Heute am späten Nachmittag will der Bundestag über die “Zukunft des Datenschutzrechts” debattieren. Die Bundesregierung legt eine Novelle des Datenschutzrechts vor.
Die EU-Datenschutzgrundverordnung (DS-GVO) ist dazu da, um den europäischen Staaten einen verbindlichen Datenschutz-Mindeststandard vorzugeben. Die deutsche Regierung nutzt den deutschen Umsetzungsentwurf aber, um die Rechte Betroffener stark zu beschneiden. Einige der neuen Regelungen verstoßen gegen das Grundgesetz.
Informationelle Selbstbestimmung bedeutet:
Betroffene haben grundsätzlich das Recht
- auf die Information, dass ihre Daten gespeichert werden,
- auf Auskunft darüber, welche ihrer Daten gespeichert werden,
- auf die Berichtigung und Löschung ihrer Daten
Das einzuhalten ist umständlich für viele Ermittlungs- und sonstige Behörden, Krankenkassen und alle möglichen Unternehmen. Dafür hat die Bundesregierung Verständnis und deshalb einige Paragraphen geschaffen, die auf einen Satz hinauslaufen: Bequemlichkeit geht vor Datenschutz.
Betroffene muss man laut § 23 nicht über eine Datenweitergabe informieren, wenn “offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde”. Wie praktisch. Wenn es also zuviel Aufwand bedeuten würde, Datenschutzvorschriften einzuhalten, Betroffene zu informieren oder Daten von Betroffenen zu löschen, können sich Behörden und Unternehmen künftig auf §§ 32, 33 und 35 des neuen Bundesdatenschutzgesetzes berufen, die besagen, dass ein solcher Aufwand für sie zu unbequem wäre.
Auch Krankenversicherte sollen sich mal nicht so haben, wenn die ungefragte, automatisierte Verarbeitung ihrer Gesundheitsdaten dafür sorgt, dass sie das kriegen, was sie wollen, sagt §37. Da ist es okay, Datenschutzauflagen zu kippen, zum Beispiel, wenn per Smartwatch Gesundheitsdaten gegen Beitragsminderungen eingetauscht werden. Für gestresste Ermittlungsbehörden gibt es den § 29, der sicherstellt, dass sie nach Herzenslust ermitteln können, ohne zum Beispiel versehentlich Betroffene informieren zu müssen. Sie können die europäischen Vorgaben ignorieren, “soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.”
Irgendein lachender Dritter findet sich immer, um unveräußerliche Rechte zu veräußern zu können, damit die Datenquellen sprudeln. Laut einiger Unionspolitiker sind Daten “das Rohöl des 21. Jahrhunderts” und man wird alles versuchen, um sie ungestört zu fördern. Bis hin zum Bruch der Grundrechte.
Auswertung des Gesetzesentwurfs zum neuen BDSG
(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)
Nachfolgend findet ihr zum überarbeiteten Datenschutzgesetz einen differenzierten Kommentar des Datenschutzbeauftragten der Piratenpartei Deutschland, Sebastian Krone, in Zusammenarbeit mit Anja Hirschel, unserer Bundestags-Spitzenkandidatin aus Baden-Württemberg:
Anja Hirschel kommentiert dazu: “Die neue EU-Datenschutzgrundverordnung (DS-GVO) wurde mit dem Ziel eingeführt, die Datenschutzniveaus der Mitgliedsländer so weit wie möglich zu vereinheitlichen. Angeblich führe dies automatisch zu einem insgesamt höheren Standard – doch oft gelang nur eine Einigung auf den kleinsten gemeinsamen Nenner. Besondere Schutzvorschriften, etwa für Internetnutzer oder zur Videoüberwachung, hat die EU nicht übernommen. Außerdem gilt es zu beachten, dass die Verordnung durch Öffnungsklauseln und delegierte Rechtsakte eine Reihe an Dingen offen lässt, die durch die einzelnen Länder eigenständig geregelt bzw. ergänzt werden können. Zu befürchten ist daher ein weiterhin unterschiedliches Datenschutzrecht, anstatt der versprochenen Einheitlichkeit.
Deutschland übernimmt durch den Gesetzesentwurf zu einem neuen Datenschutzgesetz (BDSG) eine geradezu hervorragende Initiative. Einschließlich der Straf- und Bußgeldvorschriften umfasst das noch geltende BDSG 48 Paragrafen, der neue Entwurf wurde auf 85 Paragrafen erweitert! Hinzu kommt eine Vielzahl an Änderungen in anderen, betroffenen Gesetzen, insbesondere die Sicherheit betreffend. Da der Umfang der Änderungen erheblich ist, hier nur der Kommentar zu einigen Passagen, die für die Bürger von besonderem Interesse sind, da diese am unmittelbarsten auf das Privatleben Einfluss nehmen. Dabei geht es um die Rechte der betroffenen Person, die Verarbeitung personenbezogener Daten zu anderen Zwecken, und die Befugnisse und Rechte der Betroffenen hinsichtlich der Geheimhaltungspflicht.”
Passage I.
1. Informationelle Selbstbestimmung
Das Grundrecht auf informationelle Selbstbestimmung kann nur durch die Umsetzung der Rechte des Betroffenen auf Information, Auskunft, Berichtigung und Löschung seiner Daten umgesetzt werden. Hier schränkt die EU-DS-GVO bereits das bestehende BDSG ein und der neue Gesetzesentwurf geht noch einmal darüber hinaus. Dies widerspricht der EU-Grundrechtscharta. Die so geregelte Information zur Videoüberwachung lässt den Verantwortlichen einen zu großen Spielraum.
2. Informationspflichten bei der Erhebung von Daten
In § 32 werden die (scheinbar lästigen) Informationspflichten bei der Erhebung von Daten eingeschränkt und unterlaufen, Art. 13, 23 DS-GVO (hier sind Ausnahmen ausdrücklich wegen eines „unverhältnismäßigen Aufwandes“ nicht vorgesehen). Es wird in § 33 Abs. 1 bereits von einer Informationspflicht abgesehen, wenn die „ordnungsgemäße Erfüllung von Aufträgen der jeweiligen Stellen gefährdet“ würde. Zudem wird der Begriff „öffentliche Sicherheit“ in „öffentliche Ordnung“ bewusst juristisch verfälscht und in seiner Anwendungsmöglichkeit verwässert.
3. Löschung
§ 35 Abs. 1 schränkt das Recht auf die Löschung von Daten unzulässig ein. Dies kann dazu führen, dass Hard- und Softwarehersteller sich darauf berufen, dass eine Löschung zuviel Aufwand bedeute, anstatt Produkte zu entwickeln, die diese Norm befolgen.
4. Gesundheitsdaten
§ 37 Abs. 1 erlaubt zusätzlich die Verwendung von sensiblen Gesundheitsdaten ohne Zustimmung des Betroffenen durch automatisierte Verfahren bei Versicherungsverträgen. Bisher war dies so nicht möglich, da bei Gesundheitsdaten als “besonders schützenswerte Daten” spezielle Auflagen eingehalten werden mussten, gehören sie doch zu den Daten, die den “allerpersönlichsten Lebensbereich” betreffen. Eine Aufweichung dieses besonderen Schutzes widerspricht dem EU-Recht.
Passage II.
1. Zweckbindung
Seit es den Datenschutz gibt, ist eines der wesentlichen Elemente die sogenannte Zweckbindung. Dies gilt mit der DS-GVO zwar weiter, das neue BDSG weicht diesen Grundsatz jedoch in verfassungswidriger Weise auf. Die §§ 23-25 führen nicht dazu, dass der Betroffene in geeigneter Weise mitwirken kann, wenn der Zweck bei der Verarbeitung personenbezogener Daten geändert wird. Herausragend ist dabei besonders die Formulierung in §23 Abs, 1: „Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig…“.
Hier wurde die Abwägung des entgegenstehenden schutzwürdigen Interesses des Betroffenen vollständig gestrichen. § 24 stellt damit einen Blankoscheck für die Sicherheitsbehörden aus („Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten“).
Passage III.
1. Informationspflichten bei Datenschutzvorfällen
Die in § 29 formulierten Ausnahmen von der Informationspflicht erschließen sich nicht. Weshalb soll bei Datenpannen keine Benachrichtigungspflicht bestehen, wenn „Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen“?
Die DS-GVO kennt keine Daten, die „ihrem Wesen nach“ geheim gehalten werden müssen. Hier fehlt die Abwägung des entgegenstehenden schutzwürdigen Interesses des Betroffenen.
2. Aufsicht und Geheimhaltungspflicht
§ 29 Abs. 3 schränkt die Befugnisse der Aufsichtsbehörden iSd. Art. 58 Abs. 1 DS-GVO gegenüber Berufsgeheimnisträgern ein. Insbesondere öffentliche Stellen wären jeglicher Aufsicht entzogen, z.B. das gesamte öffentliche Gesundheitswesen.
Art. 90 Abs 1 DS-GVO regelt das anders, nämlich mit der Einschränkung „soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen“.
Es wäre keinesfalls hinnehmbar, dass z.B. der gesamte Aktenbestand einer Anwaltskanzlei beschlagnahmt werden könnte.
Da § 203 StGB (Geheimhaltungspflicht) mit der Regelung des § 29 Abs. 3 unterlaufen wird, ist dieser Absatz nicht haltbar.
Sebastian Krone resümiert:
“Abschließend lässt sich zusammenfassen, dass die neue EU-Datenschutzgrundverordnung (DS-GVO) durch die Ergänzungen der DSAnpUG-EU der Bundesregierung systematisch umgedeutet und ausgehöhlt wird. Anstatt den Bürgern der EU ein verlässliches Regelwerk zum Schutz ihrer Daten zu bieten, wird so auf nationaler Ebene der Möglichkeit der Überwachung Tür und Tor geöffnet. Gegen viele Regelungen bestehen verfassungsrechtliche Bedenken bzw. sie verstoßen gegen geltendes EU-Recht.
Die Rechte der Betroffenen werden immer weiter eingeschränkt. Dieses Beispiel kann und darf nicht Schule machen – und besonders nicht in einer eiligen Nachtsitzung im Bundestag durchgewunken werden!”
Zitatgeber ohne Fotos geht gar nicht. Gerade von Anja gibt es doch mehr als genug Bildmaterial. Bin verwundert.