Weniger Kontrollrechte: Bundestag beschließt Gesetz zur EU-Datenschutzreform
Mit den Stimmen der großen Koalition haben die Abgeordneten den umstrittenen Entwurf verabschiedet, mit dem das Bundesdatenschutzgesetz an die neuen EU-Vorgaben angepasst werden soll.
Der Bundestag hat am Donnerstag einen großen Schritt gemacht, um das hiesige Recht mit der EU-Datenschutzreform in Einklang zu bringen. Er beschloss dazu mit der schwarz-roten Koalitionsmehrheit den umkämpften Regierungsentwurf zur Novelle des Bundesdatenschutzgesetzes mit einer Reihe von Änderungen, die der federführende Innenausschuss tags zuvor befürwortet hatte. Die Opposition stimmte gegen die Initiative, die nach Ansicht der EU-Kommission wegen Verstoß gegen ein Kernelement der Datenschutzverordnung aus Brüssel vor dem Europäischen Gerichtshof landen könnte.
Von der Auskunftspflicht befreit
Bei den zunächst von der Bundesregierung vorgesehenen massiven Schranken für Informations- und Auskunftsansprüche von Bürgern, dass ein Unternehmen Daten über sie erhoben hat und verarbeitet, haben CDU/CSU und SPD nachgebessert. Diese Rechte sollen nur noch dann nicht mehr bestehen, wenn Unternehmen personenbezogene Daten weiter nutzen und dabei den ursprünglichen Erhebungszweck beibehalten. Die Kommunikation mit der betroffenen Person muss zudem "ausschließlich oder überwiegend" in analoger Form erfolgen und ihr Interesse auf Auskunft als gering anzusehen sein.
Damit sollen vor allem kleine und mittlere Unternehmen wie Bäckereien oder Metzgereien, die kaum mit digitaler IT arbeiten, von der Auskunftspflicht befreit werden. Ausnahmen vom Recht, falsche persönliche Informationen löschen zu lassen, werden ferner auf Fälle nicht automatisierter Datenverarbeitung beschränkt. Nach wie vor im Regierungssinne greifen die elementaren Betroffenenrechte aber etwa nicht, wenn sie "die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder eines Landes Nachteile bereiten" oder eine "vertrauliche Übermittlung von Daten an öffentliche Stellen" unterwandern könnten.
Höhere Sanktionen, lückenhafte Prüfmöglichkeiten
Die Regierungsfraktionen haben zudem eine Klausel eingefügt, wonach das Landgericht über Sanktionen bei Verstößen gegen die Regeln entscheiden soll, wenn Strafen von über hunderttausend Euro anstehen. Prinzipiell sieht die Verordnung Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Konzerns vor. Zuvor hatten Praktiker eingewandt, dass es wenig helfe, den Sanktionsrahmen massiv zu erhöhen, wenn Aufsichtsbehörden gar nicht die Ressourcen erhielten, Firmen ausreichend zu prüfen.
Einen weiteren umstrittenen Punkt hat die Koalition nicht korrigiert. So werden Berufsgeheimnisträger wie Ärzte, Anwälte oder private Lebens- und Krankenversicherungen künftig von Kontrollen durch die Aufsichtsbehörden ausgenommen. Dies dürfte dazu führen, dass besonders sensible Gesundheitsdaten in Krankenhäusern oder bei Sozialversicherungen nur noch lückenhaft geprüft werden können.
Bundesdatenschutzbehörde massiv eingeengt
Die Aufsicht der Bundesdatenschutzbehörde über den Bundesnachrichtendienst (BND) wird massiv eingeengt. Sie darf sich nicht einmal mehr mit Informationen oder Ersuchen an die parlamentarischen Ausschüsse wenden. Rechtsexperten zufolge verstößt die Klausel zur Videoüberwachung, die das Parlament ein zweites Mal für gut befunden hat, gegen EU-Recht. Damit sollen Sicherheitsbelange künftig Vorrang haben vor dem Datenschutz, wenn Firmen Kameras in "öffentlich zugänglichen großflächigen Anlagen" anbringen wollen.
Bundesinnenminister Thomas de Maizière (CDU) gab bei der abschließenden Lesung die Parole aus: "Das Prinzip der Datensparsamkeit um ihrer selbst willen ist in der Zeit von Big Data überholt." Für die SPD lobte Gerold Reichenbach Vorteile für die Bürger und Unternehmen durch einheitliche Regeln. Er zeigte sich zuversichtlich, dass auch der Bundesrat zustimmen werde. Nötig sei aber noch ein spezielles Beschäftigtendatenschutzgesetz.
Souveräne Brüger benötigen Datenschutz
Die Linke Petra Pau beklagte: "Das Gesetz schwächt den Datenschutz", der eine "unverzichtbare Basis für jedwede Demokratie ist". Bürger seien sonst manipulierbar und nicht souverän. Maizière habe nichts unversucht gelassen, die hohen europäischen Standards zu unterwandern, beklagte der Grüne Konstantin von Notz. Seine Fraktion hatte in einem letztlich abgelehnten Antrag unter anderem gefordert, vor allem bei den Regeln für "Profiling und Scoring" nachzubessern und die Prüfmöglichkeiten der Datenschutzbeauftragten zu stärken.
Die neuen Bestimmungen treten im Mai 2018 in Kraft. Beobachter sehen auch weiteren spezifischen Anpassungsbedarf in der nächsten Legislaturperiode, wenn es um den Schutz der Meinungsfreiheit geht. Diese sei sonst im Zusammenspiel mit dem geplanten Netzwerkdurchsetzungsgesetz besonders stark bedroht.
Europäische Bestimmungen ins Gegenteil verkehrt
Die Deutsche Vereinigung für Datenschutz (DVD) beklagte, dass das Vorhaben europäische Bestimmungen ins Gegenteil verkehre und einen "massiven Rückfall Deutschlands" bei der Absicherung der Privatsphäre der Bürger zur Folge haben werde. Das Gesetz werde sicher vor dem Europäischen Gerichtshof landen. Der Digitalverband Bitkom bezeichnete die Novelle weder als großen Wurf noch als besonders bedenklich. Alle datenverarbeitenden Unternehmen sollten sich nun dringend mit den Vorgaben auseinandersetzen. (kbe)
