-eu","category-europaeische-union","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-level-playing-field","category-notfallmanagement","category-penetrationstest","category-penetrationstests","category-peter-schaar-der-blog","category-risikomanagement","category-unternehmen","category-veranstaltungen","category-videoueberwachung","category-widerspruchsrecht","category-wiederholungsverbot","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1732","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1732"}],"version-history":[{"count":1,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1732\/revisions"}],"predecessor-version":[{"id":1733,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1732\/revisions\/1733"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1732"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1732"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1732"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}