2. DSAnpUG-EU – oder: was gute Gesetzgebung mit Sicherheit nicht ist

Mit dem „Zweiten Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)“ wird die Anpassung des bereichsspezifischen deutschen Datenschutzrechts an den neuen europäischen Rechtsrahmen verfolgt, indem zahlreiche Öffnungsklauseln und Regelungsaufträge der EU DS-GVO inhaltlich aufgegriffen werden. So weit, so gut. Doch das eigentliche Gesetzgebungsverfahren um das 2. DSAnpUG-EU ähnelt mehr einem Datenschutz-Krimi, wenn man sich vor Augen führt, dass das Gesetz in der Nacht zum Freitag mit Minimalbesetzung durch den Bundestag beschlossen wurde. Nachdem der erste Referentenentwurf aus dem BMI schon am 21. Juni 2018 die wesentliche Fahrtrichtung vorgab, wurde offiziell zum ersten Oktober 2018 der Gesetzentwurf der Bundesregierung (BT-Drs. 19/4674) eingebracht. Schon damals waren die Rückmeldungen der Fachwelt zu diesem Entwurf äußerst kritisch, da befürchtet wurde, dass er – wie schon das „erste“ DSAnpUG-EU aus 2017 – das europäische Datenschutzniveau letztlich absenken würde. Die umfassenden Rückmeldungen zum 2. DSAnpUG-EU aus Verbänden, Behörden, Wirtschaft und von Experten umfassen neben der Tatsache, dass ein Omnibusgesetz mit 454 Seiten zur Änderung von 154 Spezialgesetzen schon unter gesetzgebungstechnischen Gesichtspunkten nicht die beste Wahl ist, unter anderem folgende Punkte:

• Schaffung einer Vorratsdatenspeicherung für den Digitalfunk der Behörden (BDBOS-Gesetz) „durch die Hintertür“ mit 75 Tagen, die sogar die eigentliche VDS mit 70 Tagen übertrifft.
• Anhebung der Schwellenwerte zur Bestellung von betrieblichen Datenschutzbeauftragten auf 20 Personen – mit der Folge, dass die Datenschutzaufsichtsbehörden infolge vermehrter Einzelfallanfragen unter zunehmender Überlastung leiden. Damit werden KMU und Vereine nicht unbedingt entlastet, sondern das Thema Datenschutz letztlich nur auf anderer Ebene adressiert, denn eingehalten werden muss das Datenschutzrecht so oder so – unabhängig von der Verpflichtung zur Bestellung eines DSB.
• Deutliche Ausweitung der Verarbeitungsbefugnisse des BSI inkl. einer umfassenden Beschränkung von Betroffenenrechten.
• Der Wegfall der ursprünglich vorgeschlagenen Regelungen zum Datenschutz im TKG (im RefE noch in einem eigenständigen Abschnitt vorgesehen), um Klarheit über die Abgrenzung der Zuständigkeiten zwischen BNetzA und Datenschutzaufsicht zu schaffen.
• Fehlende/unzureichende Regelungen zum Beschäftigtendatenschutz und zur Ausübung der Meinungsfreiheit.

Nachdem im Anschluss an die Veröffentlichung des RefE des 2. DSAnpUG-EU augenscheinlich fast ein Jahr lang gar nichts geschah und man daher bereits annahm, dass vor der parlamentarischen Sommerpause keine Entscheidung mehr getroffen würde, tat sich in der letzten Sitzungswoche tatsächlich auf einmal einiges – und letztlich alles. So legte die GroKo noch am 21. Juni zwei Anträge zur Sitzung des Ausschusses für Inneres und Heimat am 26. Juni vor: einen Änderungsantrag zum ursprünglichen Entwurf, sowie den Antrag „Datenschutz und Meinungsfreiheit in Einklang bringen“, der die Bundesregierung letztlich nur zur Vorlage eines entsprechenden Gesetzentwurfs auffordert. Inhaltlich wurden in den Anträgen tatsächlich nur marginale Änderungen gegenüber dem Entwurf aus BT-Drs. 19/4674 vorgeschlagen, die u.a. die Verdoppelung des Schwellenwerts für den betrieblichen DSB auf 20 Personen vorsahen. Die Regelungen für den Datenschutz im Internet durch das TMG erfuhren jedoch keinerlei Konkretisierung, ebenso die wichtige und auch Rechtssicherheit schaffende Frage um die Festlegung der Zuständigkeiten für den Datenschutz nach TKG und die Abgrenzung der Aufgaben von BNetzA und Datenschutzaufsicht. Am 24. Juni wurden von der BT-Fraktion BÜNDNIS90/DIE GRÜNEN inhaltlich im Wesentlichen gegenläufige Anträge präsentiert. Ändern konnte dies letztlich auch nichts an der Tatsache, dass das Gesetz in der Nacht zum vergangenen Freitag um 01:30 beschlossen wurde – der Tagesspiegel titelte schon einige Tage vorher zu den Anträgen „Koalition entschärft den Datenschutz“ – und der Datenschutz wird faktisch nicht nur entschärft, sondern in Teilbereichen gar entwertet, indem es beispielsweise im BSIG gar nicht mehr um Datenschutzvorschriften im eigentlichen Sinne, sondern im Schwerpunkt um die ausschließliche Aufweichung von Betroffenenrechten und die Lockerung des Zweckbindungsgrundsatzes zur Datenverarbeitung die IT-Sicherheit betreffend geht. Ein vernünftiger Interessenausgleich, der Bürgerrechte und Gemeinwohl miteinander in Einklang bringt, sieht so jedenfalls nicht aus.

Was wird mit diesem Gesetz letztlich deutlich? Die Talfahrt des deutschen Datenschutzrechts setzt sich wenig überraschend munter fort. Und nicht nur das: Ein derart umfassender Gesetzentwurf, der für sich genommen als Omnibusgesetz schon problematisch genug ist, wird weder ausreichend zur öffentlichen Diskussion gestellt, noch wird auf die im Gesetzgebungsverfahren geäußerte Kritik vernünftig eingegangen, und letztlich wird alles in einer Nacht-und-Nebel-Aktion durchgewunken. Gute Gesetzgebung funktioniert so jedenfalls nicht, aber das dürfte auch den daran Beteiligten sicherlich bekannt sein.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben