DER BETRIEB
Neues zum Datenschutzrecht
Nach der Reform ist vor der Reform

Neues zum Datenschutzrecht

Nach der Reform ist vor der Reform

Prof. Dr. Meinhard Schröder

Wer dachte, die Reform des Datenschutzrechts sei mit dem 25.05.2018 abgeschlossen, der irrte: Es kommt das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Datenschutzgrundverordnung und die JI-Richtlinie. Es soll 154 Fachgesetze ändern, und das ist vielleicht erst der Anfang.

Prof. Dr. Meinhard Schröder
hbfm_db_2019_03_m4_a_1292611_a001.png

Die Reform des Datenschutzrechts in Europa sollte eigentlich mit dem 25.05.2018, dem ersten Geltungstag der Datenschutzgrundverordnung (DSGVO) und der JI-Richtlinie, abgeschlossen sein. Dieses Ziel wurde auf mehreren Ebenen verfehlt: Auf europäischer Ebene steht nach wie vor die neue e-Privacy-Verordnung aus, deren Verabschiedung vor der Europawahl 2019 inzwischen mehr als zweifelhaft erscheint. Auf nationaler Ebene hatte sich der (Bundes-)Gesetzgeber zunächst vor allem auf die Verabschiedung eines neuen BDSG konzentriert und ansonsten nur einige kleinere Anpassungen des geltenden Rechts vorgenommen. Regelungen zur Verarbeitung personenbezogener Daten finden sich aber weitverstreut im Fachrecht, und diese mit dem Unionsrecht zu synchronisieren, ist das Ziel des „Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)“, das gerade das parlamentarische Verfahren durchläuft. Der Inhalt des mehrere hundert Seiten starken Entwurfs ist so sperrig wie der Name – es handelt sich um ein Artikelgesetz, durch das nicht weniger als 154 Fachgesetze geändert werden.

Schwerpunkt: Redaktionelle Anpassungen

Weite Teile des Entwurfs sind rein redaktioneller Natur: Verweise auf das alte BDSG und andere Normen werden aktualisiert oder ganz gestrichen; aufgehoben werden auch Bestimmungen, in denen eine unzulässige Wiederholung der unmittelbar geltenden DSGVO gesehen wird. Teilweise, aber nicht überall werden stattdessen Formulierungen wie „unbeschadet der weiteren Vorgaben der Verordnung (EU) 2016/679“ verwendet, die dem Rechtsunterworfenen verdeutlichen, worauf er jenseits der bereichsspezifischen Bestimmungen zu achten hat.

Auch die Terminologie soll an die des Europarechts angepasst werden. Das ist z. B. bei der Ersetzung von „Betroffener“ durch „betroffene Person“ oder „verantwortliche Stelle“ durch „Verantwortlicher“ völlig unproblematisch. Vorsicht geboten ist allerdings, wenn Begriffe, die nur einzelne Verarbeitungs(teil)schritte beschreiben, gegen den nun weit zu verstehenden Begriff der „Verarbeitung“ ausgetauscht werden, da es hierbei je nach Kontext zu einer Befugniserweiterung kommen kann. Es liegt in der Natur eines Artikelgesetzes, welches vielfach nur einzelne Wörter in bestehenden Vorschriften modifiziert, dass dieser Kontext nicht leicht erkennbar ist, aber auch die Begründung des Entwurfs lässt ihn nicht überall mit der wünschenswerten Klarheit erkennen.

Etwas versteckt: Neue Datenverarbeitungsbefugnisse

Eine genauere Betrachtung des Entwurfs zeigt, dass einige der geplanten Änderungen über redaktionelle Anpassungen hinausgehen. Kritiker sehen darin den Versuch, neue Befugnisse zur Datenverarbeitung unter einer Masse eher technischer Bestimmungen zu verstecken. Verfassungsrechtlich steht es dem Gesetzgeber allerdings weitgehend frei, „Gesetzgebungspakete“ so zu schnüren, wie es ihm beliebt.

In der Sache hat vor allem die geplante Vorratsdatenspeicherung im Bereich des Digitalfunks der Sicherheitsbehörden Kritik hervorgerufen. Zwar haben das BVerfG und noch mehr der EuGH einer allgemeinen Vorratsdatenspeicherung enge Grenzen gesetzt; bei der hier geplanten Variante wird man allerdings neben dem besonderen Sicherheitsbedürfnis des Behördenfunks auch zu berücksichtigen haben, dass nur ein begrenzter Personenkreis betroffen ist und dies auch nur im Zusammenhang mit seiner beruflichen Tätigkeit.

Problematischer erscheint eine geplante Ergänzung des BDSG, durch die Verantwortliche generalklauselartig ermächtigt werden sollen, im Fall eines erheblichen öffentlichen Interesses auch besonders sensible personenbezogene Daten zu verarbeiten. Für die Zulässigkeit eines solchen Vorgehens spricht zwar auf den ersten Blick Art. 9 Abs. 2 lit. g) DSGVO. Allerdings hat der Unionsgesetzgeber dort das erhebliche öffentliche Interesse gerade der präzisierenden Ausgestaltung durch das Recht der Mitgliedstaaten (oder der Union) überantwortet. Der Gesetzgeber muss also normativ eine konkrete Situation benennen, in der er die Verarbeitung für geboten hält. Das „erhebliche öffentliche Interesse“ kann nur als Grund für die Einführung dieser Norm dienen, ohne nähere Präzisierung aber nicht selbst als Rechtfertigung für die Verarbeitung der besonders sensiblen Daten.

Kommt ein weiteres Anpassungsgesetz – oder viele?

Was schon absehbar ist: Mit dem geplanten Gesetz findet die Diskussion um die Anpassung des deutschen Datenschutzrechts an das Unionsrecht kein Ende.

Forderungen nach einer Ausnahme von den in der DSGVO vorgesehenen Bußgeldern bei Erstverstößen oder nach einer Einschränkung der Betroffenenrechte bei Datenverarbeitungen durch Vereine, ehrenamtlich Tätige oder KMU ist der Entwurf zwar zu Recht nicht nachgekommen, denn hierfür finden sich keine Öffnungsklauseln in der DSGVO. Der Ruf nach einer Entlastung gerade dieser Gruppen von Verantwortlichen von dem Aufwand durch die Beachtung des Datenschutzrechts und nach mehr Schutz vor den Folgen versehentlicher Verstöße dagegen ist aber unüberhörbar.

Mit Spannung wird zu verfolgen sein, ob der Gesetzgeber bereit ist, die „10er-Regel“ für die Bestellung eines betrieblichen Datenschutzbeauftragten aufzugeben (im Entwurf steht dazu nichts). Das wäre unionsrechtskonform, allerdings wird der „Gewinn“ einer Streichung der im deutschen Recht seit Jahren vorhandenen Bestimmung von den Verantwortlichen wohl überschätzt: Ihre materiellen Pflichten bleiben unverändert, und die Beratungsleistung, die sonst der Datenschutzbeauftragte erbrächte, müsste zugekauft werden. Ein nicht zu unterschätzender Vorzug der 10er-Regel ist zudem ihre Klarheit, gerade im Vergleich dazu, dass die DSGVO bei der Bestellungspflicht u.a. auf den Begriff der „Kerntätigkeit“ des Verantwortlichen Bezug nimmt, dessen Auslegung durch den EuGH derzeit noch überhaupt nicht absehbar ist.

Der Entwurf bietet auch nicht den mitunter geforderten, zumindest temporären Schutz der Verantwortlichen vor den Rechtsbehelfen nach dem UWG bei Datenschutzverstößen. Einige Gerichte nehmen zwar ohnehin eine Sperrwirkung der DSGVO gegenüber dem UWG an, aber nicht alle. Der Entwurf hat davon abgesehen, das Datenschutzrecht „sicherheitshalber“ als nicht wettbewerbsrelevant zu deklarieren oder temporäre Ausnahmen vorzusehen, allerdings plant das BMJV gerade ein „Gesetz gegen missbräuchliche Abmahnungen“, das noch sedes materiae werden könnte.

Nicht reagiert wird in dem Entwurf schließlich auf die Diskussion, ob in Erfüllung des Auftrags aus Art. 85 Abs. 1 DSGVO mehr getan werden muss, um Datenschutz und freie Meinungsäußerung sowie Informationsfreiheit in Einklang zu bringen. Es ist allerdings weder klar, ob dieser Auftrag nicht die Länder trifft, noch ob Ausnahmen oder Abweichungen von der DSGVO überhaupt infrage kommen, wenn es nicht um Datenverarbeitungen zu journalistischen oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken geht. Mit weiterer gesetzgeberischer Aktivität ist zu rechnen.