Datenschutz & Sicherheit

Reformpaket: Schwarz-Rot will 99 Prozent der deutschen Unternehmen vom Datenschutz ausnehmen


Am 2. Juli haben die Spitzen von Union und SPD im Koalitionsausschuss ein sogenanntes Reformpaket verabredet. Einige der vorgeschlagenen 34 Maßnahmen haben seitdem für heftige Debatten gesorgt, etwa Verschärfungen beim Thema Krankschreibung oder die De-Facto-Abschaffung der Informationsfreiheit im Bund. Bislang weniger im Fokus stehen Pläne der Koalition, auch beim Datenschutz die Axt anzulegen.

Dabei haben die Vorschläge es durchaus in sich: Unter anderem sollen viele Unternehmen ganz vom Datenschutz ausgenommen und betriebliche Datenschutzbeauftragte aussortiert werden. Auch die Datenschutzaufsicht will die Regierung radikal umbauen.

Auf Anfrage von netzpolitik.org gehen Datenschutzexpert:innen, Aufsichtsbehörden und zivilgesellschaftlichen Organisationen hart mit den Plänen ins Gericht. „Wer Ausnahmen schafft, die innerbetriebliche Kontrolle und Beratung abbaut und Aufsichtsstrukturen schwächt, hat eine klare Zielrichtung“, kritisiert etwa Frank Spaeing, Vorsitzender der Deutschen Gesellschaft für Datenschutz (DVD). „Die Koalition versucht, den Datenschutz an allen Ecken und Ende kaputt zu machen.“

„Die Große Koalition versucht mit dem irreführenden Narrativ vom Datenschutz als ‚Bürokratiemonster’ und Innovationshemmnis, ein europäisch verankertes Grundrecht abzubauen“, konstatiert auch Svea Windwehr, die Co-Vorsitzende des digitalpolitischen Vereins D64. „Mit der gleichen Kahlschlagmentalität, wie sie auch bei den Vorschlägen zum IFG zu erkennen ist, sollen betriebliche Datenschutzbeauftragte reduziert und kleine und mittelständische Unternehmen von Datenschutzpflichten ausgenommen werden.“

Ausnahme für 99 Prozent der deutschen Unternehmen

Überschrieben ist der verhältnismäßig knapp gehaltene 14. Punkt des Reformpakets mit „Moderner Datenschutz für mehr Wachstum“. Übergeordnetes Ziel ist eine Vereinfachung des Datenschutzes. Ein neues Datengesetzbuch soll das Datenrecht harmonisieren und unter Wahrung des Datenschutzes die Datennutzung fördern, heißt es in dem Papier.

Einer der Vorschläge sticht besonders hervor: Er zielt darauf ab, viele Unternehmen und Verarbeitungstätigkeiten gleich ganz vom Datenschutz zu befreien. Man wolle sich bei der EU dafür einsetzen, dass „nicht-kommerzielle Tätigkeiten (zum Beispiel in Vereinen), kleine und mittelständische Unternehmen und risikoarme Datenverarbeitungen (zum Beispiel Kundenlisten von Handwerkern) vom Anwendungsbereich der DSGVO ausgenommen werden“.

Dass insbesondere Vereine und sogenannte KMUs (Kleine und Mittelständische Unternehmen) beim Datenschutz entlastet werden sollen, hatte Schwarz-Rot bereits im Koalitionsvertrag angekündigt. Neu ist, dass dies über eine pauschale Befreiung von der gesamten Datenschutzgrundverordnung geschehen soll. Nach Angaben des Statischen Bundesamtes galten 2023 99,3 Prozent der deutschen Unternehmen als KMUs. Schwarz-Rot will also weite Teile der deutschen Wirtschaft weitgehend vom Datenschutz ausnehmen.

Das Problem: Von der Organisationsform oder der Größe eines Unternehmens hängt nicht ab, ob es Daten verarbeitet, die für Menschen gefährlich werden können. Auch bei Selbsthilfevereinen oder kleinen Unternehmen im Finanzwesen können hochsensible Daten landen.

Nicht nach Größe, sondern nach Risiko unterscheiden

Aus diesem Grund kritisiert Tobias Keber den Vorschlag. „Ein Handwerksbetrieb, bei dem nur wenige und in der Regel nicht sensible personenbezogene Daten verarbeitet werden, kann genauso wie ein kleines Unternehmen aus dem Gesundheitssektor, das große Mengen enorm sensibler Daten nutzt, als KMU gelten“, so der Landesdatenschutzbeauftragte von Baden-Württemberg. Pauschale Ausnahmen würden diese Unterschiede nicht abbilden.

Schwarz-Rot will die Informationsfreiheit beschneiden.

Wir kämpfen für Transparenz. Mit deiner Unterstützung.

Es gebe zahlreiche Vorschläge aus der Fachwelt, wie Vereinfachungen für Vereine und Wirtschaft besser erreicht werden können, kritisiert der Berufsverband der Datenschutzbeauftragten (BVD) in einer Stellungnahme: „Nicht die Unternehmensgröße, sondern das Risiko der Verarbeitung muss das entscheidende Kriterium für die Umsetzungspflichten sein.“ Dieser risikobasierte Ansatz sei in der DSGVO bereits angelegt, er müsse nur gestärkt werden.

Wer Vereine und KMUs tatsächlich entlasten wolle, müsse vielmehr die Hersteller von Software in die Haftung nehmen, so die Berliner Datenschutzbeauftragte Meike Kamp. Denn bisher tragen Anwender:innen die rechtliche Verantwortung, wenn sie etwa Dienste wie Microsoft 365 nutzen, obwohl sie an deren Datennutzung gar nichts ändern können.

Kamp fordert: „Hersteller und Anbieter von IT-Diensten sollten gesetzlich verpflichtet werden, ihre Produkte von Anfang an datenschutzkonform auszugestalten.“ Damit würde die datenschutzrechtliche Verantwortung dorthin verlagert werden, wo die Entscheidung über die Gestaltung von IT-Produkten getroffen werde. Zudem sollten auch Auftragsverarbeiter, also externe Dienstleister, verpflichtet werden, „ihre Dienste nur so anzubieten, dass die Datenschutzgrundsätze eingehalten werden können“.

Innerbetriebliche Expert:innen sollen aussortiert werden

Die Koalition will auch einen weiteren Dauerbrenner der deutschen Datenschutzdebatte angehen: Die betrieblichen Datenschutzbeauftragten. Diese müssen in Deutschland, anders als in vielen anderen EU-Ländern, benannt werden, wenn in einem Betrieb in der Regel mindestens zwanzig Mitarbeitende ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Sie sollen dafür sorgen, dass im Unternehmen entsprechende Expertise für Datenschutz vorhanden ist, werden insbesondere von Unionspolitiker:innen jedoch immer wieder als bürokratisches Ärgernis dargestellt. Laut Koalitionsbeschluss soll ihre Zahl in kleineren und mittleren Unternehmen deshalb reduziert werden.

Diesen Ansatz kritisiert nicht nur der Berufsverband der Datenschutzbeauftragten, demzufolge die Reduzierung der betrieblichen Datenschutzbeauftragten den Aufwand für Unternehmen massiv erhöhe und verteuere, während das Haftungsrisiko für Geschäftsführer und Vorstände steige.

Auch Tobias Keber, der Landesbeauftragte aus Baden-Württemberg, kann dem Vorschlag wenig abgewinnen. „Hier würde man das Kind mit dem Bade ausschütten“, weil im Unternehmen Wissen und der Aufsicht wichtige Ansprechpartner:innen wegfallen würden, während datenschutzrechtliche Verpflichtungen bestehen blieben. „Eine Abschaffung wäre ein klarer Rückschritt“, sagt auch die Berliner Datenschutzbeauftragte Meike Kamp.

Ebenfalls für eine „schlechte Idee“ hält das Frank Spaeing von der Deutschen Gesellschaft für Datenschutz. Er erinnert daran, dass es die deutsche Wirtschaft gewesen sei, die sich in den 70er-Jahren bei Entstehung der ersten Datenschutzgesetze für die Einführung betrieblicher Datenschutzbeauftragter eingesetzt habe, weil sie ein strenges Aufsichtsregime habe verhindern wollen.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

„Die Logik war damals: Mehr Eigenverantwortung für die Unternehmen und dadurch mehr Ruhe vor den Behörden.“ Wenn man nun auf die internen Beauftragten verzichten wolle, müsse man gleichzeitig die externe Kontrolle durch die Datenschutzaufsicht verschärfen. Die Koalition plane nun allerdings das genau Gegenteil, so Spaeing weiter.

Zentralisierung der Datenschutzaufsicht

In der Debatte um eine Vereinheitlichung der föderalen Datenschutzaufsicht legt sich die Koalition nun auf eine Zuständigkeitskonzentration beim BfDI fest, also beim Bundesbeauftragten für Datenschutz und Informationsfreiheit. Derzeit kontrolliert dieser, von einigen Ausnahmen abgesehen, insbesondere öffentliche Stellen des Bundes. Bereits in den Koalitionsverhandlungen hatte die Union gefordert, den Landesdatenschutzbeauftragten die Aufsicht über die Wirtschaft zu entziehen und diese beim BfDI zu zentralisieren.

Dem Vernehmen nach war es die damalige SPD-Chefin Saskia Esken, die das verhindert hatte. Inzwischen gehen die Sozialdemokraten diesen Weg offenbar mit, obwohl sie damit auf Konfrontationskurs zum Bundesrat gehen. Denn nicht nur zivilgesellschaftliche Organisationen und die Landesdatenschutzbeauftragten warnen vor einer Zentralisierung, weil diese sowohl die Kontrolle als auch die Beratung vor Ort schwächen könnte. Auch der Bundesrat hat kürzlich eine Initiative beschlossen, der zufolge die föderale Aufsichtsstruktur beibehalten, aber effizienter und einheitlicher werden soll.

Die Datenschutzbehörden seien in der Fläche heute schon nicht präsent genug, sagt Frank Spaeing von der DVD, der selbst als externer Datenschutzbeauftragter arbeitet. Eine Zentralisierung würde dazu führen, dass die Aufsicht gar nicht mehr vor Ort wahrnehmbar wäre.

Kritik kommt auch von Svea Windwehr von D64: Die Bündelung von Kompetenzen beim BfDI müsse kritisch gesehen werden. „Föderale Aufsichtsstrukturen schützen gegen Corporate Capture und antidemokratische Akteure.“ Spezialkompetenzen wie die zu Normierungsverfahren könnten hingegen an den BfDI abgegeben werden, um die Arbeit der deutschen Datenschutzaufsicht zu vereinfachen. Das müsse jedoch mit entsprechenden Ressourcen bei der Behörde einhergehen.

Wie eine echte Reform des Datenschutzes aussehen könnte

Dass auch die Datenschutzbehörden selbst Reformbedarf bei der Aufsicht sehen, machen Meike Kamp und Tobias Keber deutlich. Sie verweisen auf die Stuttgarter Impulse, in denen sie und ihre Länderkolleg:innen Vorschläge für eine effizientere Aufsicht skizziert haben. Zentrales Element: Die bislang nur informell agierende Datenschutzkonferenz, in der alle Behörden sich absprechen, solle institutionalisiert, mit einer Geschäftsstelle und bindenden Mehrheitsbeschlüssen versehen werden.

Zudem wollen die Behörden ein „Einer für alle“-Prinzip einzuführen: Wenn eine Behörde etwas geprüft hat, soll es eine andere bei vergleichbaren Themen nicht mehr tun. Dies geht weiter, als es das Reformpaket der Koalition vorschlägt. Zwar sieht dieses eine gesetzliche Verankerung der Datenschutzkonferenz vor, allerdings nur mit dem Ziel, dass dort „gemeinsame Standards“ erarbeitet werden.

Dass eine echte Reform des Datenschutzes möglich wäre, die sowohl für Vereinfachung sorgt als auch mehr Durchschlagskraft bringt, hatte kürzlich im Interview mit netzpolitik.org auch Datenschutz-Aktivist Max Schrems betont. Er schlägt vor, den risikobasierten Ansatz der DSGVO zu stärken und kleinere Unternehmen etwa bei Dokumentationspflichten zu entlasten. Gleichzeitig müsse die Durchsetzung des Datenschutzes gegenüber Konzernen und Datenhändlern gestärkt werden.

Die Frage sei allerdings, ob das politisch gewollt ist, so Tom Jenissen von der Digitalen Gesellschaft. Er erinnert daran, dass die Bundesregierung sich in aktuellen Verhandlungen des Rates der EU-Mitgliedstaaten über den Datenomnibus für weitreichende Rückschritte einsetzt. „Es bleibt zu hoffen, dass Europaparlament und Rat den populistischen Forderungen der deutschen Regierung nicht nachgeben.“



Source link

Beliebt

Die mobile Version verlassen