Wieviel Rechtssicherheit bringt das neue Bundesdatenschutzgesetz?
Der Deutsche Bundestag hat am 27. 4. 2017 mit den Stimmen der Großen Koalition das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) angenommen. Nachdem auch der Bundesrat zugestimmt hat, wird das Gesetz am 25. 5. 2018 in Kraft treten, zeitgleich mit dem Wirksamwerden der EU-Datenschutzgrundverordnung. In der Plenardebatte des Bundestags verkündete der für das Datenschutzrecht zuständige Bundesinnenminister Thomas de Maizière optimistisch: “Es gibt Rechtssicherheit für alle. Schluss mit dem Rosinenpicken beim europäischen Datenschutz: Unser Markt, unsere Regeln gelten für alle, ausnahmslos.” Genau daran sind aber Zweifel erlaubt, denn das neue Gesetz enthält eine Reihe von Vorschriften, deren Europarechtskonformität zweifelhaft ist: Abweichende Regelungen für die Verarbeitung von Daten für andere Zwecke, bei den Betroffenenrechten auf Information, Auskunft und Löschung ihrer Daten, Einschränkungen der Datenschutzaufsicht bei Daten, die einer besonderen Geheimhaltungsverpflichtung bei Berufsgeheimnisträgern unterliegen.
Die Europäische Kommission hat schon angekündigt, die nationalen Regelungen zum Datenschutz sehr gründlich daraufhin zu überprüfen, ob sie den europarechtlichen Vorgaben aus der Datenschutzgrundverordnung (VO (EU) 2016/679) und der Datenschutzrichtlinie für Polizei und Justiz (RL (EU) 2016/680) entsprechen. Offensichtlich befürchtet die Kommission vor allem, dass die Anpassungs- und Umsetzungsgesetze der Mitgliedsstaaten die mit der Datenschutzgrundverordnung beabsichtigte Vollharmonisierung des europäischen Datenschutzrechts konterkarieren könnten. Sollten Teile des DSAnpUG-EU von Brüssel beanstandet werden, was durchaus zu erwarten ist, wird es zu langwierigen Rechtsstreitigkeiten kommen, die letztlich nur durch den EuGH entschieden werden können.
Bedeutsam ist auch, wie die in ihrer Stellung gestärkten Datenschutzbehörden mit der neuen Rechtslage umgehen werden. Wie wird etwa eine Aufsichtsbehörde darauf reagieren, wenn ein Krankenhaus oder eine private Krankenversicherung oder ein von Steuerberatern beauftragtes Rechenzentrum den Mitarbeitern der Behörde unter Berufung auf das neue Gesetz die Prüfung vor Ort und den Zugang zu den gespeicherten Daten verweigert? Wahrscheinlich wird die Aufsichtsbehörde unter Berufung auf das höherrangige EU-Recht darauf bestehen, ihre in der Datenschutzgrundverordnung vorgegebenen Befugnisse auszuüben. Rechtsstreitigkeiten sind also vorprogrammiert.
Ein weiterer Unsicherheitsfaktor sind die im deutschen Recht besonders zahlreichen bereichsspezifischen Datenschutzvorschriften. Besonders gravierend – und dringend – ist die Anpassung des Sozialdatenschutzes, und zwar nicht bloß der Grundsatzregelungen im SGB X, sondern auch der Datenschutzbestimmungen zu den einzelnen Bereichen des Sozialrechts. Zumindest auf Bundesebene ist nicht damit zu rechnen, dass die entsprechenden Bestimmungen noch in dieser Legislaturperiode an die europarechtlichen Vorgaben und die Regelungen im novellierten Bundesdatenschutzgesetz angepasst werden. Auch inhaltlich bestehen hier noch viele Unsicherheiten, etwa hinsichtlich der Frage, wie weit die durch das Primärrecht konstituierte Zuständigkeit des EU-Gesetzgebers überhaupt geht.
Zudem liegt ein Teil der datenschutzrechtlichen Anpassungs- und Umsetzungspflichten bei den Landesgesetzgebern. Jedes der 16 Landesdatenschutzgesetze muss überprüft und geändert werden. Es würde einem Wunder gleichen, wenn alle Länder am Ende gleichlautende Bestimmungen beschlössen, die auch noch mit den Regelungen des Bundesrechts übereinstimmen. Bestimmungen des Presse- und Medienrechts müssen aus diesem Grund neugefasst werden.
Im Ergebnis bleibt also von der durch den Bundesinnenminister proklamierten Rechtssicherheit nicht allzu viel übrig. Aber auch in anderer Hinsicht ist das Gesetz unbefriedigend: Deutschland ist anders als in früheren Zeiten nicht mehr im Führerstand des europäischen Datenschutzzugs, sondern gehört eher zu den bremsenden Kräften. Auch wenn im Vorfeld der Beschlussfassung des Bundestags einige besonders krasse Aufweichungen des Datenschutzrechts entschärft werden konnten – etwa im Hinblick auf die zunächst vom Bundesinnenministerium vorgeschlagenen, sehr weit gehenden Befugnisse nicht-öffentlicher Stellen, personenbezogene Daten für Zwecke zu verwenden, die mit dem Erhebungszweck unvereinbar sind –, bleiben die neuen Regelungen doch unter dem durch die Grundverordnung definierten Datenschutzniveau. Es wird sich zeigen, ob dem Datenschutz in der nächsten Legislaturperiode wieder größeres Gewicht zugemessen wird.
Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a. D., Berlin