Datenschutzkonferenz gibt sich Grundlagen und kritisiert Innenminister
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat ihre Kontroll- und Beratungspraxis auf eine systematische und konsistente Grundlage gestellt. Auch hatten sie vielfach Kritik an Innenminister parat.
Auch de Maizières Entwurf eines Videoüberwachungsverbesserungsgesetzes bekam sein Fett ab.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder ist am gestrigen Donnerstag mit wegweisenden Entschließungen zu Ende gegangen. Mit der eigenen Prüfsystematik sind die Aufsichtsbehörden einen wesentlichen Schritt vorangekommen: So wollen sie das Handbuch zum Standard-Datenschutzmodell (SDM) in der aktuellen Version als Erprobungsfassung herannnehmen.
Systematische Grundlage für Kontrollen
Mit dem Beschluss wird die Kontroll- und Beratungspraxis der Behörden auf eine systematische und konsistente Grundlage gestellt. Der dazugehörende Maßnahmenkatalog soll laufend von einem Arbeitsgremium fortentwickelt werden. Bisher wurde das Handbuch nur von einzelnen Aufsichtsbehörden getestet. Die "Orientierungshilfe Cloud Computing" basiert auf dem SDM und die Datenschutzaufsicht in Mecklenburg-Vorpommern prüfte bereits damit eine Schulsoftware.
Die Aufsichtsbehörden definierten auch einen neuen Arbeitsbereich für "Privacy by Design": Sie wollen sich systematisch mit der Paketzustellung via Roboter oder Drohne befassen, deren Kameras den öffentlichen Raum erfassen. So wollen sie erfahren, was diese Kameras aufzeichnen und was mit den erhobenen Daten weiter geschieht. Ziel sei es, diese Technik datenschutzkonform zu gestalten.
Mehrfache Kritik an Innenministern
Die Datenschutzaufsichtsbehörden übten überdies mehrfach Kritik an den Innenministern von Bund und Ländern. Sie forderten Bundesinnenminister Thomas de Maizière (CDU) auf, den Entwurf eines Videoüberwachungsverbesserungsgesetzes zurückzuziehen. Er suggeriere mehr Sicherheit, ohne die bisher geltende Rechtslage tatsächlich zu verbessern. Außerdem ändere er das Bundesdatenschutzgesetz, das bald durch ein Umsetzungsgesetz der Europäischen Datenschutz-Grundverordnung abgelöst werde. Die Datenschützer kritisieren die Absicht, die Verantwortung für die öffentliche Sicherheit vom Staat auf private Betreiber von Einkaufszentren und öffentlichem Personennahverkehr abzuwälzen. Die Polizei verfüge bereits über die dafür notwendigen gesetzlichen Grundlagen. Deshalb sei ein "Videoüberwachungsverbesserungsgesetz" "schlicht überflüssig".
Das deutsche Recht an die die Europäische Datenschutz-Grundverordnung anzupassen war ebenfalls ein heißes Thema auf der Konferenz. So beschloss sie ein Eckpunktepapier zu veröffentlichen, das den ersten, inzwischen aber wegen zahlreicher schwerer Mängel zurückgezogenen Referentenentwurf des Bundesinnenministeriums kommentiert. Darin fordert sie, das bisherige Schutzniveau zu erhalten. Auch mahnt sie, dass die Aufsichtsbehörden "durchsetzungsfähig" sein müssen, auch gegenüber Berufsgeheimnisträgern, die besonders sensible personenbezogene Daten verarbeiten. Damit spielt die Konferenz unter anderem auf die wirkungslos gebliebenen Beanstandungen an, die die Bundesdatenschutzbeauftragte gegenüber dem Bundesnachrichtendienst ausgesprochen hatte. Derzeit fehlen den Aufsichtsbehörden Sanktionsmöglichkeiten im öffentlichen Bereich sowie eine eigene Klagebefugnis.
Verfassungsrechtliche Mängel in Sicherheitsgesetzen
Nach Ansicht der Aufsichtsbehörden müsse sich der Gesetzgeber endlich auch mit der Entscheidung des Bundesverfassungsgerichts zum BKA-Gesetz befassen. Die verfassungsrechtlichen Mängel, auf die das Gericht hingewiesen hatte, bestünden auch in anderen Sicherheitsgesetzen von Bund und Ländern, die Regelungen zu verdeckt durchgeführten Überwachungen enthalten. Diese müssten jetzt "zeitnah" überprüft und gegebenenfalls überarbeitet werden.
Sorge macht den Datenschützern auch das laufende Gesetzgebungsverfahren zur Änderung des Personalausweisgesetzes. Sie verlangen, dass Bürger über die Aktivierung der eID-Funktion des neuen Personalausweises selbst entscheiden können. Falls hierüber zweckgebundene Daten erforderlichenfalls übermittelt würden, müsse dies für die Ausweisinhaber transparent erfolgen.
Schließlich wiesen die Datenschutzbehörden darauf hin, dass die Erwägungen des Europäischen Gerichtshofs in seiner Safe-Harbor-Entscheidung für alle Drittstaaten übertragen werden können. Entsprechend müssten nun im Einzelfall Rechtsgrundlagen wie Binding Corporate Rules und Standardvertragsklauseln überprüft werden. Betroffen von dieser Ansage sind damit etwa alle Gerätehersteller aus dem asiatischen Raum. (anw)
