Hans-Hermann Schild *Stellungnahme zum Referentenentwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer GesetzeJurPC Web-Dok. 38/1998, Abs. 1 - 141 |
| Anmerkung der Redaktion: Der Beitrag ist die Stellungnahme des Verfassers gegenüber dem Bundesministerium des Innern zum Referentenentwurf. |
A. Allgemeine Ausführungen |
| Es ist sehr zu begrüßen, daß der Referentenentwurf nunmehr der Öffentlichkeit zugänglich gemacht wird und die Anhörung der Länder und Verbände endlich erfolgt. Es ist jedoch sehr zu bedauern, daß es bis zur Vorlage dieses Entwurfes so lange gedauert hat, läuft doch die Umsetzungsfrist für die Richtlinie 95/46/EG am 24. Oktober dieses Jahres ab und führt die späte Vorlage zu einer Zeitnot, welche im Hinblick auf die lange Kenntnis des Termins nicht notwendig gewesen wäre. | JurPC Web-Dok. 38/1998, Abs. 1 |
| Auch enttäuscht der vorliegende Entwurf als ganzes. Hätte doch genügend Zeit und im Rahmen der Umsetzung der Richtlinie 95/46/EG die Möglichkeit bestanden das gesamte Datenschutzrecht in den Bundesgesetzen zu durchforsten und im Sinne einer Normreduzierung das Datenschutzrecht auf eine schlanke und klare Struktur zurück zu fahren (vgl. Schild, DuD 1997 S. 720). Dabei kann das Bundesdatenschutzgesetz als Querschnittsmaterie im öffentlichen wie nichtöffentlichen Bereich nur einen allgemeinen Rahmen bilden, welcher durch differenzierte Regelungen in den jeweiligen bereichsspezifischen Gesetzen ausgefüllt werden muß (so schon Bericht der Datenschutzkommission des Deutschen Juristentages, 1974, S. 21). Vorliegend bestünde die einmalige Chance, unnötige und doppelte Regelungen zu vermeiden, wie dies nach der Konzeption der Bundesregierung und des Bundeskanzleramtes zum Schlanken Staat angestrebt wird (vgl. FAZ vom 03. Januar 1998, Seite 10). Dies setzt jedoch eine Bestandsaufnahme der bisherigen Erfüllung der "Hausaufgaben" nach der Entscheidung des Bundesverfassungsgerichts zum Recht auf informationelle Selbstbestimmung (BVerfG E 65, 1 ff.) voraus. Sie würde eine unnötige Zersplitterung datenschutzrechtlicher Regelungen in den unmöglichsten Gesetzen aufzeigen. Sie würde jedoch auch aufzeigen, daß die Hausaufgaben bis heute nicht in allen Bereichen und zum Teil nur bruchstückhaft gemacht worden sind (vgl. nur Beschluß es Bundesrates zum Gesetzentwurf der Bundesregierung zum Schengener Übereinkommen vom 19. Juni 1990; BT-Drs. 12/2453, Anlage 2, S. 96, Ziffer 3, wovon ein Teil bis heute noch nicht umgesetzt worden ist). | Abs. 2 |
1. |
| Zwar ist die Richtlinie 95/46/EGebenfalls nur allgemein und findet nur für den Bereich des EU-Rechts Anwendung (jedoch mit Ausnahme der Bereiche nach Art. 3 Abs. 2 RiLi); dies kann jedoch nicht bedeuten, daß der Gesetzgeber und damit auch die Bundesregierung sich zur Gewährung des Grundrechts auf informationelle Selbstbestimmung auf ein allgemeines Datenschutzgesetz beschränken kann, sondern er hat alle notwendigen bereichsspezifischen Vorschriften in unmittelbarem zeitlichen Zusammenhang zu erlassen (vgl. bereits Bericht der Datenschutzkommission des Deutschen Juristentages, 1974, S. 20, 22 f.). Hinzu kommt, daß die Übergangsregelung (auch Übergangsbonus genannt) nach nunmehr mehr als 14 Jahren nach der Entscheidung des Bundesverfassunsgerichts zum Volkszählungsgesetz endgültig abgelaufen ist (hierzu mit weiteren Nachweisen insbesondere zur Rechtsprechung Demke/Schild, Kommentar zum Hessischen Datenschutzgesetz, § 3 Erl. III b bb; siehe auch Stellungnahme des Bundesrates zum Gesetzentwurf der Bundesregierung zum Schengener Übereinkommen vom 19. Juni 1990; BT-Drs. 12/2453, Anlage 2, S. 96, Ziffer 3, mit weiteren Fundstellen; zu Vorfragen bei der Rechtssetzung vgl. Handbuch der Rechtsförmlichkeit, Rdnrn. 26 ff.). | Abs. 3 |
| Dem wird der vorliegende Entwurf eines Mantelgesetzes nicht gerecht. Weder werden die bereichsspezifischen Normen, z.B. im Bereich der Sozialgesetzbücher auf einen Level gebracht, welcher für den Anwender noch überschaubar und praktikabel ist, noch erfolgen bereichsspezifische Regelungen im nicht-öffentlichen Bereich oder werden gravierende Lücken, z.B. im Bereich der Justiz, geschlossen. | Abs. 4 |
2. |
| Es fällt dabei auf, daß nach dem bisherigen Entwurf der nichtöffentliche Bereich im BDSG zwar weiterhin getrennt geregelt werden soll (teilweise bei gleichem Regelungsinhalt, was zu einer unnötigen Normenflut führt), anderseits auch für die Verarbeitung besonderer Kategorien personenbezoger Daten nach Art. 8RiLi keine Umsetzung z.B. im Versicherungsvertragsgesetz oder der Bundesrechtsanwaltsordnung erfolgt. So sollen Versicherungen nach § 28 Abs. 1 BDSG-Entwurf Gesundheitsdaten von Versicherten an dritte Versicherungen zum Beispiel zur Einschätzung des Rückversicherungsrisikos oder an zentrale Hinweissysteme weitergeben dürfen, da dies "zur Erfüllung eigener Geschäftszwecke" im Rahmen des Vertragsverhältnisses dient. Es erscheint fraglich, ob dies dem Grundrecht auf informationelle Selbstbestimmung oder gar Art 8 RiLi im Rahmen des Gebots der Normklarkeit entspricht. Hier auf die Einwilligung des Betroffenen zu rekurrieren erscheint mehr als fraglich, zumal die Einwilligung zwingende Voraussetzung zum Vertragsabschluß ist. Also kann nicht von einer freien Entscheidung gesprochen werden, denn der Betroffene kann ansonsten nur auf die Versicherung verzichten. Andererseits ist eine Auskunfts- und Anzeigepflicht bereits heute in § 16 VVG enthalten. | Abs. 5 |
| Auch Rechtsanwälte verarbeiten Daten nach Art. 8 RiLi. Hierbei auch von Personen, welche durch den Anwalt nicht vertreten werden - weil Prozeßgegner oder Zeuge. Von diesen Personen Einwilligungen einholen zu lassen, widerspricht jeglichem Realitätssinn. Rechtsanwälte sind zwar Organe der Rechtspflege, unterliegen jedoch als Dienstleister den Regelungen des EU-Vertrages und damit der Richtlinie 95/46/EG und haben daher die Regelungen der §§ 27 ff. BDSG anzuwenden. Ein in der Praxis nicht umzusetzendes Ergebnis. | Abs. 6 |
| Der gesamte nichtöffentliche Bereich bedürfte einer Überprüfung, ob und inwieweit bereichsspezifische Regelungen zur Ergänzung für den allgemeinen Anwendungsbereich der §§27 ff. BDSG notwendig sind, wie die obigen Beispiele zeigen. | Abs. 7 |
3. |
| Im öffentlichen Bereich sieht es bei der Justiz bezüglich bereichsspezifischer datenschutzrechtlicher Regelungen besonders schlecht aus. Zwar sieht der Strafverfahrensänderungsgesetz-Entwurf - welcher dem Bundestag von der Bundesregierung bis heute nicht zugeleitet wurde - für die Staatsanwaltschaften und Strafgerichte Datenverarbeitungsregelungen vor. Für die ordentliche Gerichtsbarkeit, die Freiwillige Gerichtsbarkeit, die Verwaltungs-, die Finanz- und Sozialgerichtsbarkeit fehlen diese Regelungen gänzlich, von Sondernormen zum Schuldnerverzeichnis, Vereinsregister usw. abgesehen. Hier bedürfte es bis auf wenige Ausnahmen gleicher Regelungen, wie sie nunmehr für die Strafprozeßordnung vorgesehen sind.(1) Im vorliegenden Entwurf findet man hierzu nichts. | Abs. 8 |
3.1 |
| Soweit nicht die allgemeinen Datenschutzgesetze Anwendung finden sollen, wäre eine Regelung im GVG zu erwarten. Besonders problematisch ist dabei, wenn die Justiz EU-Recht anzuwenden hat, bei der Datenverarbeitung aus dem Anwendungsbereich der RiLi 95/46/EG jedoch nach Art. 3 Abs. 2 ausgenommen wurde. Ein Mißverhältnis, das die Einheit der Rechtsordnung nicht gerade fördert. Gleiches läßt sich bereits heute sehr gut im Bereich des Sozialdatenschutzes veranschaulichen (siehe zum Adressatenkreis § 35 SGB I, welcher Sozialgerichte gerade nicht erfaßt). | Abs. 9 |
3.2 |
| Von besonderer Problematik ist auch eine Vorlage an den EUGH. Findet doch für eine Datenübermittlung ins Ausland oder eine über- und zwischenstaatliche Stelle mangels bereichsspezifischer Normen das allgemeine Datenschutzrecht des Bundes bzw. des Landes Anwendung. Bekanntlich verfügen weder die Kommission, noch sonstige Stellen der EU bisher über ein angemessenes Datenschutzniveau. Hieran dürfte sich auch durch Art. 213 b des EVG nichts ändern, da die RiLi 95/46/EG viele Möglichkeiten der Gestaltung offen läßt und damit in vielen Bereichen keine unmittelbare Wirkung entfalten kann. Da die Justiz jedoch nicht unter den Anwendungsbereich von Art. 3 RiLi 95/46/EG und damit unter § 4 b Abs. 1 BDSG-Entwurf fällt, sondern § 4 b Abs. 2BDSG-Entwurf Anwendung findet und außerhalb des Anwendungsbereichs der Richtlinie die Ausnahmen nach § 4 cBDSG-Entwurf zur Ersetzung des angemessenen Datenschutzniveaus keine Anwendung findet sollen, müßte somit jede Datenübermittlung an den EuGH unzulässig sein. Es stellt sich die Frage, ob hier nicht Regelungen im GVG - und nicht im EGGVG wie beim Justizmitteilungsgesetz - dringend notwendig sind, was wohl zu bejahen ist. | Abs. 10 |
3.3 |
| Auch die Abgabenordnung wird in dem Mantelgesetz nicht erwähnt. Sollte keine gesonderte Novellierung im Bereich des Steuerrechts erfolgen,(2) wäre eine Einführung bereichsspezifischer datenschutzrechtlicher Regelungen im vorliegenden Entwurf erforderlich, soll nicht auf die allgemeinen Datenschutzgesetze zurückgegriffen werden (vgl. Schild, NJW 1996 S. 2414, 2416). Zumindest Zölle und Teile der Steuern fallen unter die erste Säule, den EU-Vertrag und damit der Datenumgang mit personenbezogenen Daten in diesem Bereich unter die RiLi 95/46/EG. | Abs. 11 |
3.4 |
| Auch erfolgt keine Korrektur vorhandener Regelungen, welche durch Änderungen in anderen Bereichen durch den Gesetzgeber notwendig geworden sind. So verweisen sowohl das Beamtenrechtsrahmengesetz (§ 56 Abs. 1 Satz 5 BRRG) als auch das Bundesbeamtengesetz (§ 90 Abs. 1 Satz 5 BBG) bei Kindergeldakten noch immer auf § 35 SGB I und die §§ 67 - 78 SGB X. Dies, obwohl der Gesetzgeber das Kindergeld für Steuerpflichtige aus dem Sozialrecht heraus und nunmehr zum Steuerrecht genommen hat (vgl. ausführlich dazu Schild, NJW 1996 S. 2414 ff.). Wenn der Gesetzgeber bei seiner gesetzgeberischen Arbeit schon nicht alle Folgewirkungen erkennt, sollte das zuständige Fachressort jedoch nach so langer Zeit in der Lage sein, den Gesetzgeber auf den notwendigen Korrekturbedarf durch Aufnahme der Änderung in das Mantelgesetz hinzuweisen. Insoweit wird eine Normprüfungsstelle begrüßt,(3) auch wenn der Gesetzgeber über die Folgen seiner Handlungen und die von ihm erlassenen Gesetze eigentlich selbst Bescheid wissen müßte. Zumindest zwei Jahre nach entsprechenden Hinweisen in der juristischen Fachpresse sollte ein solcher Unfug bereinigt sein. Gelegenheit hat es bereits bis heute genug gegeben. | Abs. 12 |
4. |
| Interessant erscheint auch der Versuch, den Ländern per Gesetz aufzugeben, was sie in ihrer eigenen Zuständigkeit zu regeln haben (vgl. Art. 1 § 41 Abs. 1BDSG-Entwurf) oder welche Regelungen der Länder erst gar keine Anwendung finden (Art. 11 § 80a AuslG). | Abs. 13 |
| Soweit bei § 41 Abs. 1 BDSG-Entwurf die Rahmenkompetenz des Bundes herangezogen wird, um einen einheitlichen Standard der Umsetzung der Entscheidung des Bundesverfassungsgerichts zum Recht auf informationelle Selbstbestimmung und der RiLi 95/46/EG zu erhalten, erscheint dies verfassungsrechtlich höchst bedenklich. Sind die Länder doch auch aufgrund des Rechtsstaatsgebotes, wie der Bund, nicht nur zur der Wahrung der Grundrechte, sondern auch bei der notwendigen Umsetzung verfassungsgerichtlicher Entscheidungen gebunden. Wenn dem Bund nunmehr auffällt, daß ihm die Gesetzgebungskompetenz fehlt und die Länder ihre "Hausaufgaben" nicht gemacht haben, möge dies in die amtliche Begründung aufgenommen werden und noch besser im Versendungsschreiben an die Länder darauf hingewiesen werden (was wohl nicht erfolgt ist). | Abs. 14 |
| Was die Umsetzung der Richtlinie betrifft, sind die Länder im Rahmen der Bundestreue verpflichtet, die Richtlinie umzusetzen, wobei es für die Länder im Medienbereich insoweit wenig Spielraum gibt. Sieht die RiLi in Art. 9 doch nur Ausnahmen und Abweichungen von den allgemeinen Regeln dann vor, wenn sich dies als notwendig erweist, um das Recht auf Privatsphäre mit den für die Freiheit der Meinungsäußerung geltenden Vorschriften in Einklang zu bringen. Dies ist bei dem vorliegenden Entwurf zu § 41 Abs. 1 BDSG gerade nicht der Fall. Hier wird von Seiten des Bundes anscheinend versucht, darauf Einfluß zu nehmen, daß die Richtlinie nicht ordnungsgemäß umgesetzt wird; wohl kein sehr bundestreues Verhalten seitens des Bundes gegenüber den Ländern. Sind doch die Länder, wie der Medien- und der Multimedia-Staatsvertrag zeigen, durchaus in der Lage, einen einheitlichen Datenschutzstandard zu leisten. | Abs. 15 |
| Auch sollte man Regelungen von Gesetzen in ihrer Anwendbarkeit nicht ausschließen, wenn sie sowieso keine Anwendung finden. Dies wurde bei Art. 11 des Entwurfes zwar nach dem 17.7.1997 insoweit noch bemerkt, als die Landesdatenschutzgesetze bzw. Landespolizeigesetze bei der Anwendung des Ausländergesetzes Anwendung finden, statt des BDSG, da die Ausführung des AuslG Sache der Länder ist. Die Vorschrift dann jedoch in der Formulierung um die Datenschutzgesetze der Länder zu bereichern, erscheint nicht sehr rechtsförmlich. Eine Regelung die bezüglich des BDSG keinen Sinn ergibt, weil sie leer läuft, sollte nicht erlassen werden und widerspricht den Zielen der Bundesregierung zur Eindämmung der Normenflut. Will man bereichsspezifisch etwas regeln, so hat dies innerhalb der bereichsspezifischen Norm zu erfolgen, wenn die Auffangnorm nicht in der Kompetenz des Bundesgesetzgebers liegt. Noch nicht erlassene Normen der Länder bereits auszuschließen, ohne deren Inhalt zu kennen (zumal innerhalb der Dritten Säule), führt zu einer unangemessen Normenflut und einem Eingriff in die Gesetzgebungshoheit der Länder, welcher zumindest verfassungsrechtlich nicht unproblematisch sein dürfte. Vorliegend wäre eine ordentliche Lösung des Problems durch eine materielle inhaltliche Regelung im Ausländergesetz ohne weiteres möglich. | Abs. 16 |
5. |
| Da der Referentenentwurf bezüglich Art. 1 BDSG eine Synopse enthält, ist nicht nachvollziehbar ob sowohl die Beteiligung des Bundesrates richtig aufgenommen werden soll, noch, ob eine Änderung der Inhaltsübersicht des BDSG beabsichtigt ist. Insoweit kann zur Einhaltung der Rechtsförmlichkeit an dieser Stelle nichts ausgeführt werden. Es bleibt zu hoffen, daß das BMJ nach erfolgter Anhörung und vollständiger Abfassung der Mantelgesetzes zur Frage der Rechtsförmlichkeit noch beteiligt wird. | Abs. 17 |
| Unabhängig davon gehört zu einem rechtsförmlichen Gesetz auch eine klare Gesetzessprache. Dies erscheint z.B. bei der Aufrechterhaltung der Begriffe: Erheben, Verarbeiten und Nutzen, nicht gewährleistet (siehe dazu Schild, DuD 1997, S. 444 f.), zumal die Richtlinie unter Verarbeiten auch das Erheben versteht. | Abs. 18 |
6. |
| Mit Verwunderung ist auch festzustellen, daß die Bundesregierung im Rahmen der Normsetzung zum Schlanken Staat weitere "Auditierungsverfahren" plant (so FAZ vom 03. Januar 1998, S. 10, "Der Staat soll noch 1998 schlanker werden"), im vorliegenden Gesetzentwurf dieses jedoch strikt ablehnt. Dabei wäre hier ein hoher Handlungsbedarf gegeben, ist doch im Multimedia-Staatsvertrag der Länder - anders als im IuKD - ein Auditierungsverfahren vorgesehen, welches jedoch noch der weiteren Regelung durch Gesetz bedarf (es darf geraten werden, ob Bundes- oder Landesgesetz). Hier bestünde für den Bund die einmalige Chance, ein Auseinanderlaufen datenschutzrechtlicher Regelungen mit der Folge eines unterschiedlichen Datenschutzstandards im Medienbereich zwischen Bund und Ländern zu verhindern (siehe Begründung zu §41 Abs. 1 BDSG-Entwurf, Seite 76). | Abs. 19 |
7. |
| Gleiches gilt für die Bereiche der konkurrierenden Gesetzgebung bezüglich der sogenannten neueren Technologien, wie Videoaufzeichnungen, Chipkarteneinsatz und dergleichen. Es wäre nicht auszumalen, was passieren würde, wenn einzelne Länder dies auch für den nichtöffentlichen Bereich regeln. Mangels entsprechender datenschutzrechtlicher Normen durch den Bund stünde ihnen im Rahmen der konkurrierenden Gesetzgebung ein Regelungsrecht zu. | Abs. 20 |
B. Zu den Vorschriften im einzelnen: |
I. zu Art. 1 BDSG |
1. allgemeine Ausführungen |
| Es ist sehr bedauerlich, daß bei der Novellierung des BDSG versucht wurde, an das alte Gesetz mit all seinen Fehlern und Schwächen heranzugehen und dieses nachzuarbeiten, statt im Rahmen einer Revision ein neu strukturiertes Gesetz zu schaffen, welches allgemeinen Anforderungen an die Gesetzestechnik entspricht und im Hauptteil nicht ständig zu Wiederholungen führt, wie dies durch die hergebrachte Aufteilung zwischen öffentlichem und nichtöffentlichem Bereich mit allen Regelungen zementiert wird. Regelungen zur Erforderlichkeit, der Zweckbindung und den Rechten des Betroffenen gehören in einen gemeinsamen Teil. Ihre ständige Wiederholungen mit nur leichten Veränderungen die auch bei einer Zusammenfassung beider Bereiche möglich sein dürfte, führen nicht zu einer Normklarheit, wie dies wünschenswert wäre. | Abs. 21 |
| Auch scheint, wie die Richtlinie zeigt, eine Trennung zwischen öffentlichem und nicht-öffentlichem Bereich in dieser Form nicht notwendig. Zurecht hat die Datenschutzkommission des Deutschen Juristentages bereits 1974 darauf hingewiesen, wie aussichtslos im Bereich des Datenschutzes eine überzeugende Trennung staatlicher und privater Datensammlungen ist (S. 13). Dies veranschaulicht der BDSG-Entwurf in überzeugender Weise, als er für den öffentlichen wie für den nichtöffentlichen Bereich in § 4 b die Datenübermittlung ins EU-Ausland und in sog. Drittländer gemeinsam in dem Kapitel der allgemeinen Bestimmungen (erster Abschnitt) regelt. Dies noch bevor die personenbezogenen Daten normmäßig überhaupt schon erhoben und gespeichert werden, denn dies ist ja erst im zweiten und dritten Abschnitt geregelt. Gleiches gilt für die automatisierte Einzelentscheidung (§ 6 a BDSG-Entwurf) und die Einrichtung des automatisierten Abrufverfahrens (§ 10 BDSG-Entwurf). Ein nicht gerade sehr klarer Aufbau des Gesetzes, welcher zu rechtsförmlichen Bedenken Anlaß geben sollte. | Abs. 22 |
| Hinzu kommt, daß an alten Begriffen festgehalten wird, obwohl die Richtlinie von einem anderen Verständnis mit anderen Definitionen ausgeht (vgl. bereits oben A.5.). Am auffälligsten wird dies bei dem Begriff Aufsichtsbehörde, welcher zum einen im Sinne der Kontrollstelle nach Abschnitt IX der RiLI 95/46/EGverwendet wird (z.B. § 4 c Abs. 2, § 4 d Abs. 7, § 38 BDSG-Entwurf), während andererseits der Begriff Aufsichtsbehörde als Dienst- oder Fachaufsichtsbehörde, zumindest als vorgesetzer Behörde verstanden wird (§ 4 f Abs. 2 Satz 3BDSG-Entwurf). Hinzu kommt noch der Bundesbeauftragte für den Datenschutz mit der Folge, daß statt des RiLi-konformen Begriffs Kontrollstelle - wie er auch in internationalen Verträgen verwendet wird - das Gesetz künstlich aufgebläht wird: "Zu diesem Zweck kann sich in Zweifelsfragen der Datenschutzbeauftragte einer öffentlichen Stelle an den Bundesbeauftragten für den Datenschutz, der Datenschutzbeauftragte einer nichtöffentlichen Stelle an die Aufsichtsbehörde oder bei den in der Telekommunikation tätigen Unternehmen an Behörden gemäß § 4 c Abs. 2 Satz 2 wenden"(§ 4 g Abs. 1 Satz 2BDSG-Entwurf) - and so on !(4) | Abs. 23 |
| Eine nicht sehr gelungene Vereinfachung datenschutzrechtlicher Normen die von anderen Eu-Mitgliedstaaten ja auch noch verstanden werden müssen. Hätte man nicht - wie in der Richtlinie oder im Europol-Gesetz - einfach den Begriff Kontrollstelle oder Kontrollinstanz verwenden können. Dies auch im Bewußtsein, daß gerade letzteres durch die neuen Art. K. 1 bis K. 6 EUV im Vertrag von Amsterdam Bestandteil der Ersten Säule und damit in den Geltungsbereich der RiLI 95/46/EG fallen wird. | Abs. 24 |
| Es erscheint zweifelhaft, ob die Beschränkung auf das vermeintlich zwingend erforderliche zur Umsetzung der Richtlinie ausreicht (so Ziffer I. 1. Allgemeiner Teil, 1.3 der Begründung), ist doch auch das vom Bundesverfassungsgericht geforderte Gebot der Normenklarkeit (BVerGE 65, 1, 43 f.) bei der Novellierung eines Gesetzes zu beachten. | Abs. 25 |
| In § 3 Abs. 7BDSG-Entwurf wird zu Recht der Begriff der speichernden Stelle durch den der verantwortlichen Stelle ersetzt. Daß damit auch der funktionale Stellenbegriff zugunsten des organisatorischen Behördenbegriffs aufgegeben wurde (vgl. zu den Unterschieden ausführlich Demke/Schild, Kommentar zum HDSG, § 2 Erl. V), wird jedoch in der amtlichen Begründung nicht klargestellt. Es ist deshalb nicht ganz klar, ob eine solche Änderung bewußt gewollt ist, wie dies der Hessische Gesetzgeber klar zum Ausdruck gebracht hat (LT-Drs. 11/4749, S. 24 f., Teil B zu § 2 Abs. 2, abgedruckt in Demke/Schild, Kommentar zum HDSG, § 2 Erl. V). Die Einführung des organisationsrechtlichen Behörden-/Firmenbegriffs stellt einen positiven Meilenstein in der Entwicklung des Bundesdatenschutzgesetzes und des Datenschutzrechts des Bundes dar. Insoweit sollte dies auch in der amtlichen Begründung ausdrücklich gewürdigt werden. Entfallen damit doch Übermittlungen innerhalb einer "Verantwortlichen Stelle", wobei die Weitergabe (nach BDSG-Begriffsdefinition: Nutzung) jedoch weiterhin den Grundsätzen der Erforderlichkeit und Zweckbindung unterliegen würde.(5) | Abs. 26 |
| Aufgrund der derzeitigen Systematik des BDSG-Entwurfs stellt sich auch die Frage, ob eine besondere Zweckbindung für den Datenempfänger eingeführt werden müßte (ähnlich der für Dritte in § 15 Abs. 4 und § 16 Abs. 4 BDSG-Entwurf), wenn die Daten nicht übermittelt, sondern nur im Rahmen der "Nutzung" weitergegeben werden. § 14 Abs. 2BDSG-Entwurf sieht nur eine Zweckänderung bei Nutzung (Weitergabe) vor. Daß nach der Zweckänderung der dann geltende Zweck für den Empfänger bindend ist, ist nicht ausdrücklich normiert. Unter Berücksichtigung der neuen Geltung des organisatorischen Behördenbegriffs sollte diese Selbstverständlichkeit jedoch in die amtliche Begründung zur Klarstellung aufgenommen werden, um Fehlinterpretationen wegen einer vermeintlichen Regelungslücke entgegentreten zu können. | Abs. 27 |
2. zu den einzelnen Vorschriften |
2.1. zu § 3 Abs. 2 Nr. 2BDSG-Entwurf |
| Der Dateibegriff bei nicht-automatisierter Verarbeitung entspricht noch immer nicht dem der RiLi. Zwar ist der nunmehrige Definitionsvorschlag schon mehr auf die RiLi-Definition zugeschnitten, die RiLi fordert jedoch keine äußerlich vergleichbaren Merkmale im Aufbau und bestimmte Merkmale zur Zugänglichkeit. Nach der RiLi ist eine Datei jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentral ... geführt wird. Mithin kommt es auf äußerliche Merkmale nicht unbedingt an, auch wenn nicht bestritten wird, daß dies in der Mehrzahl der Fälle gegeben sein wird. Das "Auswerten können" fordert die RiLi ebenfalls nicht. | Abs. 28 |
| Im Hinblick auf die notwendige Vergleichbarkeit mit dem Datenschutzrecht der anderen EU-Länder ist hier eine ordnungsgemäße Übernahme der Definition aus Art. 2 c)RiLi zu fordern. | Abs. 29 |
2.2. zu § 3 Abs. 4 Nr. 4BDSG-Entwurf |
| Im Rahmen eines einheitlichen Datenschutzrechts innerhalb der Gesetzgebung des Bundes sollte die Weitergabe auch nicht gespeicherter Daten unter den Übermittlungsbegriff fallen. Es ist kein Grund ersichtlich, warum von § 67 Abs. 6 Nr. 3 SGB X und der dortigen Definition der Übermittlung zum BDSG-Entwurf abzuweichen ist, zumal eine Änderung der Definition in Art. 18 Nr. 1 Entwurf nicht geplant ist. | Abs. 30 |
2.3. zu § 3 Abs. 9BDSG-Entwurf |
| Es ist erfreulich, daß zumindest in den Definitionen des § 3 BDSG-Entwurf die Daten nach Art. 8 RiLi Eingang gefunden haben. Jedoch fehlt es im übrigen an der korrekten Umsetzung der Norm (siehe hierzu auch das unter A. 3.2 ausgeführte), auch wenn an einzelnen Stellen im Entwurf einmal darauf eingegangen wird. | Abs. 31 |
2.4. zu § 4 Abs. 3 Satz 1 Nr. 3 BDSG-Entwurf |
| Es ist zu begrüßen, daß nunmehr auch auf Kategorien von Empfängern hinzuweisen ist. Jedoch ist der Nachsatz "soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muß" nicht nachvollziehbar. Unabhängig von der Tatsache, daß eine solche Regelung nicht Art. 10 RiLi entspricht - weil zu eingeschränkt -, hat der jeweilige Betroffene nie mit einer Übermittlung zu rechnen, da die Datenverwendung zweckgebunden zu erfolgen hat und fast jede Übermittlung zu einer Zweckänderung führt. Es entspricht nicht dem verfassungsrechtlichen Gebot, daß der einzelne selbst über die Verwendung seiner Daten zu entscheiden hat, wenn er nicht über alles Notwendige informiert wird. Insoweit ist nach der RiLi auch nur eine "informierte Einwilligung" eine wirksame (vgl. Schild, EuZW 1996 S. 549, 551). Insoweit widerspricht die Regelung des § 4 Abs. 3 BDSG-Entwurf der Regelung des §4 a Abs. 1BDSG-Entwurf, wonach auch auf "Übermittlungen" (durch "Verarbeitung") hinzuweisen ist. | Abs. 32 |
| Insoweit erscheint der Aufbau des Gesetzes nicht ganz klar. Stehen doch die Absätze 2 bis 4 des §4BDSG-Entwurf in unmittelbaren Zusammenhang mit § 4a BDSG-Entwurf, während § 4 Abs. 1 BDSG-Entwurf das regelt, was die Überschrift zu dem Paragraphen hergibt. | Abs. 33 |
2.5. zu § 4 Abs. 3 Satz 3und § 4 a Abs. 1 Satz 2BDSG-Entwurf |
| Die Verbesserung der Sätze ist ausdrücklich zu begrüßen, jedoch sollte zur Sicherstellung der Einwilligung in Kenntnis der Sachlage immer aufgeklärt werden, wenn nicht nach den Umständen des Falles darauf verzichtet werden kann (z.B. bei 20-zigster Antragstellung). Die Forderung nach einem Verlangen des Betroffenen ist verfassungsrechtlich bedenklich und entspricht nicht der RiLi. | Abs. 34 |
2.6. zu § 4 a BDSG-Entwurf allgemein |
| Zwar ist die Weiterverarbeitung auf CD-ROM in § 29 BDSG-Entwurf aufgenommen worden. Der Normierungsansatz ist jedoch nicht vollständig durchdacht. Für eine Weiterverwendung personenbezogener Daten kann es nicht auf den mutmaßlichen Willen des Betroffenen ankommen. Unter Berücksichtigung der besonderen Speicher- und Verknüpfungsmöglichkeiten ist sicherzustellen, daß grundsätzlich immer die Einwilligung des Betroffenen zur Verwendung auf diesem Speichermedium vorliegt. Daß Daten auf CD-ROM zu weiteren Verknüpfungen und Auswertungen gespeichert werden, entspricht nicht unbedingt Treu und Glauben (Art. 6 Abs. 1 Lit a) RiLi). Insoweit bedarf es bereits bei der Einwilligung einer Differenzierung bei Veröffentlichung von Daten des Betroffenen in Adreß-, Telefon-, Branchen- oder vergleichbaren Verzeichnissen, mit der Maßgabe, daß der Betroffene die automatisierte Auswertung, auch durch Dritte im Rahmen der Erhebung, Verarbeitung oder Nutzung nach § 29 auf ein bestimmtes Merkmal begrenzen kann. Ggf. muß bei Veröffentlichungen auf die begrenzte Einwilligung hingewiesen werden. | Abs. 35 |
| Ein entsprechender Formulierungsvorschlag liegt bereits vor. | Abs. 36 |
2.7. zu § 4 b BSDG-Entwurf |
| Es ist erfreulich zu sehen, daß der vorliegende Entwurf nunmehr eine differenzierte Übermittlungsregelung für personenbezogene Daten ins Ausland vorsieht; eine solche innerhalb des Anwendungsbereichs der Richtlinie und eine sonstige, jeweils bezogen auf EG-Staaten und "Drittstaaten". Leider gelingt dies nur unvollständig. | Abs. 37 |
- zu Abs. 1 von § 4 bBDSG-Entwurf |
| Nach § 4 b Abs. 1BDSG-Entwurf wäre keine Datenübermittlung an nichtöffentliche Stellen der Mitgliedstaaten innerhalb des Anwendungsbereichs der Richtlinie möglich. Dies ist nicht RiLi-konform. | Abs. 38 |
| Richtigerweise müßte es lauten: | Abs. 39 |
| Abs. 40 |
| Begründung: | Abs. 41 |
| Neu aufgenommen wurde die Übermittlung nach § 15 Abs. 1 BDSG entsprechend für öffentliche Stellen der Mitgliedsstaaten der EU, die denen des Bundes- und der Länder nach § 2 BDSG entsprechen. Der Übergang von der Datenverwendung innerhalb der Richtlinie zu Bereichen, welche von der Richtlinie nicht erfaßt werden, ist von der Richtlinie nicht ausdrücklich geregelt. Da eine offene grenzüberschreitende Datenverwendung jedoch nur nach den Regeln der Richtlinie zulässig sein soll, bedarf jede Zweckänderung und Verwendung der personenbezogenen Daten außerhalb des Anwendungsbereichs der Richtlinie der Zustimmung der übermittelnden Stelle. Nur so ist das Recht auf informationelle Selbstbestimmung gewährleistet, da die RiLi keine Sicherheiten in diesem Bereich für die übrigen EU-Staaten vorsieht. | Abs. 42 |
- Zu Absatz 2 von § 4 bBDSG-Entwurf |
| In Absatz 2 Satz sind die Worte "nach Maßgabe der für die Übermittlung geltenden Gesetze und Vereinbarungen" zu streichen: | Abs. 43 |
| Begründung: | Abs. 44 |
| Bei Beibehaltung dieser Formulierung gäbe es im BDSG keine Erlaubnisnorm zur Datenübermittlung in EU-Staaten außerhalb der RiLi und in Drittstaaten. Da es insbesondere im nichtöffentlichen Bereich keine bereichsspezifischen Gesetze gibt, welche die Übermittlung ins Ausland regeln. In nicht öffentlichen Bereich würden dann nur die Bereiche eine Datenübermittlung zulassen, in denen es eine völkerrechtliche Vereinbarung durch Staatsvertrag, mithin ebenfalls durch formelles und materielles Gesetz, in welchem die Maßgaben der Datenübermittlung - insbesondere der Zweckbindung - geregelt sind, gibt, was nur bei neueren Vereinbarungen der Fall ist. Da im Entwurf mit "Vereinbarungen" auch nichts anderes gemeint sein kann als Staatsverträge die vom Bundesgesetzgeber ratifiziert wurden, handelt es sich damit ebenfalls um formelle und materielle Gesetze, so daß selbst bei Beibehaltung des Regelungsinhalts des Entwurfes eine überflüssige Formulierung aufgenommen würde (vgl. insoweit zur geltenden Rechtslage Dammann in Simitis/Dammann//Geiger/Mallmann/Reh, Kommentar zum BDSG, § 17 Rdnrn. 22 ff.). | Abs. 45 |
- Zu Abs. 6 von § 4 bBDSG-Entwurf |
| Die Regelung wird ausdrücklich begrüßt, auch wenn eine Begründung dafür nicht gegeben wird. So bleibt verborgen, warum eine Zweckänderungsklausel fehlt. Es wird daher folgende Formulierung vorgeschlagen: | Abs. 46 |
| "Die Stelle, an die Daten nach Abs. 2 übermittelt werden, ist darauf hinzuweisen, daß die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden. Eine Verwendung der übermittelnden Daten für andere Zwecke ist nur zulässig, soweit die übermittelnde Stelle zugestimmt hat." | Abs. 47 |
| Begründung: | Abs. 48 |
| Der erste Satz entspricht dem Entwurf. Satz zwei dient der Sicherheit des Rechts auf informationelle Selbstbestimmung und soll verhindern, daß Daten rechtsmißbräuchlich für andere Zwecke genutzt werden. | Abs. 49 |
2.8. zu § 4 c BDSG-Entwurf |
| Hier ist mit Interesse festzustellen, daß Ausnahmen nur innerhalb des Anwendungsbereichs der Richtlinie zugelassen werden. Diese Konsequenz ist positiv hervorzuheben, auch wenn sich die Frage stellt, ob sich ein Datenübermittlungsverbot bei fehlendem Datenschutzniveau außerhalb des Anwendungsbereichs der Richtlinie so konsequent durchhalten läßt. | Abs. 50 |
2.9. zu § 4 c Abs. 2BDSG-Entwurf |
| Hier ist "§ 4 b Abs. 1" durch " § 4 b Abs. 2" zu ersetzen. | Abs. 51 |
| Begründung: | Abs. 52 |
| Redaktionelle Folgeänderung der Veränderung innerhalb des Entwurfs und Neugestaltung des Absatzes 1 von § 4 b durch das BMI. | Abs. 53 |
2.10 zu § 4 d BDSG-Entwurf |
| Der Wegfall von Ziffer 3 in Absatz 4 ist ausdrücklich zu begrüßen. | Abs. 54 |
| Der Wegfall der Meldepflicht nach Absatz 3 "wegen besonderer Schutzvorschriften" ist zu unbestimmt. Zwar ergibt sich aus der Begründung, daß § 203 StGB nicht mehr als Schutzvorschrift ausreichend sei, sondern jeweils "berufsständische Regelungen und deren Kasuistik" hinzukommen müssen. Dies gehört aber zur näheren Konkretisierung und Ausfüllung in den Gesetzeswortlaut mit aufgenommen. | Abs. 55 |
Der letzte Satzteil könnte insoweit lauten:
| Abs. 56 |
| Der Kursivzusatz in Absatz 5 sollte auf den Fall der gesetzlichen Regelung beschränkt werden. Ein allgemeines gesetzliches Gebot kann nicht ausreichend sein. Die Erweiterung auf ein Vertragsverhältnis oder die Einwilligung käme nur in jeweils bereichsspezifischen Regelungen in Betracht und würde Satz 1 von Absatz 5 bei einer so weitgehenden Verallgemeinerung leerlaufen lassen. | Abs. 57 |
| In Absatz 6 sollte aufgenommen werden, daß bei jeder Verarbeitung sensitiver Daten eine Vorabkontrolle durchzuführen ist. Nur so wäre auch die Ausnahme in Absatz 5 zu rechtfertigen. | Abs. 58 |
| Allerdings findet sich keine Begründung, warum eine Vorabkontrolle nur bei nicht-öffentlichen Stellen notwendig ist, nicht jedoch bei öffentlichen Stellen. Gerade auch in Bereichen der Personaldatenverarbeitung sind Fälle denkbar, wo eine Vorabkontrolle auch bei öffentlichen Stellen dringend erforderlich ist. Im übrigen differenziert die RiLi 95/46/EG in Art. 20 Abs. 1 RiLi nicht zwischen öffentlichen und nichtöffentlichen Stellen. Daß bei öffentlichen Stellen ein solcher Fall der notwendigen Vorabkontrolle immer nur durch bereichsspezifisches Gesetz geregelt wird, ist nicht möglich und würde zu einer unnötigen Normenflut führen und anderseits die Verwaltung in ihrer Handlungsfähigkeit gerade bei Nutzung moderner Formen der Datenverwendung erheblich behindern.(6) | Abs. 59 |
2.11. zu § 4 e Satz 2 |
| Satz 2 ist zu streichen, da zu Recht § 4 d Abs. 4 Nr. 3 von Seiten des BMI gestrichen wurde. Es handelt sich hier um eine redaktionelle Korrektur. | Abs. 60 |
2.12. zu § 4 f |
| Die Regelung wird mit Ausnahme von Absatz 6 begrüßt. | Abs. 61 |
| Wünschenswert wäre jedoch in § 4 f oder bei den Kontrollbehörden die Einführung eines Regulativs gegen eine zu häufige Bestellung als externer Datenschutzbeauftragter. Bereits bei nur einem Tag im Monat bei einer verantwortlichen Stelle könnte ein externer Datenschutzbeauftragter nicht mehr als 20 Kunden (verantwortliche Stelle) betreuen. Im Hinblick auf den neuen Aufgabenbereich kann bei einer übermäßigen Bestellung einer Person als Datenschutzbeauftragten bei verschieden Stellen nicht mehr von der erforderlichen Zuverlässigkeit gesprochen werden. | Abs. 62 |
| Absatz 6 von § 4 fBDSG-Entwurf ist zu streichen. | Abs. 63 |
| Begründung: | Abs. 64 |
| Er macht keinen Sinn. Soweit bereichsspezifisch im Anwendungsbereich des jeweiligen Gesetzes nach Art. 2 bis 7 des Entwurfes die Sachkunde des internen Datenschutzbeauftragten nicht gewollt sein soll, möge der Gesetzgeber dies so regeln, auch wenn dies mit der Rechtsprechung des Bundesverfassungsgerichts zu dem Datenumgang bei Sicherheitsbehörden nicht ganz zu vereinbaren ist. Den Datenschutzbeauftragten jedoch auch innerhalb des Anwendungsbereichs der Richtlinie (z.B. Personaldatenverarbeitung) auszuschließen, dürfte als Verstoß gegen die RiLi zu werten sein, dies zumal die Begründung auf dieses Problem gar nicht eingeht. | Abs. 65 |
| Mit Verwunderung kann dann nur noch die doppelte Verneinung beim Bundesministerium der Verteidigung gewertet werden, mit ihrer Folge, daß nach dem Entwurf ein Datenschutzbeauftragter dann zu bestellen ist, soweit die Sicherheit des Bundes berührt wird. Ist das wirklich so gemeint ? | Abs. 66 |
| Tatsache dürfte jedoch sein, daß es beim Bundesministerium der Verteidigung auch Bereiche des Umgangs mit personenbezogenen Daten gibt, welche unter die Richtlinie fallen. | Abs. 67 |
2.13. zu § 7 und § 8 BDSG-Entwurf |
| Die im Entwurf vorgesehene Regelung des Schadensersatzrechts ist grundsätzlich zu begrüßen. Die in § 7 aufgenommene Anmerkung sollte nicht umgesetzt werden, da sie einen Rückschritt gegenüber einer vernünftigen Schadensersatzregelung beinhaltet. | Abs. 68 |
| Die Differenzierung des Schadensersatzes bei automatisierter Datenverarbeitung zugunsten eines verschuldensunabhängigen Schadensersatzes bei der Datenverarbeitung öffentlicher Stellen ist jedoch nicht nachzuvollziehen. Die so vorgenommene Privilegierung nichtöffentlicher Stellen führt zu einer Ungleichbehandlung. Dies vor allem vor dem Hintergrund, daß die wirklichen Gefahren für den Betroffenen wohl zunehmend bei nichtöffentlichen Stellen eintreten können. Andererseits besteht auch kein sachlicher Grund, die nichtöffentlichen Stellen zu privilegieren, ist doch trotz einer solchen Regelung der verschuldensunabhängigen Haftung bei öffentlichen Stellen bis heute kein Fall in Erscheinung getreten, mithin ein solcher Fall recht unwahrscheinlich. | Abs. 69 |
2.14 zu § 9 BDSG-Entwurf |
| Die bisherige Regelung der Aufnahme einer Anlage für automatisierte Datenverarbeitung zur Regelung der technischen und organisatorischen Maßnahmen ist antiquiert und entspricht nicht einem ordentlichen Gesetzesaufbau. Dies zumal die im ersten BDSG vorgesehene Ermächtigung der Änderung der Anlage durch Rechtsverordnung bereits heute entfallen ist und damit die Aufnahme der Anlage keine sachliche Begründung mehr hat. Auf das positive Beispiel in Hessen ist hinzuweisen (siehe Demke/Schild, Kommentar zum Hessischen Datenschutzgesetz, § 10). | Abs. 70 |
| Auch bei nicht-automatisierten Dateien ist die Organisation so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird. Hierzu zählt zunächst der Grundsatz der Datensparsamkeit und der Funktionstrennung, die Innen- und Außentransparenz sowie die Revisionsfähigkeit. Gerade letzteres ist auch bei verbundenen Verfahren erforderlich. | Abs. 71 |
| Zur Anlage als solcher: Auch die ausgewählte Technik muß den Anforderungen des Datenschutzes genügen, insoweit ist sie in den Eingangsworten mit zu erfassen. | Abs. 72 |
| Bei Ziffer 3 wird von "kopieren" gesprochen, ein Begriff, der in § 3 BDSG-Entwurf nicht definiert ist. Kopieren kann, muß jedoch nicht auch speichern erfassen, insoweit ist die Speicherung mit aufzunehmen. Andererseits ist die Speicherung Teil der Verarbeitung so daß die Worte "nach der Speicherung" aus logischen Gründen bereits zu streichen sind. | Abs. 73 |
| Bei Ziffer 5 muß zu einer Rekonstruierbarkeit auch der Zeitpunkt bekannt sein, insoweit ist dieser mit aufzunehmen. | Abs. 74 |
| Bei Ziffer 7 ist der Begriff "Zerstören" nicht klar. Bisher ist nur das Löschen als physische Vernichtung definiert. Sollte hier etwas anderes gemeint sein, so müßte dies in § 3 mit aufgenommen und definiert werden. | Abs. 75 |
2.15. zu § 12 Abs. 4 |
| Auch die Veränderung und Ergänzung des Absatzes 4 macht die Regelung nicht besser. Wird doch gänzlich unberücksichtigt gelassen, daß für Beamte, Richter und Soldaten bereichsspezifische Regelungen zum Personalaktenrecht vorliegen (vgl. Schild, DuD 1997 S. 720, 772). Wenn schon die Bundesregierung nicht gewillt ist, dem Bundestag entgegen seinen Forderungen einen Gesetzentwurf zum Arbeitnehmerdatenschutzgesetz vorzulegen, so wäre es bis zur Schaffung eines Arbeitnehmerdatenschutzgesetzes zumindest erforderlich, daß für die Beschäftigten des öffentlichen Dienstes - mit Ausnahme der Beamten - im Rahmen eines Artikel X auf die Regelungen des Bundesbeamten - oder Beamtenrechtsrahmengesetzes Bezug genommen wird. Dadurch käme man auch dem Ziel einer schlankeren Verwaltung entgegen, weil durch eine solche Verweisung unnötig komplizierte Verwaltungsabläufe vermieden werden könnten. | Abs. 76 |
2.16. zu § 13 BDSG-Entwurf |
| Das Wort "verantwortlichen" ist durch das Wort "erhebenden" zu ersetzen. | Abs. 77 |
| Begründung: | Abs. 78 |
| Eine verantwortliche Stelle kann - muß aber nicht die erhebende Stelle sein. Der Erforderlichkeitsgrundsatz ist unmittelbar mit der Erhebung verbunden, so daß es auf die Kenntnis der erhebenden Stelle zur Aufgabenerfüllung ankommt und nicht auf die der verantwortlichen Stelle. Eine Ausnahme wäre nur bei einer Datenerhebung im Auftrage gegeben. | Abs. 79 |
2.17. zu § 19 Abs. 2 |
| Der Absatz 2 von § 19 ist ersatzlos zu streichen. Die Verweigerung der Auskunft, auch durch Neuaufnahme der Einschränkung der möglichen Verweigerung der Auskunft über den Zusatz "unverhältnismäßigen Aufwand", entspricht weder dem verfassungsrechtlichen Gebot, daß jeder wissen müsse, was wo über ihn gespeichert ist, noch der RiLi 95/46/EG. Der Schutz der betroffenen Person und die Rechte und Freiheiten anderer Personen (Art. 13 Abs. 1 Buchstabe g RiLi) - wie dies in der Begründung angegeben wird - begründen die hier vorgenommene Ausnahme nicht. | Abs. 80 |
2.18. zu § 19 a BDSG-Entwurf |
| Die Aufnahme des Satzes 2 bei Absatz 2 wird ausdrücklich begrüßt. Nicht zu verstehen ist hingegen der Satz 2 von Absatz 1. Satz 2 in Absatz 1 ist zu streichen. | Abs. 81 |
| Begründung: | Abs. 82 |
| Zum einen ist in Satz 1 von Empfängern oder gar Kategorien von Empfängern keine Rede und damit Satz 2 sachunlogisch. Zum anderen handelt es sich um eine wesentliche Beschränkung der Umsetzung von Art. 11 RiLi, welche unzulässig sein dürfte. Eine Begründung zur Aufnahme des Satzes 2 in Absatz 1 fehlt gänzlich. | Abs. 83 |
| Jedoch ist aufzunehmen, daß bei Übermittlungen der Betroffene auch über die Kategorien von Empfängern benachrichtigt wird. | Abs. 84 |
2.19. zu § 20 BDSG-Entwurf |
| In Absatz 2 sind die Wörter "in Dateien" zu streichen. | Abs. 85 |
| Begründung: | Abs. 86 |
| Auch die Datenverwendung außerhalb von Dateien wird für öffentliche Stellen geregelt. Insoweit sind personenbezogene Daten, welche nicht in Dateien gespeichert sind, ebenfalls zu löschen, wenn ihre Speicherung unzulässig ist oder diese nicht mehr erforderlich sind. Eine Differenzierung mit dem Ziel der Aufbewahrung personenbezogener Daten außerhalb von Dateien trotz sonstigen Löschungsgrundes ist verfassungsrechtlich nicht begründbar. Nur für das in Absatz 5 vorgesehene Widerspruchsrecht ergibt sich die Differenzierung durch die RiLi. | Abs. 87 |
2.20. zu § 23 Abs. 5BDSG-Entwurf |
| Die Aufnahme der Regelung von Satz 7 wird ausdrücklich begrüßt. Da es sich bei § 43BDSG jedoch immer noch um ein Antragsdelikt handelt, wäre zur korrekten Umsetzung der Richtlinie entweder §43 Abs. 4 BDSG zu streichen oder dem Bundesbeauftragten eine Antragsbefugnis einzuräumen. Andernfalls liefe Art. 28 Abs. 3 3. Spiegelstrich RiLi leer, da die RiLI 95/46/EG keine Strafantragsbefugnis als Besonderheit des deutschen Rechts kennt. | Abs. 88 |
| Im übrigen müßte - soweit die Regelung verfassungsrechtlich zulässig ist - in Absatz 8 auch Satz 7 von Absatz 5 mit erwähnt werden. | Abs. 89 |
| In Absatz 8 sind die Worte "5 und 6" durch die Worte " 5 bis 7" zu ersetzen. | Abs. 90 |
| Begründung: | Abs. 91 |
| Redaktionelle Folgeänderung durch die Aufnahme des Satzes 7 in Absatz 5 durch das BMI. | Abs. 92 |
2.21. zu § 24 BDSG-Entwurf |
- zu Absatz 1 Satz 2BDSG-Entwurf |
| Absatz 1 Satz 2 ist zu streichen. | Abs. 93 |
| Begründung: | Abs. 94 |
| Außer in den Landesdatenschutzgesetzen in Bayern und Baden-Würtemberg findet sich keine solch einschränkende Regelung der Anlaßkontrolle. Ein sachlicher Grund ist hierfür auch nicht gegeben, fallen doch eine Vielzahl von Akten unter die nicht-automatisierte Datei. Für den Restbestand eine solche Regelung aufrecht zu erhalten entspricht nicht der Bedeutung und Funktion des Beauftragten für Datenschutz nach der Rechtsprechung des Bundesverfassungsgerichts. | Abs. 95 |
- zu Absatz 2 Satz 4 Nr. 1BDSG-Entwurf |
| Das Bundesverfassungsgericht hat in seiner Entscheidung vom 20. Juni 1984 (E 67, 157, 185) zur Fernmeldeüberwachung ausdrücklich festgehalten, daß Eingriffe in die Abwehrrechte des Einzelnen nur deshalb hingenommen werden können, weil die Kontrolle der Maßnahmen ".... durch unabhängige und an keine Weisung gebundene staatliche Organe und Hilfsorgane (Kontrollkommission und Datenschutzbeauftragte) sichergestellt ist". Hierbei wird an die Entscheidung zum Volkszählungsgesetz und eine noch viel ältere aus 1970 (E 30, 1 ff.) angeknüpft. Bereits in dieser letztgenannten Entscheidung wurde ein Eingriff nur insoweit zugelassen, als eine Nachprüfung möglich sein muß, die materiell und verfahrensmäßig der gerichtlichen Kontrolle gleichwertig ist. Hieran fehlt es jedoch bis heute. Eine lückenfreie Kontrolle der Datenerhebung und Verwendung, die den rechtsstaatlichen Anforderungen genügt, ist nicht gegeben. Zwar macht die G 10-Kommission ihre alleinige Zuständigkeit geltend, die Qualität der Arbeit wird jedoch des öfteren von Mitgliedern in der Presse nicht gerade positiv dargestellt. Hinzu kommt, daß sich die G 10-Kommission nach dem G 10-Gesetz bei der Kontrolle nur auf der Überwachung, die Aufzeichnung und die Mitteilung an die Betroffenen zu beschränken hat, mithin die Datenerhebung, die Speicherung und eventuell die Benachrichtigung ihrer Zuständigkeit unterliegt. Die sonstige Datenverwendung wie Löschung, Übermittlung, sonstige Nutzung unterliegen allenfalls dem Bundesbeauftragten für den Datenschutz, wenn man § 24 Abs. 2 Satz 4 Nr. 1 BDSG im Sinne der Rechtsprechung des Bundesverfassungsgerichts verfassungsgemäß auslegt und anwendet. Doch ob der Bundesbeauftragte für den Datenschutz die ihm zugedachte sehr wichtige Kontrolle wirklich ausüben kann, ist mit einem dicken Fragezeichen zu versehen. Zumindest hat er nach der Auffasssung der G 10 -Kommission keine Kontrollrechte und hat die Kommission nach den Tätigkeitsberichten des Beauftragten für Datenschutz bisher nie um die Kontrolle der Einhaltung der Vorschriften über den Datenschutz ersucht (§ 24 Abs. 2 Satz 4 Nr. 1BDSG). | Abs. 96 |
| Insoweit bedarf es der ausdrücklichen Klarstellung der Kontrollbefugnisse des Beauftragten für Datenschutz. Die Übertragung datenschutzrechlicher Fachkompetenz auf die G 10 - Kommission wäre verfassungsrechtlich bedenklich, ist sie doch nach Angaben ihrer Mitglieder in der Öffentlichkeit bereits heute nicht in der Lage, ihre Aufgaben wirklich wahrzunehmen. | Abs. 97 |
- Zu Absatz 2 Satz 4 Ziffer 2und Satz 5 |
| Sicherheitsakten sind Personalakten im weiten Sinne und fallen unter die RiLi 95/46/EG. Eine Sonderregelung dafür wäre nicht richtlinienkonform. Die im übrigen geforderte Unterrichtung über ein Widerspruchsrecht hinsichtlich des Akteneinsichtsrechts des Beauftragten für Datenschutz geht weit über sonstige Unterrichtungen des Betroffenen im Umgang mit personenbezogenen Daten hinaus. Die Regelung steht somit in einem krassen Mißverhältnis zu den übrigen Regelungen. Nur, wenn in allen übrigen Bereichen eine so umfassende Aufklärungspflicht aufgenommen würde, wäre sie verhältnismäßig. Da dies aber nicht der Fall ist und der Beauftragten für Datenschutz Widersprüche auch ansonsten akzeptiert, hat die Regelung zu entfallen. | Abs. 98 |
2.22. zu § 26 BDSG-Entwurf |
| Hier sollten mindestens die gleichen Regelungen zur Beteiligung des Beauftragten für Datenschutz bei der Erarbeitung von Rechtsvorschriften und Verwaltungsanweisungen geschaffen werden, wie dies für die Ausländerbeauftragten bei der letzten Änderung des Ausländergesetzes geschehen ist. Nur eine offene, ständige Beteiligung und Information kann in Zukunft gewährleisten, daß die Normen über den Umgang mit personenbezogenen Daten aufeinander abgestimmt werden und ein einheitliches Datenschutzrecht erreicht wird. | Abs. 99 |
| Ein zwingendes Erfordernis gerade auch für das vorliegende Mantelgesetz. | Abs. 100 |
2.23 zu § 28 BDSG-Entwurf |
| Absatz 2 wird begrüßt. | Abs. 101 |
| Der Punkt ist jedoch durch ein Komma zu ersetzen und es sind die Worte anzufügen. "und es sich nicht um Daten nach § 3 Abs. 9 handelt. Bei letzteren ist die Einwilligung des Betroffenen erforderlich." | Abs. 102 |
| Begründung: | Abs. 103 |
| Umsetzung von Art. 8 RiLi. | Abs. 104 |
| Absatz 3 ist vom Aufbau bereits in der alten Fassung nicht rechtsförmlich. Dieses Manko wird durch die nunmehrige Fassung noch manifestiert. | Abs. 105 |
Richtig und datenschutzrechtlich unbedenklich müßte
Absatz 3 lauten:
| Abs. 106 |
| Begründung: | Abs. 107 |
| Die Vorschrift war sprachlich und rechtsförmlich zu straffen und klar zu gliedern. Eine Nutzungszweckänderung ist bereits durch Absatz 2 geregelt, so daß die Nutzung nicht mehr mit aufzunehmen war. Satz 2 dient als geeignete Garantie im Sinne von Art. 8 Abs. 4 RiLi. Der Klammerzusatz gilt als Alternative zum sprachlichen Verständnis der RiLi. | Abs. 108 |
| Als Folge ist in §29 Abs. 2 in Ziffer 1.b) der Bezug " § 28 Abs. 3 Nr. 1 Buchstabe b" nicht umzuschreiben, was bei Belassung des Entwurfstextes ansonsten zur Korrektur in Buchstabe c) führen würde. Jedoch ist § 29 Abs. 2 Satz 2 infolge der Änderung von § 28 Abs. 3durch den Satz: "Von einem schutzwürdigen Interesse des Betroffenen ist immer auszugehen, wenn es sich um Daten nach § 3 Abs. 9 oder solche, die sich auf arbeitsrechtliche Rechtsverhältnisse beziehen, handelt." zu ersetzen | Abs. 109 |
| Bei Absatz 4 fehlt die Hinweispflicht auf die Widerspruchsmöglichkeit (vgl. oben zu § 24 Abs. 2, auch zur Begründung). Insoweit ist der Absatz um den Satz zu ergänzen: | Abs. 110 |
| "Der Betroffene ist über das ihm zustehende Widerspruchsrecht in allgemeiner Form zu unterrichten." | Abs. 111 |
2.24. zu § 29 Abs. 3BDSG-Entwurf |
| Die an sich zu begrüßende Regelung des Absatzes 3 läuft leer, wenn keine Regelung über den Willen des Betroffenen bei der Einwilligung aufgenommen wird. Auf die Ausführungen zu § 4 a BDSG-Entwurf wird bezug genommen. | Abs. 112 |
2.25. zu § 33 BDSG-Entwurf |
| Bei Absatz 1 ist Art. 11 Abs. 1 Buchstabe c) RiLi nicht vollständig umgesetzt; die Einschränkung in Satz 2 wird der Benachrichtigungspflicht nicht gerecht. | Abs. 113 |
| Der in Absatz 2vorgesehene Ausnahmekatalog von der Benachrichtigung des Betroffenen ist zu umfangreich. Die Nrn. 2, 6a und 7 b sind zu streichen. Um eine geeignete Garantie im Sinne der RiLi zu gewährleisten, müßte der neue Satz 2 lauten: "In allen Fällen, außer denen der Nr. 1 und 5, bedarf es der Zustimmung der Aufsichtsbehörde (Kontrollstelle)". | Abs. 114 |
2.26. zu § 34 BDSG-Entwurf |
| Die Einschränkung des Auskunftsrechts in Absatz 1 geht zu weit. | Abs. 115 |
Die Sätze 3 und 4 sind wie folgt in einen Satz zu fassen:
| Abs. 116 |
| Auch geht die Einschränkung in Absatz 2 Satz 2 zu weit. Auch diese ist wegen Art 12 RiLi zu streichen. | Abs. 117 |
| Ebenfalls wird Absatz 4durch Art. 13 RiLi nicht gedeckt, weshalb er zu streichen ist. | Abs. 118 |
2.27. zu § 35 BDSG-Entwurf |
| Bei Absatz 2 Nr. 3sind die Worte "sie für eigene Zwecke verarbeitet werden," zu streichen. | Abs. 119 |
| Begründung: | Abs. 120 |
| Personenbezogene Daten dürfen im Lichte der Rechtsprechung des Bundesverfassungsgerichts zum Recht auf informationelle Selbstbestimmung nur so lange verarbeitet und damit gespeichert werden, wie dies erforderlich ist. Durch die Streichung des Satzteils wird sichergestellt, daß auch bei fremden Zwecken bei fehlender Erforderlichkeit eine Löschung zu erfolgen hat. | Abs. 121 |
| Bei Absatz 5, welcher begrüßt wird, fehlt der Zusatz der Informationspflicht über das Widerspruchsrecht und seine Auswirkungen. | Abs. 122 |
| Die auf Seite 68 des Entwurfs aufgeführten Absätze 5 bis 7 sind durch die Ziffernfolge 6 bis 8 zu berichtigen. Es handelt sich hierbei um eine redaktionelle Notwendigkeit durch die Einführung des Absatzes 5 auf Seite 67 durch das BMI. | Abs. 123 |
2.28. zu § 38 BDSG-Entwurf |
| Zum Begriff der Aufsichtsbehörde wurde bereits eingangs Stellung bezogen. Die Regelung läßt jedoch die Umsetzung von Art. 28 RiLi vermissen, wonach die Kontrollbehörde ihre Aufgaben in "völliger Unabhängigkeit" wahrzunehmen hat (vgl. Schild, EuZW 1996 S. 549, 554). Soweit hierunter von den Ländern die Unabhängigkeit gegenüber dem zu Kontrollierenden verstanden werden soll, ist dies wohl ein Wunschdenken. Die Bundesregierung und die Vertreter der Länder haben nicht für einen Protokollvermerk - wie bei anderen Punkten - gesorgt, welcher diese Auffassung rechtfertigen würde. Da die Richtlinie auch vom Europäischen Parlament anzunehmen war, kann auch auf Überlegungen bei den Erörterungen mit dem Rat nur dann zurückgegriffen werden, wenn dies dem Parlament bekannt wird. Da dies nicht der Fall ist, hat die RiLi ein Eigenleben entwickelt, welches bindend ist. Hinsichtlich der verfassungsrechtlichen Zulässigkeit einer solchen unabhängigen Kontrollstelle wird auf das Gutachten des BMJ voll inhaltlich bezug genommen. | Abs. 124 |
| Auch fehlt es an der ordnungsgemäßen Umsetzung - trotz Abs. 1 Satz 5-, wenn bei den Regelungen in § 23 Abs. 5 kein Strafantragsrecht mit aufgenommen wird. | Abs. 125 |
| Bezüglich der Rechte der Aufsichtsbehörde nach Abs. 4 stellt sich die Frage, ob diese nicht umfangreicher sein müßten (vgl. die Rechte der Börsenaufsicht). | Abs. 126 |
2.29. zu § 38 a BDSG-Entwurf |
| Wenn schon die Aufsichtsbehörde nach Absatz 2 zur Prüfung im Vorfeld verpflichtet ist, bedarf es auch der späteren Prüfung der ordnungsgemäßen Umsetzung und der Beanstandung durch die Kontrollbehörde. Andernfalls sind Verhaltensregeln eine Farce, wenn man sich später nicht daran orientiert. | Abs. 127 |
2.30. zu § 41 BDSG-Entwurf |
| Bezüglich des Absatzes 1 siehe die einleitenden Ausführungen (A.4.). | Abs. 128 |
| Die Absätze 2bis 4 sowie der § 42 beziehen sich auf die Deutsche Welle. Wieso einmal von der Deutschen Welle und einmal von den Rundfunkanstalten des Bundesrechts die Rede ist, ergibt sich nicht aus der Begründung. Unter dem Gesichtspunkt einer schlanken Normgebung sollte man sich zum einen auf einen Begriff beschränken und zum anderen bereichsspezifische Regelungen auch in das dazugehörige bereichsspezifische Gesetz über die Deutsche Welle aufnehmen und nicht in einem Querschnittsgesetz verstecken. Es sollte der Grundsatz der Normenklarheit besser beachtet werden. | Abs. 129 |
| Absatz 4 von § 41entspricht nicht Art. 9 der RiLi, auch wenn dies durch die Begründung behauptet wird. Wenn überhaupt der Weg der Ausnahmen - wie in Absatz 4 - weiterhin aufrecht erhalten werden soll, sind ebenso §§ 2, 3, 4, 4 a bis g, 6 a, 11, 28, 29, 34 BDSG mit aufzunehmen. | Abs. 130 |
2.31. zu § 42 BDSG-Entwurf |
| Eine Privilegierung der Rundfunkanstalt ist nur hinsichtlich der journalistisch-redaktionellen Daten zulässig. Insoweit bedarf es für den Teil, welcher nicht privilegiert ist, der externen Kontrolle. Dies wird durch die vorliegende Regelung nicht gewährleistet. Sachliche Gründe, die die beabsichtigte Regelung rechtfertigen würden, sind ebenfalls nicht ersichtlich, wie auch § 37 HDSG beweist (ausführlich zur unterschiedlichen Zuständigkeit des Datenschutzbeauftragten der Rundfunkanstalt und des LfD, siehe Demke/Schild, Kommentar zum HDSG, § 37 Erl. III.). Die vorgesehene Regelung ist insoweit verfassungsrechtlich bedenklich und nicht richtlinienkonform. | Abs. 131 |
2.32. zu § 43 BDSG-Entwurf |
| Bei Absatz 1 Nr. 1wird die Dreifaltigkeit von Erheben, Verarbeiten und Nutzen nicht durchgehalten. Da Nutzen nach der Systematik des BDSG eine der wichtigsten Formen des Datenumgangs ist, würde die fehlende Aufnahme zu einer Strafbarkeitslücke führen. | Abs. 132 |
| Auch sollte Absatz 4entfallen, damit die Nebenstrafrechtsnorm endlich einmal zum Zuge kommen kann. Andernfalls läuft sie ins leere, wie der praktische Umgang zeigt. | Abs. 133 |
2.33. zu § 45 BDSG-Entwurf |
| Die Übergangsvorschrift ist nicht praktikabel. Erforderlichkeits- und Zweckbindungsgrundsatz haben sofort zu gelten und würden auch gelten. Was allenfalls geregelt werden könnte, ist die Bestellung von Datenschutzbeauftragten, die Meldepflicht und dergleichen. Nach der vorgesehenen Regelung finden diese Vorschriften unmittelbar Anwendung. Eine Übergangsregelung käme jedoch wohl hier für einen gewissen Zeitraum von drei bis sechs Monaten nach Inkrafttreten in Betracht und wäre durchaus verhältnismäßig. | Abs. 134 |
II. |
| In den Änderungen der Sicherheitsgesetze fällt auf, daß die Regelungen des BDSG über die Dateimeldung und die Bestellung eines internen Datenschutzbeauftragten bei der Erfüllung der jeweiligen Aufgaben keine Anwendung finden sollen. Dies entspricht nicht der derzeitigen Rechtslage und Praxis. Warum Dateimeldungen zumindest an den Beauftragten für Datenschutz entfallen sollen, ist nicht nachvollziehbar. Auch haben die Sicherheitsbehörden bereits heute in der Regel einen internen Datenschutzbeauftragten, welcher auch bei den Datenverwendungen innerhalb der Aufgabenerfüllung berät. Es hat den Anschein, daß zum einen die Gewährung des Rechts auf informationelle Selbstbestimmung durch Streichung von Verfahrensvorschriften ausgehöhlt und die ansonsten wichtige Kontrollfunktion des Beauftragten für Datenschutz ausgehebelt werden soll. Dies ist unabhängig von der RiLi 95/46/EGverfassungsrechtlich höchst bedenklich (zu der Stellung des Beauftragten für Datenschutz nach der Rechtsprechung des BVerfG siehe oben). Eine wirksame Kontrolle durch den Beauftragten für Datenschutz setzt voraus, daß Dateibeschreibungen existieren und dem Beauftragten für Datenschutz bekannt sind. | Abs. 135 |
| Auch leuchtet überhaupt nicht ein, warum § 18 BDSG (Sicherstellung des Datenschutzes durch die obersten Bundesbehörden) keine Anwendung mehr finden soll. Will sich das zuständige Ministerium hier aus seiner Verantwortung stehlen ? | Abs. 136 |
| Die vorliegenden Änderungsvorschläge deuten darauf hin, daß eine Aushöhlung des Grundrechts auf informationelle Selbstbestimmung nach Art. 2 Abs. 2 i.V.m. Art. 1 Abs. 1 GG by the way erfolgen soll. Dem ist zu widersprechen. Die Änderungen sind zu überarbeiten. | Abs. 137 |
III. |
| Hier wird auf das oben zu A.4.bereits ausgeführte Bezug genommen. | Abs. 138 |
IV. |
| zu Nr. 1 (§ 67) | Abs. 139 |
| Bei den Änderungen in § 67 sollte eine Anpassung an die Definitionen in § 3 BDSG erfolgen, was bereits bei dem Dateibegriff offensichtlich nicht der Fall ist. | Abs. 140 |
C. Schlußbemerkung |
| Die vorliegende Stellungnahme beschränkt sich im
wesentlichen auf die Querschnittsmaterie des Bundesdatenschutzgesetzes. Sie soll
als konstruktiver Beitrag zur zügigen Umsetzung der RiLi
95/46/EG verstanden werden. Zwar kann nicht mehr alles, was vorliegend
angesprochen wurde, in so kurzer Zeit aufgegriffen und sinnvoll umgesetzt
werden. Bei redlicher Mühe aller Beteiligten müßte es jedoch möglich
sein, das BDSG sinnvoll im Sinne der Richtlinie und der Rechtsprechung des
Bundesverfassungsgerichts zum Recht auf informationelle Selbstbestimmung zu
novellieren. Ansonsten sollte der Zeitraum bis zur Bundestagswahl sinnvoll
genutzt werden, um in den jeweils bereichsspezifischen Gesetzen ein normverständliches
Datenschutzrecht im Entwurf zu konzipieren und dies in der nächsten
Legislaturperiode ohne weiteren zeitlichen Verlust auf den Gesetzgebungsweg zu
bringen. Auch der Kommission dürfte ein klares Datenschutzrecht, welches
nicht gleich an Patchworking erinnert, lieber sein, als eine nur bruchstückhaft
umgesetzte Richtlinie.
| JurPC Web-Dok. 38/1998, Abs. 141 |
Fußnoten:(1) Über die inhaltliche Qualität des Entwurfs der Bundesregierung ließe sich jedoch trefflich streiten.(2) Die bisherigen Entwürfe auf Referentenebene lassen eine zügige Eigeninitiative des BMF vermissen. (3) Dies jedoch nur, wenn sie in der Lage ist geplante Änderungen in ihren Auswirkungen auf vorhandene Normen zu erkennen. Eine Art Betreuungsverhältnis gegenüber dem Bundesgesetzgeber. (4)Gemeint ist die Regulierungsbehörde nach § 66 Telekommunikationsgesetz. (5) Nicht gelöst sind damit die sogenannten Kontrollmitteilungen innerhalb der Finanzverwaltung (siehe ausführlich dazu Demke/Schild, Kommentar zum Hessischen Datenschutzgesetz, § 14 Erl. V.). (6)Es sei denn, man käme auf die verwegene Idee, die dann fehlende gesetzliche Grundlage mit dem Übergangsbonus rechtfertigen zu wollen. Hier würde sich der Gesetzgeber endgültig ad absurdum führen. |
| * Hans-Hermann Schild ist Vorsitzender Richter am Verwaltungsgericht Gießen. |
| [online seit: 01.04.98 ] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs. |
| Zitiervorschlag: Schild, Hans-Hermann, Stellungnahme zum Referentenentwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze - JurPC-Web-Dok. 0038/1998 |
