Ein erster – wohl bereits zurückgezogener - Referentenentwurf für das neue Allgemeine Bundesdatenschutzgesetz ist einsehbar. Wir zeigen, welche Problemfelder die Diskussion in Zukunft bestimmen werden.

Aufgrund der Komplexität der Materie war es abzusehen, dass bei der Implementierung und Umsetzung der Datenschutzgrundverordnung (DSGVO) ein erheblicher Regelungsbedarf auf den Bundesgesetzgeber zukommen würde. Neben der Möglichkeit, verschiedene Öffnungsklauseln in Anspruch zu nehmen, erforderte insbesondere auch die Regelung der Datenverarbeitung durch öffentliche Stellen die Aufmerksamkeit des Gesetzgebers.

Es sind nicht einmal mehr zwei Jahre bis zum 25. Mai 2018. Ab diesem Zeitpunkt ist die DSGVO in allen Europäischen Mitgliedsstaaten – ohne weitere Umsetzung in nationales Recht – anzuwenden.

Daher ist es verständlich, dass mit Nachdruck an den notwendigen Regelungen gearbeitet wird, insbesondere wenn man sich vor Augen führt, in welchen Teilbereichen Vorkehrungen getroffen werden müssen. Datenschutzrechtlich relevante Regelungen finden sich z. B. im BZRG, in der GBO, im MarkenG und auch in den zivil- und strafprozessualen Vorschriften.

Entwurf für ein neues Allgemeines Bundesdatenschutzgesetz

Das Bundesministerium des Inneren hat für den ersten Aufschlag hinsichtlich eines neuen Gesetzes unter dem sperrigen Titel ,,Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ (DSAnpUG-EU) einen Entwurf für ein neues Allgemeines Bundesdatenschutzgesetz (ABDSG) veröffentlicht. Das Bundesministerium für Inneres hat einen ambitionierten Ansatz gewählt, in dem es sämtliche Regelungen, zuzüglich der Umsetzung der Richtlinie 2016/680, in einem einzelnen Gesetz zusammengefasst hat.

Die bisher bekannten Reaktionen auf diesen Gesetzesentwurf sind äußerst kritisch. Nach Ansicht der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ist der gewählte Ansatz „verfehlt und weitgehend misslungen“. Nach Ansicht des Bundesministeriums für Justiz und Verbraucherschutz wird der Entwurf nach einer ersten Prüfung den gesetzten Zielen „nicht gerecht“.

Da es sich zum jetzigen Zeitpunkt allein um einen ersten vorläufigen Entwurf handelt, ist eine abschließende Stellungnahme weder angezeigt noch möglich. Es zeichnen sich jedoch bereits jetzt verschiedene Konfliktfelder bzw. -punkte auf, die für die Rechtsanwendung und auch die weitere Diskussion erheblich sein werden.

Klagemöglichkeit gegen Privacy Shield & Co.

In seiner Entscheidung bezüglich des Safe-Harbor-Beschlusses der EU-Kommission hat der EuGH u. a. gefordert, dass zukünftig ein eigenes Klagerecht gegen vergleichbare Kommissionsentscheidungen bestehen sollte. Dem trägt der Referentenentwurf in § 28 ABDSG-RE Rechnung. Durch die Klagemöglichkeit für Aufsichtsbehörden vor dem Bundesverwaltungsgericht soll eine unmittelbare Rechtsschutzmöglichkeit geschaffen werden, wie sie der EuGH in seiner vorbezeichneten Entscheidung gefordert hatte.

Das Bundesministerium der Justiz und für Verbraucherschutz fordert eine wesentlich diffizilere Regelung, die jedoch im Wesentlichen nur prozessuale Änderungen gegenüber dem Entwurf des Bundesministeriums des Inneren enthält.

Demgegenüber sieht die Bundesbeauftragte für den Datenschutz und die Informationssicherheit die Notwendigkeit, die Klagemöglichkeiten auch auf andere Entscheidungen der Kommission, so z. B. nach Art. 46 DSGVO, zu erweitern. Insbesondere soll dieses auch nicht von dem Vorliegen einer Beschwerde abhängig sein. Es ist seitens der jeweiligen Aufsichtsbehörde nicht zu beeinflussen, ob eine Beschwerde vorliegt. Eine entsprechende Einschränkung der Rechtsschutzmöglichkeiten sei nicht hinnehmbar.

Es wird zukünftig nicht nur über den konkreten Gesetzestext, sondern insbesondere auch über die Reichweite der Klagemöglichkeiten gestritten werden. Dies ist für Unternehmen relevant, da – sollte sich die Ansicht der Bundesbeauftragten durchsetzen – auch wesentlich weitergehende Kontrollrechte der Aufsichtsbehörden hinsichtlich eines internationalen Datentransfers bestehen würden und z. B. auch Binding-Corporate-Rules oder EU-Standardvertragsklauseln überprüft werden könnten.

Beschäftigten-Datenschutz

Auch hinsichtlich des – in der DSGVO mit einer Öffnungsklausel versehenen – Beschäftigten-Datenschutzes trifft der Referentenentwurf für das ABDSG eine Regelung, die jedoch inhaltlich weitestgehend dem bekannten § 32 BDSG entspricht. Demnach ist eine Datenverarbeitung im Grundsatz her nur insoweit zulässig, als diese für die Begründung oder Durchführung des Arbeitsverhältnisses notwendig ist.

Der entsprechende Vorschlag fand in den Stellungnahmen des Bundesministeriums für Justiz und Verbraucherschutz Zustimmung. In der Stellungnahme der Bundesbeauftragten für Datensicherheit und Informationsfreiheit wurde er nicht einmal erwähnt.

Es wurde damit wieder eine Chance verpasst, den Beschäftigten-Datenschutz einer klaren gesetzlichen Regelung zu unterziehen. Dieses Thema wird seit mehreren Jahren wiederholt diskutiert, im Jahr 2010 existierte sogar ein diesbezüglicher Entwurf für ein Gesetz hinsichtlich des Beschäftigten-Datenschutzes.

Auch der aktuelle Koalitionsvertrag sah vor, dass der Beschäftigten-Datenschutz einer eigenen bundesgesetzlichen Regelung zugeführt werden sollte, sofern die DSGVO dazu keine Regelungen treffe. Da die DSGVO tatsächlich hinsichtlich des Beschäftigten-Datenschutzes allein eine Öffnungsklausel enthält, wäre es hier nur konsequent gewesen, den Beschäftigten-Datenschutz nunmehr auch in einem Bundesgesetz umzusetzen. Dies ist jedoch nicht erfolgt.

Gemeinsame Vertretung

Ein hohes Konfliktpotential zwischen Bund und Ländern bieten die §§ 29 ff. des ABDSG-RE. Diese umfassen die Vertretung von Deutschland im neu zu gründenden Europäischen Datenschutzausschuss (vgl. Art. 68 ff. DSGVO). Gemäß Art. 68 Abs. 3 DSGVO soll sich der Ausschuss aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedsstaates und dem Europäischen Datenschutzbeauftragten zusammensetzen.

Nun ist es bekannt, dass in einem Großteil der Mitgliedsstaaten tatsächlich auch nur eine Datenschutzaufsichtsbehörde besteht, sodass keine Konflikte entstehen können, wer die Vertretung in dem Ausschuss übernimmt.

Die föderale Struktur des Datenschutzes in Deutschland mit sechszehn gleichberechtigten Datenschutzbehörden und einer Bundesbeauftragten für Datenschutz und Informationsfreiheit verkompliziert dieses Verfahren jedoch erheblich.

Der Referentenentwurf sieht in § 29 ABDSG-RE vor, dass der gemeinsame Vertreter grundsätzlich der oder die Bundesbeauftragte für Datenschutz und Informationsfreiheit ist. In einem komplizierten Verfahren besteht für die Länder die Möglichkeit, einen Vertreter aus ihren Reihen zu bestimmen. Da davon auszugehen ist, dass das Gremium des Europäischen Datenschutzausschusses einen erheblichen Einfluss auf die Entwicklung des Datenschutzrechts hat, ist es von Bedeutung und Interesse, wer die Vertretung in diesem Organ übernimmt.

Die bisherigen Stellungnahmen, die allesamt ebenfalls von Bundesministerien bzw. -behörden kommen, akzeptieren bzw. begrüßen diese Regelung grundsätzlich. Es bleibt abzuwarten, wie hier die Stellungnahmen der einzelnen Länder ausfallen. Aller Voraussicht nach ist hier auch noch nicht das letzte Wort gesprochen, da die Länder ihre Einflussmöglichkeiten wahren wollen.

Datenverarbeitung durch öffentliche Stellen

Der Entwurf regelt zu erheblichen Teilen insbesondere die Datenverarbeitung durch öffentliche Stellen und die daraus folgende Einschränkung von Auskunfts- und Löschungsrechten seitens der Betroffenen. Die Regelungen haben eine erhebliche Kritik im Rahmen der bisherigen Stellungnahme erfahren. Die Bundesbeauftragte für Datenschutz und Informationsfreiheit bezeichnet diese als „problematisch, zu undifferenziert und sie wahrt nicht das Prinzip der Verhältnismäßigkeit“. Das Bundesministerium für Justiz und Verbraucherschutz führt schlicht aus, dass der Entwurf in dieser Form nicht mitgetragen werden kann.

Grundlage für diese erhebliche Kritik ist, dass die Rechtfertigungsgründe für eine Datenverarbeitung der öffentlichen Stellen viel zu weitgehend sind. Eine genaue Differenzierung oder Erfassung der eigentlichen Zwecke ist kaum möglich.

Beispielhaft wird hier auf § 4 Abs. 2 Nr. 3 und Nr. 4 des Referentenentwurfes verwiesen, wonach eine Datenverarbeitung zulässig ist „zur Abwehr erheblicher Nachteile für das Gemeinwohl“ (Nr. 3) bzw. „zur Wahrung erheblicher Belange des Gemeinwohls“ (Nr. 4). Weder sind diese Begriffe greifbar noch ist die genaue Unterscheidung beider ersichtlich.

Weiterhin heißt es in § 4 Abs. 2 Nr. 7 ABDSG-RE, dass eine Datenverarbeitung auch aus „Gründen der nationalen Sicherheit“ erlaubt sein soll. Wie dieser Begriff genau zu verstehen ist, wird ebenfalls nicht erläutert.

Erhebliche Kritik hat auch § 4 Abs. 2 Nr. 8 ABDSG-RE erfahren, wonach eine Datenverarbeitung „zur Gewährleistung der Netz-, Daten- und Informationssicherheit“ zulässig sein soll. Nach der Begründung des Entwurfs ist diese Ziffer bewusst nicht auf besonders wichtige Infrastrukturen beschränkt, sondern soll vielmehr eine „Cyber-Sicherheit“ als Ganzes gewährleisten. Beispielhaft werden hierfür auch Botnetze oder Distributed genannt. Hiermit werden jedoch einer Datenverarbeitung durch öffentliche Stellen hinsichtlich umfassender Kommunikationsdaten – denn ansonsten ist z. B. eine Verfolgung von Denial of Service-Angriffen kaum möglich – Tür und Tor geöffnet. Es ist davon auszugehen, dass hier noch eine erhebliche Nachbesserung im Referentenentwurf stattfinden wird.

Dies gilt insbesondere auch vor dem Hintergrund des § 6 ABDSG-RE, wonach in einem ebenfalls kaum rechtssicher definierten Bereich der Zweckbindungsgrundsatz im öffentlichen sowie im privaten Bereich aufgehoben wird. Das Bundesministerium für Justiz und Verbraucherschutz plädiert dafür, diesen Paragrafen insgesamt zu streichen. Auch die Bundesbeauftragte für Datenschutz und Informationssicherheit plädiert dafür, die Norm erheblich zu überarbeiten.

Auskunfteien und Scoring

Wie bekannt, enthält die DSGVO grundsätzlich keine Regelung, die den §§ 28, 29 BDSG entspricht. Insofern ist es grundsätzlich zu begrüßen, dass der Referentenentwurf Regelungen vorsieht, die weiterhin die Tätigkeit von entsprechenden Unternehmen und eine solche Datenverarbeitung, also eine geschäftsmäßige Übermittlung von Daten bzw. eine Verwendung von Daten zum Zwecke des Scorings, ermöglichen sollen (vgl. §§ 38, 39 ABDSG-RE). Problematisch ist jedoch, ob tatsächlich eine ausreichende Rechtsgrundlage besteht und ob diese Regelungen den Anforderungen des Zweckbindungsgrundsatzes in ausreichender Weise Rechnung tragen.

Dies wird von der Bundesbeauftragten für Datenschutz und Informationsfreiheit angezweifelt. Sie plädiert dafür, die Regelungen zum jetzigen Zeitpunkt nicht umzusetzen, sondern gemeinsam mit den Aufsichtsbehörden, also den Datenschutzbehörden, eine entsprechende Umsetzung zu erarbeiten.

Weniger drastisch fällt die Kritik des Bundesministeriums für Justiz und Verbraucherschutz aus, die die Regelungen vom Grundsatz her begrüßt. Jedoch bestehen auch hier erhebliche Zweifel an der in Bezug genommenen Rechtsgrundlage des Art. 6 Abs. 4 DSGVO. Auch wird ein erheblicher Überarbeitungsbedarf geäußert, insbesondere in Bezug auf mögliche Big Data-Anwendungen.

Zusammenfassung

Der erste Referentenentwurf vermag im Ergebnis nicht zu überzeugen. Es entsteht der Eindruck, dass unter erheblichem Zeitdruck ein sehr ambitioniertes Projekt umgesetzt werden sollte und diesem Zeitdruck die erforderliche Gründlichkeit zum Opfer fiel. Wohl auch aus diesem Grund ist der Entwurf, so wird jedenfalls berichtet, bereits wieder zurückgezogen worden. Insofern bleibt zu beachten, dass es sich um einen in der Diskussion befindlichen Entwurf handelt und die ersten Stellungnahmen bereits viele Probleme konkret benennen, an denen nunmehr gearbeitet werden kann.

Es zeigt sich jedoch bereits deutlich, dass ab 2018 nicht nur die Datenschutzgrundverordnung zu beachten ist, sondern das nationale Recht einen erheblichen Einfluss auf die Rechtspraxis haben wird. Dies verkompliziert die Rechtssituation einerseits für die Rechtsanwender, andererseits scheinen sich die Befürchtungen zu bewahrheiten, dass trotz Datenschutzgrundverordnung aufgrund der erheblichen Öffnungsklauseln doch kein einheitliches europäisches Datenschutzrecht erreicht werden wird.