Dann gibt es einen fünften Punkt, der unmittelbar etwas mit der Verunsicherung zu tun hat, weil es natürlich auch um Geld geht. Wenn da 20 Millionen durch die Orte getrieben werden, durch die Organisationen diskutiert werden, dann hat das auch was damit zu tun, dass wir als Unionsfraktion sagen, wir sind ein kleines überschaubares Land mit kleinen
mittelständigen Strukturen, deswegen sagen wir, dass künftig nur bei massiven und vorsätzlichen Verstößen diese maximale Sanktion von 4 Prozent des Jahresumsatzes zulässig ist. Ich glaube, das ist ein maßvolles Angebot, dem Sie als Regierung durchaus folgen könnten.
Dann gibt es einen sechsten und letzten Forderungspunkt, der meiner Meinung nach auch gerechtfertigt ist, nämlich dass eine einheitliche Rechtsanwendung zugunsten der Betroffenen im gesamten europäischen Raum möglich sein muss. Das bedeutet – und damit lege ich den Finger in die Wunde bei der Fragestellung –, es gibt eine europäische Richtlinie, aber sie wird in jedem einzelnen Land und nach dem Interview, das ich heute gelesen habe, in manchen Bundesländern offensichtlich noch mal ganz besonders scharf ausgelegt. Wenn wir eine einheitliche Rechtsanwendung und ein Level Playing Field in Europa wollen, dann müssen wir auch dafür Sorge tragen, dass, wenn eine Datenschutzbehörde in einem Bundesland oder in einem anderen Land einen Prozess genehmigt, der auch von einer anderen Datenschutzbehörde anerkannt wird. Und das ist eine Forderung, die hat eine ganz klare Rechtssystematik und das hat eine ganz klare Bedeutung: Datenschutzrecht darf nicht zum Innovationshemmnis und Standortnachteil werden.
Ich glaube, dass wir damit auch dem Grundanliegen dessen, warum wir Datenschutzrecht in Europa so intensiv diskutieren, nämlich den Googles und Facebooks Einhalt zu gebieten, Rechnung tragen und letztlich natürlich auch eine Rechtsvorschrift schaffen, die das praxistauglich anpasst. Und jetzt nehmen Sie es uns nicht übel, aber es ist der Job der Landesregierung, gemeinsam mit der Bundesregierung und anderen Landesregierungen darüber zu sprechen, wie diese Anpassungen bundeseinheitlich geregelt werden können. Das können wir nicht aus der Rolle der Opposition. Genau deswegen wollen wir ja im nächsten Jahr wieder die Regierung übernehmen, damit so etwas schneller und aktiver passiert und nicht erst von Ihnen ausgesessen wird.
Und das führt mich zum letzten Punkt: Ich glaube, dass es klug ist, dass wir im gemeinsamen Dialog – und wenn er vielleicht heute noch kommt, mit dem Landesdatenschutzbeauftragten – darüber reden, dass wir mit Augenmaß und mit Vernunft vorgehen, dass wir ein Signal in die Thüringer Vereine, Unternehmen, zu den Bürgern senden: Wir werden damit maßvoll umgehen. Dass wir ein Signal aussenden: Wir wollen das mit euch im Dialog gestalten, personenbezogene Daten vernünftig zu schützen. Und dass wir sagen: Damit ihr keine Sorge und Gefahr habt und damit ihr nicht Opfer der Abmahnindustrie
werdet und damit ihr nicht irgendwie teure Gebühren bezahlt für diejenigen, die euch jetzt Scharlatanleistungen anbieten, lasst uns doch eine gemeinsame Schonfrist bis zum 31.12.2018 anbieten.
Wenn uns das alles gelingt, dann, glaube ich, können wir dem Geist eines niveauvollen Datenschutzes in Europa Ausdruck verleihen. Wenn uns das nicht gelingt und wir weiter so machen mit Interviews wie diesem, dann, glaube ich, gefährden wir diesen wundervollen Standort Thüringen sowohl wirtschaftlich, aber vor allen Dingen auch in seinem ehrenamtlichen Vereinsleben, und das ist genau das, was wir hier im Raum verhindern sollten. Herzlichen Dank.
Herr Präsident, verehrte Kolleginnen und Kollegen! Herr Dr. Voigt, nachdem Sie hier Angst und Schrecken verbreitet haben, wollen wir doch mal wieder zur Realität zurückkommen.
Ich fange mal mit den Sanktionen an: Es ist ab morgen geltendes Recht in der Datenschutz-Grundverordnung, dass natürlich alle Sanktionen verhältnismäßig sein müssen, dass natürlich mildernde Umstände zu berücksichtigen sind, dass das natürlich von der Schwere des Verstoßes und des verletzten Rechtsguts abhängt, wie hoch da ein Bußgeld überhaupt verhängt werden kann. All das steht in Artikel 83 der Datenschutz-Grundverordnung, die unmittelbar geltendes Recht wird. Deswegen muss man da gar nichts ändern, um solche Abwägungskriterien einzuführen. Im Übrigen sind natürlich sämtliche Bußgelder, die künftig verhängt werden sollten, immer gerichtlich überprüfbar. Von daher sehe ich nicht, wo das Problem jetzt hier gesehen wird.
Interessant finde ich, dass Sie zweimal darauf hingewiesen haben, Herr Dr. Voigt, dass Sie jetzt die ganze Verordnung oder das ganze Gesetz, den Vollzug, erst mal bis zum 31.12.2018 aussetzen wollen. In Ihrem Antrag steht davon nichts, denn da sind Sie wahrscheinlich dann auch ein bisschen schwach geworden, als dann die Druckfassung hergestellt wurde. Aber Sie haben das jetzt hier zweimal gesagt.
Und dann wird immer wieder gesagt – und da möchte ich mich hier auch mal gezielt an alle Vereinsvertreterinnen und Vereinsvertreter wenden, die hier zuschauen: Jetzt kommt die große Keule, ihr müsst ganz schreckliche Dinge tun, ihr müsst Verfahrensverzeichnisse führen.
Entschuldigung, aber das findet keinerlei Stütze in irgendwelchen Regelungen. Und wenn Sie selbst in Ihren Antrag reinschreiben, dass die Verfahrensverzeichnisse künftig bei Betrieben oder bei Organisationen unter 50 Mitarbeitern ausgesetzt werden, dann muss ich Sie darauf hinweisen, dass wir im Moment eine Regelung haben, die vorsieht, dass überhaupt erst ab 250 Mitarbeitern ein Verfahrensverzeichnis zu führen ist –
250 Mitarbeiter wird ja wohl kein Verein hier aufbringen, selbst ein großer Fußballverein vielleicht nicht – und dass bei einer geringeren Anzahl von Mitarbeitern das nur dann der Fall sein soll, wenn es zum Beispiel um sensible Daten geht.
Sie haben jetzt Arztpraxen genannt, die man entlasten müsste, weil sie sonst die Notfalldaten nicht weitergeben könnten. Also ich bitte Sie! Wenn jemand zum Arzt kommt und behandelt werden möchte, dann ist es doch klar, dass er eine Einwilligungserklärung, die er künftig vielleicht sicherheitshalber mal zu geben hat, dass alles, was an ärztlicher Notwendigkeit an Datenweitergabe besteht,
natürlich erfasst ist; das will doch keiner ernsthaft bestreiten. Sie verbreiten hier Schauergeschichten, die schon im Gesetz selbst – also in der Datenschutz-Grundverordnung und im Umsetzungsgesetz – erst recht nicht – irgendwie überhaupt hier jemals Gesetz werden. Deswegen ist Ihr Antrag auch so einseitig und verkennt auch, was die Datenschutz-Grundverordnung eigentlich möchte und was die Umsetzung im nationalen Recht an positiven Dingen bedeutet.
Ich möchte Ihnen allen einfach – auch den Zuschauern draußen und am Livestream und auf der Zuschauertribüne – mal sagen, für welche fünf Punkte ich es zum Beispiel besonders wichtig und gut finde, dass die klargestellt und künftig verbessert werden – im Sinne eines risikogerechten Datenschutzes für Bürgerinnen und Bürger. Dann entscheiden Sie bitte selbst, ob es für kleine und mittelständische Unternehmen oder Vereine unzumutbar ist, auf solche Sachen Rücksicht zu nehmen.
Da ist zunächst mal das Recht auf Vergessen. Wir haben bisher nur Löschungsrechte. Löschungsrechte heißt, dass ein Datum irgendwann mal gelöscht wird, das heißt aber nicht, dass ich sicher sein kann, dass die nicht irgendwo weiter herumvagabundieren, nämlich dass Daten, die irgendwann mal weitergegeben worden sind, wenn die bei demjenigen, der sie erhoben hat, gelöscht worden sind, woanders trotzdem noch da sind. Das Recht auf Vergessenwerden ist sehr wichtig, denn das stellt sicher, dass Unternehmen, die Daten öffentlich gemacht haben, so ein Löschungsverlangen sogar an Dritte weiterleiten müssen, denen sie Daten weitergegeben haben. Dann ist tatsächlich ihre Löschung ein Recht auf Vergessen, weil sichergestellt wird, dass dann eben auch nach Möglichkeit sämtliche Kopien der Daten gelöscht werden und Personen tatsächlich vergessen werden. Das ist eine sinnvolle Erweiterung des Löschungsrechts und eine sinnvolle Grundlage für die Durchsetzung des Selbstbestimmungsrechts über eigene Daten.
Auch ein Widerspruch gegen die Verarbeitung der eigenen Daten ist möglich – und das künftig auch automatisch. Wir haben in vielen Browsern – das müssten Sie auch wissen, Herr Dr. Voigt – die Einstellung „Do Not Track“, also dass es künftig verboten ist, ohne ausdrückliche Einwilligung Daten zu sammeln, wonach Nutzerdaten zur Profilerstellung genutzt und mit anderen Daten verknüpft werden können.
Als Zweites – das Einwilligungserfordernis, informierte Einwilligung als tragende Säule jeder Datenverarbeitung: Sie werden künftig als Bürgerinnen und Bürger, als Datenverursacher, als Dateninhaber, als Persönlichkeitsrechtsinhaber ausdrücklich gefragt, ob Sie mit einer Verarbeitung Ihrer Daten einverstanden sind. Sie können diese Einwilligung nicht mehr einfach nur konkludent erteilen, die Einwilligung der betroffenen Person muss informiert, freiwillig und eindeutig durch eine Zustimmungshandlung erklärt werden. Was ist daran so schlimm?
Sie – und wir alle – bekommen jetzt gerade ziemlich viel Post von irgendwelchen E-Mail-Versendern, bei denen wir gelistet sind. Das ist ganz interessant, man erfährt auf diese Weise mal, wo man überall gespeichert ist. Es ist doch schön, mal gefragt zu werden, ob man das ausdrücklich möchte. Dann gibt es vorbereitete Erklärungen, die dürfen auch formalisiert sein und die kann man anklicken. Dann bin ich informiert, aber es ist eine zustimmende Handlung erforderlich und ich kann auch – darauf werde ich hingewiesen – diese Einwilligung jederzeit widerrufen. Was ist daran so schlimm?
Die Informationsrechte und die Transparenz der Datenverarbeitung sollen gestärkt werden. Das heißt, ich habe künftig, wenn ich frage, was macht ihr eigentlich mit meinen Daten, das Recht, folgen
de Auskünfte erteilt zu bekommen: Zu welchen Zwecken werden die Daten verarbeitet, auf welcher Rechtsgrundlage? Wenn es, wie gesagt, auf der Grundlage meiner Einwilligung ist, muss ich darauf hingewiesen werden, dass ich sie widerrufen kann, dann muss ich über meine Rechte informiert werden, dann muss ich darüber informiert werden, ob Daten etwa in ein Drittland übermittelt werden sollen sowie über die Speicherdauer. Und wenn die Daten nicht bei mir selbst erhoben worden sind: Wo kommen die Daten denn her, die irgendjemand über mich hat und was sind die Kategorien von personenbezogenen Daten? Und solche Informationen müssen dem, der sie haben möchte, kostenfrei zur Verfügung gestellt werden. Was ist daran schlimm, was ist daran unverhältnismäßig? Was ist daran falsch?
Zu den Sanktionen habe ich Ihnen schon vieles gesagt. Noch ein letzter Punkt, den ich ungeheuer positiv finde: Das ist die datenschutzkonforme Technikgestaltung, die künftig vorgeschrieben wird. Das heißt, wir haben eine datenschutzfreundliche Voreinstellung. Es ist nicht so, dass ich erst mal gucken muss, wo ich jetzt überall meine Apps deaktivieren muss, wo ich überall eine Einwilligung zurücknehmen muss, wenn ich irgendeine App gekauft habe, was weiß ich, die mein Handy in die perfekte Taschenlampe verwandelt, dann ist es nicht einsehbar, warum diese Handy-App auf mein Adressverzeichnis zugreifen möchte und das voreingestellt ist. Also da muss ich schon vorher gefragt werden. Und eine datenschutzfreundliche Voreinstellung, das betrifft Online-Dienste, da haben wir jetzt nichts mit Vereinen zu tun, das sind Google Analytics und andere Dienste. Da wird auch vorgeschrieben, dass man sie anonym nutzen können muss.
Und was haben wir jetzt im Landesrecht? Wir haben Datenschutzrecht bisher übrigens auch schon zwingend gehabt und die Höchstgeldstrafe oder Geldbuße lag bis jetzt auch schon bei 10 Millionen Euro, die ist aber nie verhängt worden. Deswegen braucht man also jetzt nicht irgendwie hier durch das Land zu laufen und behaupten, dass ein kleiner Verein oder ein Bäckermeister, der irgendwie eine Liste geführt hat, wer bei ihm am Samstag die Brötchen bestellt, jetzt plötzlich ein Millionenbußgeld zahlen müsste.
Wir haben allerdings Regelungsaufträge in der Datenschutz-Grundverordnung und da haben wir nach der Anhörung nachgebessert, das möchte ich hier noch mal ausdrücklich sagen. Wir haben in Artikel 58 Abs. 5 dem Datenschutzbeauftragten, also den Aufsichtsbehörden einen Rechtsweg zu eröffnen. Da finden Sie eine Neufassung in § 9, die den Ausschuss passiert hat, dass den Betroffenen natürlich jederzeit Klagerechte zustehen, aber auch dem Datenschutzbeauftragten, der Aufsichtsbehörde. Wir haben bei der Bußgeldverhängung bisher
eine Ausnahme für den öffentlichen Bereich, also der öffentliche Bereich bekommt keine Bußgelder. Wir werden allerdings in künftigen Evaluationen überprüfen müssen, ob das dann ausreicht, um die Anforderungen, die öffentliche Datenverarbeiter genauso betreffen wie private, ausreichend durchzusetzen.
Wir haben das Medienprivileg noch mal ausgebaut und erweitert. Wenn Sie den § 11a im Pressegesetz lesen, der heute auch mit zur Abstimmung gelangt, dann weiß ich nicht, wo jetzt da noch irgendwelche Fehler sein sollen. Da sind weitgehende Bereichsausnahmen festgelegt für Medienarbeit und das ist wichtig und richtig, also auch ein Auftrag, den die Datenschutz-Grundverordnung jedem Gesetzgeber gegeben hat, zu gucken, wo die Grundsätze der Presse- und Meinungsfreiheit Ausnahmen erfordern. Was allerdings noch ausdrücklich drin steht – und dagegen, finde ich, kann man auch nichts haben –, ist natürlich, dass Medienvertreter bzw. Öffentlichkeitsarbeiter Daten, die sie erlangt haben, natürlich nicht für andere Zwecke nutzen dürfen als für diese mediale Auswertung und für die öffentliche Berichterstattung. Das ist doch wieder eine ganz selbstverständliche und wichtige Begrenzung möglicher Datenverwendungen, und die ist sinnvoll.
Deswegen komme ich auch noch mal auf den CDU-Antrag, einfach zu sagen, wir nehmen die Presse sowieso überhaupt ganz aus. Sie haben in Ihrem Antrag geschrieben, am liebsten hätten wir es wie in Österreich. Österreich hat es sich sehr einfach gemacht. Die haben einfach weitgehende Nichtanwendbarkeit durchgesetzt – da ist noch sehr fraglich, ob das europarechtsmäßig überhaupt möglich ist – und haben bestimmte Prinzipien festgesetzt, die Sie jetzt auch haben wollen.
Ich habe zu einzelnen Fragen in Ihrem Antrag ja schon Stellung genommen. Wie gesagt, Sie haben den sachlichen Fehler drin, dass Sie meinen, dass die Verfahrensverzeichnisse bei kleinen Vereinen anfallen würden. Sie haben dann noch mal gesagt, es müsste ab zehn Mitarbeitern, die sich mit der Datenverarbeitung beschäftigen, ein eigener Datenschutzbeauftragter bestellt werden. Das ist in dieser Form falsch, denn es muss nicht eine Person sein, die rund um die Uhr in diesem kleinen Betrieb, in diesem KMU für den Datenschutz arbeitet, sondern das reicht, eine solche Arbeit als Dienstleistung nach außen zu vergeben. Wenn Sie ein relativ kleines Unternehmen haben und da rechnet Ihnen ein externer Berater vielleicht mal drei Stunden im Monat dafür ab, dass er geguckt hat, ob Ihre Datenverarbeitung datenschutzkonform gelaufen ist, dann ist das ein – ich sage mal – verschwindend geringer Betrag im Vergleich dazu, was wahrscheinlich Ihr Steuerberater oder jemand, der Ihre Betriebsbücher führt, ansonsten verlangen kann. Also auch das ist
Was Sie überhaupt nicht berücksichtigt haben bei Ihrem Antrag, ist, wenn einfach dasteht, wir machen alles nur so wenig, wie es irgendwie geht und nehmen möglichst alle Bereiche aus, die irgendwie ausgenommen werden können und bei allen Möglichkeiten von Sanktionen oder sonstiger Natur gehen wir auf die Mindestlevels runter, dann haben Sie überhaupt nicht bedacht, dass ein Datenschutz auch ein Wirtschaftsfaktor sein kann. Weil Bürgerinnen und Bürger wollen es nicht mehr haben, dass, wenn sie sich irgendwo mal eine Jeans im Internet bestellen, dass sie dann 23 Jahre lang Angebote für Aufenthalte in besonderen Weingütern zugeschickt bekommen. Das ist auch eine Wirtschaftsförderung, wenn Sie als Unternehmen zusichern können, die Daten werden nur für den Zweck verwendet, für den sie benötigt und für den sie gebraucht werden.
Von daher geht es darum, dass wir mit dem Datenschutz insgesamt und seiner Bedeutung in der heutigen vernetzten Welt zu einem risikogerechten Datenschutzrecht kommen. Dass wir deswegen zahlreiche Vorschriften haben, dass einer erweiterten Datennutzung zum Beispiel ausdrücklich zugestimmt werden muss, davon habe ich Ihnen schon etwas erzählt, dass wir zum Beispiel die Allmacht von Algorithmen beschränken – das Wort ist heute noch nicht gefallen. Das heißt, wir beschränken die Auswertungs- und Verknüpfungsmöglichkeiten und werden ein Recht auf menschliche Kontrolle haben. Nach alldem sind der Datenschutz und auch das, was wir heute beschließen, keine sogenannte paternalistische Bevormundung, wie von vielen befürchtet oder argumentiert worden ist, sondern eine informierte Einwilligung ermöglicht weiterhin eine umfassende Datennutzung. Wenn Sie als informierter Bürger alle möglichen Datennutzungen aktivieren und denen zustimmen, dann kann kein Datenschutzbeauftragter dieser Erde dafür eine Strafe verhängen oder Ihnen das verbieten. Das heißt: Wir sind ein großes Stück weiter heute auf dem Weg zu einer informationellen Selbst-, statt zu einer informationellen Fremdbestimmung, wie wir sie jetzt in den letzten Jahren allzu oft gehabt haben. Deswegen kann ich hier aus voller Überzeugung unserem Gesetzentwurf zustimmen und möchte Sie auffordern, das auch zu tun. Herzlichen Dank.
Sehr geehrter Herr Präsident, sehr geehrte Kolleginnen und Kollegen, liebe Zuschauer und Zuschauerinnen auf der Tribüne und auch diejenigen am Livestream! Die ganze Zeit ging mir jetzt nach der Rede sowohl von Herrn Dr. Voigt als auch aus der AfD-Fraktion durch den Kopf „wow“. Bei der AfD-Fraktion insbesondere deswegen, weil ich mich des Eindrucks nicht erwehren kann, dass Sie die Datenschutz-Grundverordnung gar nicht gelesen haben, sondern nur die Artikel und die Seiten gezählt und ansonsten probiert haben, möglichst schnell auf Ihre zwei Klassikerthemen zu kommen, nämlich einmal Flüchtlinge und zum Zweiten angebliche Einschränkung der Meinungsfreiheit. Bei der CDU, weil ich doch etwas mehr erwartet hätte. Was ich damit meine, ist: Ja, es gibt zurzeit sehr viel Unsicherheit bezüglich des Umgangs mit der Datenschutz-Grundverordnung, bezüglich der Auswirkungen, seien es Vereine, seien es kleinere Unternehmen, seien es Privatpersonen, was auch immer, diejenigen, die einen Blogg betreiben, die meinten, sie müssten was weiß ich was alles tun. Ich sehe unsere Aufgabe als diejenigen, die mit für die Gesetze verantwortlich sind, die die Gesetze mit überarbeiten, die Änderungsanträge stellen – zumindest die Koalition hat das ja gemacht, auch bereits innerhalb der Ausschusssitzungen –, darin, dass wir nicht noch die Ängste der Menschen schüren, also erhöhen und erweitern, sondern sie auch ein Stück weit aufklären. Das hätte ich, ehrlich gesagt, auch von der CDU erwartet.
Aber wenn ich mir die Rede von Ihnen hier vorn anhöre, dann geht das eher in Richtung Ängste bestätigen, als Ängste zu nehmen. Um diese Ängste zu nehmen, wäre ein ganz einfaches Beispiel, denjenigen aus den Vereinen, die sich jetzt bei Ihnen gemeldet haben oder auch noch melden, zu sagen: Leute geht auf die Website des Thüringer Datenschutzbeauftragten www.tlfdi.de. Dort gibt es genau die Hinweise, was denn jetzt für Vereine, für Ehrenamtler, für kleine Unternehmen usw. zu beachten ist, wo ich Lösungsmöglichkeiten, wo Unterstützung finde – nur mal als ein Beispiel. Es wird ja ab morgen sozusagen verlangt, dass jede Website ein entsprechendes Datenschutzimpressum hat und auch darauf hinweist, welche Daten werden wo, wie gespeichert, was passiert damit, werden die verarbeitet, wenn ja, in welcher Form usw., usf. Da gibt es eine kostenfreie Website http://datenschutz-generator.de, die das kostenfrei für Vereine, für Kleinunternehmen bzw. Einzelpersonen zur Verfügung stellt und das erstellt. Anstelle das zu machen, schüren Sie die Ängste derjenigen, die verunsichert sind von diversen Meldungen, die gerade kursieren, die davon verunsichert sind, dass überall die Zahl erwähnt wird, es könnten jetzt Sanktionen von bis zu 20 Millionen Euro erhoben werden, wenn man ge