Diese ungleiche Behandlung ist nicht unbedenklich, lässt sich aber mit einiger Mühe mit der Andersartigkeit von Behörden gegenüber privaten Unternehmen erklären. Für nicht akzeptabel halten wir jedoch die Regelung in derselben Vorschrift, wonach gegen Mitarbeiter der Behörden Geldbußen von bis zu 50.000 Euro verhängt werden können. Das gilt nach dem Ordnungswidrigkeitenrecht grundsätzlich nicht nur für vorsätzlich, sondern auch für fahrlässig begangene Verstöße. Es liegt auf der Hand, dass eine solche Androhung von Sanktionen zu einer erheblichen Verunsicherung und einer Verantwortungsscheu der Bediensteten führen kann. Im Grunde kann man angesichts der angedrohten Sanktionen nur jedem Bediensteten davon abraten, die Aufgabe eines Datenschutzbeauftragten zu übernehmen. Sofern Verstöße nicht nach dem allgemeinen Recht geahndet werden können, reichen dienstaufsichtliche Maßnahmen bei Verstößen vollkommen aus.
Werte Kolleginnen und Kollegen, wie sieht der Datenschutz im Alltag aus und was ändert sich? Bereits jetzt hat sich eine wahre Datenmanie entwickelt, einerseits im Sammeln von Daten, andererseits bei deren Schutz. Wer im Internet war und bestellt oder eine Reise bucht, stellt danach fest, dass er plötzlich ungefragt mit einer zielgerichteten Werbung überschüttet wird. Inzwischen wissen wir, die meisten scheinen sich daran gewöhnt zu haben, dass unser Such- und Bestellverhalten von quasi gehei
men Mächten, die wir nicht kennen, ausgewertet wird und von dem Nutzer Profile erstellt werden, wie dies ansonsten nur aus Kriminalfällen bei der Auswertung von Spuren, die auf die Persönlichkeit des Täters Rückschlüsse zulassen, bekannt ist. Daneben findet ein schwunghafter Handel mit Daten statt, an dem sich auch öffentliche Stellen beteiligen. In der ganzen Diskussion über die Datenschutz-Grundverordnung und den Datenschutz habe ich kein Wort dazu vernommen, ob es einen Datenhandel eigentlich geben muss. Wir wissen, dass damit Millionen verdient werden, und damit ist die Frage wohl beantwortet. Dass der Datenhandel das Wohlergehen der Menschen befördert hätte, habe ich bislang als Argument nicht gehört.
Bereits im letzten Bundestagswahlkampf hat die digitale Auswertung großer Datenmengen nach amerikanischem Vorbild eine große Rolle gespielt. Mit den Mitteln der modernen Datenanalyse ist es möglich, Wähler nach bestimmten Merkmalen aufzuteilen und so gezielt potenzielle parteiaffine Wähler zu erreichen. Dass hier mit der Digitalisierung der Politik das Risiko von Manipulationen steigt, liegt auf der Hand. Ich sehe nicht, dass sich hier mit der Datenschutz-Grundverordnung und dem ergänzenden nationalen Recht irgendetwas grundsätzlich geändert hätte.
Ich erinnere an die kürzlich publik gewordene Weitergabe massenhafter Daten durch Facebook und die Presseerklärung der neuen Bundesjustizministerin dazu nach dem Gespräch mit einem Vertreter von Facebook, den sie zum Rapport geladen hatte. Dabei ging es darum, die von Facebook genutzten Algorithmen in Erfahrung zu bringen. Als Ergebnis präsentierte die Ministerin in ihrer erkennbaren Hilflosigkeit die Antwort des FacebookVertreters, man habe Verständnis für diese Nachfrage, als Erfolg. Natürlich wird Facebook diese Algorithmen und damit einen riesigen Teil des eigenen Geschäftsmodells nicht preisgeben.
Wie sieht es demgegenüber im nicht digitalen Alltag bei uns aus? Da hat sich der Datenschutz längst verselbstständigt und ist gelegentlich zur Zauberformel für die Verweigerung unbedenklicher Auskünfte geworden.
Meine Damen und Herren, ein wesentlicher Kritikpunkt sind die den Unternehmen nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung auferlegten erhöhten Dokumentationspflichten. Die Betriebe sind verpflichtet, sämtliche datenmäßigen Verarbeitungsprozesse in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Artikel 30 Datenschutz-Grundverordnung sieht zwar eine Ausnahme für Betriebe unter 250 Mitarbeitern vor, dies allerdings nur, wenn eine Reihe von Kriterien erfüllt sind, unter anderem darf die Verarbeitung keine Risiken für die Rechte und Freiheiten der Betroffen bergen und die Verarbeitung darf nur gelegentlich erfolgen. Damit fällt praktisch kein Betrieb oder Verein unter diese Ausnahme. Bereits jede regelmäßige Gehaltsabrechnung verhindert dies.
Ein Verarbeitungsprozess muss so genau beschrieben sein, dass damit die Einhaltung des Gesetzes nachgewiesen werden kann. Für ein Bewerberverfahren, für eine Stellenbesetzung können Sie sich das nur mit reichlich Fantasie vorstellen. Einen Ordner mit der Ausschreibung und den Bewerbungen reicht jetzt natürlich nicht mehr, das Verfahren muss dezidiert beschrieben, die damit befassten Personen, die Empfänger, zum Beispiel Geschäftsführung, Betriebsrat, Löschungsfrist und stets auch die allgemeinen technischen organisatorischen Maßnahmen, kurz TOM genannt, müssen im Einzelnen benannt werden.
Von besonderer Bedeutung ist die sogenannte Datenschutz-Folgenabschätzung nach Artikel 35 DatenschutzGrundverordnung. Sie ist – kurz gesagt – durchzuführen, wenn die Datenverarbeitung für die betroffene Person ein hohes Risiko zur Folge hat. Dazu heißt es in einem Kurzpapier des Landeszentrums für Datenschutz Schleswig-Holstein, ich zitiere: „Ob eine DatenschutzFolgenabschätzung durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge (,Schwellenwertanalyse‘). Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine DatenschutzFolgenabschätzung vorzunehmen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine Datenschutz-Folgenabschätzung nicht zwingend erforderlich.“ Nun kommt ein ganz entscheidender Satz, der die Flucht vor der Bürokratie wirksam verhindert, es heißt nämlich: „In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der Datenschutz-Folgenabschätzung mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.“
Artikel 37 Datenschutz-Grundverordnung regelt die Benennung eines Datenschutzbeauftragten. Ergänzend dazu regelt Paragraf 38 des Bundesdatenschutzgesetzes, dass ein Datenschutzbeauftragter bereits dann zu benennen ist, wenn mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Welche Anforderungen gelten danach für einen Handwerksbetrieb? Er muss je nach Größe einen Datenschutzbeauftragten bestellen. Ferner muss er ein Verzeichnis von Bearbeitungstätigkeiten führen und er muss eine Datenschutzverpflichtung der Beschäftigten durchführen. Ferner obliegen ihm Informations- und Auskunftspflichten gegenüber den Kunden und Mitarbeitern.
Ein kleiner Verein muss in der Regel wohl keinen Datenschutzbeauftragten benennen. Er muss aber ebenfalls ein Verzeichnis von Bearbeitungstätigkeiten führen und er muss Daten löschen, wenn dafür keine gesetzliche Grundlage mehr besteht, so etwa nach Austritt eines Mitgliedes aus dem Verein. Ob das nun sinnvoll ist oder nicht, spielt keine Rolle.
Spannend wird es in der Arztpraxis. Auch hier bedarf es vor jeglicher Datenverarbeitung grundsätzlich einer schriftlichen Einwilligung des Patienten und selbstverständlich ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Zudem müssen die Daten, da es sich um sensible Daten handelt, besonders gesichert sein. Will der Arzt an Termine erinnern, soll er sich hierzu eine von der Einwilligung zur normalen Verarbeitung der Praxisdaten getrennte Einwilligung geben lassen. Die Frage, ob ein Datenschutz
beauftragter zu benennen ist, ist umstritten und hängt von verschiedenen wiederum umstritten Umständen ab, …
… unter anderem davon, ob eine umfangreiche Verarbeitung von besonderen Kategorien von Daten – hier sensible Gesundheitsdaten – anzunehmen ist. Im Ergebnis wird davon auszugehen sein, dass auf jeden Fall in Gemeinschaftspraxen und in Arztpraxen mit zehn oder mehr Beschäftigten ein Datenschutzbeauftragter zu benennen ist und es wird dann auch eine Datenschutz-Folgenabschätzung durchzuführen sein.
Unsere Betriebe und vor allem auch die Ärzte klagen zu Recht über die Belastung mit Bürokratie, die sie von ihren eigentlichen Aufgaben abhält. Mit dem neuen Datenrecht wird auf diese Bürokratie ein weiterer dicker Brocken draufgelegt.
Es ist abzusehen, dass die Umsetzung des neuen Datenrechts einen erheblichen Aufwand erfordert und erhebliche Kosten erzeugt. Viele der Betroffenen sind damit überfordert und werden ohne einen Datenschutzexperten beziehungsweise einen externen Dienstleister nicht auskommen.
Meine Damen und Herren Abgeordnete, sprechen Sie mit Ihrem Arzt und Ihrem Handwerker und klären Sie diese auf, was auf sie zukommt und wer dafür verantwortlich ist!
Nun noch einen Auszug aus dem Leitfaden des Bayerischen Landesamtes für den Datenschutz in den Krankenhäusern hinsichtlich der erforderlichen DatenschutzFolgenabschätzung, ich zitiere: Für die DSFA „muss zunächst festgelegt werden, mit welcher Methode eine Einschätzung der Risiken getroffen wird. Die Ergebnisse und Einschätzungen sowie die ergriffenen Maßnahmen sollten sodann dokumentiert werden, da nur so eine Nachweisbarkeit erreicht werden kann. … Nach derzeitigem Stand ist davon auszugehen, dass die Krankhäuser zukünftig für einige ihrer Verfahren zur Verarbeitung personenbezogener medizinischer Daten grundsätzlich eine Datenschutz-Folgenabschätzung durchführen müssen. Der große Unterschied zwischen der DatenschutzFolgenabschätzung und den auch sonst zu ergreifenden Maßnahmen liegt in dem höheren Detaillierungsgrad und der Systematik der Risikobestimmung sowie der Überprüfung der Wirksamkeit der Risikoeindämmung. Alle Schritte sowie Ergebnisse einer Datenschutz-Folgenabschätzung sollten daher dokumentiert werden“.
Fazit: Da, wo es eigentlich kneift, wo wir ausgespäht werden, mit oder ohne Einwilligung, über deren Tragweite wir oft ahnungslos bleiben oder die wir über Cookies abgeben, um im Internet weiterzukommen, da, wo es um viel Geld geht, wird sich praktisch nichts ändern. Aber dort, wo der Arzt, der Handwerker, die Vereinsmitglieder in schlichter Rechtstreue mit den Daten ihrer Patienten oder Kunden vernünftig und verantwortungsbewusst umgegangen sind, da, wo der Missbrauch nicht zu Hause
ist, da wird jetzt ein klebriges Netz einer überbordenden Bürokratie gespannt, das mehr schadet als nützt.
Die AfD wird deshalb den vorliegenden Entwurf ablehnen. Den weiteren Anpassungsgesetzen wird sie, soweit es allein um notwendige datenschutzrechtliche Anpassungen geht, zustimmen, im Übrigen wird sie sich enthalten.
Noch einige wenige Worte zum Änderungsantrag der BMV. Das, was unbedingt notwendig ist, wurde schon gesagt, dem wird auch von uns zugestimmt. Aber das, was mit diesem Änderungsantrag beabsichtigt wird oder jedenfalls die Zielrichtungen, die geprüft werden sollen, nämlich eine selbstständige Behörde wird abgelehnt, ist überflüssig. Wir sind ein kleines Land. Eine selbstständige Behörde kostet zusätzlich Geld und wer sich an die Vorstellung dieses Wunsches von Herrn Müller in den Ausschüssen erinnert, wo er die interessanten Beispiele der Fahrtkostenabrechnungen und der Personalbedarfsentscheidungen vorgebracht hat, die nicht sonderlich überzeugend sind, weiß, worum es geht. Es wird viel Geld kosten, es bedeutet auch Stellenanhebungen und es hat letztlich nichts mit Unabhängigkeit zu tun.
Unabhängigkeit ist nicht eine Frage, wo man angegliedert ist, angedockt ist, so wurde ja davon gesprochen, sondern ist eine Frage der Köpfe. Es ist eine Frage der inneren Unabhängigkeit, ob man sie hat oder nicht.
Ich habe schon im Ausschuss den Vergleich mit der Justiz gezogen. Die Justiz soll nun wahrlich unabhängig sein. Trotzdem ist sie an ein Ministerium angegliedert und dort wird über das Geld bestimmt, über das Personal und die Stellenbesetzungen. Das läuft vielleicht nicht immer ganz glücklich, wir hatten ja kürzlich so einen Fall, aber jedenfalls die Unabhängigkeit der Gerichte und der Richter wird nicht davon tangiert, dass sie verwaltungsmäßig einem Ministerium angedockt sind. Deshalb befürworten wir diesen Antrag nicht. – Vielen Dank.
Herr Abgeordneter Förster, ich sehe noch das Bedürfnis des Abgeordneten Herrn Dachner, eine Frage zu stellen. Sind Sie damit einverstanden?
Herr Förster, Sie haben ein äußerst düsteres Bild der europäischen DatenschutzGrundverordnung hier gezeichnet. Stimmen Sie mir zu, dass auf Deutschland nur 20 Prozent Neuregelung zukommen, denn 80 Prozent gab es schon in unseren sehr verschärften Datenschutzregelungen?
diese Antwort für alle sehr verblüffend war. Die lässt auch die Frage offen, wie notwendig das war, was wir schon hatten, wenn es im Grunde, so hieß es wörtlich, keinen interessiert hat.
Sehr geehrte Frau Präsidentin! Meine sehr geehrten Damen und Herren! Einen die Landesverfassung ändernden Gesetzentwurf hat ein Parlament nicht so häufig zur Lesung und Schlussabstimmung vorliegen, deshalb sind Verfassungsänderungen immer ganz besonders bedeutsam. Diesmal hat die Änderung nur ein, dafür aber ein sehr wichtiges Thema: den Datenschutz.
Wir erinnern uns alle an die Erste Lesung. Da denkt man doch gemeinhin, Datenschutz ist eher ein trockenes und sperriges Thema. Am Beispiel der Ersten Lesung sehen wir aber, wie schnell der Datenschutz in der heutigen Zeit Bedeutung erlangen kann. Datenschutz geht uns grundsätzlich alle an. Die Datenschutz-Grundverordnung hat uns das noch mal ganz bewusst vor Augen geführt. Jeder Verein, jedes Unternehmen, jede Behörde ist gefordert, denn Daten, so hat es vor Kurzem der Städte- und Gemeindebund gesagt, sind „das Öl des 21. Jahrhunderts“.
Wenn man sich mit den Fakten beschäftigt, dann sieht das auch fast so aus. Im Jahr 2017 hat sich die Zahl der gestohlenen Datensätze weltweit auf über 2,6 Milliarden gegenüber dem Jahr 2016 gesteigert. Das ist fast eine Verdoppelung. Dies ist das Ergebnis einer kürzlich veröffentlichen Studie des niederländischen Chipkarten- und IT-Sicherheitsanbieters Gemalto. Auch wenn wir uns im Alltag nicht so darüber bewusst sind, Daten und Datensicherheit bestimmen schon heute uns und die Nachrichten. Die Facebook-Datenlücke, die gehackten YahooKonten, die befürchteten Hackerangriffe aus Russland oder ganz profan: Wer hat nicht in den letzten Wochen Facebook-Nachrichten von Freunden und Bekannten erhalten, die darauf hinweisen, dass sie gehackt wurden und keine YouTube-Videos verschickt haben?
All diese Aktionen haben nur ein Ziel – unsere Daten. Daten und der vernünftige Umgang mit ihnen sind überaus wichtig, deshalb der wichtige Status, den der Datenschutz durch die Datenschutz-Grundverordnung in ganz Europa erhält und deshalb auch die wichtige Stellung des Datenschutzbeauftragten, die dieser durch die Verfassungsänderung und die weiteren Gesetzesänderungen erhält.
Meine sehr geehrten Damen und Herren, der Ausschuss hatte eine sehr interessante Anhörung zur DatenschutzGrundverordnung. Das Ministerium hatte in Zusammenarbeit mit dem Datenschutzbeauftragten – das hatte dieser in der Anhörung auch ausdrücklich so gesagt – einen guten Gesetzentwurf erarbeitet. In der Anhörung gab es in einigen wenigen Punkten noch Änderungsbedarf, dem wir durch die Änderungsanträge unmittelbar nachgekommen sind.