Datenschutz : Warum die Datenschutzreform doppelt enttäuscht

Nach anfänglicher Aufregung über das „Bürokratie-Monster“ Datenschutzgrundverordnung (DSGVO), mit seinen immensen Bußgeldern und der angeblichen Verkomplizierung unseres Lebensalltags, werden die Vorteile einer menschenwürdigen Digitalisierung und der Bändigung Künstlicher Intelligenz (KI) immer deutlicher.

Kritisiert wird allerdings besonders in Deutschland der Datenschutzvollzug, der nach den föderalen Vorgaben unseres Grundgesetzes in den Ländern stattfindet und dort von 17 Aufsichtsbehörden der Länder und einer des Bundes (zuständig für die Datenverarbeitung von Bundesbehörden) wahrgenommen wird. In der Kritik steht insbesondere die „Vielstimmigkeit“ der 18 Aufsichtsbehörden bei der Auslegung und Anwendung der DSGVO, welche gerade der datenverarbeitenden Wirtschaft die Orientierung im „Datenschutz-Dschungel“ erheblich erschwere.

Schuld ist immer die eigene Aufsichtsbehörde

Zwar ist dieses Lamento „Wir würden ja gerne Datenschutz machen, aber wissen wirklich nicht, wie?!“ nicht sonderlich plausibel, gehört es doch zu den Stärken des europäischen Rechts, dass Zuständigkeitsfragen sehr eindeutig geregelt werden: Nach dem sogenannten „One Stop Shop“-Prinzip der DSGVO weiß jedes Unternehmen sehr genau, welche (einzige) Aufsichtsbehörde für es zuständig ist und kann sich dort jede gewünschte Orientierung abholen.

Allerdings: Wer spricht schon gerne mit seiner Aufsicht? Und wenn einen dann noch das nagende Gefühl befällt, die eigene Aufsichtsbehörde könnte strenger sein als die anderen 17 deutschen Behörden oder gar als die weiteren mehr als 27 europäischen Datenschutzbehörden, welche gemeinsam den Club der DSGVO-Interpreten bilden – dann muss eben eine Gesetzesnovelle her, zur Not eben eine nationale. Und da dem Bundesministerium des Innern und für Heimat (BMI) zwar das Bürgerrecht auf Datenschutz anvertraut ist, es aber immer sein Ohr bei der deutschen Wirtschaft hat, liegt nun ein Änderungsentwurf zum Bundesdatenschutzgesetz vor, der die besagte „Vielstimmigkeit der deutschen Aufsicht“ einhegen soll.

Die angedachte Reform bietet keine Lösungen

Um es vorwegzunehmen: Dieser BDSG-Änderungsgesetz enttäuscht, denn es ist allenfalls ein „Reförmchen“ angestoßen worden, das Probleme im Vollzug der DSGVO zwar anspricht, aber keine echten Lösungen anbietet. Einen solchen Lösungsweg hatte der Koalitionsvertrag der Regierungs-Ampel vorgezeichnet, indem es die „Institutionalisierung der DSK“ favorisierte: Die Konferenz der Datenschutzaufsichtsbehörden der Länder und des Bundes (DSK) sollte durch verbindliche Mehrheitsentscheidungen die Meinungsvielfalt reduzieren und Sonderpositionen von Länderbehörden marginalisieren.

Allerdings entspricht dieser recht plausible Lösungsweg nicht der Hausmeinung des BMI, das stets eine Entmachtung der Länderbehörden und eine Zentralisierung der Datenschutzaufsicht über die Wirtschaft beim Bund (genauer: beim Bundesbeauftragten für den Datenschutz) angestrebt hat. Zwar hat uns gerade die Coronapandemie wieder vor Augen geführt, dass der Bund eines im besonderen Maße nicht kann: verwalten. Wenn in Deutschland Verwaltung gelebt und praktiziert wird, dann in den Ländern und dort besonders auf kommunaler Ebene.

Verbindliche Mehrheitsentscheidungen wären möglich – wenn man will

Dennoch ist gerade Bundesministerien der Glaube an die eigene Überlegenheit in Verwaltungsfragen nicht auszutreiben – und so sieht denn auch der Entwurf des BDSG-Änderungsgesetzes „vorsichtshalber“ gar keine Vorschläge dafür vor, wie die erwartete „Institutionalisierung der DSK“ aussehen könnte. Lediglich eine „Geschäftsordnung“ soll sich die DSK geben dürfen – die sie allerdings schon längst hat. Und der sinnvollen Überlegung, „verbindliche Mehrheitsentscheidungen der DSK“, wird gleich noch ein Riegel vorgeschoben, da das Innenministerium weiterhin fälschlich darauf beharrt, dass eine bessere Koordinierung der Aufsichtsbehörden verfassungsrechtlich gar nicht zulässig sei. Es beruft sich dabei auf das „Verbot der Mischverwaltung von Bundes- und Länderbehörden“.

Dieses Argument ist zwar bereits mehrfach durch verfassungsrechtliche Gutachten widerlegt worden; der Bund selbst nimmt es auch nicht wirklich ernst, dies zeigt die Existenz einer Bund-Länder-Kultusminister-Konferenz KMK, dem ein Bundes-Bildungsministerium angehört, das es nach unserer Verfassungsordnung so gar nicht geben dürfte (Bildung ist nämlich, wie auch Verwaltungsvollzug, grundsätzlich Ländersache). Geholfen hätte hier eine gesetzliche Bestimmung, die – zumindest in bestimmten Bereichen – verbindliche Mehrheitsentscheidungen der Datenschutzkonferenz DSK zugelassen hätte.

Und warum eine solche Koordinierung in europäischen Angelegenheiten (DSGVO!) durch nationales Verfassungsrecht ausgeschlossen sein soll, erklärt das BMI auch nicht. Den Mut – noch nicht einmal den Willen – zu einer echten Reform hat das BMI nicht.

Kleiner Erfolg bei gemeinsamen Forschungsprojekten

Gewisse Verbesserungen sieht der Entwurf im Bereich der länderübergreifenden privaten Forschung vor. Dort konnte die Befassung von mehreren Aufsichtsbehörden mit einem Forschungsprojekt tatsächlich die Planung und Durchführung von Forschungsvorhaben erschweren. Der neue § 40a BDSG soll zu einer Erleichterung bei länderübergreifenden Vorhaben bei mehreren gemeinsam verantwortlichen Forschern führen. Das ist ein durchaus sinnvoller Schritt.

Ob die dann allein zuständige Aufsichtsbehörde aber nach dem Sitz des forschenden Unternehmens mit dem größten Jahresumsatz bestimmt werden sollte, darüber lässt sich streiten. Diese Anknüpfung wählte man, um eine klare Zuständigkeit herzustellen – ob es nicht sinnvoller wäre, das Unternehmen mit dem stärksten Part im Forschungsvorhaben maßgeblich für die zuständigen Aufsichtsbehörden sein zu lassen, lässt sich demgegenüber fragen. Möglich wäre es auch, die gemeinsam forschenden Unternehmen dies selbst entscheiden zu lassen – auch das wäre keine schlechte Lösung. Aber für Bürokraten wäre natürlich unvorstellbar, wenn am Ende das rechtsunterworfene Unternehmen die Behörde auswählte, die am besten funktioniert...

Das Schadensersatz-Trostpflaster ist in Gefahr

Problematisch ist demgegenüber § 34 des BDSG-Entwurf: Dort wird der Auskunftsanspruch der Betroffenen nach Art. 15 DSGVO eingeschränkt, und zwar wenn der Verantwortliche Geheimhaltungsinteressen geltend machen kann, also wenn seine Betriebs- und Geschäftsgeheimnisse bedroht sind. Der Auskunftsanspruch der DSGVO ist einer der „Renner“ der europäischen Regulierung; von diesem Bürgerrecht, jeden danach fragen und Auskunft verlangen zu dürfen, was er über einen weiß, machen immer mehr – gerade auch Beschäftigte gegenüber ihren Arbeitgebern – Gebrauch und bekommen bei verspäteter oder unvollständiger Auskunft (welcher Arbeitgeber weiß schon alles, was er weiß?) auch noch ein nettes vierstelliges Schadensersatz-Trostpflaster.

Dieses nach europäischem Recht nahezu unbeschränkte Recht behutsam einzuschränken klingt zwar vernünftig, widerspricht allerdings der DSGVO: In Art. 15 Abs. 4 sind Einschränkungen der Auskunftspflicht nur wegen Rechten „anderer“, also nicht des Verantwortlichen selbst möglich. Insofern steht der Entwurf in der Gefahr, europarechtswidrig die Betroffenenrechte einzuschränken. Also ein „Reförmchen“: zaghaft dort, wo es mutig sein sollte – und mutig dort, wo Zurückhaltung klüger wäre.

Der ehemalige baden-württembergische Landesdatenschutzbeauftragte Stefan Brink (2017 bis 2022) ist Geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt (Wida) in Berlin.