JurPC Web-Dok. 42/1998 - DOI 10.7328/jurpcb/199813437

Joachim Jacob *

Stellungnahme zum Referentenentwurf zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze

JurPC Web-Dok. 42/1998, Abs. 1 - 81


Zu Ihrem Entwurf vom 1. Dezember 1997 nehme ich wie folgt Stellung:JurPC Web-Dok.
42/1998, Abs. 1
Die in der Vergangenheit erhobenen Forderungen der Datenschutzbeauftragten zu einer umfassenden Novellierung des Bundesdatenschutzgesetzes (BDSG), wie sie zuletzt in meinem 16. Tätigkeitsbericht (S. 44 ff.) und in der Ihnen mit Schreiben vom 21.11.1997 übermittelten Entschließung "Novellierung des Bundesdatenschutzgesetzes und Modernisierung des Datenschutzrechts" der 54. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 23./24. Oktober 1997 zusammengefaßt worden sind, finden in dem vorliegenden Entwurf keine Berücksichtigung. An den darin geforderten Grundsatzentscheidungen und Anpassungen der Regelungen an die heutige Informationstechnologie und an die Verhältnisse der modernen Informationsgesellschaft wird festgehalten.Abs. 2

Zu Artikel 1 - Änderung des Bundesdatenschutzgesetzes

A. Schwerpunkte des nach wie vor bestehenden Umsetzungsbedarfs

Bürgerfreundlichkeit durch einfache und verständliche Formulierung des BDSGAbs. 3
Bei der Formulierung des Entwurfes ist lediglich versucht worden, die Bestimmungen der Richtlinie an den unterschiedlichsten Stellen dem bestehenden Regelungswerk im einzelnen aufzupfropfen. Das Ergebnis ist ein Gesetzeswerk, das noch schwerer lesbar ist, als dies bereits für das geltende BDSG zutrifft. Dies birgt nicht nur die Gefahr in sich, daß die Bürger von der Grundidee des Datenschutzes entfremdet werden, sondern es läßt sich auch bezweifeln, ob die Schwierigkeiten für Rechtsanwender und Betroffene, ein klares Bild zu gewinnen, noch dem Verfassungsgebot der Rechtsklarheit nach Art. 20 Abs. 3 des Grundgesetzes gerecht werden. Daß die Wahl möglichst einfacher Formulierungen möglich ist, zeigen die neuen Regelungswerke des Informations- und Kommunikationsdienstegesetzes (IuKDG) und des Mediendienste-Staatsvertrages (MDStV), deren Datenschutzvorschriften in dieser Hinsicht als Vorbild dienen können.Abs. 4
Dateibegriff (Art. 2 Buchst. c)Richtlinie - § 3 Abs. 2 Nr. 2Entw.)
Der Dateibegriff bei nicht-automatisierter Verarbeitung orientiert sich, im Vergleich zum Vorentwurf vom 17.07.1997, schon etwas mehr an den Vorgaben der Richtlinie, deckt sich aber immer noch nicht mit diesen. Nach der Richtlinie ist eine Datei "jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig, ob diese Sammlung zentral ... geführt wird", womit es gerade nicht auf äußerlich vergleichbare Merkmale im Aufbau und bestimmte Merkmale zur Zugänglichkeit ankommt (wenngleich dies in der Mehrzahl der Fälle so sein dürfte). Das Ziel der europäischen Harmonisierung unter dem Gesichtspunkt der Konvertibilität und der Vergleichbarkeit der zentralen Begriffe zwischen den Mitgliedstaaten der EU fordert eine vollständige Übernahme der Definition aus der Richtlinie.Abs. 5
Verarbeitungsbegriff (Art. 2 Buchst. b)- § 3 Abs. 3 bis 5)
Die Dreiteilung des Verarbeitungsbegriffs in Erheben, Verarbeiten und Nutzen sollte abgeschafft und an den Verarbeitungsbegriff der Richtlinie angepaßt werden.Abs. 6
Sensitive Daten (Art. 8 Richtlinie - § 3 Abs. 9 Entw.)
Zwar übernimmt der Entwurf die in der Richtlinie genannten sensitiven Daten in Form einer Aufzählung, läßt es jedoch nach wie vor an einer weiteren konkreten Umsetzung im Sinne eines Normenbefehls (ausgenommen § 35 Abs. 2 Satz 2 Nr. 2) fehlen.Abs. 7
Erhebung beim Betroffenen/Einwilligung (Art. 10 Richtlinie - § 4 Abs. 3 Satz 3, § 4 a Abs. 1 Satz 2 Entw.)
Nicht umgesetzt ist die Vorgabe von Art. 10 Buchst. c), 3. Anstrich, wonach die betroffene Person Informationen betreffend "das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten" erhält. Die Aufklärung des Betroffenen über die Folgen der Verweigerung von Angaben im Rahmen der Erhebung aufgrund einer Rechtsvorschrift und der Verweigerung einer Einwilligung sollte auch ohne Verlangen des Betroffenen erfolgen.Abs. 8
Übermittlung personenbezogener Daten in das Ausland sowie an über- und zwischenstaatliche Stellen (Art. 25 f. Richtlinie - §§ 4 b, 4 c Entw.)
Der nunmehr vorliegende Entwurf sieht erfreulicherweise eine differenzierte Übermittlungsregelung für personenbezogene Daten in das Ausland vor (EU-Ausland innerhalb des Anwendungsbereichs der Richtlinie, EU-Ausland außerhalb des Anwendungsbereichs der Richtlinie und Drittstaaten). Allerdings ist die Frage, unter welchen Voraussetzungen ein Mitgliedstaat Daten, die er im Anwendungsbereich der Richtlinie erhalten hat, außerhalb ihres Anwendungsbereichs verwenden darf, noch nicht hinreichend geklärt. Der Entwurf läßt nicht erkennen, welche Regelung für Übermittlungen an Einrichtungen und Organe der EU und für Übermittlungen öffentlicher Stellen an nicht-öffentliche Stellen in Mitgliedstaaten der EU gelten sollen.Abs. 9
Die Richtlinie selbst äußert sich nicht zu unionsweiten Datenübermittlungen, die aus ihrem Anwendungsbereich heraus in nicht von ihr umfaßte Bereiche innerhalb der Union erfolgen. Da der grenzüberschreitende Datenumgang innerhalb des Binnenmarktes, wie jeder gerneinschaftsweite Datenumgang, nur nach den Regeln der Richtlinie zulässig ist, bedarf jeder Umgang mit personenbezogenen Daten - und auch und gerade jede Zweckänderung außerhalb des Anwendungsbereichs der Richtlinie - der Zustimmung der übermittelnden Stelle. Da die Richtlinie insoweit keine ausdrücklichen Schutzbestimmungen vorsieht, kann das Recht auf informationelle Selbstbestimmung auf diese Weise gesichert werden. § 4 b Abs. 1könnte durch folgende Formulierung ergänzt werden: "Die Verwendung der Daten durch den Empfänger ist außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG nur zulässig, wenn die übermittelnde Stelle zugestimmt hat. Die Zustimmung darf nur erteilt werden, wenn eine Übermittlung nach Absatz 2 zulässig wäre." Erfreulich ist, daß das BfD-Petitum im Hinblick auf die für Auslandsübermittlungen vorgesehene Hinweispflicht auf die Zweckbindung in § 4 c Abs. 1 Satz 2 erfüllt ist.Abs. 10
Meldepflicht (Art. 18 f. Richtlinie - §§ 4 d, 4 e Entw.)
Ein Wegfall der Meldepflicht nach Abs. 3 "wegen besonderer Schutzvorschriften" ist zu unbestimmt. Laut Begründung ist zwar § 203 StGB nicht länger als Schutzvorschrift ausreichend, da berufsständische Regelungen und deren Fallrecht hinzukommen müssen. Zur näheren Konkretisierung des Gesetzes sollte dies jedoch in den Gesetzeswortlaut aufgenommen werden ("... wenn aufgrund besonderer Vorschriften durch Organisation und Verfahren gewährleistet ist,Abs. 11
Interner DSB bei Sicherheitsbehörden (Art. 18 Abs. 2 Richtlinie – § 4 f Abs. 6 Entw.)
Die Regelung im Hinblick auf den Wegfall des internen DSB bei den Sicherheitsbehörden muß zurückgenommen werden. Ich sehe es als nicht im Einklang mit der Richtlinie, wenn der DSB auch innerhalb des Anwendungsbereichs der Richtlinie, etwa im Bereich der Personaldatenverarbeitung, ausgeschlossen wird.Abs. 12
Schadensersatz (Art. 23 Richtlinie - §§ 7 f. Entw.)
Die vorgesehene Regelung des Schadensersatzrechts ist grundsätzlich zu begrüßen. Nicht anschließen kann ich mich der in § 7 aufgenommenen Anmerkung (u.U. Haftung nur bei bestehender Nachprüfungspflicht, sofern die Daten von einem Dritten stammen), da sie einen Rückschritt beinhalten würde. Nicht gutgeheißen werden kann auch die Differenzierung des Schadensersatzes bei automatisierter DV zugunsten eines verschuldensunabhängigen Schadensersatzes bei der DV öffentlicher Stellen, da eine derartige Privilegierung nicht-öffentlicher Stellen nicht nur zu einer Ungleichbehandlung führen würde, sondern auch die zunehmende Gefahr für die informationelle Selbstbestimmung durch nicht-öffentliche Stellen verkennt.Abs. 13
Arbeitnehmerdatenschutz (Art. 8 Abs. 2 Buchst. b) Richtlinie - § 12 Abs. 4 Entw.)
Es ist zu erwarten, daß die Bundesregierung, entgegen den Forderungen des Bundestages, in dieser Legislaturperiode keinen Gesetzentwurf zum Arbeitnehmerdatenschutz vorlegen wird. Umso mehr wäre es daher erforderlich, bis zur Schaffung eines Arbeitnehmerdatenschutzgesetzes für die Beschäftigten des öffentlichen Dienstes (mit Ausnahme der Beamten) im BDSG auf die Regelungen des BBG bzw. des BRRG Bezug zu nehmen.Abs. 14
Datenerhebung für eigene Zwecke (Art. 2 Buchst. b) Richtlinie - § 28Entw.)
Die gegenüber dem Vorentwurf neu eingefügte Zweckbindungsregelung in § 28 Abs. 2ist zu begrüßen. Dagegen ist die Vorschrift des Abs. 3, die die vielkritisierte Fehlleistung der alten Fassung fortschreibt, unter sprachlichen wie unter Gesichtspunkten der Rechtsförmlichkeit zu überdenken. So ist die Änderung des Nutzungszwecks bereits durch Abs. 2 geregelt, was zur Folge hat, daß in Abs. 3 lediglich die Zulässigkeit der Übermittlung zu regeln ist. Um das mißglückte und jeder Rechtsförmlichkeit widersprechende Satzgefüge innerhalb des Buchst. c) von Nr. 1 aufzubrechen, sollte Buchst. b) (Gefahrenabwehr) aus der Nr. 1 herausgenommen werden und nachfolgend als Nr. 2 der Forschung (diese dann Nr. 3) vorausgehen. Auf diese Weise wäre nicht länger eine Bezugnahme auf Buchst. a) und c) vonnöten. Auch die wiederholende Aufzählung der sensitiven Daten am Ende von Nr. 1 könnte durch eine Bezugnahme auf § 3 Abs. 9entfallen, so daß insgesamt formuliert werden könnte:Abs. 15
"(3) Die Übermittlung ist auch zulässig,
1. a) soweit es zur Wahrung berechtigter Interessen eines Dritten erforderlich ist
oder
b) für Zwecke der Werbung, der Markt- oder Meinungsforschung, und kein Grund zu der Annahme besteht, daß der Betroffene ein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat, wovon auszugehen ist, wenn Daten nach § 3 Abs. 9 oder solche, die auf arbeitsrechtliche Rechtsverhältnisse bezogen sind, übermittelt werden sollen,
oder
2. zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit ...
oder
3. wenn es im Interesse einer Forschungseinrichtung ...".
Abs. 16
Bei Abs. 4 fehlt die Hinweispflicht auf die Widerspruchsmöglichkeit, so daß eine entsprechende Ergänzung geboten ist ("Der Betroffene ist über das ihm zustehende Widerspruchsrecht in allgemeiner Form zu unterrichten.").Abs. 17
Kontrollstelle (Art. 28 Richtlinie - § 38 Entw.)
U.a. Problem der "völligen Unabhängigkeit" der Kontrollstelle.Abs. 18
Sog. Medienprivileg (Art. 9 Richtlinie - §§ 41 f. Entw.)
Zunächst fällt auf, daß den Ländern in § 41 Abs. 1 Entw. aufgegeben wird, was diese in eigener Zuständigkeit zu regeln haben. Während Art. 9 Richtlinie eine starke Einbeziehung von Presse und Rundfunk in den Datenschutz und eine Aufrechterhaltung von Sonderregelungen nur insoweit vorsieht, als dies für die Sicherung der Meinungsfreiheit notwendig ist, geht § 41 Abs. 4 den herkömmlichen Weg der Ausnahmeregelung. Sollte es dabei bleiben, sind jedoch noch weitere Vorschriften(§§ 2, 3, 4, 4 a bis 4 g, 6 a, 11, 28, 29, 34) in den Katalog der auch von den Medien zu beachtenden Vorschriften aufzunehmen. Da eine Privilegierung der Rundfunkanstalten des Bundesrechts nur hinsichtlich einer ausschließlich journalistisch-redaktionellen Datenverwendung zulässig ist, bedarf es für die nichtprivilegierten Bereiche der externen Kontrolle. Immerhin sieht der Entwurf in § 41 Abs. 4 die Kontrolle durch den BfD vor, "soweit es sich um Verwaltungsangelegenheiten handelt". Im übrigen gehe ich von einem Redaktionsversehen aus, wenn in § 41 Abs. 2 und 3 von den Rundfunkanstalten des Bundes die Rede ist.Abs. 19
Regelung des Einsatzes von Chipkarten und der Videoüberwachung
Hier wäre über das weitere Verfahren zu sprechen.Abs. 20

B. Weiterer vordringlicher Handlungsbedarf für den Gesetzgeber

Grundrecht auf informationelle Selbstbestimmung (§1 Abs. 1)
In § 1 Abs. 1verweist der Entwurf wie das geltende BDSG auf das Persönlichkeitsrecht als ausschließlichem Schutzzweck. Das vom Bundesverfassungsgericht aus dem Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) abgeleitete Grundrecht auf informationelle Selbstbestimmung wird als solches zwar von zahlreichen Landesverfassungen ausdrücklich erwähnt, nicht jedoch vom Grundgesetz. Nach Art. 1 Abs. 1 der Richtlinie gewährleisten die Mitgliedstaaten .... den Schutz der Grundrechte und Grundfreiheiten und insbesondere den Schutz der Privatsphäre .... Durch eine Bezugnahme auf den Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung in § 1 Abs. 1 würde in Umsetzung der Richtlinie und unter Beachtung des Volkszählungsurteils des BVerfG - wenigstens nach einfachem Recht – der Grundrechtscharakter der informationellen Selbstbestimmung an geeigneter Stelle im Bundesrecht hervorgehoben.Abs. 21
Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (§ 4)
Da der Betroffene ohne Kenntnis des gesetzlichen Widerspruchsrechts kaum in der Lage sein dürfte, seine überwiegenden schutzwürdigen Belange zielgerichtet zur Geltung zu bringen (vgl. auch § 76 Abs. 2 Nr. 1, 2. Halbsatz SGB X und § 89 Abs. 7 Satz 3 TKG), sollte in Abs. 3 Satz 1 folgende Nr. 4 angefügt werden:Abs. 22
"4. über das Widerspruchsrecht nach § 20 Absatz 5" (neu).Abs. 23
Vorabkontrolle (Meldepflicht, § 4 d)
Es irritiert, daß die Vorabkontrolle in den Abs. 6 (Legaldefinition) und 7 des § 4 dunter der Überschrift Meldepflicht geregelt ist. Im übrigen wird die Vorschrift den inhaltlichen Anforderungen des Art. 20 der Richtlinie nicht gerecht, da sie lediglich eine Prüfung verlangt, ohne daß Mindestanforderungen bezüglich des Prüfverfahrens festgelegt werden. Unklar ist weiterhin, wer für die Vorabkontrolle zuständig ist, wenn mehrere Stellen an einem EDV-System beteiligt sind.Abs. 24
Datenschutzbeauftragter (§ 4 f)
In Abs. 2 Satz 3 heißt es, daß "öffentliche Stellen ... mit Zustimmung ihrer Aufsichtsbehörde ... zum Beauftragten für den Datenschutz bestellen (können)". Der Begriff der Aufsichtsbehörde ist an dieser Stelle irritierend, da nicht die Aufsichtsbehörde i.S.d. BDSG gemeint ist.Abs. 25
In Abs. 5 Satz 2 sollte das Wort "Arbeitnehmer" durch "Beschäftigte" ersetzt und damit klargestellt werden, daß auch Beamte und Richter das Anrufungsrecht gegenüber dem behördlichen/betrieblichen Datenschutzbeauftragten haben.Abs. 26
Technische und organisatorische Maßnahmen (§9 nebst Anlage)
Die bisherige Regelung der Aufnahme einer Anlage für automatisierte Datenverarbeitung zur Regelung der technischen und organisatorischen Maßnahmen ist veraltet. Die Aufzählung der technischen und organisatorischen Maßnahmen in Form einer Anlage widerspricht auch deren zentraler Bedeutung im Rahmen des Gesetzes, zumal die im BDSG 1977 vorgesehene Ermächtigung zur Änderung der Anlage durch Rechtsverordnung entfallen ist und somit für die Fortschreibung der Anlage in dieser Form kein sachlicher Grund besteht. Zu Satz 1 der Anlage ist zu bemerken, daß nicht nur die Organisation so zu gestalten ist, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird, sondern daß dies auch für die ausgewählte Technik gilt. Unter Nr. 5 ist lediglich die Überprüfbarkeit vorgesehen, ob und von wem personenbezogene Daten eingegeben, verändert oder entfernt worden sind. Es fehlt die Überprüfung, auf welche Daten zugegriffen wurde, und zu welchem Zeitpunkt dies geschah. Ferner wären Regelungen zur Netzkontrolle und zur Sicherstellung der Revisionsfähigkeit der EDV-Systeme (Revisionskontrolle) wünschenswert.Abs. 27
Berichtigung, Löschung und Sperrung von Daten; Widerspruchsrecht (§ 20)
In Abs. 2 sind die Wörter "in Dateien" zu streichen, da für öffentliche Stellen die Datenverwendung auch außerhalb von Dateien geregelt wird und somit nicht in Dateien gespeicherte personenbezogene Daten grundsätzlich ebenfalls zu löschen sind, wenn ihre Speicherung unzulässig oder nicht mehr erforderlich ist.Abs. 28
Es wird vorgeschlagen, in Abs. 7 folgenden Satz anzufügen:

"Gleiches gilt, wenn die übermittelnde Stelle einen Widerspruch nach Absatz 5 als begründet anerkannt hat."

Abs. 29
Bundesbeauftragter für den Datenschutz (Art. 28 Richtlinie - §§ 22 ff.)
Vorbehaltlich weiterer Stellungnahme zur rechtlichen Stellung des BfD sollte die Vorschrift des § 22 Abs. 6 gestrichen werden. Für diese Regelung besteht seit der Novellierung 1990 kein Grund mehr. Durch Anhebung der Stelle des Direktors beim Bundesbeauftragten auf die Besoldungsstufe B 6 entspricht die Funktion des Leitenden Beamten der eines ständigen Vertreters eines Abteilungsleiters in einem Bundesministerium.Abs. 30
Kontrolle durch den Bundesbeauftragten für den Datenschutz (§ 24)
Es bleibt bei den bereits vorgetragenen Forderungen bezüglich Abs. 1 Satz 2: Wegfal1 der bloßen Anlaßkontrolle bei Verarbeitung personenbezogener Daten in Akten und Abs. 2 Satz 4 Nr. 2 und Satz 5: Streichung des Widerspruchsrechts gegen Kontrolle durch den BfD bei personenbezogenen Daten in Akten über die Sicherheitsüberprüfung.Abs. 31
Weitere Aufgaben des Bundesbeauftragten für den Datenschutz (§ 26)
Nach dem Vorbild der Regelung zur Beteiligung der Ausländerbeauftragten an der Erarbeitung von Rechtsvorschriften und Verwaltungsanweisungen anläßlich der jüngsten Änderung des Ausländergesetzes ist die gesetzliche Regelung einer zwingenden Anhörung des BfD bei der Erarbeitung von Rechtsvorschriften geboten. Eine derartige Regelung ist in das BDSG einzustellen und durch Aufnahme in die GGO zu konkretisieren.Abs. 32
Geschäftsmäßige Datenerhebung und -speicherung zum Zwecke der Übermittlung (§ 29)
Anders als von den Datenschutzbeauftragten gefordert, trifft § 29 keine ausdrückliche Einwilligungsregelung. Die Vorschrift legt auch keine Hinweispflicht auf die Möglichkeit des Widerspruchs fest. Die von dem Entwurf getroffene Regelung ist insofern überflüssig, als bei entsprechenden Sperrvermerken in gedruckten Adreß- und sonstigen Verzeichnissen entgegenstehende schutzwürdige Interessen anzunehmen sind (Abs. 1 Nr. 2). Bei der Aufnahme personenbezogener Daten aus Druckverzeichnissen in elektronische Verzeichnisse ergibt sich jedoch das Sonderproblem, daß - anders als im Regelungsbereich des TKG vorgesehen - ein entgegenstehender Wille des Betroffenen aus dem Druckverzeichnis oft nicht erkennbar ist. Selbst wenn die Kennzeichnung in Druckverzeichnissen rechtswidrig unterlassen worden ist, dürfte nach der derzeit für Abs. 3 vorgesehenen Regelung eine Übernahme der Daten in elektronische Verzeichnisse erfolgen.Abs. 33
An den Ihnen bereits vorliegenden Formulierungsvorschlag der Datenschutzbeauftragten zu § 4 a des Vorentwurfs wird erinnert:Abs. 34

"Der Betroffene kann seine Einwilligung zur Veröffentlichung seiner Daten in Adreß-, Telefon-, Branchen- oder vergleichbaren Verzeichnissen dahin beschränken, daß die automatisierte Auswertung, auch durch Dritte im Rahmen einer Erhebung, Verarbeitung oder Nutzung nach § 29, auf ein bestimmtes Merkmal begrenzt bleibt. Die verantwortliche Stelle hat den Betroffenen hierüber zu unterrichten. Bei der Veröffentlichung ist auf den begrenzten Umfang der Einwilligung hinzuweisen."

Abs. 35
Benachrichtigung des Betroffenen (§ 33)
Abs. 1 Satz 1 setzt die Vorgaben von Art. 11 Abs. 1 Buchst. c) der Richtlinie nicht vollständig um.Abs. 36
Auch Abs. 1 Satz 2 entspricht nicht den Anforderungen von Art. 11 der Richtlinie.Abs. 37
Nach Abs. 2 Satz 2 ist die Aufsichtsbehörde von der verantwortlichen Stelle bei einer Kontrolle darauf hinzuweisen, daß von einer Ausnahme der Benachrichtigungspflicht nach den Nrn. 2, 4, 6 und 7 Gebrauch gemacht worden ist. Zwar wird die Aufsichtsbehörde dadurch auf einen prüfwürdigen Tatbestand aufmerksam gemacht. Dies entspricht für den Fall der Nichtbenachrichtigung jedoch nicht dem Erfordernis einer "geeigneten Garantie" i.S.v. Art. 11 Abs. 2 Satz 2der Richtlinie. Verfahrensmäßig sollte die Regelung dahin gehen, daß die Stelle eine Aufzeichnung führt, die der Aufsichtsbehörde jederzeit auf Verlangen vorzulegen ist.Abs. 38
Auskunft an den Betroffenen (§ 34)
Die Einschränkungen des Auskunftsrechts des Betroffenen in Abs. 2 Satz 2 und Abs. 4 sind, gemessen an den Vorgaben von Art. 12 und 13der Richtlinie, zu weitgehend und deshalb zu streichen. Zu weitführend ist auch Abs. 1, dessen Sätze 3 und 4 wie folgt zusammengefaßt werden können:Abs. 39

"Werden die personenbezogenen Daten geschäftsmäßig zum Zwecke der Übermittlung gespeichert, kann der Betroffene im Falle begründeter Zweifel an der Richtigkeit der Daten auch Auskunft über Herkunft und Empfänger verlangen, wenn diese Angaben nicht gespeichert sind."

Abs. 40
Berichtigung, Löschung und Sperrung von Daten (§35)
Aus der Überschrift ist nicht ersichtlich, daß in Abs. 5 der Vorschrift die Möglichkeit eines generellen Widerspruchs aufgenommen wurde.Abs. 41
Daher ist die Überschrift - entsprechend § 20 für den öffentlichen Bereich - um den Zusatz "; Widerspruchsrecht" zu ergänzen.Abs. 42
In Abs. 2 Nr. 3 ist die Formulierung "für eigene Zwecke" zu streichen, um zu erreichen, daß auch bei der geschäftsmäßigen Verarbeitung nach Nr. 4 Daten immer dann zu löschen sind, wenn ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.Abs. 43
Zweckbindung bei personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen (§ 39)
lm Sinne einer konkreten Umsetzung von Art. 8 der Richtlinie müßte die Vorschrift um alle dort genannten sensitiven Daten ergänzt werden.Abs. 44
Bußgeldvorschriften (§ 44)
Es wäre sehr sinnvoll, in dem Katalog der Ordnungswidrigkeiten auch die Nichterteilung etc. einer Auskunft an den Betroffenen nach § 34 zu berücksichtigen.Abs. 45
Verstärkung des Schutzes gegenüber der Einholung von Selbstauskünften vor Abschluß von Miet-, Arbeits- und ähnlich existenzwichtigen VerträgenAbs. 46
Besondere Rechtsgefährdungen können aus Konstellationen erwachsen, in denen Bürger von anderen Privaten zur Einholung von Selbstauskünften verpflichtet werden, die vor Abschluß etwa von Miet- oder Arbeitsverträgen abzugeben sind. Hier ist ein verstärkter Schutz vor derartigen Verpflichtungen erforderlich, zu denen der Entwurf bislang schweigt.Abs. 47
Vorbemerkung zu Artikel 2 ff.: Keine Anpassung der Abgabenordnung
In den Art. 2 ff. fehlen Regelungen über die erforderlichen Anpassungen der Abgabenordnung an die Richtlinie.Abs. 48
Hinzuweisen ist z.B. darauf, daß im Hinblick auf Art. 12 der Richtlinie das Auskunftsrecht der betroffenen Personen zu regeln ist.Abs. 49
Das Regelungserfordernis entfällt nicht im Hinblick auf Art. 13 Abs. 1 Buchst. e) der Richtlinie. Zum einen läßt der Wortlaut des Art. 13erkennen, daß Regelungen bereits erforderlich sind, wenn überhaupt die Rechte u.a. aus Art. 12 beschränkt werden sollen. Dies könnte im Bereich der Abgabenordnung möglicherweise in begrenztem Umfang sachlich gerechtfertigt sein. Zum anderen ist aber nicht vorstellbar, daß im Bereich der Abgabenordnung etwa jegliches Auskunftsrecht vollständig ausgeschlossen werden muß ("sofern eine solche Beschränkung notwendig ist"). Dies zeigt sich allein schon daran, daß der Ausführungserlaß zur Abgabenordnung (zu § 89 Nr. 3) durchaus die Möglichkeit der Erteilung von Auskünften materieller Art durch die Finanzbehörden vorsieht, abgesehen davon, daß ein Anspruch grundsätzlich nach § 19 BDSG besteht. Auf eine sachgerecht differenzierende Regelung kann insoweit nicht verzichtet werdenAbs. 50
Ein weiteres Anliegen ist es, die Terminologie mit der der Richtlinie abzustimmen (vgl. "offenbaren" und "Offenbarung" in § 30 Abs. 1 und 4 AO; "dient" z.B. in § 30 Abs. 4 Nr. 1 AO).Abs. 51

Zu Artikel 2 - Änderung des Bundesverfassungsschutzgesetzes

Der Katalog der nicht anwendbaren Regelungen des BDSG bei der Aufgabenerfüllung des BfV ist erheblich erweitert worden. Insbesondere fällt auf, daß die Regelungen über die Datenerhebung beim Betroffenen (§ 4 Abs. 2 bis 4) keine Anwendung bei der Durchführung des Bundesverfassungsschutzgesetzes finden.Abs. 52
Schließlich soll auch die Regelung des § 6 a des Entwurfs, wonach "Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen ... nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden dürfen, die der Bewertung einzelner Persönlichkeitsmerkmale dient" für das BfV nicht anwendbar sein. Die in der Begründung genannten Fälle betreffen zwar die Aufgaben der Sicherheitsbehörden nicht. Dennoch ist eine sachliche Notwendigkeit für diese Ausnahme nicht zu erkennen.Abs. 53

Zu Art. 3 - Änderung des MAD-Gesetzes

Im Hinblick auf die Änderung von § 13 MAD-Gesetz wird auf die Ausführungen zu Art. 2 (Änderung des Bundesverfassungsschutzgesetzes) verwiesen.Abs. 54

Zu Artikel 4 - Änderung des BND-Gesetzes

Im Hinblick auf Nr. 2 (Änderung von § 11 BND-Gesetz) wird ebenfalls auf die Ausführungen zu Art. 2 (Änderung des Bundesverfassungsschutzgesetzes) verwiesen.Abs. 55

Zu Artikel 5 - Änderung des Sicherheitsüberprüfungsgesetzes

Bezüglich Nr. 2 (§ 36 SÜG) ist - trotz der Spezialregelungen zur Datenerhebung im SÜG der ausdrückliche Ausschluß von § 4 Abs. 2 bis 4 BDSG n.F. nicht nachvollziehbar. Der Ausschluß des behördlichen Datenschutzbeauftragten (§ 4 f) im SÜG ist insbesondere auch deshalb nicht akzeptabel, weil das SÜG nicht nur für die mitwirkende Behörde (BfV), sondern auch für die zuständige Stelle (Geheimschutzbeauftragter) und für nicht-öffentliche Stellen (§ 31 SÜG) gilt.Abs. 56

Zu Artikel 6 - Änderung des Bundesgrenzschutzgesetzes

Auch im Hinblick auf Nr. 5 (§ 37 BGS-Gesetz) fällt auf, daß die Regelungen der §§ 4 f und 4 g zum behördlichen Datenschutzbeauftragten sowie § 6 a(Verbot ausschließlich auf elektronische Verarbeitung personenbezogener Daten gestützter Entscheidungen) keine Anwendung finden sollen.Abs. 57
Wenn § 18 Abs. 2 Satz 2 n.F. BDSG keine Anwendung mehr fände, gäbe es für den BGS keine Verpflichtungen mehr, ein Verzeichnis der eingesetzten Datenverarbeitungsverfahren zu führen, was die Aufgaben des BfD außerordentlich erschweren würde, zumal auch § 26 Abs. 5 a.F. BDSG gestrichen werden soll. Dies wäre ein Rückschritt gegenüber der geltenden Rechtslage, der von keiner Seite gewollt sein kann.Abs. 58

Zu Artikel 7 - Änderung des Bundeskriminalamtgesetzes

Bezüglich Nr. 7 (§ 37 BKA-Gesetz) wird auf die Ausführungen zu Artikel 6 (Änderung des Bundesgrenzschutzgesetzes) verwiesen.Abs. 59

Zu Artikel 18 - Änderung des Zehnten Buches Sozialgesetzbuch - Verwaltungsverfahren -

Zu Nr. 1 a): § 67 Abs. 3 SGB X

Wie schon oben zu Art. 1, Buchstabe A ausgeführt, stimmt auch der hier verwendete Dateibegriff bei nicht-automatisierter Verarbeitung nicht mit dem Dateibegriff nach Art. 2, Buchstabe c) der Richtlinie überein.Abs. 60

Zu Nr. 2 b): § 67 a Abs. 5 SGB X

Nach der Begründung entspricht § 67 a Abs. 5 des Entwurfs "weitgehend" § 19 aBDSG in der Fassung der Novelle. Die Abweichungen von § 19 a liegen darin, daß § 67 a Abs. 5 des Entwurfs weitere Einschränkungen der Benachrichtigungspflicht enthält. Für den Betroffenen hat dies eine Verringerung der Transparenz zur Konsequenz mit der Folge, daß seine Möglichkeit, wissen zu können, wer was wann über ihn weiß, schwindet. Damit bricht § 67 a Abs. 5 des Entwurfs mit der grundsätzlichen Intention des Sozialdatenschutzes im 2. Kapitel des SGB X, ein bereichspezifisch qualifiziertes Schutzniveau zu definieren. Sozialleistungsträger sollen Sozialdaten untereinander ohne Beteiligung und Kenntnis des Betroffenen in Fallgestaltungen austauschen können, in denen dies für verantwortliche Stellen nach dem BDSG mutatis mutandis nicht zulässig wäre.Abs. 61
Eine solche Schlechterstellung halte ich weder für hinnehmbar noch für erforderlich. Mit dem informationellen Selbstbestimmungsrecht des Betroffenen ist es auch nicht zu Vereinbaren, wenn ihm – anders als bei § 19 aBDSG in der Fassung der Novelle – die Identität der verantwortlichen Stelle sowie die Zweckbestimmung von Erhebung und Nutzung vorenthalten werden sollen. Um seine Rechte nach § 25 SGB X und § 83 SGB X geltend machen zu können, ist für den Betroffenen die Kenntnis der verantwortlichen Stelle von wesentlicher Bedeutung.Abs. 62
§ 67 a Abs. 5 Satz 3 Nr. 3 SGB X des Entwurfs sollte gestrichen werden. Diese Ausnahme würde im Ergebnis dazu führen, daß der Betroffene in kaum einem Fall zu unterrichten wäre; ein Ergebnis, das wohl kaum mit der Intention der EU-Richtlinie zu vereinbaren ist. Hilfsweise sollte die Wendung "aufgrund eines Gesetzes" durch "nach einer Rechtsvorschrift in diesem Gesetzbuch" ersetzt werden.Abs. 63
In § 67 a Abs. 5 Satz 1 SGB X sollte die Zweckbestimmung auch der Nutzung in die Unterrichtungspflicht einbezogen werden.Abs. 64
Soweit entgegen meiner eingangs dargestellten Position für bestimmte Fallgestaltungen gesetzliche Ausnahmen von der Benachrichtigungspflicht vorgesehen werden, halte ich hilfsweise die Anfügung folgenden Absatzes 6 für geboten:Abs. 65
"(6) In Antragsformularen oder Merkblättern zu Verwaltungsverfahren ist der Betroffene auf regelmäßig im Rahmen dieser Verfahren erfolgende Erhebungen hinzuweisen, soweit nach Absatz 5 Satz 3 oder, weil die Erhebung bei einer in § 35 des Ersten Buches genannten Stelle erfolgt, keine Benachrichtigungspflicht besteht."Abs. 66
Die Hinweispflicht erreicht die von Art. 11 der EG-Richtlinie 95/46 bezweckte Transparenz für den Betroffenen in den Fällen, in denen seine Unterrichtung über jede einzelne Erhebung einen unverhältnismäßigen Aufwand erfordern würde. Nur so kann auch der vom Bundesverfassungsgericht entwickelten Forderung, der Bürger müsse wissen können, wer was wann und bei welcher Gelegenheit über ihn weiß, hinreichend Rechnung getragen werden.Abs. 67
In Abs. 5 Satz 6 sollte es bei der Bezugnahme auch auf den Abs. 6 des § 83 SGB X bleiben.Abs. 68

Zu Nr. 9: § 77 SGB X zu Abs. 1:

Die zum Teil erheblich unterschiedliche Organisationsstruktur in den Mitgliedstaaten macht es insbesondere kleineren Sozialleistungsträgern unmöglich, im Einzelfall selbst zuverlässig die Aufgabenentsprechung festzustellen und zu entscheiden. In der Begründung zum Gesetzentwurf sollte daher zum Ausdruck gebracht werden, daß der Gesetzgeber davon ausgeht, daß die Verwaltung zur Vereinheitlichung der Rechtsanwendung und zur Verwaltungsvereinfachung die Entsprechung in geeigneten Verfahren feststellt. Es könnte sich beispielsweise anbieten, daß die Konferenz der Arbeits-und Sozialminister des Bundes und der Länder eine Arbeitsgruppe mit dieser Aufgabe betraut.Abs. 69
§ 77 Abs. 1 Nr. 2 E-SGB X ist syntaktisch kaum verständlich und sollte neu formuliert werden. In der gegenwärtigen Entwurfsfassung ist nicht zweifelsfrei, welche vorherigen Satzbestandteile durch Rückbezüge in Bezug genommen werden und welche Satzteile durch Konjunktionen verbunden sein sollen.Abs. 70
- zu Abs. 2:
Das Wort "Daten" ist durch das Wort "Sozialdaten" zu ersetzen.Abs. 71
- zu Abs. 3:
Die in Satz 2 enthaltene Ausweitung der Befugnis zur Übermittlung an Drittländer oder über- oder zwischenstaatliche Stellen, die kein angemessenes Datenschutzniveau gewährleisten, geht über Art. 26 Abs. 2 Richtlinie hinaus. Danach kann über die in Absatz 1 abschließend aufgezählten Fallgruppen hinaus die Übermittlung in ein Drittland nur dann genehmigt werden, "wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet". Diese Voraussetzung ist in Abs. 3 Nr. 3 des Entwurfs bereits enthalten.Abs. 72
Ich gehe davon aus, daß § 77 Abs. 3 Satz 3 des Entwurfs auch für die Fälle in Satz 1 des Entwurfs gilt; das sollte sprachlich klargestellt werden.Abs. 73
- neuer Abs. 6:
Nach Abs. 5 sollte folgender neuer Abs. 6 angefügt werden:Abs. 74

"(6) Vor der Übermittlung in ein Drittland oder an eine über- oder zwischenstaatliche Stelle ist der Betroffene anzuhören, wenn das Drittland oder die über- oder zwischenstaatliche Stelle kein angemessenes Datenschutzniveau gewährleistet."

Abs. 75
Begründung: Die Regelung stellt sicher, daß der für die Entscheidung über die Übermittlung zuständigen Stelle alle bei der Abwägung im Rahmen der Ermessensentscheidung nach Abs. 2 oder 3 des Entwurfs zu berücksichtigenden Tatsachen bekannt werden können.Abs. 76

Zu Nr. 11: § 78 a SGB X

Die Anlage zu § 78 a SGB X sollte als dessen Abs. 2 eingefügt werden.Abs. 77
Die Änderung wertet die Festlegungen der bisherigen Anlage auf. Bereits bisher wurde in allen gängigen Veröffentlichungen des Gesetzes die Anlage direkt hinter § 78 a SGB X abgedruckt. Für die Abstufung in eine Anlage besteht kein rechtfertigender Grund (siehe hierzu auch meine Ausführungen zu § 9 BDSG, Seite 8 f.).Abs. 78

Zu Nr. 14: § 81 SGB X

In § 81 Abs. 4 Satz 2 des Entwurfs sollte die Verweisung der Klarheit halber auch auf Abs. 2 Satz 3 erstreckt werden. Hierdurch würde verdeutlicht, daß sich die Aufgaben und Befugnisse der Landesbeauftragten für den Datenschutz sich auch in diesem Zusammenhang nach dem jeweiligen Landesrecht richten.Abs. 79
Desweiteren ist bei Nr. 14 Buchstabe b) die Begründung zu Satz 2 zu korrigieren ("öffentliche Stellen der Länder").Abs. 80

Zu Nr. 21: Anlage zu § 78 a SGB X

Auf meine Stellungnahme zu Art. 18, Nr. 11 nehme ich Bezug.JurPC Web-Dok.
42/1998, Abs. 81
gez.
Dr. Joachim Jacob
* Dr. Joachim Jacob ist Bundesbeauftragter für den Datenschutz.
[09.04.98]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: Jacob, Joachim, Stellungnahme zum Referentenentwurf zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze - JurPC-Web-Dok. 0042/1998