Neues Bundesdatenschutzgesetz: Entwurf mit drohenden Verschlechterungen

ULD-Leiterin Marit Hansen warnt vor gravierenden Einschnitten zu Lasten der Bürger

[datensicherheit.de, 09.03.2017] Mit dem Datenschutzanpassungs- und Umsetzungsgesetz, über welches der Bundesrat am 10. März 2017 abstimmt, soll das Bundesdatenschutzgesetz an die europäische Datenschutz-Grundverordnung angepasst werden. Nachbesserungen sind nach Ansicht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) jedoch dringend nötig.

Marit Hansen, ULD-Leiterin, kommentiert aus gegebenem Anlass die Problematik: „Nach den Errungenschaften, die – auch dank des Einsatzes der Bundesrepublik in den Verhandlungen – in der Datenschutz-Grundverordnung für den Datenschutz erzielt werden konnten, sollte man nun eigentlich Verbesserungen auch im deutschen Datenschutzrecht erwarten. Das Gegenteil ist der Fall: Wird der Gesetzentwurf in der von der Bundesregierung vorgelegten Form beschlossen, drohen empfindliche Einbußen für die Datenschutzrechte der Bürgerinnen und Bürger.“ Besonders gravierend seien die folgenden geplanten Einschnitte:

1. Fehlende Kontrolle von Berufsgeheimnisträgern
   Die Kontrolle des Datenschutzes bei den sogenannten Berufsgeheimnisträgern solle ersatzlos wegfallen.
   Wir alle müssten uns irgendwann Ärzten, Therapeuten und Apothekern anvertrauen und dabei darauf vertrauen können, dass unsere (Patienten-)Geheimnisse sicher geschützt werden. Hansen: „Dabei ist Vertrauen gut, aber manchmal ist Kontrolle nötig.“ Diese Kontrolle werde bisher durch die Datenschutz-Aufsichtsbehörden wahrgenommen, d.h. in Schleswig-Holstein durch das ULD. Patienten und andere Betroffene könnten sich gegenwärtig an das ULD wenden und Missstände und mutmaßliche Datenschutzverstöße melden. Das ULD sei Datenschutz-Aufsichtsbehörde für Ärzte und viele weitere Gesundheitsberufe wie z.B. Logopäden, Hebammen, Psychotherapeuten und Krankengymnasten. Ebenso unterlägen die in Sucht-, Familien-, Ehe- oder Schuldnerberatungsstellen, bei freien Trägern der Jugendhilfe oder SGB-II-Maßnahmeträgern tätigen Sozialarbeiter und Sozialpädagogen einer Datenschutz-Aufsicht. Das ULD müsse den Beschwerden nachgehen und könne die Datenverarbeitung der Berufsgeheimnisträger kontrollieren, „auch soweit es um Daten geht, die unter die Schweigepflicht der genannten Berufsgruppen fallen“, erläutert Hansen.
   Dieses funktionierende Kontrollsystem solle nun ohne Not beseitigt werden. Der Entwurf für ein neues Bundesdatenschutzgesetz (BDSG) sehe vor, „dass die Kontrollbefugnis der Datenschutz-Aufsichtsbehörden wegfällt, wenn die fraglichen Daten der Schweigepflicht unterliegen“.
   „Künftig könnte das ULD nicht mehr die Fälle aufklären, wenn Patienten Fragen zur fehlenden Diskretion in einer Arztpraxis haben, zu falschen Angaben in der Pflegeakte, zu Patientendaten, die auf dunklen Wegen zu Krankenkassen, Pharmaunternehmen oder privaten Versicherungen wandern, zu Computern, die gehackt wurden, oder zu Dienstleistern, die per Handschlag mit der Verarbeitung von Patientendaten beauftragt werden“, führt Hansen aus.
   Hinzukomme, dass die Bundesregierung gerade mit einem anderen Gesetzentwurf es den Berufsgeheimnisträgern erleichtern wolle, externe Auftragsverarbeiter einzusetzen. Auch deren Tätigkeit solle nach dem BDSG-Entwurf der Datenschutz-Kontrolle entzogen sein.
   „Es ist völlig unverständlich, dass nun gerade die am stärksten schutzbedürftigen Informationen faktisch vom Datenschutz ausgenommen werden sollen“, so Hansen. Die möglichen Gefährdungen der Gesundheitsdaten nähmen zu, doch der BDSG-Entwurf lasse die Kontrolle wegfallen.
   Die vorgesehene Änderung des BDSG könne auch nicht im Interesse der Ärzte und der anderen Medizinberufe sein. Nicht nur drohten rein praktisch die Standards für die Vertraulichkeit zu sinken – mit allen negativen Auswirkungen für die Patienten. Es drohten auch Nachteile für die Ärzte: Jeder etwaige Verstoß könne künftig nur noch mit dem „scharfen Schwert des Strafrechts“ verfolgt werden. „Sollte das Gesetz so in Kraft treten, wird das ULD letztlich allen, die Verstöße melden, empfehlen müssen, diese der Staatsanwaltschaft anzuzeigen.“
2. Beschränkung der Betroffenenrechte
   Transparenz über die Datenverarbeitung sei „Grundvoraussetzung für das Recht auf informationelle Selbstbestimmung“. Jede Bürger habe daher einen Anspruch zu erfahren, welche öffentlichen und nicht-öffentlichen Stellen welche Daten über die eigene Person in welcher Weise und zu welchen Zwecken verarbeiten. Entsprechende Informationen müssten die verantwortlichen Stellen von sich aus bereitstellen.
   Außerdem hätten die betroffenen Personen einen „Auskunftsanspruch gegenüber verantwortlichen Stellen“. Diese Transparenz werde mit dem vorgelegten Entwurf erheblich eingeschränkt. „Verantwortliche Stellen sollen von ihrer Informationspflicht befreit werden, wenn diese einen unverhältnismäßigen Aufwand verursachen würden. Hier wird die Transparenz für die Betroffenen zugunsten einer Einsparung von Verwaltungsaufwand für die verantwortlichen Stellen eingeschränkt“, warnt Hansen. Diese Einschränkung sei in der Datenschutz-Grundverordnung nicht vorgesehen und somit „verfassungs- wie europarechtlich äußerst bedenklich“.
   Auch der Auskunftsanspruch der Betroffenen soll demnach erheblich eingeschränkt werden. „Würden Daten nur noch aufgrund von gesetzlichen oder vertraglichen Aufbewahrungsfristen gespeichert, bräuchte die verantwortliche Stelle über diese Daten keine Auskunft zu erteilen. Damit würde eine große Menge von Daten vom Auskunftsanspruch ausgenommen, zum Beispiel Daten, die für steuerliche Zwecke aufbewahrt werden müssen, aber auch diejenigen Verkehrsdaten, die Telekommunikationsanbieter nach der sogenannten Vorratsdatenspeicherung aufbewahren müssen.“ Ob diese Daten tatsächlich, wie vom Gesetzentwurf gefordert, gegen eine Verwendung zu anderen Zwecken wirksam geschützt sind, könnten die Betroffenen mangels Information darüber nicht prüfen oder durch die Aufsichtsbehörden prüfen lassen.
3. Ausufernde Verarbeitungsmöglichkeiten von Gesundheitsdaten
   Der Gesetzentwurf sehe zur Verarbeitung von Gesundheitsdaten „sehr weitgehende Regelungen ohne Interessenabwägung“ vor. Er schaffe damit zu allgemeine gesetzliche Verarbeitungsbefugnisse sowohl für nicht-öffentliche als auch öffentliche Stellen. Es würden zudem keine verbindlichen technisch-organisatorischen Schutzmaßnahmen geregelt. Dies könne zu „Lücken im gebotenen Grundrechtsschutz“ führen.
4. Unkonkrete Vorgaben beim technischen Datenschutz
   Der Entwurf zum Bundesdatenschutzgesetz liefere „Steine statt Brot“, was die technisch-organisatorische Gestaltung von Datenverarbeitungssystemen angeht: „Zwar könnte man diesen Vorwurf schon an die sehr abstrakt gehaltene Datenschutz-Grundverordnung und die parallel beschlossene Datenschutz-Richtlinie für Justiz und Inneres richten. Jedoch hätte der nationale Gesetzgeber die Hinweise aus dem europäischen Recht aufgreifen können, nach denen Hersteller ermutigt werden sollen, Produkte, Dienste und Anwendungen datenschutzgerecht zu entwickeln und zu gestalten.“
   Ebenso fehle die Klarstellung, so Hansen, dass die Grundsätze des technischen Datenschutzes auch bei öffentlichen Ausschreibungen aufgenommen werden sollten.
   Außerdem verändere der BDSG-Entwurf die Terminologie der europäischen Gesetzeswerke und schränke damit den adressierten Personenkreis bei der Risikobetrachtung ein: Statt „Risiken für Rechte und Freiheiten natürlicher Personen“ einzudämmen, gehe es in dem deutschen Entwurf um die „Gefahr für Rechtsgüter betroffener Personen“. Risiken für (noch) nicht betroffene Personen und Effekte wie Einschüchterung und Diskriminierung gerieten damit aus dem Blick.

Marit Hansens Fazit:

„Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein appelliert an den Bundesrat, keine Verschlechterungen im Datenschutz zuzulassen.“ Bundes- und Landesgesetzgeber sollten die Chancen aus der europäischen Datenschutzreform aufgreifen, um das Datenschutzniveau – und damit den Schutz der Grundrechte – zu verbessern.

Weitere Informationen zum Thema:

datensicherheit.de, 09.12.2016
Neues Bundesdatenschutzgesetz: digitalcourage und Verbraucherzentrale kritisieren Gesetzentwurf