Am Wochenende wurde der dritte DSAnpUG-EU-Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts geleakt, der nunmehr morgen durch das Bundeskabinett beschlossen und danach in den Bundestag eingebracht werden soll. Bereits die ersten beiden Versionen des Ausführungsgesetzes zur im letzten Jahr in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) sind massiv kritisiert worden. Da fragt man sich: lässt die neue Version die Kritiker nun verstummen?
Der Inhalt im Überblick
Um es direkt vorwegzunehmen:
Nein. Die Kritik hält weiter an und der Grünen Politiker und Europa-Abgeordneter Jan-Philipp Albrecht prophezeit in einem Statement gegenüber der Stuttgarter-Zeitung sogar:
„Sollte dieser Gesetzentwurf so auch den Bundestag passieren, wird er in null Komma nix vor dem Europäischen Gerichtshof landen.“
Der Datenschutzexperte hatte selbst maßgeblichen Anteil an den Verhandlungen zur DSGVO.
Öffnungsklauseln…
Ab dem 25. Mai 2018 gilt die DSGVO europaweit und soll zu einer Vereinheitlichung der datenschutzrechtlichen Regelungen in der EU führen. Grundsätzlich gilt die Verordnung in allen Mitgliedsstaaten unmittelbar und bedarf keiner weiteren Umsetzungsgesetze. Die DSGVO enthält allerdings sogenannte Öffnungsklauseln, die den nationalen Gesetzgebern die Möglichkeit zur Einführung eigener Regelungen geben. In der Sache sollen solche gesetzlichen Öffnungsklauseln wie der Jurist zu sagen pflegt „die Verhältnismäßigkeit wahren“.
… und was daraus gemacht wird
Bereits die ersten beiden Versionen des Referentenentwurfs aus dem September und November 2016 standen enormer Kritik gegenüber. Gerade in der überarbeiteten Version wurden viele der zuvor kritisierten Punkte nicht angepasst. Und auch jetzt ist der Gesetzesentwurf wenig zufriedenstellend, denn dieser enthält wieder nur in Teilen Verbesserungen, hinzugekommen sind vielmehr auch Verschlechterungen.
Beschäftigtendatenschutz & Betroffenenrechte
Bemängelt werden immer noch die Regelungen zum Beschäftigtendatenschutz und konkret die Frage nach der Freiwilligkeit einer Einwilligung im Beschäftigtenverhältnis. Daneben bleibt auch die Kritik an den Betroffenenrechten nach dem DSAnpUG-EU. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heinz Müller, Pressemitteilung LfDI MV, stellt hierzu resigniert fest:
„Die europäische Datenschutz-Grundverordnung (DS-GVO) trägt dem Interesse der Unternehmen am freien Datenverkehr angemessen Rechnung und wahrt zugleich die Betroffenenrechte. Dieses Gleichgewicht wird durch das neue BDSG empfindlich gestört. Darin werden die Rechte der Bürgerinnen und Bürger beschnitten, um den Aufwand bei Unternehmen und staatlichen Stellen gering zu halten […].“
Gemeint ist hier zum Beispiel die nur vage formulierte Regelung des § 33 DSAnpUG-EU, wonach Informationspflichten des Betroffenen unterbleiben können, wenn „allgemein anerkannte Geschäftszwecke des Verantwortlichen erheblich gefährden würde“.
Stumpfe Klinge statt scharfes Schwert
Eines der schärfsten Instrumente der Datenschutz-Grundverordnung im Kampf für mehr Ernsthaftigkeit im Datenschutz sind die enormen Geldbußen, die einem Unternehmen im Falle eines Verstoßes drohen können: sie betragen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Der neue Referentenentwurf lässt hier eine Ahndung von Verstößen als bloße Ordnungswidrigkeit zu (vgl. § 41).
Das letzte Wort
… ist in Sachen der Öffnungsklauseln und deren Handhabung also noch längst nicht gesprochen. Sollte der Entwurf nach morgen nicht nur vom Bundeskabinett beschlossen werden, sondern letztlich so auch den Bundestag passieren, darf wohl damit gerechnet werden, dass es letztlich auf eine gerichtliche Überprüfung der Regelungen im Streitfall hinauslaufen wird.
