Zusammenfassend kann man sagen, das Datenschutzpaket der EU verursacht in den Ministerien in Bund und Ländern sehr, sehr viel Arbeit. Es wird eine Menge Power erfordern, um es in dem Zeitfenster umzusetzen. Auch Personal wird dazu notwendig sein. Aber gerade weil alles so aufwendig ist, sind wir an dem Thema schon länger dran. Ich wünsche mir nur, dass die Datenschutzverordnung, die Zusammenführung, nicht dazu führt, dass einzelne Bereiche komplizierter werden, als sie es
heutzutage in vielen Fällen schon sind. Denn an und für sich sollte es das Bemühen aller sein, dass wir Vereinfachungen herbeiführen, um das Datenschutzrecht so umsetzen zu können, dass es handelbar ist und nicht durch Verordnungen und neue Verordnungen verkompliziert wird. Das ist meine Befürchtung im Rahmen dieses gesamten Gesetzgebungsverfahrens.
Wenn ich einer Beratung mehrerer Juristen zu diesem Bereich zugehört habe, dann hält sich jedenfalls meine Vorstellung sehr in Grenzen, dass das Thema ein einfaches Thema für uns alle wird. Trotzdem müssen wir geltendes Recht umsetzen. Dazu wünsche ich uns allen viel Erfolg. Vielen Dank noch mal für die Möglichkeit der Ausführung hier. – Danke schön.
Herr Caffier, Herrn Ritter hier vorzuwerfen, er habe ein gestörtes Verhältnis zur inneren Sicherheit und zum Datenschutz, finde ich persönlich ehrverletzend. Ich finde auch, das ist kein guter parlamentarischer Stil.
(Unruhe vonseiten der Fraktion der CDU – Beifall vonseiten der Fraktion BÜNDNIS 90/DIE GRÜNEN – Michael Andrejewski, NPD: Er ist allgemein störend.)
Es ist ein absolut legitimes politisches Ziel, nicht unwidersprochen – nicht unwidersprochen! – den Ausbau unseres Landes zu einem schlüsselfertigen Überwachungsstaat hinzunehmen.
Unparlamentarisch ist es jedoch, Herr Caffier, politische Gegner als, ich sage jetzt mal, Volksgefährder, um nicht noch einen schlimmeren Begriff zu benutzen, hinzustellen.
(Jürgen Seidel, CDU: Das ist ja was ganz Neues. – Zurufe von Manfred Dachner, SPD, und Stefan Köster, NPD)
denn ohne Sicherheit gibt es keine Freiheit. Aber mit zu viel Überwachung und ohne Datenschutz wird die persönliche und öffentliche Freiheit erdrosselt.
Und, meine sehr geehrten Damen und Herren, es ist absolut legitim, dass es hier im Landtag auch entspre
Meine sehr geehrten Damen und Herren! Sehr geehrte Frau Präsidentin! „Jeder hat das Recht auf Schutz seiner personenbezogenen Daten“, heißt es nicht nur in unserer Landesverfassung in Artikel 6,
sondern auch in der EU-Grundrechtecharta und im Vertrag über die Arbeitsweise der Europäischen Union. Auch wenn Datenschutz als politisches Themenfeld eher ein politisches Mauerblümchendasein fristet – es ist leider so, das muss man traurigerweise feststellen, vor allem beim Politikspiel der Großen Koalition muss ich das feststellen –,
so ist der Datenschutz aber in unserer heutigen Gesellschaft sowohl für die öffentliche Verwaltung als auch für die privaten Unternehmen und die Zivilgesellschaft von immenser Bedeutung und nicht wegzudenken.
Mit der Verabschiedung der EU-Datenschutz-Grundverordnung am 14. April 2016 durch das Europäische Parlament wurde nun ein rechtlicher Rahmen geschaffen, der die rechtliche und organisatorische Stellung der Datenschutzbeauftragten im Land komplett umkrempelt. Wir haben auf dieses europäische Gesetzesvorhaben bereits bei der Beratung des Doppelhaushaltes 2016/2017 reagiert und gemeinsam mit der Fraktion DIE LINKE einen Änderungsantrag zum Einzelplan 01 in den Landtag eingebracht, der die Zielsetzung verfolgte, den Landesdatenschutzbeauftragten zukünftig so auszustatten, dass er die nun geltenden europarechtlichen Bestimmungen vollständig und umfassend erfüllen kann.
Doch was kommt nun konkret auf uns und auch auf den Landesbeauftragten für Datenschutz und Informationsfreiheit zu? Die EU-Datenschutz-Grundverordnung hebt den Datenschutzbeauftragten in eine Position einer unabhängig agierenden Aufsichtsbehörde mit weitreichenden Befugnissen und Aufgabenbereichen. Das ist ein Paradigmenwechsel. Die Stellung der Aufsichtsbehörden wird vor allem in Kapitel 6 der EU-Datenschutz-Grundverordnung geregelt. So ist in Artikel 52 geregelt, in welchem Umfang die Mitgliedsstaaten gewährleisten müssen, dass die zuständigen Aufsichtsbehörden ihre Unabhängigkeit erhalten und bewahren. Dies bedeutet konkret eine ausreichende personelle und sachliche Ausstattung, Weisungsungebundenheit und eine finanzielle Aufsicht, die nicht die Integrität und die unabhängige Arbeitsweise der Aufsichtsbehörden gefährdet. Eine finanzielle Ausstattung meinte ich natürlich.
In Artikel 57 der Verordnung werden die zukünftigen Aufgaben eben jener Aufsichtsbehörde festgehalten. Hier gibt es einen sehr entscheidenden Wandel zur bisherigen Stellung. Denn vorher agierte der Landesdatenschutzbeauftragte vor allem auf der Basis des Opportunitätsprinzips bei der Erfüllung der gesetzlichen Aufgaben. Jetzt aber erhalten die Datenschützer im Land durch die EUVerordnung eine Vielzahl von Pflichtaufgaben, zum Beispiel, die Anwendung der EU-Datenschutz-Grundver-
ordnung zu überwachen und durchzusetzen, den europaweiten Austausch mit anderen Datenschutzbehörden zu gewährleisten, die gesetzliche Beratungspflicht in Datenschutzfragen wahrzunehmen, ein professionelles Beschwerdemanagement zu etablieren oder die Zertifizierung und Akkreditierung von weiteren Behörden und Einrichtungen, die für den Datenschutz zuständig sein werden, vorzunehmen. Ich könnte diese Liste erheblich verlängern, denn der Aufgabenkatalog des Datenschutzbeauftragten nach Artikel 57 umfasst 22 Ziffern.
Meine sehr geehrten Damen und Herren, wir dürfen ebenso nicht vergessen, dass diese rechtlichen Rahmenbedingungen Neuland für die Datenschützer in Deutschland sind, das heißt, gerade in der vorgegebenen Übergangsphase von zwei Jahren werden die Datenschutzbeauftragten eine enorme Belastung erfahren, da viele Verfahrensweisen und Arbeitsschritte vollständig neu erarbeitet werden müssen. Da gibt es in einer Anlaufphase viel zu tun. Angesichts der Fülle der möglichen Rechtsfolgen ist dieser Übergangszeitraum extrem kurz bemessen.
Ab dem 25. Mai 2018 gilt die Verordnung überall in der Europäischen Union unmittelbar, und zwar ohne dass es einer innerstaatlichen Umsetzung bedarf. Ich meine – hier nehme ich die Warnung des Datenschutzbeauftragten sehr ernst –, dass wir uns ein weiteres Warten nicht leisten können. Die notwendigen Vorbereitungen und Kompetenzaneignungen müssen schon jetzt beginnen. Daher ist es wichtig, dass wir uns innerhalb der demokratischen Fraktionen trotz des bevorstehenden Wahlkampfes auf konkrete Handlungsperspektiven nach dem 4. September am besten schon heute hier verständigen.
Meine sehr geehrten Damen und Herren, wir haben keine Zeit zu verlieren. Zwei Jahre sind wenig, wenn ich mir die vielen Aufgaben anschaue. Ich muss Ihnen nicht in Erinnerung rufen, dass der gemeinsame Antrag der Fraktionen DIE LINKE und BÜNDNIS 90/DIE GRÜNEN zur personellen Aufstockung des Datenschutzbeauftragten im Rahmen der letzten Haushaltsdebatte keine Mehrheit in diesem Parlament gefunden hat. Schade, denn der Doppelhaushalt reicht ja bis zum Ende des Jahres 2017. Und wenn wir uns erst am Ende des Jahres 2017 darauf verständigen, dass wir den Datenschutzbeauftragten besser ausstatten, dann wird es noch knapper,
Also, meine sehr geehrten Damen und Herren, es besteht Handlungsbedarf. Wir müssen schnell vorankommen und ich bitte, dass wir uns hier interfraktionell möglichst bald verständigen. – Vielen Dank.
Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! In mehreren Debatten der vergangenen Tage war der Datenschutz bereits mehr oder weniger am Rande Bestandteil unserer Diskussionen. Meiner Meinung nach fristet er in diesem
Hause als Thema kein Mauerblümchendasein, Herr Kollege Saalfeld, denn heute widmen wir uns mit dem Datenschutz einem ganzen Tagesordnungspunkt, und zwar mit einem besonderen Blickwinkel auf Europa.
Das ist wichtig, denn wie bereits hier vorgetragen, wurde am 14. April 2016 vom EU-Parlament die DatenschutzGrundverordnung beschlossen und einen Monat später trat sie dann auch in Kraft. Damit wurde ein neues Kapitel des Datenschutzes in Deutschland, in Europa und sogar weltweit aufgeschlagen, und ja, es stimmt, wir müssen uns dringendst – dringendst – auch in diesem Hause mit diesem Thema demnächst befassen.
Gemeinsames Ziel der Mitgliedsstaaten war grundsätzlich eine weitere Harmonisierung des europäischen Datenschutzrechts auf hohem Niveau. Dass jedes Mitgliedsland seine eigene individuelle Vorstellung von Niveau oder von Standards oder auch von Datenschutz im Allgemeinen wie im Speziellen hat und hatte, ist nun wahrlich kein Geheimnis. Umso erfreulicher war der erzielte Durchbruch im April dieses Jahres nach mehr als vierjährigen Verhandlungen.
Sehr geehrte Damen und Herren, mit der DatenschutzGrundverordnung hat die EU eine Verordnung erlassen, mit der die Regeln für die Verarbeitung von personengebundenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der EU sichergestellt, andererseits soll der freie Datenverkehr innerhalb des Binnenmarktes gewährleistet werden. Neben diesem Harmonisierungseffekt soll die Verordnung für die durch die zunehmende Digitalisierung in unserer Gesellschaft gestiegenen Anforderungen und Notwendigkeiten geeignete Instrumente liefern. Das Recht auf informationelle Selbstbestimmung des Einzelnen ist und bleibt dabei Grundlage aller Bestrebungen.
Die Verordnung soll mit dem Marktortprinzip auch für Unternehmen gelten, die ihren Sitz außerhalb der EU haben, sich mit den Angeboten aber an EU-Bürger wenden. Betroffen hiervon wären unter anderem das USamerikanische Unternehmen Facebook Social Network oder die Suchmaschine Google, die dem Safe-HarborAbkommen unterlagen. So sollen beispielhaft – ich möchte jetzt doch einige Beispiele einfügen – folgende Betroffenenrechte eingeführt werden: Das ist das Recht des Vergessenwerdens als besondere Ausformung des Löschungsanspruchs, das ist das Recht auf Datenportabilität, das heißt der Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Das ist wichtig, wenn man von einem Anbieter zum anderen wechseln will. Das ist im Moment noch etwas schwierig. Weiterhin soll ein Widerspruchsrecht in der Datenverarbeitung zum Zweck des Direktmarketings eingeführt werden. Das gilt besonders für das Profiling – das ist auch immer noch eine sehr strittige Sache, inwieweit das durchgeführt werden darf und soll –, soweit es nur mit der Direktwerbung zusammenhängt.
Neu ist auch, dass mit dem One-Stop-Shop-Prinzip für Unternehmen, die in mehreren Staaten Niederlassungen unterhalten, nur noch die Aufsichtsbehörden am Hauptstandort zuständig sind. Gleichzeitig können die von der Datenverarbeitung Betroffenen bei Beschwerden die Aufsichtsbehörde am Wohnort bemühen. Bei Streitfällen – es ist davon auszugehen, dass es mehrere Streitfälle zwi
schen den an den Verfahren beteiligten Aufsichtsbehörden geben wird – können Kohärenzverfahren zu einer Einigung führen, Herr Minister Caffier sagte es bereits. Über die Klärung von Einzelfragen hinaus können mit der Befugnis des Europäischen Datenschutzausschusses durch die Aufsichtsbehörden auch gemeinsame Positionen, Stellungnahmen und Richtlinien bestimmt werden.
Um eine unabhängige Aufsicht zu gewährleisten, normiert die Verordnung, dass die Aufsichtsbehörden bei ihrer Aufgabenerfüllung frei von externem Einfluss arbeiten und mit ausreichenden technischen, personellen und finanziellen Ressourcen auszustatten sind. Für die effektive Durchsetzung ihrer Aufsichtspflichten werden umfangreichere Befugnisse für die Datenschutzaufsichtsbehörden vorgesehen. Zudem werden die Sanktionsmöglichkeiten ausgedehnt. Auch die Befugnisse der Behörden im öffentlichen Bereich werden ausgeweitet. So werden sie unter anderem gegenüber Behörden Anordnungen erlassen können. Auch der Bußgeldrahmen wird größer als bisher – völlig neu im deutschen Verwaltungsrecht.
Dies waren nur einige Beispiele, um den Änderungsbedarf ansatzweise aufzuzeigen. Die Regelungen zum technischen und organisatorischen Datenschutz lasse ich an dieser Stelle mal außen vor – das würde den Rahmen meiner Redezeit wesentlich sprengen –, wenngleich sich hier Vorschriften verbergen, die mit hohem Aufwand von Wirtschaftsunternehmen, Behörden und auch IT-Dienstleistern zu verwirklichen sein werden. Die DatenschutzGrundverordnung ist als europäische Verordnung unmittelbar geltendes Recht, direkt geltendes Recht. Als Grundverordnung enthält sie aber eine Vielzahl von Öffnungsklauseln, die Spielraum für nationales Recht der Mitgliedsstaaten schaffen. Auf den nationalen Gesetzgeber kommt daher ein erheblicher Umsetzungsbedarf zu. Darüber hinaus muss das gesamte Datenschutzrecht von Bund und Ländern auf seine Vereinbarkeit mit der Datenschutz-Grundverordnung geprüft und, soweit erforderlich, angepasst werden.
Hinsichtlich des Anpassungsbedarfs im deutschen Datenschutzrecht ist zwischen dem öffentlichen und dem nicht öffentlichen Bereich zu unterscheiden. Im öffentlichen Bereich werden die geltenden bereichsspezifischen Vorschriften aufgrund der Öffnungsklauseln zum überwiegenden Teil erhalten bleiben können. Durch den Gesetzgeber ist aber zu prüfen, in welchem Umfang eine Anpassung und Rechtsbereinigung notwendig sind. Im nicht öffentlichen Bereich bestehen demgegenüber deutlich geringere Spielräume für nationale Regelungen.
Von welchen Öffnungsklauseln die deutschen Gesetzgeber in Bund und Ländern Gebrauch machen werden, hängt auch davon ab, ob es sich um zwingend umzusetzende Regelungen handelt oder nicht. Zu den zwingend umzusetzenden Regelungen gehören beispielsweise die Vorschriften zur Einrichtung und näheren Ausgestaltung der Aufsichtsbehörden einschließlich des Rechtsschutzes gegen deren Entscheidung. Sie sehen, meine sehr verehrten Damen und Herren, EU-Recht ist kein leichtes Recht.
(Heiterkeit bei Heinz Müller, SPD: Weiß Gott nicht! – Wolf-Dieter Ringguth, CDU: Und manchmal auch so kniffelig.)
Wir sind froh, dass es eine deutsche Übersetzung gibt, und ich persönlich bin froh, dass es auch schon einige