Ich eröffne die zweite Lesung zum Gesetzesantrag und schlage vor, die Einzelberatung der vier Artikel miteinander zu verbinden und höre hierzu keinen Widerspruch.
Ich rufe also auf die Überschrift und die Einleitung sowie die Artikel 1 bis 4 des Gesetzes auf Drucksache 18/1033.
Zunächst hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Frau Smoltczyk, angekündigt, von ihrem Rederecht gemäß § 22, Abs. 4 des Berliner Datenschutzgesetzes Gebrauch machen zu wollen. Ich erteile ihr daher das Wort – bitte sehr, Frau Smoltczyk!
Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Zunächst vielen Dank, dass ich heute hier zum Berliner Datenschutz-Anpassungs- und -Umsetzungsgesetz Stellung nehmen kann!
Seit vergangenem Freitag ist die Datenschutz-Grundverordnung europaweit anwendbares Recht. Dem bisherigen Flickenteppich im Datenschutzrecht soll damit ein Ende bereitet werden. Dies ist ein wirklich epochaler Schritt. Damit hat der europäische Gesetzgeber genau das getan, was viele Jahre lang vermisst wurde: Er hat sich mutig, mit großer Standhaftigkeit und gegen vehementen Druck von Lobbyisten für die Stärkung eines fundamentalen Bürgerrechts stark gemacht. Damit hat er ein kraftvolles Zeichen dafür gesetzt, dass die Europäische Union mehr als eine reine Wirtschaftsgemeinschaft ist, nämlich auch eine Gemeinschaft mit gemeinsamen ethischen Überzeugungen.
Bürgerinnen und Bürger sollten nicht schutzlos der global um sich greifenden Digitalisierung ausgeliefert sein. Deshalb sollten die Rechte der Menschen in Europa und damit einhergehend die europäischen Aufsichtsbehörden erheblich gestärkt werden. Dieser mutige Schritt ist übrigens zu einem erheblichen Teil dem Europäischen Parlament zu verdanken, also Ihren Kolleginnen und Kollegen.
Es ist schade, dass der Berliner Gesetzgeber diesen mutigen Schritt nicht aufgegriffen, sondern sich in die Reihe derjenigen eingereiht hat, die durch kleinteilige Sonderregelungen und das Überdehnen von Öffnungsklauseln letztlich das Ziel der europäischen Harmonisierung torpedieren. Was für eine Chance wäre es für die Hauptstadt Deutschlands gewesen, sich an die Spitze derer zu setzen, die die Rechte der Bürgerinnen und Bürger stärken wollen, die den Datenschutz als notwendige Ergänzung der Digitalisierung begreifen, nicht als deren Konkurrenz! Was für ein kraftvolles Zeichen hätte gesetzt werden können, die Smart City, die Berlin werden möchte, in einem umfassenden Sinne unter Einschluss eines bestmöglichen Schutzes der Privatheit der Bürgerinnen und Bürger zu begreifen!
Stattdessen enthält das Gesetz tiefgreifende Einschränkungen der Rechte der Menschen, die auch nicht durch Ausgleichsregelungen ausbalanciert werden, wie es die Datenschutz-Grundverordnung vorsieht. Meine wiederholten Hinweise auf die Europarechtswidrigkeit einer Reihe von Regelungen wurden leider bei der Gesetzesberatung in wesentlichen Punkten nicht berücksichtigt.
Lassen Sie mich dies an einigen Beispielen verdeutlichen: Die Informations- und Auskunftsrechte der Bürgerinnen und Bürger werden durch dieses Gesetz im Widerspruch zu den europäischen Bestimmungen an wesentlichen Stellen beschnitten. Auskunftsrechte sollen danach z. B. nicht nur dann eingeschränkt werden dürfen, wenn durch die Auskunftserteilung die Verfolgung von Straftaten oder die Sicherheit des Landes gefährdet wäre, wie es die europäischen Regelungen vorsehen. Vielmehr soll die Auskunftsverweigerung auch bei vergleichsweise unbedeutenden Bußgeldverfahren zulässig sein wie etwa beim Halten im Parkverbot. Ein Grundrecht beschränken zugunsten der Verfolgung von Ordnungswidrigkeiten – das hat mit den Vorgaben der europäischen Regelung nichts zu tun.
Dabei werden bestimmte Entscheidungen über eine Auskunftsverweigerung nicht einmal durch die unabhängige Datenschutzaufsicht überprüfbar sein, nämlich immer dann, wenn einzelne Senatsmitglieder eine Auskunft mit der Begründung verweigern, dass eine potenzielle Gefährdung des Bundes oder der Länder bestehe. Die Betroffenen werden in diesen Fällen keinerlei Möglichkeit haben, selbst oder wenigstens stellvertretend durch meine
Behörde zu kontrollieren, ob und zu welchen Zwecken ihre Daten verarbeitet werden und ob dies rechtmäßig erfolgt. Ja, mehr noch: Ganze Bereiche werden durch das Gesetz von einer unabhängigen datenschutzrechtlichen Kontrolle ausgenommen, wie etwa die Datenverarbeitung beim Rechnungshof. Sogar die Auskunftsrechte von Betroffenen gegenüber dem Rechnungshof werden komplett ausgeschlossen. Damit gibt es keinerlei Kontrollinstanz mehr für die dortige Datenverarbeitung, und auch der Rechtsweg wird für Betroffene geschlossen. Eine solche Privilegierung gibt es weder für den Bundesrechnungshof noch für die überwiegende Anzahl der Landesrechnungshöfe und ist in dieser Form europarechtswidrig.
Bei der Frage, welche Befugnisse uns als oberster unabhängiger Landesbehörde eingeräumt werden, geht es um die Sicherung eines Grundrechts, und man braucht dabei nicht zu befürchten, dass die Aufsichtsbehörde ihre Befugnisse überschreitet. Denn selbstverständlich ist jede Entscheidung meiner Behörde von den Gerichten überprüfbar – so sieht es unser Rechtsstaat vor. Daher ist es außerordentlich bedauerlich, dass das Gesetz meiner Behörde nur sehr eingeschränkte Sanktions- und Abhilfebefugnisse im öffentlichen Bereich überträgt. Es erscheint mir ein fatales Signal an die Bürgerinnen und Bürger zu sein, dass ausgerechnet bei der Beschränkung der Betroffenenrechte, dem Fundament der informationellen Selbstbestimmung, die Grenzen, die der europäische Gesetzgeber gesetzt hat, deutlich überschritten werden. Im Bereich der europäischen Richtlinie, die für Polizei und Justiz gilt, sind entgegen den europäischen Vorgaben keine wirksamen Befugnisse für meine Behörde vorgesehen. In der europäischen Richtlinie sind vielmehr Maßnahmen aufgeführt, die das Niveau für denkbare Befugnisse vorgeben. Der Berliner Gesetzgeber nimmt im hier vorliegenden Gesetz nichts davon auf – und das, obwohl, wie gesagt, jede Maßnahme der Datenschutzaufsicht gerichtlich überprüfbar ist.
Nicht vereinbar mit europäischem Recht ist auch eine Regelung zur sogenannten Datenschutzfolgeabschätzung, die immer dann durchzuführen ist, wenn bei Datenverarbeitungen hohe Risiken für betroffene Menschen bestehen. Nach der geplanten Berliner Regelung soll eine trotz aller Sicherungsmaßnahmen mit erheblichen Risiken behaftete Datenverarbeitung unter bestimmten Umständen bereits vor Ablauf der erforderlichen Prüfung zulässig sein, obwohl die europäische Regelung dies ausdrücklich nicht vorsieht.
Damit nimmt man sehenden Auges in Kauf, dass sich solche Risiken realisieren, obwohl die Verfahren mit hoher Wahrscheinlichkeit unzulässig sind. Wir wissen alle, dass sich in unserer digitalisierten Welt einmal erhobene Daten kaum jemals wieder einfangen lassen.
Es geht hier nicht um Peanuts, und es geht auch nicht nur um den Schutz der Grundrechte der Menschen gegenüber
den großen Internetkonzernen. Auch staatliche Einrichtungen verarbeiten eine Vielzahl teils sehr sensibler personenbezogener Daten, und auch in diesem Bereich ist ein fehlerhafter Umgang mit Daten nicht nur eine Gefahr für den Einzelnen, sondern für unsere Gesellschaft als Ganzes. Man denke nur an die Vorfälle der verweigerten Akkreditierungen von Journalistinnen und Journalisten beim G-20-Gipfel, die das in eindrücklicher Weise gezeigt haben! Es sollte nicht in Vergessenheit geraten, dass ein wesentlicher Motor für die Verabschiedung der Datenschutz-Grundverordnung gerade der von Edward Snowden aufgedeckte Datenmissbrauch durch öffentliche Stellen war.
Wie gesagt: Es hätte ein kraftvolles Zeichen gesetzt werden können. Vor der eigenen Tür zu kehren, erfordert Offenheit und Mut. Ich bedaure, dass nicht mehr Grundrechtsschutz gewagt werden soll. Das heute behandelte Gesetz ist verhaftet in der Vergangenheit. Diese moderne und fortschrittliche Stadt, die Berlinerinnen und Berliner hätten Besseres verdient. – Vielen Dank!
Vielen Dank! – In der Beratungsrunde der Fraktionen beginnt die Fraktion Die Linke und hier der Abgeordnete Schrader. – Bitte schön!
Frau Präsidentin! Meine Damen und Herren! Heute beschließen wir die Berliner Umsetzung der Europäischen Datenschutz-Grundverordnung. Wir haben am Ende beim Gesetzgebungsprozess noch einmal ordentlich auf die Tube gedrückt, und wenn unser Gesetz jetzt wegen der komplexen Materie und wegen verschiedener schwieriger Fragen, die wir noch zu klären hatten, gut eine Woche später in Kraft tritt als geplant, dann, glaube ich, gibt es gravierendere und vor allem auch teurere Verspätungen in Berlin; das können wir verschmerzen.
Mit der Datenschutz-Grundverordnung gibt es jetzt einheitliche Regelungen in Europa für die analoge und die digitale Welt, und es gibt auch stärkere Instrumente für die Aufsichtsbehörden in Berlin.
Viele Vereine, viele Blogger oder Unternehmen machen sich jetzt Sorgen, dass sie ihren eigenen Tätigkeiten nicht mehr nachgehen können. Ich sage Ihnen: Es gibt keinen Grund, in Panik zu verfallen, denn eines ist vielen gar nicht klar: Im Vergleich zum alten Datenschutzrecht in Deutschland und Berlin ändert sich materiell erst einmal gar nicht so unglaublich viel.
Das mit der Umsetzung, das ist ein bisschen so, wie mit unseren Kindern zu Hause. Diejenigen, die halt seit Jahren ihr Kinderzimmer nicht aufgeräumt haben, die haben
Bei den Sanktionen ist es ähnlich: Beraten und Unterstützen beim Aufräumen, das ist im Zweifel besser als Bestrafen. Das handhabe ich jedenfalls zu Hause so.
Nein! – Was die Datenschutz-Grundverordnung allerdings mit sich bringt, das ist ein Anlass für alle – und zwar unabhängig davon, ob es sich um eine Berliner Behörde, ein Start-up oder einen Handwerksbetrieb handelt –, sich einmal gründlich und ausführlich mit dem Thema Datenschutz zu beschäftigen. Allein das, glaube ich, ist ein großer Erfolg der DSGVO. Ich finde, wir brauchen wirklich einen Bewusstseinswandel dahin gehend, dass Datenschutz nicht ein lästiger Hemmschuh ist oder irgendein Orchideenthema, für das sich nur Spezialisten und Nerds interessieren, sondern ein Schutz unser aller Persönlichkeitsrechte, der in allen Lebensbereichen gelten muss.
Was das Umsetzungsgesetz in Berlin angeht: Wir haben die Anhörung im Datenschutzausschuss gemacht und sie ausgewertet. Wir haben als R2G noch an einigen kritischen Punkten Lösungen gefunden. Das sind insbesondere Punkte, an denen Zielkonflikte ins Spiel gekommen sind. Ich nenne einmal die zwei wichtigsten Fragen: Erstens: Wie weit dürfen Regeln des Datenschutzes in die Arbeit der Presse hineinwirken, ohne die Pressefreiheit einzuschränken, die wir natürlich schützen wollen? Zweitens: Inwieweit verhindern Auskunft- und Informationsrechte die unabhängige Arbeit des Rechnungshofs? – Wir haben uns nicht dazu verleiten lassen, das eine Grundrecht gegen das andere auszuspielen. Für mich heißt Pressefreiheit zum Beispiel nicht, dass bei Zeitungen, Verlagen und Rundfunk einfach überhaupt keine Datenschutzregeln gelten müssen. Nein, wir haben sehr präzise, eingegrenzte und ausgewogene Lösungen gefunden. Wir nehmen die Presseorgane aus der Datenschutzaufsicht heraus, aber eben nur dort, wo die rein journalistische Arbeit gemacht wird.
Ähnliches gilt für den Rechnungshof. Auch er bekommt keine Generalausnahme, sondern wir entbinden ihn von Informationspflichten, von Auskunftspflichten nur, soweit die unabhängige Prüfungstätigkeit betroffen ist. Deshalb glaube ich, diesem Anspruch, den Datenschutz im Sinne der DSGVO zu stärken und dabei andere Verfassungsziele zu berücksichtigen, sind wir ganz gut gerecht geworden.
Wenn Sie, geschätzte Frau Smoltczyk, auf einige Punkte hinweisen, bei denen wir noch schärfere Regelungen treffen oder noch weiter hätten gehen können, noch mehr Rechte für die Betroffenen und Ähnliches, dann ist das natürlich Ihre Aufgabe. Aber ich will hier auch deutlich machen, dass wir schon bei der Erarbeitung des Gesetzentwurfes, also nicht erst bei der Anhörung, sondern schon vorher, viele Ihrer Hinweise haben einfließen lassen. Dadurch ist das Gesetz besser geworden. Dafür möchte ich Ihnen an dieser Stelle noch einmal ganz herzlich danken – und Ihrer Behörde natürlich auch.
Am Ende ist insbesondere eines übrig geblieben, nämlich die Frage nach den Sanktionsmöglichkeiten bei Datenschutzverstößen von öffentlichen Stellen. Das ist in der Tat keine leicht zu lösende Aufgabe. Auch die Vorschläge, die im Raum standen – also zum Beispiel Bußgelder gegen eine öffentliche Stelle zu verhängen –, sind nicht unproblematisch. Bußgelder, die von einer öffentlichen Stelle an eine andere öffentliche Stelle gezahlt werden, sind nicht zwangsläufig ein wirksames Sanktionsmittel. Deswegen haben wir uns erst einmal dagegen entschieden. Ich habe es in der ersten Lesung gesagt und sage es jetzt auch noch einmal: Die Möglichkeit für die Datenschutzbeauftragte, einen Fachausschuss anzurufen und einen kritischen Vorgang im Ausschuss dem zuständigen Senatsmitglied vorzuhalten und den Senat dort direkt zur Rede zu stellen, das kann eine Stärkung für den Datenschutz sein – auch für die Datenschutzaufsicht. Wir haben in unserem Gesetz viele neue Regelungen getroffen, mit denen wir jetzt erst einmal in der Praxis Erfahrungen sammeln müssen. Diese gehört dazu. Aber gerade hier sage ich: Das ist eine Chance. Lasst uns das gemeinsam ausprobieren! Wenn wir es dann ausgewertet haben, müssen wir die Größe haben, gegebenenfalls zu sagen: An der einen Stelle haben wir nicht die ideale Lösung gefunden, da müssen wir das Gesetz vielleicht noch mal verbessern.
Noch eine Bemerkung zum Schluss: Ich plädiere dafür, dass wir über eine Änderung der Geschäftsordnung das Initiativrecht des Ausschusses für Datenschutz wieder einführen, sodass auch wir als Ausschuss, gegebenenfalls auf Anregung der Datenschutzbeauftragten, dem Plenum Beschlussempfehlungen vorlegen und dann auch auf das
Das kann ein zusätzlicher Baustein zur Stärkung des Datenschutzes sein. Diese Stärkung des Datenschutzes wollen wir als R2G. Dann müssen wir dafür eben auch die nötigen Instrumente schaffen. – Vielen Dank!
Sehr geehrte Frau Präsidentin! Liebe Kolleginnen und Kollegen! Liebe Gäste! Der Saal ist relativ leer.