Datenschutz­woche

#September 2023 2023

A. Grundsätzliche Anmerkungen

Aufgabe des Datenschutzrechts bzw. der datenschutzrechtlichen Bestimmungen ist es, den Ausgleich der negativen Folgen, die durch den Zugriff einer datenverarbeitenden Stelle auf personenbezogene Daten und durch deren weitere Nutzung erfolgt, zu gewährleisten. Die Bedingungen, unter denen personenbezogener Daten verarbeitet, d.h. beispielsweise erhoben, gespeichert oder genutzt werden dürfen, sind zum Schutz der Grundrechteträgerinnen und -träger maßgeblich in der Datenschutz-Grundverordnung geregelt.

Die Stiftung Datenschutz begrüßt die sprachlichen und inhaltlichen Klarstellungen, die zu einem besseren Verständnis des Gesetzestextes führen und damit die Anwendung des bundesdeutschen Datenschutzrechts erleichtern sowie das Vertrauen in das Recht stärken. In diesem Sinne machen wir im Folgenden auch auf weitere Bedarfe aufmerksam, die u.a. den Umgang mit Fotografien, Chroniken sowie die Ausgestaltung und Organisation der Aufsichtsbehörden betreffen.

B. Zweck des vorgelegten Referentenentwurfs

Der vorgelegte Referentenentwurf zu einem Ersten Gesetz zur Änderung des Bundesdatenschutzgesetzes soll Vereinbarungen aus dem Koalitionsvertrag 2021 – 2025 (im Folgenden „Koalitionsvertrag“)[1] der Koalitionspartner sowie Ergebnisse aus der Evaluierung des Bundesdatenschutzgesetzes (BDSG)[2] durch das Bundesministerium des Innern und für Heimat (BMI) umsetzen. Der vorgelegte Entwurf befasst sich ausdrücklich nur mit Fragen zum Teil 1 und 2 des BDSG, mithin mit den Regelungen, die zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 erlassen wurden. Darüber hinausgehende Änderungsbedarfe sollen in künftigen Gesetzgebungsinitiativen behandelt werden.[3]

Im Koalitionsvertrag ist vereinbart, „zur besseren Durchsetzung und Kohärenz des Datenschutzes ... die europäische Zusammenarbeit [zu verstärken], ... die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) [zu institutionalisieren] und ... ihr rechtlich, wo möglich, verbindliche Beschlüsse zu ermöglichen“. Außerdem sollen Regelungen zum Beschäftigtendatenschutz geschaffen werden, „um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen“.[4]

C. Artikel 1 – Änderung des Bundesdatenschutzgesetzes

1. Klarstellung in § 1 BDSG

Die Stiftung Datenschutz begrüßt die Klarstellung in § 1 Abs. 4 S. 2 BDSG-E zum Anwendungsbereich des BDSG. Danach soll das BDSG auch dann anwendbar sein, wenn der Verantwortliche oder Auftragsverarbeiter keine Niederlassung in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum hat, die Datenverarbeitung aber im Zusammenhang mit einer Verarbeitung im Inland steht. Dies ergibt sich nun aus den Ergänzungen der Buchstaben a) und b), wodurch der Anwendungsbereich des BDSG umfassend bestimmt wird.

Unzureichend erscheint die Ergänzung in § 1 Absatz 4 Satz 3 BDSG-E. Die Einfügung stellt zwar klar, dass die Regelung nur nichtöffentliche Stellen adressieren soll, doch die Formulierung bleibt schwer verständlich.

2. Kapitel 2: Verarbeitung durch öffentliche Stellen

Die Klarstellungen, dass das Kapitel 2 nur auf öffentliche Stellen Anwendung finden soll, werden begrüßt. Sie erleichtern die Übersicht und die Zuordnung des Anwendungsbereichs der Normen des BDSG. Für nichtöffentliche Stellen wird so deutlich, dass insbesondere § 4 BDSG nicht auf ihre Verarbeitungstätigkeiten im Bereich der Videoüberwachung anwendbar ist.

Mit der Neuregelung des § 4 Abs. 1 BDSG zur Videoüberwachung öffentlich zugänglicher Räume durch öffentliche Stellen sollen die Anwendbarkeit auf nichtöffentliche Stellen ebenso entfallen wie die Spezifizierungen, die ein besonders wichtiges Interesse begründen. Begrüßt wird zunächst, dass mit der Neuregelung eine unionsrechtswidrige Ausweitung der Regelung auf den nichtöffentlichen Bereich beseitigt werden soll. Art. 6 Abs. 1 Buchst. e DSGVO, auf den die Regelung als Öffnungsklausel zurückgeführt wird, eröffnet für den Bundesgesetzgeber nur insoweit einen Regelungsspielraum, wie die Regelung die Wahrnehmung einer öffentlichen Aufgabe im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt betrifft. Eine solche Aufgabe liegt bei einer Videoüberwachung durch nichtöffentliche Stellen in der Regel weder bei der „Wahrnehmung des Hausrechts“ noch bei der „Wahrnehmung berechtigter Interessen“ vor. Für nichtöffentliche Stellen wird durch die Neuregelung deutlich, dass eine Verarbeitung mittels optisch-elektronischer Geräte im Rahmen des Hausrechts nur nach Maßgabe des Art. 6 Abs. 1 Buchst. f DSGVO erfolgen kann.

Die Neuregelung vermindert den Begründungsaufwand für öffentliche Stellen und erleichtert damit optisch-elektronische Überwachungen. Die Rückkopplung allein an die Aufgabenerfüllung der öffentlichen Stelle erscheint im Hinblick auf die technischen Möglichkeiten der Videoüberwachung und deren Bedeutung unter Berücksichtigung einer Überwachungsgesamtrechnung (Betrachtung der quantitativen und qualitativen Überwachungslast der Bürgerinnen und Bürger) zu weit gefasst. Von Vorteil war bislang, dass die Wahrnehmung des Hausrechts separat zur Aufgabenerfüllung aufgezählt wurde. Der Schutz von Leben, Gesundheit oder Freiheit von Personen stellte ein besonders wichtiges Interesse dar und war damit die Richtschnur für die Begründung einer Videoüberwachung.

Gerade bei der Überwachung öffentlich zugänglicher Räume, bei deren Zutritt für Bürgerinnen und Bürger zumeist keine Wahl- oder Ausweichmöglichkeiten bestehen, ist darauf zu achten, dass die „Freiheitswahrnehmungen der Bürgerinnen und Bürger nicht total erfasst und registriert werden,“[5]. Hierbei ist nicht allein auf die Überwachung durch öffentliche Stellen abzustellen, sondern auch der Überwachungsdruck, der durch nichtöffentlichen Stellen erzeugt wird, zu berücksichtigen.

Das Bundesverfassungsgericht hat den Bundesgesetzgeber bereits aufgefordert, „Rücksicht auf das dem "additiven" Grundrechtseingriff innewohnende Gefährdungspotential“ zu nehmen. Insbesondere aufgrund des „schnellen und für den Grundrechtsschutz riskanten informationstechnischen Wandels müsse der Gesetzgeber die technischen Entwicklungen aufmerksam beobachten und notfalls durch ergänzende Rechtssetzung korrigierend eingreifen.“[6] Eine pauschale Bezugnahme auf die Aufgabenwahrnehmung erscheint vor dem Hintergrund gesteigerter technischer Möglichkeiten und einer zunehmenden Allgegenwart optisch-elektronischer Überwachung für einen freiheitlich-liberalen Rechtsstaat nicht mehr zeitgemäß. Der Gesetzgeber sollte an dieser Stelle erwägen, ob er nicht weitere Maßgaben zur Erforderlichkeit einer Videoüberwachung in die Regelung aufnimmt.

Zu begrüßen wäre auch die Maßgabe einer verpflichtenden Datenschutzfolgenabschätzung, in der insbesondere die Begründung des systemischen Grundrechtseingriffs durch Videoüberwachung dargelegt wird. Denn „unabhängig davon, ob im Einzelfall Interessen der Betroffenen berührt sind oder nicht, sind [Vorgänge der Informationserhebung] rechtlich so zu ordnen, dass die Gesamtheit der rechtlich geregelten Informationsvorgänge keine sozialschädlichen Folgen herbeiführen“.[7] In diesem Sinne wäre unter Berücksichtigung des vom Bundesverfassungsgericht angeführten Gefährdungspotentials durch Akkumulationseffekte darzulegen, dass in der informationellen, institutionellen oder zeitlichen Akkumulation der Verarbeitungsvorgänge keine unverhältnismäßige, zusätzliche Beschwer entsteht.

3. Kapitel 4a: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

Die Stiftung Datenschutz begrüßt, dass mit § 16a BDSG-E die Datenschutzkonferenz (DSK) durch das BDSG institutionalisiert werden soll. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ist ein wichtiges Gremium zur Abstimmung und Sicherstellung einer gleichmäßigen Anwendung des Datenschutzrechts im nichtöffentlichen Bereich in den Ländern und bei den der Aufsicht des Bundesbeauftragten unterfallenden Stellen.

Wünschenswert wäre, wenn auch die Länder im Rahmen ihrer Gesetzgebungskompetenz den Beschlüssen der Konferenz verbindliche Wirkung verleihen würden. Das föderale Aufsichtssystem hat in der Vergangenheit zu einer lebhaften Datenschutzdiskussion und damit zu einer hervorgehobenen Position Deutschlands im internationalen datenschutzrechtlichen Diskurs geführt. Dieser Vorteil sollte nicht aufgegeben werden, auch wenn weiterhin dafür Sorge zu tragen ist, dass eine harmonisierte Anwendung und Durchsetzung des Datenschutzrechts innerhalb Deutschlands sichergestellt wird. Eine koordinierte, gleichmäßige Durchsetzung verhindert Marktverzerrungen. Sie sorgt für die erforderliche Klarheit und Sicherheit für Unternehmen und Organisationen im wirtschaftlichen wie auch im gemeinnützigen Bereich und stärkt den Wirtschaftsstandort Deutschland. Eine verbindliche Entscheidungsfindung durch die Datenschutzkonferenz wäre ein erfreulicher und wichtiger Schritt in diese Richtung.

4. Vertretung im EDSA

Die Neufassung des § 17 BDSG-E hält an der Funktion des Bundesbeauftragten im Europäischen Datenschutzausschuss (EDSA) fest. Da die Themen im EDSA überwiegend Angelegenheiten betreffen, die der alleinigen Gesetzgebungskompetenz der Länder unterfallen, bleibt die repräsentative Funktion des Bundesbeauftragten dysfunktional. Auch wenn der Bundesbeauftragte personell weit besser ausgestattet ist als die Länder, so fehlt es doch an Erfahrung in der praktischen Aufgabenwahrnehmung, die erforderlich ist, um die Aufgaben im EDSA wirkungsvoll zu erfüllen. Die bisher in § 17 Abs. 2 BDSG geregelten Übertragung der Aufgaben an den Repräsentanten der Länder gleicht dieses Missverhältnis nur teilweise aus. Darunter leidet die Einbindung der Landesbeauftragten in die Arbeitsweise des EDSA, auch wenn Beschäftigte einiger Aufsichtsbehörden über die Arbeitsgruppen des EDSA in dessen Arbeit eingebunden sind. Diese Aufgabenteilung hat zumindest in der Vergangenheit die Wahrnehmung der Leitlinien zur gleichmäßigen Anwendung des europäischen Datenschutzrechts behindert.

Ebenfalls unverändert bleibt die Regelung, dass der Bundesrat den oder die Vertreterin des Bundesbeauftragten aus der Reihe der Landesbeauftragten bestimmt. Warum diese Aufgabe der Wahl eines Länderrepräsentanten nunmehr nicht der DSK zukommt, wird im Referentenentwurf leider nicht ausgeführt. Grundsätzlich begrüßt wird die Regelung einer Stellvertretung für den Fall, dass durch Ausscheiden aus dem Amt oder anderen Gründen die Position der Stellvertretung vakant wird.

Die Betonung einer frühzeitigen innerstaatlichen Abstimmung im Rahmen der Kooperations- und Kohärenzverfahren in § 18 BDSG-E erscheint sachdienlich. Hier wäre es förderlich, die DSK mit Mitteln auszustatten, die eine schnelle Abstimmung auf der Ebene der Arbeitsgremien ermöglicht.

5. Gemeinsame Datenverarbeitung zu wissenschaftlichen und zu Forschungszwecken

Mit der Einfügung des § 27 Abs. 5 BDSG-E wird gemeinsam Verantwortlichen die Möglichkeit gegeben, ihre gemeinsame Verantwortlichkeit anzuzeigen und in der Folge zwar nicht die zuständige Aufsichtsbehörde zu bestimmen, sondern sich der Regelung des § 27 Abs. 5 BDSG-E zu unterwerfen. Diese Regelung sieht vor, dass die Aufsichtsbehörde der Stelle zuständig sein soll, welche die meisten Personen beschäftigt, die ständig personenbezogene Daten automatisiert verarbeiten. Damit werden die bestehenden Probleme bei der Bestimmung, wann und unter welchen Bedingungen eine Verantwortliche die meisten Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, auf einen weiteren Anwendungsfall ausgedehnt. Hier wäre es wünschenswert, dass der Gesetzgeber Klarheit schaffte, ob Personen unabhängig von ihrem Beschäftigungsgrad zu zählen sind und unter welchen Bedingungen von einer „ständigen“ Beschäftigung auszugehen ist. Zudem fehlt es an einer näheren Bestimmung des Begriffs der automatisierten Datenverarbeitung.

6. Ausnahme nach Art. 23 DSGVO

Gegenüber der Einfügung in § 34 Abs. 1 BDSG-E (Nr. 10 Doppelbuchst. bb)), wonach das Recht auf Auskunft nicht bestehen soll, wenn der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung gegenüber dem Interesse der betroffenen Person an der Information überwiegt, bestehen erhebliche Bedenken. Art. 23 Abs. 1 Buchst. i DSGVO erlaubt nur solche Einschränkungen der Betroffenenrechte durch den Gesetzgeber, wenn damit wesentliche Ziele zum Schutz der Grundrechte erreicht werden sollen.[8] In Art. 15 Abs. 4 DSGVO ist bereits eine Einschränkung des Auskunftsrechts vorgesehen. Soweit die Einfügung in § 34 Abs. 1 BDSG darüber hinaus geht, steht sie im Widerspruch zum Anspruch auf eine erforderliche und verhältnismäßige Maßnahme nach Maßgabe des Art. 23 Abs. 1 DSGVO. Hier wäre eine Ergänzung qualifizierender, überprüfbarer Kriterien wünschenswert, , beispielsweise, dass es sich zumindest um Betriebs- und Geschäftsgeheimnisse handeln soll, deren Bekanntgabe erheblichen Folgen für die Verantwortliche hätte. Zu denken wäre auch an eine vergleichbare Regelung, wie sie für öffentliche Stellen des Bundes in § 34 Abs. 3 S. 3 BDSG-E eingefügt werden soll. Diese Ergänzung wird ausdrücklich begrüßt.

7. Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen

Mit der Einfügung eines § 40a BDSG-E wird ein One-Stop-Shop für gemeinsam verantwortliche Unternehmen im Inland konkretisiert. Die Bestimmung sollte dabei auf die Legaldefinition des Art. 4 Nr. 7 DSGVO, und damit auf die Voraussetzungen für die gemeinsame Verantwortlichkeit, verweisen. Die Regelung ist als Kann-Vorschrift formuliert. Es wäre wünschenswert, wenn der Gesetzgeber auch festlegen würde, welche der beteiligten Aufsichtsbehörden das Vorliegen einer gemeinsamen Verantwortlichkeit prüft. Zudem wäre zu erwägen, auch den Kohärenzmechanismus, wie er in der DSGVO für den One-Stop-Shop in Kapitel VII der DSGVO vorgesehen ist, zu übernehmen. Dies erforderte eine Regelung nach der ein System der Zusammenarbeit zwischen den zuständigen Aufsichtsbehörden vorgesehen wird, innerhalb dessen sie kooperieren. Eine ähnliche Regelung sieht bereits § 19 BDSG. Damit wäre der Gefahr einer, wenn auch begrenzten, Möglichkeit zum Forum-shopping begegnet; denn Unternehmen stünde es sonst frei, sich für eine Aufsichtsbehörde zu entscheiden, die ihren Bedürfnissen am ehesten entspricht. Die Regelung zur Bestimmung stellt dabei auf den Umsatz ab. Dabei ist zu beachten, dass der Umsatz eines Unternehmens eine erhebliche Bedeutung für das Land, in dem es seinen Sitz hat, haben kann und damit ein Interesse bestehen könnte, den Sitz dieses Unternehmen im Land zu halten.

8. Weitere Regelungsbedarfe

Im Referentenentwurf wird darauf hingewiesen, dass weitere Änderungen vorgesehen sind. Insofern wird auf Änderungsbedarfe im Bereich des Beschäftigtendatenschutzes an dieser Stelle nicht eingegangen.

Auf den Klarstellungsbedarf im Hinblick auf die Auslegung des Begriffs „ständig mit der Bearbeitung personenbezogener Daten befasster Personen“ wurde bereits unter 5. hingewiesen. Eine vergleichbare Problematik besteht schon jetzt im Bereich der Vereine und Verbände bei der Prüfung der Benennungspflicht eines Datenschutzbeauftragten gem. § 38 Abs. 1. Diese führt zu erheblicher Rechtsunsicherheit bei ehrenamtlich engagierten Personen. [9]

Bei der Verarbeitung von bildlichen Darstellungen (Fotografien) bestehen insbesondere im Kontext der Vereinsarbeit erhebliche Unsicherheiten. Es wäre wünschenswert, wenn der Gesetzgeber das Verhältnis zwischen Kunsturhebergesetz und DSGVO regeln würde.

Die Einordnung von Vereins- und Ortschroniken, denen in Deutschland eine besondere kulturelle Bedeutung zukommt, gelingt nur schwerlich unter Art. 89 DSGVO. Eine klarstellende Regelung im BDSG erscheint hier sachgerecht, um Unsicherheiten bei der Dokumentation von Orts- und Vereinsgeschichte im Hinblick auf die Verarbeitung personenbezogener Daten zu beseitigen.

Weiterhin soll darauf hingewiesen werden, dass bei den Auswahlverfahren der Beauftragten für den Datenschutz wiederholt Unstimmigkeiten und Unklarheiten bei der Auslegung der gesetzlichen Vorgaben zum transparenten Verfahren nach Maßgabe des Art. 53 DSGVO bestanden.[10] In § 11 und § 40 BDSG bestünde die Möglichkeit, das Auswahlverfahren im Sinne des Art. 53 DSGVO näher zu bestimmen und die Anforderungen an ein transparentes Verfahren auszugestalten und damit das Vertrauen in demokratische Institutionen weiter zu stärken.

[1] Mehr Fortschritt wagen, Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit, Koalitionsvertrag zwischen SPD, BÜNDNIS 90/DIE GRÜNEN und FDP, abrufbar unter www.bundesregierung.de/resource/blob/974430/1990812/1f422c60505b6a88f8f3b3b5b8720bd4/2021-12-10-koav2021-data.pdf.

[2] Evaluierung des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, Oktober 2021.

[3] Referentenentwurf S. 2.

[4] Koalitionsvertrag 2021-2025, S. 17.

[5] BVerfG, Urteil vom 02.03.2010 – 1 BvR 256/08, 1 BvR 263/08 und 1 BvR 586/08, Rn. 218.

[6] BVerfG, Urteil vom 12.04.2005 – 2 BvR 581/01 -, Rn. 51, 61.

[7] Podlech, Individualdatenschutz – Systemdatenschutz. In: Beiträge zum Sozialrecht – Festgabe für Grüner, Hrsg. Klaus Brückner und Gerhard Dalichau, 451, 452.

[8] Europäischer Datenschutzausschuss, Leitlinie 10/2020 zu den Ausnahmen in Art. 23 DSGVO, s. insbesondere Rn. 3, 14 und 32f.

[9] Lehn, Datenschutz im Verein, BvD-News 2/2022, 28, 29ff. Auf die Schwierigkeiten der Vereine wurde auch in der 71. Sitzung des Ausschusses für Familie, Senioren, Frauen und Jugend des Deutschen Bundestages in Berlin, am 23. November 2020 zum Thema "Datenschutzgrundverordnung (DSGVO) bzw. Bürokratieabbau im Ehrenamt" hingewiesen.

[10] fragdenstaat.de/blog/2023/08/18/datenschutzaufsicht-muss-jetzt-die-intransparenz-bei-der-wahl-der-datenschutzschutzbeauftragten-in-sachsen-anhalt-uberprufen/.