Datenschützer fordern Geldbußen gegen Behörden und öffentliche Stellen
Die Datenschutzkonferenz fordert zahlreiche Nachbesserungen am Regierungsentwurf zur BDSG-Novelle etwa auch bei Scoring und dem Schutz von Betriebsgeheimnissen.
Bislang dürfen staatliche Datenschutzkontrolleure gemäß Paragraf 43 Bundesdatenschutzgesetz (BDSG) keine Geldbußen gegen Behörden und öffentliche Stellen verhängen. Dies führt dazu, dass die Aufseher etwa selbst bei massiven Datenschutzverstößen durch die Polizei in der Regel nicht viel mehr als eine öffentliche Rüge erteilen können. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mahnt daher an, die entsprechende BDSG-Klausel zu streichen. Denn in der Praxis habe sich gezeigt, "dass ein Bedarf für Geldbußen auch im öffentlichen Bereich besteht, um die Schwere eines Verstoßes gegenüber der beaufsichtigten Stelle hinreichend deutlich zu machen".
Ferner entfalteten drohende Geldbußen "die am meisten abschreckende Wirkung und dienen folglich der Sicherstellung der Einhaltung" der Datenschutz-Grundverordnung (DSGVO), betont die DSK in einer jetzt veröffentlichten Stellungnahme zum umstrittenen Gesetzentwurf der Bundesregierung für eine erste BDSG-Novelle. Damit könnten Datenschutzverletzungen "aktiv vorgebeugt werden". Die Möglichkeit, Geldbußen zu verhängen, sei zudem "aus Gründen der Gleichbehandlung" von öffentlichen und privaten Stellen erforderlich. Die Ansicht des Bundesinnenministeriums, dass bei einer solchen Strafe letztlich nur Steuergelder hin- und hergeschoben würden, greife zu kurz: Der Sanktionscharakter eines Bußgeldes bestehe aufgrund der eigenen Haushaltsbetroffenheit der jeweiligen Stelle uneingeschränkt. Die Bundesdatenschutzbehörde benötige ferner die Option, Zwangsmittel gegen Behörden und juristische Personen des öffentlichen Rechts erlassen und Anweisungen so vollstrecken zu können.
Die Regierung will mit der Initiative auch festlegen, dass Daten wie die Wohnadresse, Name oder Angaben aus sozialen Netzwerken künftig nicht mehr genutzt werden können, um die Zahlungsfähigkeit von Verbrauchern per Scoring einzuschätzen. Wahrscheinlichkeitswerte dürften nur noch erstellt oder verwendet werden, wenn die genutzten personenbezogenen Daten für "keine anderen Zwecke verarbeitet werden". Auslöser war ein Urteil des Europäischen Gerichtshofs (EuGH) gegen die Schufa. Die DSK weist aber auf zahlreiche Unklarheiten hin. So hält sie es etwa für erforderlich, ein Verbot der Nutzung von Daten zum Alter und zum Geschlecht der betroffenen Person als Basis für eine maschinelle Bonitätsbewertung zu prüfen. Ferner seien Verfahren zur Sicherstellung richtiger und aktueller Daten für das Scoring zu implementieren.
Betroffenenrechte müssen gewahrt bleiben
Ferner soll mit dem Regierungsvorhaben die DSK im BDSG institutionalisiert werden, was die Ampel im Koalitionsvertrag vereinbart hat. Für die Datenschutzkonferenz selbst enthält der ins Spiel gebrachte Ansatz aber "nicht viel Neues": Man arbeite bereits seit mehreren Jahren auf Basis einer eigenen Geschäftsordnung, die sich als tragfähig erwiesen habe: "Darin sind auch Anwendungsbereich und Verfahren von Mehrheitsentscheidungen definiert." Vorteilhaft wäre es aber, die Ziele der DSK zur Koordinierung der Arbeit der Aufsichtsbehörden ins Gesetz aufzunehmen und eine ständige Geschäftsstelle einzurichten. Sie solle als Kontaktpunkt für andere Behörden und Institutionen dienen und die Konferenz bei der Aufgabenerfüllung unterstützen.
Bei gemeinsamer Verantwortlichkeit im nicht öffentlichen Bereich will es die Exekutive den beteiligten Unternehmen ermöglichen, eine einzige Aufsichtsbehörde festzulegen. Die DSK hält es in solchen Fällen aber für nötig, zumindest vorab zu prüfen, ob dafür die Berechtigungen vorliegen und wie sich eine gemeinsam verantwortete Verarbeitung abgrenzen lässt. Zugleich weisen die Kontrolleure auf offene Fragen beim vorgesehenen hoheitlichen Tätigwerden in anderen Ländern hin. Zweifel haben sie ferner, ob die geplanten Vorgaben zum Schutz von Betriebs- und Geschäftsgeheimnissen bei Auskunftsansprüchen von Bürgern mit der DSGVO vereinbar sind: Die europarechtlichen Optionen, entsprechende Betroffenenrechte einzuschränken, seien eng auszulegen. Der Europäische Datenschutzausschuss (EDSA) prüft die Beachtung dieser Vorschrift gerade.
(olb)