© luchschen, 123RF

Die deutsche Regierung hat Änderungen an der Datenschutzgrundverordnung durchgeboxt. Kritik gibt es an der Änderung bei betrieblichen Datenschutzexperten, an der Datenspeicherung im Digitalfunk sowie dem BSI-Gesetz. Die Opposition fordert ein Gesetz zu Datenschutz und Meinungsfreiheit.

Mehr als ein Jahr ist die Datenschutzgrundverordnung (DSGVO) nun in Kraft. Der Bundesdatenschutzbeauftragte Ulrich Kelber (Abbildung 1) hatte bei der Vorlage seines Jahresberichts Ende Mai ein positives Fazit gezogen. Der Datenschutz werde durch das europaweit geltende Recht gestärkt, sagte Kelber. Es sei zudem ein neues Bewusstsein für den Datenschutz erwachsen.

Das sei schon daran abzulesen, dass es in seiner Behörde zwischen Ende Mai 2018 bis Ende April 2019 rund 15 000 Beschwerden und Meldungen zu Datenschutzverstößen gegeben habe. Das sei eine Verdreifachung im Vergleich zum ganzen Jahr 2017. Es gäbe aber auch noch Bereiche, die Verbesserungen vertragen könnten, so Kelber

Der Deutsche Bundestag hat Ende Juni über einen 454-seitigen Gesetzentwurf abgestimmt und gegen die Stimmen der Opposition 154 Fachgesetze geändert. Die meisten Änderungen bestehen aus marginalen Anpassungen und Änderungen in den Formulierungen.

Abbildung 1: Der Bundesdatenschutzbeauftragte Ulrich Kelber kritisiert die Schwellenwert-Regelung für Datenschutzbeauftragte. Quelle: Deutscher Bundestatg/ Julia Novak

Es gibt aber auch dickere Brocken, etwa die Anhebung der Zahl der Mitarbeiter, ab der Unternehmen einen Datenschutzbeauftragten bestellen müssen. Auch die auf 75 Tage festgelegte Datenspeicherung beim neuen Digitalfunk für Behörden und Organisationen mit Sicherheitsfunktionen ist umstritten. Gleiches gilt für eine Ausweitung der Befugnisse im so genannten BSI-Gesetz. Hier sehen Datenschützer eine für den Bürger nachteilige Entwicklung. Der Bundesrat muss dem Gesetz noch zustimmen.

Datenschutzbeauftragte

Deutlich weniger Unternehmen müssen künftig einen betrieblichen Datenschutzbeauftragten ernennen. Statt bisher zehn müssen sich künftig “in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen”, damit laut Paragraf 38 des Bundesdatenschutzgesetzes ein Datenschutzbeauftragter ernannt werden muss. Damit ist jedoch keine Lockerung der übrigen Datenschutzvorgaben verbunden.

Die Koalition sieht es als Sinn und Zweck dieser Änderung an, kleine Betriebe und Vereine zu entlasten, wie es in der Begründung [1] heißt. Den Befürwortern zufolge profitieren von der Regelung rund 90 Prozent der Handwerksbetriebe. Zudem sei es künftig niemandem verwehrt, bereits unterhalb dieser Schwelle einen betrieblichen Datenschutzbeauftragten zu bestellen, lässt die Fraktion der CDU/CSU wissen.

Die SPD hat der Erhöhung der Mitarbeiterzahl zugestimmt, sieht die Regelung aber als nicht optimal an. Fatal sei es, dass im Ergebnis keine Bürokratie, sondern Kompetenzen abgebaut würden, lässt sich die SPD zudem im Gesetzentwurf zitieren. Dies stelle keine wirklich kluge Lösung dar. Wer als Unternehmen Daten intelligent und rechtskonform nutzen wolle, der brauche dazu die nötige Kompetenz in seinem Haus.

Fehlende Zuständigkeit

Der Bundesdatenschutzbeauftragte Kelber kritisierte ebenfalls diese Änderungen am Bundesdatenschutzgesetz. Den Schwellenwert für die Pflicht zur Benennung von Datenschutzbeauftragten einfach zu erhöhen sei eine falsche Maßnahme, sagte Kelber. Das könne die Wahrung des hohen Datenschutzniveaus in Deutschland ernsthaft gefährden, teilte Kelber auf Anfrage mit.

Nach seiner Ansicht ist es ein Trugschluss, dass die neue Regelung eine Entlastung für die Unternehmen mit sich bringe. “Spätestens wenn man aufgrund des fachlichen Kompetenzverlusts mittelfristig teures externes Wissen einkaufen muss oder sich wegen Datenschutzverstößen der Bußgeldforderung der Aufsichtsbehörde gegenüber sieht, wird man feststellen, dass hier am falschen Ende gespart wurde”, sagte der Bundesdatenschutzbeauftragte.

Der Berliner CDU-Bundestagsabgeordnete Thomas Heilmann verteidigte die Anhebung der Schwelle als Abbau unnötiger Bürokratie. Es gelte zu bedenken, dass 80 Prozent der Unternehmen in Deutschland gar keine 20 Mitarbeiter aufweisen.

Der Grünen-Abgeordnete Konstantin von Notz warnte, dass der Schaden für die Wirtschaft größer als der Nutzen sei. “Die Pflichten bleiben exakt dieselben, es ist nur niemand mehr zuständig”, sagte von Notz und fügte hinzu: “Das einzige, was steigt, ist das Haftungsrisiko.” Die Grünen bemängeln zudem, dass es auch in der konkreten Umsetzung der Vorgaben Unwägbarkeiten gäbe, etwa beim Einsatz von Subunternehmern, die unterhalb der Bestellungsgrenze lägen, da dort dann keine Ansprechpartner zur Verfügung stünden.

Funk auf Vorrat

Für die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) sieht die Gesetzesänderung eine mögliche Speicherung der Verkehrsdaten vor. Dass in dem Gesetzesentwurf die Speicherung der im digitalen Behördenfunk anfallenden Daten für 75 Tage und damit länger als die 70 Tage, die für eine Vorratsdatenspeicherung gelten, möglich ist, stößt ebenfalls auf Kritik.

Die Regelungen zum Digitalfunk stellen nach Auffassung der Fraktion Bündnis 90/Die Grünen eine Vorratsdatenspeicherung dar. Es sei erstaunlich, dass dies in der Koalition derart unstrittig gesehen werde, wundern sich die Grünen in der Begründung für ihre Ablehnung dieser Änderung.

Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg, nannte die Änderung in einem Beitrag auf Netzpolitik.org [2] bereits im Vorfeld eine “steile Ansage” – auch mit Blick auf vorliegende und noch ausstehende Entscheidungen des Bundesverfassungsgerichts und des Europäischen Gerichtshofs zur Grundproblematik jeder anlasslosen massenhaften Datenspeicherung.

BSI mit mehr Rechten

Das so genannte BSI-Gesetz für die Rechte und Pflichten des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat ebenfalls Anpassungen erfahren. So wurden dort etwa das Auskunfts- und Widerspruchsrecht, die Informationspflicht sowie Berichtigungs- und Löschpflichten eingeschränkt.

Das stößt auf Kritik bei Politik und Datenschützern. Die Partei Die Linke moniert am Gesetzesentwurf etwa: Die Regelung, dass Auskunftsersuchen an das BSI verweigert werden dürften, wenn dessen ordnungsgemäße Arbeit dadurch gefährdet sei, biete Raum für Missbrauch und müsse konkretisiert werden.

Datensammelmühle

Der Grüne Konstantin von Notz sagte in seiner Rede vor dem Bundestag [3] zur Gesetzesänderung: “Das BSI machen Sie zu einer verdeckt und nicht rechenschaftspflichtig agierenden Datensammelmühle. Das ist ein echter Bärendienst für das Vertrauen in die IT-Sicherheit unseres Landes, aber auch für das Vertrauen in diejenigen, die uns alle vor dem Blackout und den IT-Angriffen schützen und unabhängig beraten sollen.”

Arbeitsauftrag

Trotz der vielen Änderungen bleiben auch offene Frage. Nicht geregelt bleibt, wie der Datenschutz mit dem Recht auf Meinungsfreiheit in Einklang zu bringen ist. Dazu sind die EU-Mitgliedstaaten im Artikel 85 der DSGVO aufgefordert. Die Koalitionsfraktionen fordern nun die Bundesregierung dazu auf, “eine ausdrückliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu Zwecken der Meinungsäußerung zu schaffen und dadurch die notwendige Abwägung zwischen dem Recht auf freie Meinungsäußerung und Informationsfreiheit mit dem Recht auf informationelle Selbstbestimmung zu eröffnen, ohne einem der Rechte einen grundsätzlichen Vorrang einzuräumen”.

In der Begründung der SPD steht: “Der Entschließungsantrag zu Artikel 85 diene dazu, Blogger, Fotografen und Journalisten, die im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiteten, vor der Einschränkung ihres Rechts auf freie Meinungsäußerung durch datenschutzrechtliche Ansprüche zu schützen.”

Darüber hinaus soll die Bundesregierung auch Regelungen prüfen, “um das Risiko von Vorfeldeinschüchterung zu minimieren.” Dabei geht es unter anderem um die Frage, ob Personen als ,Beiwerk’ auf Bildern abgebildet werden dürfen, ohne vorher ihre Zustimmung gegeben zu haben. Das Bundesinnenministerium hatte bereits früher klargestellt, dass das Kunsturhebergesetz ein Teil der deutschen Anpassungsgesetzgebung sei und sich dabei auf Artikel 85 der DSGVO stütze.