Wir haben eine Regelung für den Thüringer Landtag selbst vorgenommen, dass natürlich die Datenschutz-Grundverordnung und das Datenschutzgesetz insofern gelten, wenn der Landtag in Verwaltungsangelegenheiten tätig ist. Alle weiteren Bereiche, die die parlamentarische Arbeit betreffen, müssen dann natürlich auch datenschutzrechtskonform in einer entsprechenden Datenschutzordnung für den Landtag geklärt werden.

Ich will abschließend auch weitere Änderungen am Beispiel des Polizeiaufgabengesetzes deutlich machen. Die EU-Datenschutz-Grundverordnung sieht vor, dass Doppelregelungen in Gesetzen zu vermeiden sind. Insofern haben wir natürlich Auskunfts-, Löschungs- und Berichtigungsrechte von Betroffenen in Bezug auf Datenerfassungen im Polizeiaufgabengesetz in dieser detaillierten Form, wie sie da bisher verankert waren, gestrichen, weil sie eben im Datenschutzgesetz verankert sind. Wir fanden es aber dennoch wichtig, im Fachgesetz selbst darauf aufmerksam zu machen, dass die entsprechenden Rechtsregelungen, die entsprechenden Rechte an anderer Stelle zu finden sind, damit diejenigen, die sich im Fachgesetz informieren, gleichzeitig auch darüber in Kenntnis gesetzt sind, welche Rechte zum Schutz ihrer personenbezogenen Daten sie in Anspruch nehmen können.

Nun sind die meisten der Grundsätze der Datenschutz-Grundverordnung nichts Neues und doch rankt sich schon jetzt ein ziemliches Durcheinander und eine apokalyptische Mythenbildung um die neue Grundverordnung. Unter anderem sehen Netzaktivistinnen, kollektiv netzpolitik.org und der Verein Digitale Gesellschaft hierbei insbesondere die CDU als Rädelsführer der Verunsicherung. Dies kann man auch sehr schön an deren Entschließungsantrag zeigen und gleich mit ein paar Mythen aufräumen. Liebe CDU, Demut habt ihr in der Opposition ja schon gelernt, also spitzt die Ohren, man kann jetzt und heute noch was über das Internet lernen.

Zuallererst: Die Datenschutz-Grundverordnung tritt nach fünf Jahren Verhandlungen und zwei Jahren Übergangsfrist in Kraft. Hier hat auch die CDU auf Bundesebene mitverhandelt. Im Ministerrat haben Sie der Verordnung zugestimmt. Jetzt fordern Sie die Landesregierung dazu auf, eine Verordnung auf Europaebene nachzuverhandeln, die Sie selbst dort verhandelt haben. Sorry, aber das wirkt jetzt schon ein bisschen schizophren, erinnert ein bisschen an die Debatten der AfD zum öffentlich-rechtlichen Rundfunk.

nem praxistauglichen Datenschutz. Was sind denn bitte zum Beispiel praxistaugliche Grundrechte? Heißt praxistauglich, die Rechte sollen immer nur dann gelten, wenn es Ihnen in den Kram passt?

Zum Schluss: Die Datenschutz-Grundverordnung bringt den Nutzerinnen und Betroffenen mehr Rechte im Kampf um ihre Daten. Das ist gut und das ist wichtig. Trotzdem kann keiner glauben, dass eine Zäsur wie die Datenschutzreform ohne Unsicherheiten, Missverständnisse und Widerstände über die Bühne gehen könne. Die Devise sollte daher vor allem „Mut zur Sachlichkeit“ lauten. Das haben wir mit unserem Gesetz und der Anpassung dazu auch getan. Der Entschließungsantrag der CDU ist völlig wirr und substanzlos. Vielleicht recherchieren Sie das noch mal nach, frei nach dem Motto: Quaere et invenies, wer sucht, der findet – wie der Lateiner sagen würde. Vielen Dank.

feld anzuwenden haben. Genau aus dem Grund fordern wir, dass wir einen Datenschutz brauchen, der praxistauglich ist, der mittelstands- und ehrenamtsfreundlich in Thüringen angewandt werden kann.

Das, was wir jetzt erleben, hat ja nicht nur notwendigerweise was mit der reinen Datenschutz-Grundverordnung an sich zu tun, sondern vor allen Dingen auch mit den Ausgestaltungsoptionen und Möglichkeiten, die sich Landesdatenschutzbeauftragte suchen. Da zitiere ich noch mal aus besagtem Interview von heute: „Ich bin froh, dass uns die Grundverordnung Werkzeuge an die Hand gibt, die wir vorher nicht hatten. Ich habe nichts gegen Kompetenzen. Ich mag Befugnisse und freue darauf.“ Verbunden mit der Schlagzeile „Ab Montag sind Bußgelder fällig“ ist das, glaube ich, eine ziemlich klare Botschaft, wie das interpretiert wird. Darum geht es doch,

Zumal eine Lösung einfach wäre. Die Richter weisen zu Recht auf die Ausnahmeregelung des Artikels 23 Abs. 1 der Datenschutz-Grundverordnung hin, über die eine Regel, wie Sie diese für den Landtag und die Arbeit der Abgeordneten und Fraktionen ja durchaus vorsehen, auch für den Bereich der Rechtsprechung ermöglicht wird. Weil Sie dies unterlassen, setzen Sie nach Ansicht der Richter Thüringen übrigens dem Risiko aus, wegen einer Ordnungswidrigkeit nach § 61 Thüringer Datenschutzgesetz belangt zu werden. Zwar wird diese Tat nur auf Antrag verfolgt, aber antragsberechtigt ist neben dem Datenschutzbeauftragten die betroffene Person. Es gehört nicht viel Phantasie dazu, was von echten oder vermeintlichen Fehlurteilen betroffene Justizopfer – in Gänsefüßchen, das haben Sie wohl alle mitbekommen – gleich welcher Gerichtsbarkeit, sei es der verurteilte Straftäter, der keinen Bleibestatus erhaltende Ausländer, der, der zu Steuernachzahlungen angehalten wurde, oder der im Zivilverfahren Unterlegene, jetzt geneigt sind, zu tun.

Ich mache es Ihnen ganz praktisch: Wenn Sie heutzutage zu Ihrem niedergelassenen Arzt gehen, fragen Sie ihn mal, womit der gerade konfrontiert ist. Der wird Ihnen Folgendes sagen, dass zukünftig er jeden einzelnen seiner Patienten unterschreiben lassen muss, dass er damit einverstanden ist, dass erstens seine Daten gespeichert sind, und zweitens, wenn derselbe Arzt feststellt, da ist ein Notfall, muss der den Patienten noch mal fragen, ob er die Daten an einen dritten Arzt weitergeben kann, der ihm vielleicht besser helfen kann, weil laut Datenschutz darf er die Daten gar nicht weiterreichen. Wenn das kein Schildbürgerstreich ist, dann, kann ich Ihnen sagen, müssen wir Anpassungen finden. Genau aus dem Grund fordern wir für Arztpraxen, aber eben auch für Organisationen, die maximal 50 Mitarbeiter haben, diese von den Vorschriften zur Führung eines Verfahrensverzeichnisses auszunehmen.

Wir haben allerdings Regelungsaufträge in der Datenschutz-Grundverordnung und da haben wir nach der Anhörung nachgebessert, das möchte ich hier noch mal ausdrücklich sagen. Wir haben in Artikel 58 Abs. 5 dem Datenschutzbeauftragten, also den Aufsichtsbehörden einen Rechtsweg zu eröffnen. Da finden Sie eine Neufassung in § 9, die den Ausschuss passiert hat, dass den Betroffenen natürlich jederzeit Klagerechte zustehen, aber auch dem Datenschutzbeauftragten, der Aufsichtsbehörde. Wir haben bei der Bußgeldverhängung bisher

Wir haben das Medienprivileg noch mal ausgebaut und erweitert. Wenn Sie den § 11a im Pressegesetz lesen, der heute auch mit zur Abstimmung gelangt, dann weiß ich nicht, wo jetzt da noch irgendwelche Fehler sein sollen. Da sind weitgehende Bereichsausnahmen festgelegt für Medienarbeit und das ist wichtig und richtig, also auch ein Auftrag, den die Datenschutz-Grundverordnung jedem Gesetzgeber gegeben hat, zu gucken, wo die Grundsätze der Presse- und Meinungsfreiheit Ausnahmen erfordern. Was allerdings noch ausdrücklich drin steht – und dagegen, finde ich, kann man auch nichts haben –, ist natürlich, dass Medienvertreter bzw. Öffentlichkeitsarbeiter Daten, die sie erlangt haben, natürlich nicht für andere Zwecke nutzen dürfen als für diese mediale Auswertung und für die öffentliche Berichterstattung. Das ist doch wieder eine ganz selbstverständliche und wichtige Begrenzung möglicher Datenverwendungen, und die ist sinnvoll.

Ich habe zu einzelnen Fragen in Ihrem Antrag ja schon Stellung genommen. Wie gesagt, Sie haben den sachlichen Fehler drin, dass Sie meinen, dass die Verfahrensverzeichnisse bei kleinen Vereinen anfallen würden. Sie haben dann noch mal gesagt, es müsste ab zehn Mitarbeitern, die sich mit der Datenverarbeitung beschäftigen, ein eigener Datenschutzbeauftragter bestellt werden. Das ist in dieser Form falsch, denn es muss nicht eine Person sein, die rund um die Uhr in diesem kleinen Betrieb, in diesem KMU für den Datenschutz arbeitet, sondern das reicht, eine solche Arbeit als Dienstleistung nach außen zu vergeben. Wenn Sie ein relativ kleines Unternehmen haben und da rechnet Ihnen ein externer Berater vielleicht mal drei Stunden im Monat dafür ab, dass er geguckt hat, ob Ihre Datenverarbeitung datenschutzkonform gelaufen ist, dann ist das ein – ich sage mal – verschwindend geringer Betrag im Vergleich dazu, was wahrscheinlich Ihr Steuerberater oder jemand, der Ihre Betriebsbücher führt, ansonsten verlangen kann. Also auch das ist

gen die Datenschutz-Grundverordnung verstößt. Da kann ich nur sagen: Nein, dem ist eben nicht so.

Frau Marx und Madeleine Henfling haben ja hier vorn bereits darauf hingewiesen, was das Positive, vor allem das Positive an der Datenschutz-Grundverordnung ist. Es wird ja suggeriert nach außen, das eigentliche Problem wären jetzt die ganzen Folgen, die kämen, die ganzen Kosten, die in Kraft treten würden. Ja, ich sage Ihnen ganz ehrlich, Herr Dr. Voigt, da haben Sie recht. Auch ich fand das Interview von Herrn Dr. Hasse unglücklich, weil es nämlich am Ende Ängste von einigen bestätigt hat, zumindest in der Schlagzeile, wobei die Schlagzeile ja nicht

Ansonsten zumindest noch ein, zwei kleinere Sachen: Es wurde von der AfD behauptet, dass die Datenschutz-Grundverordnung dazu beitragen würde, die Meinungsfreiheit zu beschränken. Nein!

Aber nichtsdestotrotz, vor allem auch der zuständige Innenminister, nicht umsonst, denn das Ganze ist ja hauptsächlich im Innenministerium gelaufen. Der Innenminister ist der zuständige Minister für Datenschutz und alles, was dazugehört. Hier hätte man wirklich eher was machen können. Ich sage das ohne Häme oder irgendwas, deswegen habe ich gesagt: EU, Bund, Länder. Damit dort wirklich das Ganze durchgelaufen ist. Ich gebe auch zu, auch bei mir, wo ich das Pamphlet gesehen habe – oh Gott, oh Gott –, wer liest diese ganzen Dinger durch? Wer das macht, der soll sich melden, wer hier alles, was hier ankommt – Frau Henfling! Das ist die Einzige, die alles durchliest.

Eine kurze Replik noch auf Herrn Voigt – er ist nicht da, aber das ist egal –, nur um das klarzustellen: Ja, wir sind sogar sehr froh, dass es einen GrünenBerichterstatter im Europarlament gab, der die Datenschutz-Grundverordnung maßgeblich mit auf den Weg gebracht hat. Das war unser Ziel dabei; wir haben da kein schlechtes Gewissen, wir freuen uns darüber, dass es das Ding gibt und dass das ein Grüner umgesetzt hat.

Was Sie überhaupt nicht berücksichtigt haben bei Ihrem Antrag, ist, wenn einfach dasteht, wir machen alles nur so wenig, wie es irgendwie geht und nehmen möglichst alle Bereiche aus, die irgendwie ausgenommen werden können und bei allen Möglichkeiten von Sanktionen oder sonstiger Natur gehen wir auf die Mindestlevels runter, dann haben Sie überhaupt nicht bedacht, dass ein Datenschutz auch ein Wirtschaftsfaktor sein kann. Weil Bürgerinnen und Bürger wollen es nicht mehr haben, dass, wenn sie sich irgendwo mal eine Jeans im Internet bestellen, dass sie dann 23 Jahre lang Angebote für Aufenthalte in besonderen Weingütern zugeschickt bekommen. Das ist auch eine Wirtschaftsförderung, wenn Sie als Unternehmen zusichern können, die Daten werden nur für den Zweck verwendet, für den sie benötigt und für den sie gebraucht werden.

Aber wenn ich mir die Rede von Ihnen hier vorn anhöre, dann geht das eher in Richtung Ängste bestätigen, als Ängste zu nehmen. Um diese Ängste zu nehmen, wäre ein ganz einfaches Beispiel, denjenigen aus den Vereinen, die sich jetzt bei Ihnen gemeldet haben oder auch noch melden, zu sagen: Leute geht auf die Website des Thüringer Datenschutzbeauftragten www.tlfdi.de. Dort gibt es genau die Hinweise, was denn jetzt für Vereine, für Ehrenamtler, für kleine Unternehmen usw. zu beachten ist, wo ich Lösungsmöglichkeiten, wo Unterstützung finde – nur mal als ein Beispiel. Es wird ja ab morgen sozusagen verlangt, dass jede Website ein entsprechendes Datenschutzimpressum hat und auch darauf hinweist, welche Daten werden wo, wie gespeichert, was passiert damit, werden die verarbeitet, wenn ja, in welcher Form usw., usf. Da gibt es eine kostenfreie Website http://datenschutz-generator.de, die das kostenfrei für Vereine, für Kleinunternehmen bzw. Einzelpersonen zur Verfügung stellt und das erstellt. Anstelle das zu machen, schüren Sie die Ängste derjenigen, die verunsichert sind von diversen Meldungen, die gerade kursieren, die davon verunsichert sind, dass überall die Zahl erwähnt wird, es könnten jetzt Sanktionen von bis zu 20 Millionen Euro erhoben werden, wenn man ge

Sie kritisieren, dass das Gesetz zu spät kommt. Die AfD kritisiert, dass es zwei Tage vorher erst hier beschlossen wird. Nein, AfD, auch das teile ich Ihnen jetzt mit: Ab morgen bereits gilt die DatenschutzGrundverordnung, nicht erst ab übermorgen. Das heißt, Sie müssten heute Ihre Webseiten auch entsprechend anpassen und ändern. Aber das Entscheidende, warum erst heute, hat auch etwas damit zu tun, dass die CDU-Fraktion darum gebeten hat, die Frist für Änderungsanträge zu verlängern, und wir darauf eingegangen sind. Nur kam dann kein Änderungsantrag von Ihnen. Der Änderungsantrag liegt jetzt zum Plenum, heute dann auch noch in einer Neufassung vor. Wissen Sie, die Datenschutz-Grundverordnung tritt nicht erst morgen in Kraft, sondern Sie wirkt ab morgen. Das ist der entscheidende Unterschied. Seit zwei Jahren ist sie bereits in Kraft getreten. Das eigentlich Fatale ist doch, dass sich jetzt hier vorne Politiker und Politikerinnen hinstellen und auch in anderen Parlamenten hinstellen oder gegenüber Zeitungen hinstellen, wo auch immer hinstellen und sozusagen die Panik schüren und erklären, was ab morgen alles Schlimmes passiert. Warum ist es denn in den letzten zwei Jahren nicht gelungen, darauf aufmerk

hatten am Dienstag Datenschutzbeiratssitzung und wieder waren Ihre Mitglieder im Datenschutzbeirat nicht da. Wir haben uns am Dienstag darüber unterhalten, was passiert denn ab dem Moment, an dem die Datenschutz-Grundverordnung in Kraft tritt. Dort ist ganz klar von Herrn Hasse geäußert worden, dass er natürlich nicht auf Jagd von Vereinen oder kleinsten Unternehmen oder Ähnlichen mehr gehen wird und dass es darüber hinaus das Bußgeld gibt, das aber an der Spitze der ganzen Sanktionsmaßnahmen steht, die in der DatenschutzGrundverordnung formuliert sind. Was auch drinsteht und was Sie in Ihrer Rede ignoriert haben, ist, dass der Datenschutzbeauftragte und die Aufsichtsbehörden, die die Datenschutzbeauftragten zukünftig werden, ein ureigenes Anliegen haben und auch einen Auftrag haben, nämlich die Beratung – das ist der Hinweis darauf, wenn verstoßen wird und das ist dann eben auch die Möglichkeit der Maßnahme, dass man keine Bußgelder erhebt, sondern das Unternehmen oder auch den Verein darauf aufmerksam macht, an der und der Stelle sind eure Regularien, sind eure Webseiten, ist euer Umgang mit Daten nicht datenschutzkonform. Anstatt das zumindest zu erwähnen, gehen Sie nur auf die 20 Millionen bzw. auf die harten Maßnahmen, die in der Theorie möglich sind, ein. Ich würde einfach um ein bisschen mehr Pragmatismus und ein bisschen mehr Realismus bitten. Ich glaube, natürlich werden wir in den nächsten Monaten und Jahren an der einen oder andere Stelle die DatenschutzGrundverordnung nicht nur auf Landesebene, sondern auch auf Bundesebene nachbessern müssen, da brauchen wir uns doch nichts vormachen, denn es erprobt sich ein neues Gesetz immer erst in der Praxis.

Aber liebe CDU, Ihr Änderungsantrag, wie gesagt, hat so ein bisschen den Unterton, dass hier eine große Katastrophe droht. Das erinnert mich ein bisschen an die Umstellung damals vom 31.12.1999 auf den 01.01.2000; auch damals dachte man, alle Computersysteme stürzen ab und die Welt geht unter. Das wird auch hier nicht so sein. Es ist ein großes Gesetz, es ist ein umfassendes Gesetz. Aber, meine sehr geehrten Damen und Herren, ich bin grundsätzlich der Meinung, dass Datenschutz und Datensicherheit für Deutschland ein Wettbewerbsfaktor sind.

Und viele mittelständische Unternehmen, viele ITUnternehmen im Freistaat haben das schon längst, wie gesagt, auf dem Schirm und sich entsprechend aufgestellt. Deswegen glaube ich, dass das Horrorszenario nicht eintreten wird, und glaube, dass wir damit einen wichtigen Schritt nach vorne gemacht haben, was den Datenschutz für die Menschen im Freistaat anbelangt. Herzlichen Dank.

Ach ja, Datenschutz-Grundverordnung lässt grüßen, aber in dem Falle sind das Daten, die nicht personifiziert sind, das sollte selbst Herrn Kuschel klar sein, sonst geht er mal zu Frau König-Preuss und lässt sich beraten.

Kein einziger Vorwurf der Opposition bewahrheitete sich im Ergebnis. Mehrere Gerichtsurteile und auch der Landesbeauf tragte für den Datenschutz, der von Anfang an und in allen Ebenen des Untersuchungsausschusses involviert war, bestä tigten die Entscheidungen und den Verfahrensgang. Der Aus schuss hat in bestmöglicher Transparenz und selbstverständ

Ganz kurz eingehend auf das, was Herr Krumpe gesagt hat: Mir kommt das ein bisschen zu kurzfristig. Das hört sich so schön an mit dem Once-OnlyPrinzip und Behörden können dann Daten austauschen – so einfach, finde ich, ist es aber nicht und es bedarf mehr Diskussion, zu der ich auch gern bereit bin, auch um noch mal über diese Änderung zu sprechen, aber eben nicht heute. Denn ich glaube nicht, dass die Personen, die das freigeben, beispielsweise in einem Konto, und sagen: „Ihr dürft meine Daten nutzen für XY“, und die Behörde darf das dann weitergeben, dass die tatsächlich durchschauen, was das am Ende heißen könnte. Da muss ich tatsächlich sagen, wir sollten darüber sprechen, wie wir das am Ende wirklich ausgestaltet haben wollen. Total d‘accord, es ist bürgerfreundlicher, das Once-Only-Prinzip, aber es birgt auch durchaus Gefahren, die aus meiner Sicht an bestimmten Stellen dem Datenschutz widersprechen könnten. Das sollten wir tatsächlich noch einmal intensiv diskutieren. Deswegen würde ich da gerne noch mal in die Diskussion einsteigen und dem ungern heute so zustimmen. Vielen Dank.

Vor diesem Hintergrund – ich glaube, das ist tatsächlich etwas, was wir aus dieser Debatte mitnehmen müssen – muss es aus meiner Sicht ganz dringend eine sehr breite und sehr intensiv geführte Debatte darüber geben, wie wir den Datenschutz im digitalen Zeitalter aufstellen wollen. Es geht nicht allein um die Frage, ob das, was da passiert, das Unionsrecht verletzt oder nicht, sondern es geht um viele weitere Fragestellungen und auch um weitere Abkommen.

Deshalb wäre unser Vorschlag, dass wir im Ausschuss für Wissenschaft, Medien, Datenschutz und Informationsfreiheit genau dieses Problem noch einmal genauer besprechen. Abschließend glaube ich, dass wir tatsächlich in der Frage der hochschulübergreifenden Kooperationen im Land Bremen auf einem guten Weg sind. – Deswegen herzlichen Dank an die Hochschulen! – Vielen Dank!

In seiner ersten Beratung verständigte sich der Ausschuss für Recht, Verfassung und Gleichstellung darauf, eine Anhörung durchzuführen. In der öffentlichen Anhörung am 7. Juni 2019 haben folgende Sachverständige ihre Standpunkte vorgetragen: der Landesbeauftragte für den Datenschutz, die Kinder- und Jugendräte SachsenAnhalt, der Landesjugendhilfeausschuss, der Landesverband für Kriminalprävention und Resozialisierung sowie die Vollstreckungs- und Vollzugsleiterin der Jugendarrestanstalt Halle.

Wir haben im März ausführlich und technisch diskutiert - Sie mangels Kenntnis weniger technisch, andere mehr. Ich will das aber nicht alles wiederholen, sondern nur darauf hinweisen, dass neben dem Chaos Computer Club und einer Reihe anderer Fachleute auch der Bundesbeauftragte für den Datenschutz Peter Schaar die erfolgten Staatstrojanereinsätze für rechtswidrig hält. Sie bekommen solche Software nicht so hin, dass sie definitiv und nachweisbar unzulässige Dinge nicht kann. Das ist mathematisch und technisch unmöglich. Sie verletzen mit dem Einsatz solcher Software den Kernbereich der privaten Lebensführung unverhältnismäßig. Ihnen fehlt nicht nur meiner Einschätzung nach die Rechtsgrundlage; denn § 100 a der Strafprozessordnung reicht da nicht.