Neues Bundesdatenschutzgesetz: 13 Forderungen für mehr Datenschutz
Nachdem mit der Europäischen Datenschutzgrundverordnung der EU-Datenschutz reformiert wurde, müssen die Mitgliedstaaten der EU ihre nationalen Gesetze anpassen. In Deutschland muss unter anderem das Bundesdatenschutzgesetz überarbeitet werden. Dazu soll ein Allgemeines Bundesdatenschutzgesetz (ABDSG) geschaffen werden (Entwurf (PDF)). Digitalcourage und die Deutsche Vereinigung für Datenschutz (DVD) haben dazu 13 Forderungen aufgestellt – für mehr Schutz von persönlichen Daten.
Dieser Text ist erschienen in der Ausgabe „Rote Linien zur EU-DSGVO – Was ist daraus geworden?“ der Datenschutznachrichten – unter anderem mit Beiträgen von Thilo Weichert, Sabine Leutheusser-Schnarrenberger, Andrea Voßhoff und Sven Hermerschmidt sowie Peter Schaar (PDF lesen).
- Scoring & und Profilbildung
- Betroffenenrechte
- Hinweise auf Betroffenenrechte
- Informationspflichten
- Datenschutz bei Berufsgeheimnisträgern
- Beschäftigtendatenschutz
- Zweckänderung
- Gesundheitsdaten
- Aufsichtsbehörden
- Betrieblichen Datenschutzbeauftragte
- Regulierung von Beobachtungsmaßnahmen
- Ko-Regulierungen
- Folgenabschätzung und Vorabkonsultation
Position zur Ausgestaltung der Europäischen Datenschutzgrundverordnung
Ab 25. Mai 2018 wird mit dem Wirksamwerden der am 25. Mai 2016 in Kraft getretenen Europäischen Datenschutz-Grundverordnung das bisher geltende nationale Datenschutzrecht weitgehend unwirksam. Sie wird den Datenschutz für die Verarbeitung persönlicher Daten in allen Ländern der EU unmittelbar und weitgehend einheitlich regeln. Die Verordnung enthält zahlreiche Konkretisierungsklauseln, die Mitgliedsländer teilweise nutzen müssen, teilweise nutzen können, um ergänzende nationale Datenschutzgesetze zu verabschieden. Unter diesen Klauseln können elementare Fragen des Datenschutzes beantwortet werden, zum Beispiel zum Beschäftigtendatenschutz, zur Verarbeitung von Gesundheitsdaten, zur Datennutzung für Forschungszwecke, zum Kreditscoring, zur Beschränkung der Rechte von Betroffenen oder zur Bindung der Datenverarbeitung an bestimmte Zwecke.
Digitalcourage & DVD plädieren dafür, dass Deutschland bei der Ausgestaltung der Europäischen Datenschutz-Grundverordnung eine Vorbildrolle für den Schutz von persönlichen Daten einnimmt. Die Konkretisierungsklauseln müssen im Sinne der zentralen Grundsätze der Datenschutzgrundverordnung in Artikel 5 genutzt werden.
Die deutsche Konkretisierung, Ausgestaltung und Interpretation der Europäischen Datenschutz-Grundverordnung muss sich an den ersten beiden Artikeln des Grundgesetzes orientieren, aus denen das Allgemeine Persönlichkeitsrecht, das Recht auf Privatsphäre, das Recht auf informationelle Selbstbestimmung, sowie das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abgeleitet werden.
Auf europäischer Ebene geben die Artikel sieben und acht der EU-Grundrechtecharta die Richtung für die Ausgestaltung der Europäischen Datenschutzgrundverordnung vor: das Recht auf Schutz personenbezogener Daten und das Recht auf Achtung des Privatlebens und der Kommunikation.
Das bestehende deutsche Datenschutzniveau darf nicht abgeschwächt werden. Digitalcourage & DVD fordern deshalb Bundes- und Landesgesetzgeber auf, die nationalen Spielräume konkret wie folgt zu nutzen:
Forderungen zur Nutzung der Konkretisierungsklauseln
Anmerkungen: Diese Erläuterungen sind nicht ausführlich. Sie ersetzen nicht die genaue Lektüre der Gesetzestexte.
1. Scoring, automatisierte Einzelfallentscheidungen und Profilbildung
Artikel 22 der Grundverordnung schützt Betroffene vor automatisierten Einzelfallentscheidungen inklusive Scoring und Profiling, wenn diese Datenverarbeitung rechtliche Wirkung entfaltet oder die Betroffenen durch die Verarbeitung ähnlich beeinträchtigt werden. Eine Handlungsoption ermöglicht den Mitgliedstaaten weitere Ausnahmen vom grundsätzlichen Verbot in Absatz 1 zu regeln. Digitalcourage & DVD fordern: Keine weiteren nationalen Ausnahmen für das Verbot von automatisierten Einzelfallentscheidungen sowie Erhalt des bestehenden deutschen Datenschutzniveaus bei Auskunfteien und Scoring. (siehe Position des Verbraucherzentrale Bundesverband e.V.) betrifft: § 28a BDSG, § 28b BDSG, § 34 (Abs. 2-5 u. 8) BDSG sowie § 35 (Abs. 2) BDSG
2. Betroffenenrechte
Kapitel III der Verordnung gibt Betroffenen unter anderem das Recht auf Löschung von Daten (Artikel 17), das Recht auf Auskunft (Artikel 15) und das Recht auf Datenübertragbarkeit (Artikel 20). Nach Artikel 23 der Verordnung können Mitgliedsländer diese Rechte unter bestimmten Bedingungen einschränken. Digitalcourage & DVD fordern: Keine Ausnahmen und Einschränkungen von Betroffenenrechten über das bisher in Deutschland bestehende Maß hinaus. Die Grundverordnung verlangt bei Einschränkungen von Betroffenenrechten, etwa auf Grund der nationalen oder öffentlichen Sicherheit oder auf Grund von Kontroll-, Überwachungs- und Ordnungsfunktionen die Achtung des Wesensgehaltes der Grundrechte und Grundfreiheiten einer demokratischen Gesellschaft.
3. Pflicht zum Hinweisen auf Betroffenenrechte
Betroffene können ihre Rechte nur dann nutzen, wenn sie davon Kenntnis haben. Weil sich die Komplexität von Datenverarbeitung von Betroffenen ohne deutliche, wiederholte und verständliche Hinweise durch Verarbeiter nicht mit hinreichender Sicherheit überschauen lässt, wie es das Bundesverfassungsgericht verlangt, fordern Digitalcourage & DVD die Hinweispflichten auf Betroffenenrechte zu erweitern. (Öffnungsklausel für Aufgaben im öffentlichen Interesse: Artikel 6 Absatz 2, Sätze 4 und 5)
4. Informationspflichten
Mitgliedstaaten können nach Artikel 14 Absatz 5 der Verordnung Ausnahmen von den Informationspflichten regeln. Digitalcourage & DVD fordern, abgesehen von der Sondersituation bei Berufsgeheimnisträgern, keine Ausnahmen von den Informationspflichten vorzusehen.
5. Datenschutz bei Berufsgeheimnisträgern
Artikel 9 verbietet, unter weit formulierten Ausnahmen, die Verarbeitung von besonders sensiblen personenbezogenen Daten. Darunter fallen „Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“, sowie genetische und biometrische Daten und Gesundheitsdaten. Berufsgeheimnisträger, wie etwa Ärtzt.innen oder Anwält.innen dürfen diese Daten verarbeiten. Nach Artikel 90 der Verordnung kann in nationaler Gesetzgebung das Recht auf Schutz der personenbezogenen Daten mit einer Pflicht zur Wahrung des Berufsgeheimnisses in Einklang gebracht werden. Der Datenschutz bei Berufsgeheimnisträgern muss auf bisherigem Niveau beibehalten und, wo nötig, ausgebaut werden. Dazu gehört insbesondere, dass IT-Dienstleister von Berufsgeheimnisträgern sowie Forschende, die mit diesen sensitiven Daten wissenschaftlich arbeiten, vom Privileg und von der Pflicht des Berufsgeheimnisses mit erfasst werden.
6. Beschäftigtendatenschutz
Die Grundverordnung (Artikel 88) stellt jedem Mitgliedsland die Schaffung eines Beschäftigtendatenschutzgesetzes frei. Digitalcourage & DVD fordern dringend einen starken und umfangreichen Beschäftigtendatenschutz, was angesichts der technischen Entwicklung im Arbeitsleben nur mit einem eigenständigen Beschäftigtendatenschutzgesetz möglich ist. Insbesondere müssen reguliert werden: Überwachung am Arbeitsplatz (Art. 88 Abs. 2), die Einwilligung im Beschäftigtenkontext, Transparenz der Datenverarbeitung und wirksame Sanktionen der Rechtsdurchsetzung (Art. 84). Für die Konkretisierung der Regelungen zum Beschäftigtendatenschutz in Kollektivvereinbarungen bedarf es Verfahrensregelungen, die es Arbeitgeber.innen und Arbeitnehmer.innen unter aufsichtsbehördlicher Kontrolle ermöglichen, die Datenverarbeitung rund um den Arbeitsplatz so überwachungsfrei wie möglich zu regeln.
7. Zweckänderung
Artikel 6 der Verordnung erlaubt Mitgliedsstaaten unter anderem, Anforderungen für die Verarbeitung von Daten im öffentlichen Interesse genauer zu regulieren. Digitalcourage & DVD plädieren dafür, die Regulierungsmöglichkeiten in Artikel 6 im Sinne einer Stärkung des Datenschutzes, also restriktiv, wahrzunehmen. Beispielsweise ist eine nationale Erweiterung von Weiterverarbeitungsmöglichkeiten von persönlichen Daten auszuschließen, etwa bei der Videoüberwachung öffentlich zugänglicher Räume durch Private (Siehe Position der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder).
8. Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten
Artikel 9 der Verordnung gibt Mitgliedstaaten die Möglichkeit, die Verarbeitung solcher Daten weiter zu beschränken oder auch zu erweitern. Digitalcourage & DVD fordern, dass die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten auf das unbedingt Notwendige beschränkt wird.
9. Stärkung der Befugnisse der Aufsichtsbehörden
Der Europäische Gerichtshof hat darauf hingewiesen, dass den Datenschutzaufsichtsbehörden gegen sie verpflichtende Normen Klagebefugnisse zustehen müssen; hierfür bedarf es einer Regelung ohne prozessuale Beschränkungen. Die Aufsichtsbehörden müssen die Möglichkeit haben, effektive Sanktionen auch gegenüber Behörden zu verhängen. Dazu gehört auch, dass diese, anders als bisher, so ausgestattet werden, dass sie ihre Aufgabe des digitalen Grundrechtsschutz effektiv wahrnehmen können. Die Höhe der Geldbußen gegen Behörden muss ein wirksames Mittel zum Schutz der Privatsphäre der Bürgerinnen und Bürger sein.
(siehe Position der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder)
10. Betrieblichen Datenschutzbeauftragte
Die Verpflichtungen für Firmen in der Verordnung, eine oder einen Datenschutzbeauftragten zu bestellen, sind restriktiver als derzeit im Bundesdatenschutzgesetz geregelt. Artikel 35 Absatz 4 erlaubt Mitgliedsstaaten die Beibehaltung der gegenwärtigen nationalen Regelungen. Digitalcourage & DVD fordern, dass die Verpflichtung zur Bestellung betrieblicher Datenschutzbeauftragter nach § 4f Abs. 1 des Bundesdatenschutzgesetzes inhaltlich beibehalten wird. Ohne eine solche Regelung würde das deutsche Datenschutz-Niveau erheblich gesenkt werden. (siehe Position der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder)
11. Regulierung von Beobachtungsmaßnahmen
Personenbezogene Daten, die durch Beobachtungen wie Videoüberwachung, Smart Meter, Smart Home, RFID oder vernetzten Straßenverkehr verarbeitet werden, sind durch die Europäische Datenschutzgrundverordnung nicht wie bisher im deutschen Datenschutzrecht geschützt. Teilweise erfassen diese Beobachtungen Daten, aus denen ohne Aufwand hochsensible Informationen, etwa über die Gesundheit oder die politische Einstellung, abgeleitet werden können. Darum müssen betroffene Personen besonders durch konkretisierende Festlegungen geschützt werden. Das umfasst: Regelungen zur Transparenz, Datenminimierung, Datensicherheit, Opt-in-Optionen, Ausschluss der Datenweitergabe etc.
12. Vermutungswirkung für Ko-Regulierungen
Ko-Regulierungen (Art. 38) wie Gütesiegel, Zertifikate oder Verhaltenskodizes können helfen, den Schutz von personenbezogenen und personenbeziehbaren Daten zu erhöhen. In Ko-Regulierungen können Prinzipien wie „Privacy by Design“ und „Privacy by Default“, Souveränität über Geräte und deren Datenverarbeitung branchenspezifisch und technisch konkret im Handeln von Unternehmen verankert werden. Besonders weil sich datenverarbeitende Technologien und Anwendung schneller entwickeln, als Gesetzgeber Regulierungen schaffen können, sind Ko-Regulierungen wichtige Instrumente für einen wirksamen Datenschutz. Voraussetzung dafür ist, dass eine wirksame behördliche Kontrolle der Ko-Regulierungen stattfindet, dass größtmögliche Transparenz realisiert wird und Betroffenen-Vertretungen bei Ausarbeitung und Anwendung der Ko-Regulierungen effektiv eingebunden werden.
13. Folgenabschätzung und Vorabkonsultation
Digitalcourage & DVD fordern eine gesetzliche Ausgestaltung der Folgenabschätzungen. Mitgliedstaaten können nach Artikel 35 Absatz 4 bei Datenverarbeitungen auf Basis von Gesetzen der Mitgliedstaaten laut Artikel 6 Absatz 1 gesetzlich regeln, dass eine Folgenabschätzung durchzuführen ist. Außerdem sollten bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe nach Artikel 36 Absatz 5 Verarbeiter angehalten sein, mit der verantwortlichen Aufsichtsbehörde eine Vorabkonsultation durchzuführen und eine Genehmigung einzuholen.