Bundestag zur DSGVO: Weniger Betroffenenrechte, weniger Datenschutzbeauftragte
Der Bundestag hat EU-Vorgaben zum Datenschutz abgeschwächt und eine 75-tägige Vorratsdatenspeicherung für den Behördenfunk eingeführt.
Gegen die Stimmen der Opposition hat der Bundestag in der letzten Sitzungswoche vor der Sommerpause in der Nacht zum Freitag um 1:30 Uhr einen Gesetzentwurf beschlossen, mit dem er das hiesige Recht weiter an die Datenschutz-Grundverordnung (DSGVO) anpassen will. Betroffen sind von dem Paket insgesamt 154 einzelne Gesetze. Ein besonderer Knackpunkt war der Ansatz der großen Koalition, die Pflicht für Firmen abzuschwächen, einen betrieblichen Datenschutzbeauftragten zu bestellen. Das Parlament hat die Grenze dafür jetzt von 10 auf 20 Beschäftigte erhöht.
Betroffenenrechte weiter eingeschränkt
Die in der DSGVO vorgesehenen Kontroll- und Betroffenenrechte hatte der Gesetzgeber mit dem ersten Anpassungsgesetz bereits eingeschränkt. Diesen Weg verfolgt Schwarz-Rot nun weiter. Vor allem beim Bundesamt für Sicherheit in der Informationstechnik (BSI) werden etwa das Widerspruchsrecht, die Informationspflicht, das Auskunftsrecht sowie Berichtigungs- und Löschpflichten jeweils beschnitten. Dazu kommen weite Zweckänderungsbefugnisse für die von der Behörde zu Sicherheitszwecken gesammelten Datenbestände.
Für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) haben die Abgeordneten eine 75-tägige Vorratsdatenspeicherung eingebaut. Die frühere Bundesdatenschutzbeauftragte Andrea Voßhoff hatte im Gesetzgebungsverfahren kritisiert, dass eine so lange und unverhältnismäßige Speicherdauer nicht nachvollziehbar sei. Auch verbesserte Suchmöglichkeiten nach verlorenen Endgeräten taugten nicht, um das zu rechtfertigen, zumal die gängige, maximal 70-tägige Vorratsdatenspeicherung gerade ausgesetzt sei und vor dem Bundesverfassungsgericht verhandelt werde. Die Personalvertretung "Die Unabhängigen" der Berliner Polizei sieht damit aber auch Ansätze zur besseren Kontrolle der Sicherheitsbehörden einhergehen. Gerade Polizeieinsätze könnten so minutiös ausgewertet und transparenter gemacht werden.
Adresshändler etwas bremsen
Die Volksvertreter wollen es mit der Initiative Adresshändlern erschweren, über eine einfache Melderegisterauskunft Informationen über Bürger abzufragen. Ganz soll dieser Hahn aber nicht abgedreht werden. Vorgesehen ist ferner etwa eine Klausel, um die Einwilligung zur Datenverarbeitung bei Beschäftigten auch in elektronischer Form zu erlauben. Die eID-Karte für EU-Bürger wird ein Jahr später eingeführt und soll so erst im November 2020 kommen. Weiter hat der Bundestag die Voraussetzungen dafür geschaffen, "dass sensible Informationen durch zivilgesellschaftliche Träger im Rahmen von Deradikalisierungsprogrammen verarbeitet und im Einzelfall an die Sicherheitsbehörden weitergegeben werden können".
In einem Entschließungsantrag fordert der Bundestag die Regierung auf, möglichst schnell einen Vorschlag auf den Weg zu bringen, um die Grundrechte auf freie Meinungsäußerung und Informationsfreiheit mit dem auf informationelle Selbstbestimmung harmonieren zu lassen. Damit soll "eine mögliche Selbstbeschränkung bei der Ausübung der Meinungsfreiheit" verhindert werden.
"DatensammelmĂĽhle" BSI
"Das BSI machen Sie zu einer verdeckt und nicht rechenschaftspflichtig agierenden Datensammelmühle", warf der grüne Fraktionsvize Konstantin von Notz der Koalition vor, der als einer der wenigen vorgesehenen Redner seinen Beitrag noch vortrug und nicht zu Protokoll gab. Generell habe die Regierung die DSGVO-Umsetzung erneut genutzt, um den nationalen Datenschutz weiter auszuhöhlen. Es spreche Bände, dass das "für die Bürgerrechte in der digitalen Gesellschaft so zentrale Thema" tief in der Nacht debattiert werde.
Kompetenzbefreit
Auch jenseits des Parlaments hagelt es aber Kritik an dem Vorhaben. Mit der verwässerten Anforderung, einen betrieblichen Datenschutzbeauftragten zu benennen, werde den Unternehmen Entlastung nur suggeriert, twitterte der Bundesdatenschutzbeauftragte Ulrich Kelber. Die Pflichten aus der DSGVO blieben bestehen, doch die Kompetenz fehle dann ohne internen Zuständigen. Die Folge "werden mehr Datenschutzverstöße und Bußgelder sein". Die Berliner Datenschutzbeauftragte Maja Smoltczyk zeigte sich besorgt, dass gerade Startups im Bereich Künstliche Intelligenz häufig viele und hoch sensitive Daten verarbeiteten. Werde die Privatsphäre der Betroffenen dabei nicht von Beginn an mitgedacht und abgesichert, drohten weitreichende Grundrechtsverletzungen sowie hohe wirtschaftliche Schäden. (kbe)