Wir befinden uns im Jahr 2018. Das ganze Datenschutzrecht der EU ist durch die Datenschutzgrundverordnung (DSGVO) vereinheitlicht… Das ganze Datenschutzrecht? Nein! Mit dem Entwurf für ein “Allgemeines Bundesdatenschutzgesetz” (ABDSG) will das Bundesministerium des Innern (BMI) verbliebene Spielräume für eine nationale Regelung möglichst weitgehend nutzen. Das Leben für die Rechtsanwender wird dadurch nicht leichter…
Die Öffnungsklauseln der DSGVO – eine Herkulesaufgabe
Dass die DSGVO zu keiner vollständigen Rechtsvereinheitlichung führen würde, hatte sich schon früh im Gesetzgebungsverfahren abgezeichnet. Bereits der im Januar 2012 veröffentlichte Kommissionsentwurf enthielt viele Öffnungsklauseln, die es den nationalen Gesetzgebern ermöglichen sollten, den Datenschutz für bestimmte Bereiche abweichend zu regeln. Im anschließenden Verfahren waren auf Verlangen von unterschiedlichen Seiten weitere Öffnungsklauseln einfügt worden – auch das BMI hatte entsprechende Forderungen gestellt und damit begründet, dass Deutschland nur so ein Absenken des Datenschutzniveaus verhindern könne. Entsprechend stattlich fiel die Zahl der Öffnungsklauseln in der endgültigen Fassung der DSGVO aus (hierzu Veil im CR-Blog mit Mindmap).
Während einige Öffnungsklauseln lediglich Regelungsoptionen eröffnen, wird in anderen ein Regelungsauftrag an die Mitgliedstaaten erteilt. Bis zum Inkrafttreten der DSGVO im Mai 2018 muss die deutsche Datenschutzgesetzgebung daher “auf Stand gebracht” werden. Zur Vorbereitung hat das BMI im Januar ein Gutachten (Kühling, Martini et.al.) in Auftrag gegeben, welches die Öffnungsklauseln der DSGVO untersucht und konkrete Vorschläge zur Anpassung des Bundesdatenschutzgesetzes (BDSG) unterbreitet. Die Autoren der über 500 Seiten starken Studie stellen allerdings klar, dass der deutsche Gesetzgeber mit Blick auf die schon im Herbst 2017 endende Legislaturperiode vor einer Herkulesaufgabe steht, wenn er das nationale Datenschutzregime fristgerecht anpassen will.
ABDSG – Der Entwurf im Überblick
Der nun bekannt gewordene Entwurf des BMI für ein ABDSG ist erkennbar unfertig und enthält unter anderem Hinweise auf die noch erforderliche Ressortabstimmung mit dem Bundesjustizministerium (BMJ). Gleichwohl lohnt ein Blick in diesen Entwurf. Das Dokument gibt Aufschluss über den gegenwärtigen Stand der Überlegungen und es ist zu vermuten, dass sich vieles davon auch in der Endfassung des ABDSG (wenn es denn so heißen sollte) finden wird. Und wer sich bereits jetzt auf das von Mai 2018 an geltende Datenschutzrecht vorbereiten will, muss das ABDSG im Blick behalten. Es wird als Konterpart zur DSGVO eine erhebliche praktische Bedeutung haben.
1. Anwendbarkeit: überall, wo geregelt werden darf
Das ABDSG will offenbar sämtliche von der DSGVO eröffneten Regelungsspielräume ausnutzen. So heißt es in § 1 Abs. 2 Nr. 1 ABDSG:
Soweit die [DSGVO] durch Öffnungsklauseln mitgliedstaatliche Vorschriften erfordert (Regelungsgebote) oder zulässt (Regelungsoptionen), enthält dieses Gesetz zur Durchführung der [DSGVO] spezifische Vorschriften.
Das ist bemerkenswert. In dem vom BMI beauftragten Gutachten hatten die Forscher ausdrücklich davor gewarnt, jegliche Öffnungsklauseln zu nutzen, um das Ziel einer unionsweit einheitlichen Regelung nicht zu gefährden und “das ohnehin komplexe Datenschutzrecht durch ein Nebeneinander von europäischer Rechtsverordnung und mitgliedstaatlicher Regelung” nicht weiter zu verkomplizieren. Vielmehr solle der Gesetzgeber in jedem Einzelfall kritisch prüfen, ob ein bestehender Regelungsspielraum auch ausgeschöpft werden soll. Die kritische Prüfung durch das BMI ist insofern recht einseitig ausgegangen – andererseits folgt das ABDSG inhaltlich weitgehend der DSGVO, so dass die materiellen Abweichungen im Ergebnis letztlich doch beschränkt bleiben. Konkret gilt das ABDSG danach unter anderem bei der Datenverarbeitung
- im Beschäftigungsverhältnis (s. Art. 88 DSGVO, § 33 ABDSG);
- für Wissenschaft, Statistik und Forschung (s. Art. 89 DSGVO, § 34 ABDSG);
- für Archivzwecke (s. Art. 89 Abs. 3 DSGVO, § 35 ABDSG);
- durch Berufsgeheimnisträger (s. Art. 90 DSGVO, § 36 ABDSG).
Längst nicht alle Anwendungsfälle sind allerdings nach dem Entwurf des ABDSG so klar erkennbar und abgrenzbar. So gilt bei der Verarbeitung sensibler Daten zum Teil das ABDSG, aber auch die DSGVO. Beispielsweise richtet sich die Verarbeitung von Gesundheitsdaten im Rahmen der Gesundheitsvorsorge nach dem ABDSG (siehe § 5 Abs. 1 Nr. 4 ABDSG), soweit allerdings eine Einwilligung vorliegt, gilt die DSGVO (siehe Art. 9 Abs. 2 Nr. 1 DSGVO). Dieses Ergebnis erscheint skurril und nicht unbedingt praktikabel.
2. Übernahme der DSGVO-Begriffe
Sehr zu begrüßen ist, dass der ABDSG-Entwurf die Begriffsdefinitionen aus der DSGVO weitgehend übernimmt. Dass das geltende BDSG völlig unnötig erheblich von der Terminologie – und damit teils auch Systematik – der Datenschutzrichtlinie abweicht, ist die Ursache vieler Unklarheiten im geltenden deutschen Datenschutzrecht. Es hat keinen Sinn, diesen Sonderweg fortzusetzen und sich an überkommene Definitionen zu klammern. Die Übernahme der DSGVO-Begriffe für das ABDSG ist daher konsequent. Übersichtlicher wäre es aber gewesen, auf die Definitionen der DSGVO zu verweisen, statt diese seitenlang zu wiederholen.
3. Weitgehende Verarbeitungsbefugnisse für öffentliche Stellen
Die Verarbeitungsbefugnisse für öffentliche Stellen sind im Entwurf erstaunlich weit gefasst. Danach ist jede Datenverarbeitung, die “in Ausübung öffentlicher Gewalt” erforderlich ist, zulässig. Hierzu soll insbesondere die Datenverarbeitung zählen, die “zur Erfüllung der in der Zuständigkeit einer öffentlichen Stelle liegenden Aufgabe” erforderlich ist. Als würden diese Generalklauseln nicht bereits sämtliche denkbaren Fälle umfassen, fügt der Entwurf 14 weitere sehr umfassende Regelbeispiele hinzu (z.B. Gefahrenabwehr, Abwehr von Nachteilen für das Gemeinwohl, Schutz der Netz-, Daten- und Informationssicherheit und schließlich “sonstige wichtige Ziele des allgemeinen öffentlichen Interesses”). Auch eine Zweckänderung soll im öffentlichen Bereich und insbesondere für die von Sicherheitsbehörden verfolgten Ziele weithin möglich sein (§ 6 a) bis h) ABDSG). An dieser Stelle verfolgt der Entwurf aus der Feder des BMI offenbar die Interessen des Ministeriums, ohne geeignete Beschränkungen zum Schutz der Betroffenen vorzusehen (siehe auch die Kritik von Peter Schaar).
4. Erweiterte Erlaubnisse zur Zweckänderung
Die in Art. 6 Abs. 4 DSGVO vorgesehenen Möglichkeiten der Zweckänderung werden durch § 6 ABDSG um zehn Tatbestände erweitert. Hauptsächlich geht es dabei um Zweckänderungen bei der Verarbeitung durch öffentliche Stelle und insbesondere Sicherheitsbehörden (siehe oben 3.). Für nicht-öffentliche Stellen ist interessant, dass Daten nach dem Entwurf auch zu anderen als den ursprünglichen Zwecken verarbeitet werden dürfen, wenn dies
- dem Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen oder
- der Durchsetzung zivilrechtlicher Ansprüche
dient.
5. Einschränkung der Betroffenenrechte
Die Betroffenenrechte werden durch den BMI-Entwurf erheblich beschnitten. So soll die Informationspflicht bei der Datenerhebung in vielen Fällen – etwa bei unverhältnismäßigem Aufwand – wegfallen (§§ 7 und 8 ABDSG). Gleiches gilt für das Auskunftsrecht der Betroffenen (§ 9 ABDSG). Eingeschränkt wird auch das Recht auf Löschung, das nicht bestehen soll, wenn aufgrund der besonderen Art der Speicherung ein unverhältnismäßiger Aufwand entstehen würde (§ 10 ABDSG). Viele dieser Einschränkungen waren bereits im BDSG vorhanden. Indem das BMI gerade die Beschränkungen der Betroffenenrechte in das ABDSG “hinüberrettet”, trägt es allerdings nicht wie angekündigt dazu bei, den “Schutzstandard des BDSG” zu erhalten – im Gegenteil: die Betroffenenrechte sollen offenbar nicht über den status quo hinaus gestärkt werden.
6. Datenschutzbeauftragter – Bestellpflicht wie bisher
Wie erwartet, hält sich das ABDSG bei der Bestellpflicht an die aus dem BDSG bekannten Grundsätze. Insbesondere muss ein Betrieb einen Datenschutzbeauftragten bestellen, wenn zehn oder mehr Personen im Betrieb personenbezogene Daten verarbeiten (§ 14 Abs. 1 ABDSG). Zu begrüßen ist dabei die Überarbeitung der Formulierung im Vergleich zu § 4f Abs. 1 BDSG, die zu einer deutlich besseren Lesbarkeit und Verständlichkeit führt.
7. Beschäftigtendatenschutz – kein großer Wurf
Im Beschäftigtendatenschutz lässt das BMI die Chance aus, endlich eine Neuregelung für den Beschäftigtendatenschutz zu präsentieren. Stattdessen übernimmt § 33 ABDSG lediglich die bisherige Vorschrift des § 32 BDSG quasi vollständig und fügt die Definitionen aus § 3 Abs. 11 BDSG mit an. Im Beschäftigtendatenschutz bleibt damit alles beim Alten.
8. Wegfall des Listenprivilegs
Der Entwurf enthält zwar Regelungen zu Auskunfteien (bisher § 28a BDSG) und zum Scoring (bisher § 28b BDSG), die im Wesentlichen die bisherige Gesetzeslage fortschreiben. Es findet sich aber kein Äquivalent zum sogenannten “Listenprivileg” des geltenden § 28 Abs. 3 BDSG, welches die Weitergabe von Adressen zu Werbezwecken in vielen Fällen ermöglicht. Diese Regelung wäre nach dem vom BMI beauftragten Gutachten mit entsprechenden Anpassungen wohl zu retten gewesen. Sie ist allerdings hochkomplex und umstritten, so dass der Verzicht darauf verständlich ist. Stattdessen dürften Werbemaßnahmen zukünftig an den allgemeinen Vorschriften der DSGVO zu messen sein (siehe Art. 6 Abs. 1 f und Art. 6 Abs. 4 DSGVO). Wie diese ausgelegt werden, steht im Einzelnen noch nicht fest, das Bedürfnis für Direktmarketing wird aber in Erwägungsgrund 47 zur DSVGO ausdrücklich anerkannt.
9. Geldbußen bei Verstößen
Das ABDSG ergänzt die Bußgeldvorschriften aus Art. 83 DSGVO, die sich gegen die verantwortlichen Stellen (oder Auftragsverarbeiter) richten, um eine persönliche Haftung für dort tätige Personen. Wenn sie in Ausübung ihrer Tätigkeit Datenschutzverstöße herbeiführen, verhalten sie sich ordnungswidrig und müssen mit Geldbußen bis 300.000 Euro rechnen. Der Bußgeldrahmen für diese persönliche Haftung entspricht damit demjenigen für Datenschutzverstöße nach dem aktuellen § 43 Abs. 2 BDSG.
Fazit: ABDSG = Anti-BDSG?
Der Entwurf des BMI legt nahe, dass der deutsche Gesetzgeber den von der DSGVO eröffneten weiten Gestaltungsspielraum möglichst ausschöpfen will. Damit wird das (A)BDSG – schon allein wegen der Geltung für Beschäftigtendaten – auch in Zukunft neben der DSGVO große praktische Bedeutung behalten.
Die gute Nachricht für nicht-öffentliche Stellen ist, dass die Begrifflichkeit und Systematik der DSGVO übernommen werden und insofern DSGVO und (A)BDSG ein grundlegend harmonisiertes Datenschutzregime bilden werden. Auch führt die DSGVO tendenziell nicht zu weitergehenden Pflichten im Vergleich zur DSGVO. Gleichwohl bleiben Abweichungen im Detail, etwa bei den Betroffenenrechten und den Möglichkeiten der Zweckänderung. Insofern werden sich für die Rechtsanwender in der Praxis einige schwierige Abgrenzungsfragen ergeben, um festzustellen, ob DSGVO oder A(BDSG) anzuwenden sind.
Datenschutzfreundlich ist der jetzige Entwurf nicht. Er senkt das Datenschutzniveau im Vergleich zur DSGVO ab. Soweit er Regelungen des BDSG übernimmt, schränkt er damit die Rechte und den Schutz der Betroffenen zumeist ein (mit Ausnahme der Bestellpflicht des Datenschutzbeauftragten, s.o.). Erleichtert wird die Verarbeitung durch öffentliche Stellen und Nachrichtendienste. Insgesamt scheint das BMI hier eher seiner eigenen Agenda zu folgen als eine Weiterentwicklung des Datenschutzes zu betreiben. Böse Zungen verstehen den Namen ABDSG gar als “Anti-BDSG”.