Deshalb finde ich es wichtig und wirklich gut, dass wir mit dem Änderungsantrag der Koalition, der im Innenaus
schuss beschlossen wurde, festlegen, dass sich der Landtag eine Datenschutzordnung gibt, soweit er, seine Gremien, seine Mitglieder, die Fraktionen und deren Beschäftige sowie die Landtagsverwaltung, in der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten verarbeitet. Das war ein konkreter Vorschlag aus der Anhörung.
Die Erarbeitung dieser Datenschutzordnung wird einige Zeit in Anspruch nehmen. Aus diesem Grund haben wir uns darauf verständigt, dass sie idealerweise mit der Geschäftsordnung des nächsten Sächsischen Landtags, der im nächsten Jahr gewählt wird, in Kraft gesetzt werden soll. Möglich macht das eine Übergangsvorschrift, nach der das Sächsische Datenschutzgesetz für den parlamentarischen Bereich mit einer Übergangszeit bis Ende nächsten Jahres fortgilt.
Ein weiteres bestimmendes Thema bei der Anhörung war die Regelung zur Videoüberwachung in § 13 des Sächsischen Datenschutzdurchführungsgesetzes. Auch hier hat die Koalition die Kritikpunkte aus der Anhörung aufgegriffen. Nur kurz benannt, geht es um eine Trennung im Gesetz zwischen der Datenerhebung und der anschließenden Weiterverarbeitung personenbezogener Daten. Es geht um die Streichung der Verarbeitungsbefugnis zur Verfolgung reiner Ordnungswidrigkeiten. Wir halbieren zudem die Höchstspeicherfrist von zwei Monaten auf einen Monat. Ich denke, diesen Umstand werden wir hier im Landtag noch des Öfteren thematisieren, aber es ist zumindest ein wichtiger Schritt, den wir nachvollziehen.
Es gibt noch weitere Punkte. Nur kurz nennen möchte ich den Umstand, dass die Datenschutz-Grundverordnung in Sachsen auch auf nicht automatisierte oder in einem Dateiensystem erfolgende Verarbeitung angewendet wird. Beispielhafte Anwendungen sind etwa Handzettel, die Vorgesetzte über Mitarbeiter führen, wenn diese Zettel nicht in der Personalakte oder andernorts landen, oder Notizen, die in einem Unternehmen oder einer anderen Stelle angefertigt werden, um Anrufe von außen zu dokumentieren, ohne dass diese Zettel irgendwo Einzug halten.
Schließlich gehört zu den angesprochenen Punkten auch die Rolle des Datenschutzbeauftragten und seine Eigenschaft als eigenständige Staatsbehörde, der auch Personalhoheit gegenüber seinen Mitarbeitern haben sollte. Hier haben wir den Weg zur Verselbstständigung des Datenschutzbeauftragten konsequent nachgezeichnet. Ich finde auch, dass dazu die Frage der künftigen Stellenausstattung gehört. Das ist zwar nicht Gegenstand des hiesigen Gesetzgebungsverfahrens, aber klar ist, dass mit den Gesetzänderungen, die wir heute verabschieden, auch die Arbeitsfähigkeit des Sächsischen Datenschutzbeauftragten und seiner Behörde gewährleistet sein muss.
Warum das so ist, möchte ich beispielhaft an drei Bereichen untermauern. Zum einen sind das die vielen Schulungen und Beratungsleistungen, die Privatleuten und Unternehmen angeboten werden. Es geht auch um Aktivitäten im präventiven Bereich, beispielsweise Sensibilisie
rungsveranstaltungen an Schulen, die wir wohl alle für wichtig erachten. Aber auch sächsische Behörden profitieren von einer guten Ausstattung des Sächsischen Datenschutzbeauftragten, beispielsweise bei Schulungen unter anderem für behördliche Datenschutzbeauftragte, die an unterschiedlichen Weiterbildungsinstituten stattfinden.
Meine Fraktion und ich selbst halten es gerade wegen der hier und heute zu beschließenden Änderungen im Datenschutzrecht für dringender denn je, dass der Sächsische Datenschutzbeauftragte seine Beratungs- und Unterstützungstätigkeit weiterhin fortführen kann.
Meine Damen und Herren! Die heutige Debatte, die heutigen Beschlüsse markieren einen Meilenstein auch im sächsischen Datenschutzrecht. Es bleibt trotzdem eine Daueraufgabe für den Datenschutzbeauftragten, für die Politik, aber auch für die Verwaltung im Freistaat Sachsen, permanent an einem immer besseren Schutz für die Privatsphäre und auch die personenbezogenen Daten der sächsischen Bürgerinnen und Bürger zu arbeiten.
Zudem werden wir auch über den 25. Mai hinaus mit dem Thema Datenschutz und der Umsetzung der neuen europäischen Vorgaben zu tun haben. Zu nennen ist hier insbesondere die Umsetzung der Europäischen Datenschutzrichtlinie, welche den öffentlichen Bereich regelt, also den Umgang mit personenbezogenen Daten zur Gefahrenabwehr, zur Strafverfolgung oder Strafvollstreckung. Damit werden wir uns auch als Landesgesetzgeber in Kürze befassen, auch mit weiteren Gesetzen, die damit zusammenhängen, beispielsweise dem Sächsischen
Polizeigesetz. Wir dürfen auch mit weiteren Erweiterungen und Präzisierungen des europäischen Datenschutzrechts rechnen, die es dann auch auf gesetzlicher und vollziehender Ebene nachzuzeichnen gilt.
Meine Damen und Herren! Wir Sozialdemokraten halten dies für wichtig und freuen uns, heute zunächst diesen wichtigen Meilenstein zu beschließen. Wir hoffen auf breite Zustimmung hier im Sächsischen Landtag.
Herr Präsident! Meine sehr geehrten Damen und Herren! Die AfD-Fraktion wird sich bei der Abstimmung über das vorliegende Gesetz der Stimme enthalten.
Wir sehen uns außerstande, einem Gesetz zuzustimmen, dass zwar nach der Lage der Dinge erforderlich und unvermeidbar, zugleich aber eigentlich überflüssig ist. Das aktuelle Sächsische Datenschutzgesetz regelt den Datenschutz für die öffentlichen Stellen im Freistaat Sachsen umfassend, kompakt und in einer verständlichen Art und Weise. Es muss nun leider für die EUDatenschutz-Grundverordnung vom 27. April 2016
sichtliche Rechtslage wird nun durch eine unübersichtliche Rechtslage, bestehend aus einem unmittelbar geltenden EU-Gesetz und einem sächsischen Ergänzungsgesetz, ersetzt. Eine Verbesserung vermag man daran nicht zu erkennen.
Meine Damen und Herren! Die ab dem 25. Mai 2018 unmittelbar geltende EU-Datenschutz-Grundverordnung wirft die Frage auf, ob das aktuelle Regelungswerk der EU zur Wahrung des Prinzips der Subsidiarität ausreichend ist. Wie Sie alle wissen, bekennt sich die Europäische Union schon in der Präambel des EU-Vertrages zur Subsidiarität. Dort heißt es dann, man sei entschlossen, den Prozess der Schaffung einer immer engeren Union der Völker Europas, in der die Entscheidungen entsprechend dem Subsidiaritätsprinzip möglichst bürgernah getroffen werden, weiterzuführen.
Nach Artikel 5 Abs. 1 Satz 2 gelten für die Ausübung der Zuständigkeiten der Union die Grundsätze der Subsidiarität und der Verhältnismäßigkeit. Artikel 5 Abs. 3 stellt klar, was dies bedeutet, nämlich dass die Europäische Union in den Bereichen, die nicht ihre ausschließliche Zuständigkeit fallen, nur tätig wird, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedsstaaten weder auf zentraler noch auf regionaler oder lokaler Ebene ausreichend verwirklicht werden können, sondern vielmehr wegen ihres Umfangs oder ihrer Wirkungen auf Unionsebene besser zu verwirklichen sind.
Meine Damen und Herren! War das hier der Fall? Bedurfte es nach diesen Vorgaben wirklich einer Regelung durch die Europäische Union? Hätte man den Datenschutz nicht in der alleinigen Kompetenz der Mitgliedsstaaten belassen können?
Der Deutsche Bundesrat hatte daran jedenfalls seine Zweifel. Am 30.03.2012 erhob er Subsidiaritätsrüge gegen den Verordnungsvorschlag der Europäischen Kommission: Der Vorschlag lege nicht ausreichend dar, warum eine verbindliche Vollregelung des Datenschutzes auf europäischer Ebene erforderlich sein soll. Zudem führe er mit seinem umfassenden verbindlichen Geltungsanspruch zur nahezu vollständigen Verdrängung mitgliedsstaatlichen Datenschutzes und gehe weit über die Kompetenzzuweisung der Europäischen Union hinaus.
Neben dem Deutschen Bundesrat haben immerhin vier weitere nationale Parlamente damals Subsidiaritätsrügen erhoben: das belgische Abgeordnetenhaus, der französische Senat, die italienische Abgeordnetenkammer und der Schwedische Reichstag. Man mag dies bei 28 Mitgliedsstaaten und noch mehr nationalen Parlamentskammern für eine geringe Quote halten; ganz unbedeutend ist sie aber nicht. Bisweilen entdecken Mitgliedsstaaten das Thema Subsidiarität erst dann, wenn ihnen eine europäische Regelung in der Sache nicht gefällt.
Wie dem auch sei, Zweifel, ob es hier wirklich einer gesetzlichen Regelung durch die Europäische Union bedurft hätte, sind angebracht. Nun gibt es sie aber, und der Freistaat Sachsen hat die notwendigen Konsequenzen in Form einer überarbeiteten eigenen Gesetzgebung zu ziehen. Der Gesetzentwurf in Gestalt der Beschlussempfehlung des Innenausschusses stellt alles in allem sicher eine saubere handwerkliche Arbeit dar. Aus den dargelegten grundsätzlichen Erwägungen werden wir uns als AfDFraktion gleichwohl der Stimme enthalten.
Meine Damen und Herren! Für die Fraktion BÜNDNIS 90/DIE GRÜNEN Herr Abg. Lippmann. Sie haben das Wort.
Verehrter Herr Präsident! Werte Kolleginnen und Kollegen! Mit der DatenschutzGrundverordnung hat die Europäische Union zweifelsohne einen historischen Meilenstein für das Recht des Einzelnen auf Schutz seiner personenbezogenen Daten gesetzt.
Herr Beger, es ist eine müßige Diskussion, heute hier zu fragen, ob das nun sinnvoll ist oder nicht. Es gilt nun mal ab dem 25. Mai. Daher sind wir gut beraten, auch mit entsprechenden landesgesetzlichen Gesetzgebungsakten dort zu regeln, wo wir es können bzw. wo wir es müssen; denn ab dem 25. Mai dieses Jahres gilt für alle Bürgerinnen und Bürger der EU ein einheitlicher starker Datenschutzstandard mit durchsetzbarem Recht.
Viele der Regelungen, die die Datenschutz-Grundverordnung enthält, sind schon lange auf der Liste der Forderungen, die wir GRÜNE an ein modernes Datenschutzrecht auch in Deutschland gestellt haben. Mit der Datenschutz-Grundverordnung werden nunmehr Standards geschaffen, die in Deutschland oder in Sachsen wahrscheinlich niemals eine Mehrheit gefunden hätten. Hier sei beispielsweise die völlige Unabhängigkeit des Datenschutzbeauftragten genannt oder aber auch die Einwilligungslösung bei der Verwendung von Meldedaten.
Die Datenschutz-Grundverordnung und ihr baldiges Inkrafttreten haben noch etwas anderes bewirkt. Das Recht auf informationelle Selbstbestimmung, dessen Schutz den staatlichen Stellen vom Bundesverfassungsgericht mit dem berühmten Volkszählungsurteil von 1983 ins Grundbuch geschrieben wurde, erlebt momentan eine dringend notwendige Renaissance in Deutschland. Nachdem der Datenschutz jahrelang das ungeliebte Stiefkind etwa auf der Spielwiese der Sicherheitsbehörden war, sieht es nun anders aus. Das Recht auf Datenschutz wurde immer wieder von Mitgliedern dieses Hohen Hauses beispielsweise als „Täterschutz“ diffamiert, zum Beispiel, um von den eigenen Versäumnissen bei der Personalausstattung beispielsweise der Polizei abzulenken.
Mit dem Inkrafttreten der Datenschutz-Grundverordnung, mit den neuen Befugnissen der Aufsichtsbehörden, die
nunmehr die Datenverarbeitung beschränken oder auch verbieten können, tritt auch in Sachsen ein Systemwechsel ein, an dem diejenigen, die mit dem Datenschutz noch nicht so viel anfangen konnten oder diesen bewusst in der Vergangenheit diffamiert haben, schlicht nicht vorbeikommen.
Mit dem sogenannten Datenschutzdurchführungsgesetz und den Änderungen in zahlreichen anderen Gesetzen, die wir heute diskutieren, werden nun die erforderlichen Anpassungen der Landesgesetze vorgenommen und das Recht der Aufsichtsbehörden für den Datenschutz geregelt.
Man muss sich an diesem Gesetz nicht aufreiben. Mit Blick auf die von der Datenverarbeitung betroffenen Personen könnte man sich eigentlich zurücklehnen und abwarten, was passiert. Denn die Datenschutz
Grundverordnung, die die Rechte für die betroffenen Personen regelt, gilt ja nun unmittelbar. Gleichwohl lässt die Verordnung den Gesetzgebern der Länder noch Spielräume und gibt Regelungsprogramme vor, die umzusetzen sind.
So hat sich die Koalition – es ist heute schon einmal angesprochen worden – im Gesetzgebungsverfahren nun dafür entschieden, den Landtag, seine Gremien, seine Mitglieder, die Fraktionen und deren Beschäftigte aus dem Anwendungsbereich dieses Gesetzes herauszunehmen und sich stattdessen eine eigene Datenschutzordnung zu geben. Das kann man machen; andere Länder regeln es ähnlich. Aber es macht halt auch viel Arbeit, und ich bin mir sicher, auch unter direkter Geltung der DatenschutzGrundverordnung wäre dieses Hohe Haus arbeitsfähig geblieben.
Leider wurden indes andere Spielräume, die die Datenschutz-Grundverordnung den Gesetzgebern der Mitgliedsländer gelassen hat, nicht genutzt und die Chance auf ein modernes Datenschutzrecht wieder einmal verspielt. Darauf werde ich später bei der Einbringung unseres Änderungsantrags noch eingehen, und ich kann auch gleich ankündigen, dass wir GRÜNE uns, sollte der Änderungsantrag keine Mehrheit finden, bei diesem Gesetzentwurf enthalten werden.
Ansonsten ist der Gesetzentwurf, den wir heute diskutieren, solide und technisch in Ordnung. Das größte Manko weist er allerdings darin auf, was er nicht regelt, Herr Kollege Pallas; Sie haben es selber schon angesprochen. Denn zusammen mit der Datenschutz-Grundverordnung tritt auch die JI-Richtlinie in Kraft, die den Datenschutz im Bereich der Strafverfolgung regelt. Wie bei anderen EU-Richtlinien auch muss diese dann durch Landesrecht umgesetzt werden. Eine solche Regelung fehlt in Sachsen bisher.
Wenn wir heute diesen Gesetzentwurf beschließen, wissen wir nicht, was andere wichtige Bereiche des Datenschutzes in Sachsen bereithalten werden. Wir haben in den Verhandlungen zu diesem Gesetz im Innenausschuss erfahren, dass die weiteren Regelungen zur Verarbeitung personenbezogener Daten oder die Befugnisse des Daten
schutzbeauftragten im Bereich der Gefahrenabwehrbehörden, also der Polizei, des Verfassungsschutzes und der Strafgerichtsbarkeit, in einem weiteren Sächsischen Datenschutzgesetz, dem Datenschutzumsetzungsgesetz, geregelt werden sollen.
Auch das neue Polizeirecht, das einen Großteil der Datenverarbeitung im Bereich der polizeilichen Gefahrenabwehr regelt, verweist auf dieses Datenschutzumsetzungsgesetz. Wir Parlamentarier können heute also nur einen kleinen Ausschnitt der neuen Regelungen betrachten und daher auch keine Bezüge und Wechselbeziehungen zwischen den Gesetzen und Normen oder Fehlstellen beleuchten. Wir sind nur punktuell informiert, und das ist immer eine schlechte Grundlage für eine ordentliche gesetzgeberische Entscheidung. Ich finde es generell sehr unglücklich, dass insbesondere die Aufgaben des Sächsischen Datenschutzbeauftragten nun auf mehrere Gesetze verteilt werden. Wie sich die Bürgerinnen und Bürger dann noch in diesem Regelungsdickicht zurechtfinden sollen, wurde offenbar nicht bedacht. Andere Bundesländer regeln das dann doch wesentlich eleganter und anwenderfreundlich in einem Gesetz.
Zum Schluss noch ein Wort zum Sächsischen Datenschutzbeauftragten, dem ich an dieser Stelle herzlich für seine Expertise danke, da er diesem Hause auch bei diesem Gesetz immer zur Verfügung gestanden hat.
Jeder Mitgliedsstaat hat laut Verordnung sicherzustellen, dass ihm als Aufsichtsbehörde im Sinne der DatenschutzGrundverordnung die für seine Aufgaben und Befugnisse notwendigen personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen zur Verfügung zu stellen sind.
Wir wissen, dass im derzeit laufenden Haushaltsaufstellungsverfahren auch ein neuer Einzelplan für den Datenschutzbeauftragten erarbeitet wird, der eine dringend erforderliche Stellenaufstockung vorsieht. Wir wissen auch, dass der Sächsische Datenschutzbeauftragte von diesem Parlament in den vergangenen Jahren allerdings nie die personellen und finanziellen Mittel zur Verfügung gestellt bekam, die er eigentlich dafür gebraucht hätte. Ich warne an dieser Stelle daher die einschlägig bekannten Kollegen, insbesondere in der CDU, die immer noch nicht mit dem Datenschutz ihren Frieden gemacht haben, davor, die Ausstattung der Aufsichtsbehörde unter den Vorbehalt der Bereitstellung von Haushaltsmitteln zu stellen. Die Gängelung des Datenschutzbeauftragten, wie beispielsweise mit beliebten Diskussionen um einen Dienstsitz in Torgau zum Ausdruck gebracht wurde, muss in diesem Land endlich ein Ende gesetzt werden.
(Beifall bei den GRÜNEN und vereinzelt bei den LINKEN – Frank Kupfer; CDU: Was ist denn so schlimm daran?)
Denn, liebe Kolleginnen und Kollegen, wenn wir endlich begreifen, dass ein ordentlicher Datenschutz im
21. Jahrhundert nicht ein Hemmschuh, sondern ein Standortvorteil ist, werden wir in Sachsen vorankommen.