Unabhängigkeit der Bundesdatenschutzbeauftragten: Gesetzesvorschlag greift viel zu kurz

Jahrelang war die Bundesregierung der Silicon-Valley-Wirtschaft hinterhergelaufen. Spätestens seit den Enthüllungen Edward Snowdens wurde vielen klar, welche Verachtung deren technik- und profitfixierte Ideologie unseren Werten der Rechtsstaatlichkeit, des Verbraucherschutzes und digitaler Freiheitsrechte sowie demokratischen Prozessen entgegenbringt. Die öffentlich zur Schau gestellte Nachdenklichkeit der großen Koalition als Reaktion auf diesen Skandal hat aber bisher wenig greifbare Früchte getragen.

Der Entwurf des Innenministeriums (Bundesrat Drucksache 395/14) zur Änderung des Bundesdatenschutzgesetzes (BDSG) zeigt erneut, dass es der Regierung nicht gelingt, die heutige Informationsgesellschaft wirksam zu gestalten. Bei der Amtseinführung der neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Andrea Voßhoff hatte Bundesinnenminister Thomas de Maizière (CDU) als zentrale Botschaft verkündet, die enge rechtliche, organisatorische und technische Abhängigkeit ihres Amtes von seinem Ministerium aufheben zu wollen. Das neue Bundesgesetz soll damit die verfassungsrechtlich und europarechtlich geforderte völlige Unabhängigkeit der BfDI herstellen.

Diese Änderung droht aber nun zur bürokratischen Reaktion auf zwei Urteile des Europäischen Gerichtshofes (EuGH) zu schrumpfen, da ihre Regelungen weitestgehend formeller Natur sind, aber keine ausreichende tatsächliche Änderung der bestehenden Verhältnisse bringen.

Die neue oberste Bundesbehörde wird organisatorisch nicht mehr in das Innenministerium eingebunden sein, die exekutive Aufsicht wird – zumindest formell - beseitigt. Ein zentrales Anliegen des Gesetzes ist es zudem, klarzustellen, dass auch Frauen BfDI sein können.

Viel zu spät

Schon 1983 hatte das Bundesverfassungsgericht darauf hingewiesen, dass die von Datenverarbeitung betroffenen Menschen einer unabhängigen Unterstützung bedürfen, die frei sein muss vom Einfluss der zu kontrollierenden Stellen und von sonstigen öffentlichen Dateninteressen, insbesondere denen der Sicherheitsbehörden (Urt. v. 15.12.1984, Az. 1 BvR 209/83 u.a.).

Diese Vorgabe wurde 1995 in Art. 28 der europäischen Datenschutzrichtlinie für sämtliche EU-Mitgliedstaaten verbindlich gemacht. Der EuGH hat schließlich mit seinen Entscheidungen vom 9.3.2010 und vom 16.10.2012 unmissverständlich klargestellt, dass die bisher in Deutschland und in Österreich praktizierte Rechts- und Dienstaufsicht mit der Unabhängigkeit der Datenschutzkontrolle nicht vereinbar sind (Urt.v. 09.03.2010, Az. C-518/07; Urt. v. 16.10.2012, Az. C-614/10).

Aktiv wurde die Bundesregierung aber erst, nachdem die Europäische Kommission erneut mit einem Vertragsverletzungsverfahren drohte. Nun soll mit dem Gesetzentwurf der Bundesregierung die Kontrolle der BfDI durch die Bundesverwaltung und die vom Bund kontrollierten Post- und Telekommunikationsunternehmen beseitigt werden. Dass dies erst jetzt passiert, nachdem sämtliche Bundesländer für ihren Zuständigkeitsbereich (Landesverwaltungen und Wirtschaftsunternehmen in den Ländern) aus der Rechtsprechung längst ihre Konsequenzen gezogen haben, kann man als Armutszeugnis werten.

Defizite bei der nationalen Datenschutzkontrolle

Während in den Bundesländern regelmäßig das Vorschlagsrecht für die Leitung der Datenschutzaufsicht den Parlamenten zugewiesen ist, soll dies im Bund auch weiterhin bei der Regierung verbleiben.

Es entbehrt nicht einer gewissen Ironie, dass die Oppositions-CDU derzeit in Schleswig-Holstein bei der Besetzung des Datenschutzbeauftragten eine öffentliche Ausschreibung fordert (Landtags-Drucksache 18/2145), das CDU-Ministerium des Bundes das Vorschlagsrecht aber nicht einmal dem demokratisch legitimierten und weniger von Eigeninteressen geleiteten Parlament zugestehen will.

Die Unabhängigkeit der Bundesbeauftragten wird weiter dadurch eingeschränkt, dass deren Zeugenaussagen nur im "Einvernehmen mit der Bundesregierung" erfolgen dürfen, wenn sie den "Kernbereich exekutiver Eigenverantwortung der Bundesregierung" – was immer dies auch sei – tangieren. Dies betraf beispielsweise ihre Auskunft gegenüber dem NSA-Untersuchungsausschuss. Die kontrollierte Bundesregierung muss also einverstanden sein, wenn ihre Kontrolleure Bundesbeauftragte und Bundestag sich austauschen wollen.

Dennoch behaupten die Initiatoren des Gesetzentwurfes in der Begründung: "Zugleich wird die Datenschutzaufsicht auf Bundesebene insgesamt gestärkt." Im gesetzlichen Kleingedruckten ist davon jedoch nichts zu finden, es sei denn, man sieht dies in der Anhebung der Besoldung der BfDI. Es sollen gerade einmal vier zusätzliche Personalstellen geschaffen werden; diese werden aber voll absorbiert durch die neuen personal- und haushaltswirtschaftlichen Aufgaben der Dienststelle. Im Kontext der Snowden-Enthüllungen wurden mehrere hundert neue Stellen für Sicherheitsbehörden wie das Bundeskriminalamt (BKA) angekündigt. Den Datenschutz hat man dagegen nicht auf dem Zettel.

Keine wirksamen Befugnisse

Die europäische Datenschutzrichtlinie sieht verpflichtend vor, der Datenschutzkontrolle "wirksame Eingriffsbefugnisse" zu übertragen, die beispielhaft genannt werden: "geeignete Veröffentlichung (von) Stellungnahmen, (…) die Befugnis, Sperrung, Löschung oder Vernichtung von Daten oder (…) das Verbot einer Verarbeitung anzuordnen" (Art. 28 Abs. 3 S. 1 EG-DSRl).

Der deutschen BfDI bleibt dagegen weiterhin das "schneidige Schwert" der "Beanstandung", selbst bei auf Profit ausgerichteten Post- und Telekommunikationsunternehmen.

Eine wirksame Sanktionsmöglichkeit könnte geschaffen werden, wenn die Datenschutz-Grundverordnung (EU-DSGVO), welche die Modernisierung des europäischen Datenschutzes zum Ziel hat, in Kraft treten würde. Diese sieht Bußgelder in Höhe von zwei bis fünf Prozent des Unternehmensumsatzes vor. Die große Koalition blockiert deren In-Kraft-Treten aber über den Europäischen Rat mit dem scheinheiligen Argument, der hohe deutsche Datenschutzstandard müsse erhalten bleiben. Die Kommission der Europäischen Union hatte den Entwurf Ende 2012 auf den Weg gebracht, vom Europäischen Parlament wurde er im April 2014 mit großer Mehrheit beschlossen.

Gerichte haben die Äußerungsbefugnis der Datenschutzbeauftragten immer wieder einschränkend ausgelegt (vgl. nur OVG Schleswig-Holstein, Urt. v. 28.02.2014, Az. 4 MB 82/13). Angesichts begrenzter rechtlicher Möglichkeiten und personeller Ressourcen ist die Öffentlichkeitsarbeit die wirksamste Waffe der Datenschutzbeauftragten, um gegen Datenschutzverstöße durch Behörden und Wirtschaftsunternehmen anzugehen. Diese Möglichkeit wird – im Widerspruch zum Geist der europäischen Regelung – nicht gestärkt.

Kreativität und Gestaltungswillen wären auch dadurch erkennbar, dass zumindest die präventiven Aufgaben der Datenschutzbeauftragten verbessert würden, vergleichbar mit den bereits existierenden Regelungen in den Landesdatenschutzgesetzen: Umfassende Beratung, Aus- und Fortbildung, Forschung, Zertifizierung, Auditierung, Standardisierung. Hier könnte die Dienststelle der BfDI eine wichtige Funktion erfüllen und zugleich europaweit Vorbild sein. Leider aber wieder Fehlanzeige in diesem Entwurf – schade!

Es bleibt die Hoffnung, dass aus dem Entwurf des Bundeskabinetts nicht der Text des Gesamtgesetzgebers wird, der sich einschließlich Bundesregierung doch so sehr um den Ruf digitaler Kompetenz bemüht.

Der Autor Dr. Thilo Weichert ist Datenschutzbeauftragter des Landes Schleswig-Holstein.