Verantwortung für Deutschland: Auch beim Datenschutz?

Groko plant Änderungen beim Schutz personenbezogener Daten

Endlich ist er da, der Koalitionsvertrag: Gestern haben sich die Unionsparteien und die SPD auf die Rahmenbedingungen ihrer voraussichtlich vierjährigen Regierungszeit geeinigt. Das Papier nennt sich „Verantwortung für Deutschland“. Abrufbar z. B. auf der Webseite der CDU.

Datenschutz scheinen die Koalitionäre dabei als wichtiges Thema erkannt zu haben. Jedenfalls erhält der Vertrag in den Randnummern 2094 bis 2109 einen eigenen Abschnitt mit dem Titel „Datenschutz entbürokratisieren“. Dies ist insoweit wenig überraschend, als die Parteien, insbesondere die Union, bereits seit längerer Zeit Bestrebungen in diese Richtung haben erkennen lassen. Auch an weiteren Stellen im Vertrag wird das Thema Datenschutz im Zusammenhang mit Entbürokratisierungsmaßnahmen genannt.

Was das konkret bedeutet, zeigen wir jetzt:

Was steht drin?

Vorgenommen haben sich die Parteien im Bereich Datenschutz für die kommende Legislatur das Folgende:

Zentralisierung der Aufsicht: Die Datenschutzaufsicht soll erkennbar verändert werden. Statt bei den Landesbehörden soll künftig eine Kompetenzbündelung bei der Bundesbeauftragten für den Datenschutz stattfinden. Diese Behörde soll in „Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit“ umbenannt werden. Hier lässt sich schon in der Namensgebung eine Verschiebung im Fokus erkennen. Ob dabei die Landesaufsichtsbehörden vollständig abgeschafft werden sollen, sagt das Koalitionspapier nicht. Jedenfalls ist dies ein Vorhaben, welches unabhängig von der konkreten Ausgestaltung nicht von heute auf morgen umzusetzen ist. Auch ist mit Widerstand aus den Ländern zu rechnen. Für Unternehmen hat dies zunächst keine direkten Folgen. Langfristig ist aber mit einer Vereinheitlichung der behördlichen Rechtsauffassung zu rechnen, was grundsätzlich begrüßenswert ist. Nicht unwahrscheinlich ist allerdings auch, dass weniger Datenschutzverstöße verfolgt und sanktioniert werden und die Beratung leidet. Dies wird entscheidend von der Konzeption und Ausstattung der neuen Behörde abhängen.

Gleichzeitig soll die Stellung der sogenannten Datenschutzkonferenz im BDSG geregelt werden. Die DSK ist der Zusammenschluss der Aufsichtsbehörden von Bund und Ländern und erarbeitet gemeinsame Standards im Datenschutz. Dies gesetzlich zu regeln, ist sinnvoll. Allerdings entsteht ein Widerspruch zum ersten Punkt, denn ein solches Gremium braucht es eigentlich nicht mehr, wenn es nur noch eine Aufsichtsbehörde geben soll. Wir werden sehen.

Gänzlich wild wird es beim nächsten Punkt. Kleine und mittelständische Unternehmen sowie „risikoarme Verarbeitungen“ sollen offenbar komplett vom Anwendungsbereichs des Datenschutzrechts ausgenommen werden. Hierfür will sich die Koalition bei der EU stark machen. Inwieweit diese extreme Forderung überhaupt durchsetzbar sein kann, ist fraglich. So sind individuelle Rechte, welche sich im Datenschutz ausformen, teilweise Grundrechte und der Schutz personenbezogener Daten ist eine der Grundfreiheiten in der EU-Charta. Denkbar und in Teilen begrüßenswert wäre aber, diese Unternehmen von bestimmten Pflichten auszunehmen, etwa von jener, umfassende Verzeichnisse von Verarbeitungstätigkeiten führen zu müssen. Hier wird das Zusammenspiel mit der anstehenden DSGVO-Reform spannend.

Was steht nicht drin?

Zumindest nicht ausdrücklich erwähnt ist die Abschaffung des § 38 BDSG. Dieser beinhaltet die Pflicht zur Bestellung eines Datenschutzbeauftragen für alle Verantwortlichen und Auftragsverarbeiter, welche (vereinfacht gesagt) mehr als 20 Mitarbeiter beschäftigen, die Zugriff auf personenbezogene Daten haben. Dies war in der Vergangenheit vor allem den Unionsparteien ein Dorn im Auge und die Norm wurde bereits durch Initiativen im Bundesrat angegriffen. Bislang allerdings erfolglos. Von daher ist es verwunderlich, dass dies keine Erwähnung findet. Andererseits kann man diesen Punkt in den, oben beschriebenen, generell geplanten Abbau von Strukturen und Anwendungsbereichen hereinlesen. Vom Tisch ist das Thema damit also wohl nicht.

Bedeutung für Unternehmen

Können sich Unternehmen nun auf weniger Bürokratie beim Datenschutz freuen? Aus unserer Sicht ist das derzeit unklar, da der Koalitionsvertrag wenig konkret wird. Sollten kleine und mittelständische Unternehmen tatsächlich vollständig vom Anwendungsbereich des Datenschutzrechts ausgenommen werden, darf bezweifelt werden, dass dies auch praktisch zu einer Entlastung führt. Das Recht auf Datenschutz ist eine der Grundfreiheiten, welche in der EU-Charta verankert ist. Sollten KMU nicht mehr direkt die DSGVO und das BDSG beachten müssen, würde dies aber dazu führen, dass Datenschutzrechte über Generalklauseln in den allgemeinen Gesetzen zur Anwendung kommen. Dies würde das Gegenteil von dem erreichen, was die Koalition plant. Es gäbe keine klaren Regeln mehr für den Umgang mit personenbezogenen Daten durch diese Unternehmen. Vielmehr entstünde ein Chaos aus einer kaum überschaubaren Anzahl an Urteilen, Literaturauffassungen und Meinungen von Aufsichtsbehörden. Und auch wenn Ihnen das aus aktueller Sicht bekannt vorkommt, dürfte sich die Situation durch diese Maßnahme deutlich verschlimmern.

Ob KMU zukünftig keinen Datenschutzbeauftragten bestellen müssen, ist ebenfalls nicht klar. Auch hier ist aber nicht mit einer echten Entlastung für die betroffenen Unternehmen zu rechnen. Zugegeben, gibt es mit Sicherheit viele kleine Betriebe, welche vor allem Standardverarbeitungen mit personenbezogenen Daten durchführen. Ob diese alle die ständige Betreuung durch einen Datenschutzbeauftragten benötigen, kann man zu Recht infrage stellen. Bei vielen, auch kleineren, Unternehmen ist die Situation aber durchaus komplexer. Gerade innovative Betriebe setzen oft auf neue Technologien wie zum Beispiel Künstliche Intelligenz oder IT-Lösungen, welche die personenbezogenen Daten ihrer Kunden oder Beschäftigten in komplexen Verfahren und unter Beteiligung vieler Dritter verarbeiten. Der Datenschutzbeauftragte hilft, derartiges in geordneten Bahnen zu halten und einen Ausgleich zwischen den Rechten der betroffenen Personen und den berechtigten Interessen der Unternehmen zu schaffen. Dieses Erfordernis würde nicht wegfallen, nur weil kein Datenschutzbeauftragter mehr zu stellen ist. Insoweit stehen die Chancen groß, dass sich auf diese Maßnahme, sollte sie denn kommen, eher als Symbolpolitik entpuppen wird.

Gerne halten wir Sie über die weiteren Entwicklungen auf dem Laufenden. Bestellen Sie unseren Newsletter, nehmen Sie Kontakt auf, oder folgen Sie uns weiter auf den einschlägigen Kanälen.