Neues Bundesdatenschutzgesetz: Nachbesserungen dringend empfohlen

Stellungnahme des Forschungsverbundes „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“

[datensicherheit.de, 03.04.2017] Sowohl Bundestag und als auch Bundesrat beraten derzeit über ein neues Bundesdatenschutzgesetz, das an die EU-Datenschutz-Grundverordnung angepasst und Anfang April 2017 verabschiedet werden soll. Um den Gesetzgeber zu unterstützen, haben Experten vom „Forum Privatheit“ konkrete Vorschläge zur Verbesserung des Gesetzentwurfs erarbeitet, die bei der Umsetzung der europäischen Datenschutz-Grundverordnung in Deutschland helfen sollen. Diese Vorschläge sollen in der Mai-Ausgabe 2017 der Fachzeitschrift „Datenschutz und Datensicherheit“ (DuD) erscheinen.

Unterstützende nationalstaatliche Regelungen erforderlich!

„Damit die europäische Datenschutzreform gelingt und die Datenschutz-Grundverordnung erfolgreich in Wirtschaft und Verwaltung umgesetzt werden kann, sind unterstützende nationalstaatliche Regelungen erforderlich. Dem wird der Entwurf des neuen Bundesdatenschutzgesetzes nicht gerecht“, so Prof. Alexander Roßnagel von der Universität Kassel, zugleich Sprecher des Forschungsverbundes „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“.

Vertragsverletzungsverfahren drohen

Die Regelungen zur erweiterten Videoüberwachung durch private Unternehmen und die Einschränkungen der Rechte der Betroffenen zugunsten privater Datenverarbeiter sollten aus dem Gesetzesentwurf gestrichen werden, fordert das „Forum Privatheit“. Diese verstießen gegen die Datenschutz-Grundverordnung und riskierten Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof.
Ferner sollte wie bisher im Gesetz geregelt sein, wie der Verantwortliche seine Datenverarbeitungsprozesse zu organisieren hat, um Betroffenenrechten entsprechen zu können. Der vorgelegte Regierungsentwurf hingegen stelle die Rechte der Betroffenen (z.B. auf Auskunft oder auf Datenlöschung) unter den Vorbehalt, dass sie keinen „unverhältnismäßigen Aufwand“ verursachen und die „Geschäftszwecke nicht erheblich gefährden“. Damit läge es in der Hand des Datenverarbeiters, durch die Wahl seiner Geschäftszwecke und die Organisation seiner Datenverarbeitung Betroffenenrechte auszuschließen.

Software datenschutzgerecht gestalten!

Im Datenschutzrecht sollten Regelungen für Hersteller von IT-Anwendungen aufgenommen werden. „Nur wenn die Software es zulässt, kann der Datenverarbeiter seine datenschutzrechtlichen Pflichten erfüllen. Daher sind Anforderungen an Hersteller notwendig, ihre Software datenschutzgerecht zu gestalten“, erläutert Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Mitglied im Forum Privatheit.
Weiterhin schlägt das Forum Privatheit auch Konkretisierungen der neuen Verarbeiterpflichten zur datenschutzfreundlichen Gestaltung der Verarbeitungsprozesse und datensparsamer Voreinstellungen vor: Der „vielversprechende Ansatz der europäischen Datenschutz-Grundverordnung“ könne ohne diese Konkretisierungen nie Wirklichkeit werden, betont Hansen.

Ergänzende Anforderungen der Nichtverkettbarkeit und Intervenierbarkeit

Die Anforderungen an die Datensicherheit und an den technischen Datenschutz seien um die Anforderungen der Nichtverkettbarkeit und der Intervenierbarkeit zu ergänzen:

• Nichtverkettbarkeit solle sicherstellen, dass die von Internetnutzern hinterlassenen Datenspuren nicht zu einem Profil verknüpft werden können.
• Intervenierbarkeit solle gewährleisten, dass der Datenverarbeiter jederzeit in der Lage ist, die Rechte des Betroffenen auf Auskunft, Korrektur und Löschung seiner Daten umzusetzen.

Außerdem wären Schnittstellen zu Selbstdatenschutz-Tools zu schaffen.

Auch sollte das Gesetz die neuen, in der Verordnung nur unzureichend geregelten Vorgaben zur Datenschutz-Folgenabschätzung, zu Verhaltensregeln und zur Zertifizierung von Verarbeitungsvorgängen so präzisieren, dass sie in Deutschland rechtssicher umgesetzt werden können. So fehlten z.B. Regelungen, die die Rechtsfolgen dieser neuen Datenschutzinstrumente beschreiben.

Auf nicht gerechtfertigte Sonderregelungen verzichten!

Auf die nicht gerechtfertigten Sonderregelungen für die vollautomatisierte Bearbeitung von Vorgängen durch private Krankenversicherungen und für Big-Data-Anwendungen zur Markt- und Meinungsforschung in Form privater Statistiken sollte verzichtet werden, um die Akzeptanz des Gesetzes nicht zu gefährden.
Die bisherige Aufsicht der Datenschutzbehörden, die zu besonderer Verschwiegenheit verpflichtet seien, sollte beibehalten werden. Keinesfalls sollten aufsichtsfreie Datenverarbeitungen möglich sein, die es Arztpraxen, Krankenhäusern, Anwaltskanzleien, Steuerberatungsbüros und ähnlichen Berufsgeheimnisträgern erlauben würden, sich vollständig der Aufsicht durch die Datenschutzbehörden zu entziehen.

Foto: Sonja Rohde

Prof. Dr. Alexander Roßnagel: Datenschutz in Deutschland droht unter das Niveau des bisherigen Bundesdatenschutzgesetzes zu sinken!

Gesetzgebung in Deutschland mit Vorbildfunktion

„Ohne diese Nachbesserungen droht der künftige Datenschutz in Deutschland unter das Niveau des bisherigen Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung zu sinken“, warnt Roßnagel. Vielleicht könnten nicht alle Vorschläge in der verbleibenden kurzen Zeit bis zur Bundestagswahl umgesetzt werden. Sie müssten dann aber auf der Agenda für die neue Legislaturperiode stehen.
„Die Gesetzgebung in Deutschland hat Vorbildfunktion für viele andere Mitgliedstaaten in der Union“, ergänzt Hansen. Eine Absenkung des Datenschutzes in Deutschland drohe den Reformimpuls in ganz Europa zunichte zu machen.

Weitere Informationen zum Thema:

datensicherheit.de, 03.04.2017
Neue Studie: Einfache Wege zu mehr Privatheit