Datenschutz ist in unserer zunehmend digital werdenden Gesellschaft ein wichtiges Thema, welches auch festgeschriebener Vorgaben bedarf. Die EU-Datenschutzgrundverordnung, kurz DSGVO, trat am 25.05.2018 nach einer Übergangsfrist von zwei Jahren in Kraft und ist seit diesem Zeitpunkt anwendbar.
Da sie unmittelbar in allen EU-Mitgliedstaaten gültig ist und gegenüber dem nationalen Recht Anwendungsvorrang genießt, musste sie auch nicht in nationales Recht umgesetzt werden. Dennoch müssen die Mitgliedstaaten sich an ihre Vorschriften halten, weshalb die Bundesregierung eine Harmonisierung des Datenschutzrechts beabsichtigt, um die EU Bestimmungen und das deutsche Recht in Einklang zu bringen.
Nächtliche Abstimmung im Bundestag
Nach dem ersten Anpassungsgesetz, mit dem 2017 das Bundesdatenschutzgesetz abgeändert wurde, hat der Bundestag in der Nacht von Donnerstag, den 27.06.2019, auf Freitag, den 28.06.2019, zwei weitere Datenschutzgesetze beschlossen, mit denen das geltende Recht weiter an die DSGVO angepasst werden soll. Insgesamt betrifft diese Harmonisierung 154 einzelne Gesetze. Während SPD und CDU/CSU dem Entwurf zustimmten, wurde er von der Opposition abgelehnt. Unter anderem hatte die AfD noch vor der Abstimmung aufgrund des spärlich besetzten Plenums an der Beschlussfähigkeit des Bundestages gezweifelt und einen Hammelsprung verlangt, was jedoch vom Sitzungsvorstand abgelehnt und am darauffolgenden Tag auch von Bundespräsident Wolfgang Schäuble nochmals als nicht notwendig erklärt wurde.
Was hat sich geändert?
Mit dem neuen Gesetz wird nun auch das bereichsspezifische Datenschutzrecht des Bundes an die EU-DSGVO angepasst. Dabei kommt es vor allem zu Anpassungen an Begriffsbestimmungen und Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten.
Des Weiteren wurden die Kontroll- und Betroffenenrechte, die schon im ersten Anpassungsgesetz 2017 betroffen waren, noch weiter eingeschränkt; insbesondere das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, erfährt nun im Rahmen des Widerspruchsrechts, der Informationspflicht, dem Auskunftsrecht sowie der Berichtigungs- und Löschpflichten weitere Beschneidungen und Zweckänderungsbefugnisse.
Der Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben muss hingegen zukünftig eine 75-tägige Vorratsdatenspeicherung durchführen. Dieser Beschluss der Abgeordneten führte zu Diskussionen, da dieser lange Zeitraum einerseits für unverhältnismäßig und daher unnachvollziehbar erachtet wurde, andererseits aber auch für eine bessere Kontrolle der Sicherheitsbehörden sorge, indem Polizeieinsätze nun im Minutentakt ausgewertet und dadurch transparenter gemacht werden könnten.
Eine besonders gravierende Änderung trägt die Erhöhung der Mitarbeiterzahlen, ab der Unternehmen einen betrieblichen Datenschutzbeauftragten stellen müssen, mit sich: Anstelle von 10 Beschäftigten liegt diese Grenze nun bei einer Anzahl von 20 Personen. Durch diese Änderung werden die Pflichten für die Anstellung von Datenschutzbeauftragten abgeschwächt, was zu einer Entlastung kleinerer Firmen führen soll. Kritisiert wird hierbei allerdings vonseiten einiger Datenschutzbeauftragten, dass den Unternehmen diese bezweckte Entlastung nur vorgetäuscht werde, während es in Wirklichkeit keinen Verantwortlichen mehr gäbe. Speziell bei kleineren Firmen blieben somit die Pflichten aus der DSGVO weiter bestehen, obwohl es intern an einer Zuständigkeit fehlen werde. Als Folge könnte es so zu vermehrten Datenschutzverstößen und Bußgeldern kommen, was sicher nicht das ursprüngliche Ziel des Bundestages gewesen sein wird. Problematisch sei hierbei auch, dass gerade bei Startups, die mit KI arbeiten und daher eine große Zahl an extrem sensitiven Daten verarbeiten, die Gefahr besteht, dass die Privatsphären Betroffener nicht zur Genüge abgesichert werden, was wiederum zu Grundrechtsverletzungen und dadurch zu wirtschaftlichen Schäden des Unternehmens führen kann.
Die „Hürde“ Bundesrat
Der Bundesrat nahm zum Gesetzesentwurf insoweit Stellung, als er der Bundesregierung anriet, nach dem Willen des Bundesrates im Rahmen der etwa nach der DSGVO erforderlichen Berichte und Bewertungen zu überprüfen, ob bei der Anwendung der EU sowie der nationalen Regelungen Rechtsunsicherheiten in zentralen Praxisfragen wie der Veröffentlichung von Abbildungen oder den Anforderungen an Telemediendienste fortbestünden. In der datenschutzrechtlichen Praxis herrschten nach wie vor Unsicherheiten, ob und in welchem Umfang bisher zentrale Datenschutzregelungen fortgälten. Die Bundesregierung begegnete dieser Stellungnahme mit der Zusage zur Vornahme der verlangten Überprüfung.
Nachdem der Bundestag in seinem Entschließungsantrag auch Vorschläge für eine Harmonisierung des Rechts auf informationelle Selbstbestimmung mit den Rechten auf freie Meinungsäußerung und Informationsfreiheit forderte, wird deutlich, dass die Gesetzesänderung auch grobe Eingriffe in bestehende Grundrechte mit sich bringen könnte. Ob das neue Gesetz zum Datenschutz durchgehen wird, hängt allerdings noch von der Abstimmung des Bundesrates ab. Möglicherweise wird diese in der nächsten Plenarsitzung nach der Sommerpause, am 20.09.2019, stattfinden. Bisher steht dazu allerdings noch keine veröffentlichte Tagesordnung fest.
Quellen:
https://www.bundestag.de/dokumente/textarchiv/2019/kw26-de-datenschutz-649218
https://www.bundesrat.de/SharedDocs/termine/DE/plenum/2019/2019-09-20.html?nn=4352766