„Fortschritt durch Datennutzung – Strategie für mehr und bessere Daten für neue, effektive und zukunftsweisende Datennutzung“. Das ist er, der Titel der am 30. August 2023 veröffentlichten neuen nationalen Datenstrategie der Bundesregierung. Die neue Datenstrategie soll das Leitbild der künftigen Datenpolitik sein. „Hierfür richtet die Bundesregierung den Fokus auf die Bereitstellung von mehr und besseren Daten und setzt auf eine neue Kultur der Datennutzung und des Datenteilens.“, heißt es in einer Mitteilung des Bundesministerium des Inneren und für Heimat (BMI). Es drängt sich förmlich auf, dass hierunter auch der Datenschutz eine entsprechende Rolle spielen wird bzw. spielen muss.
„Wir vereinfachen den Datenschutz und erleichtern die praktische Umsetzung“
Datentreuhänder, Personal Information Management Systems (PIMS), „Privacy by design and default“, Anonymisierung, Pseudonymisierung, „Opt-Out“-Ansätze, Security by design“. Was klingt wie ein Teil einer Buzzword-Bingo-Auflistung, ist Teil der Beschreibung der Ziele der Bundesregierung zum Bereich des Datenschutzes im Rahmen der Datenstrategie. Und einige dieser Ziele sind zuweilen sehr wohlklingend formuliert:
„Ferner wollen wir Datenschutz einfacher, kohärenter und praktikabler machen. Hierzu werden wir die Möglichkeiten einer einheitlichen Anwendung und Durchsetzung des Datenschutzrechts verbessern, national und auf EU-Ebene […] Hierzu gehört, dass wir die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder als koordinierendes Gremium stärken, indem wir sie im Bundesdatenschutzgesetz institutionalisieren.“
„Von den Öffnungsklauseln der DSGVO werden wir zudem Gebrauch machen, um mit einem modernen, handhabbaren Beschäftigtendatenschutzgesetz Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu schaffen und die Persönlichkeitsrechte der Beschäftigten effektiv zu schützen.“
„Wir setzen uns dafür ein, dass Unternehmen, Forschende und zivilgesellschaftliche Akteure praktische Hilfestellungen bei der Umsetzung datenschutzrechtlicher Vorgaben erhalten und nutzen können, und wir ermutigen die Unternehmen, die Unterstützung der Datenschutzaufsichtsbehörden und der betrieblichen Datenschutzbeauftragten noch stärker in Anspruch zu nehmen, um so die Rechtssicherheit bei Datenverarbeitungen noch weiter zu erhöhen“
Allein durch die formulierten Ziele kann nur wenig bis nichts erreicht werden, seien diese noch so prägnant formuliert. An einigen Punkten wird über die eigentlichen Probleme im Datenschutzrecht – bewusst oder unbewusst – hinweggegangen, z.B. Qualifikationsanforderungen der Datenschutzbeauftragten.
Datennutzung vs. Datenschutz
Wie auf EU-Ebene soll auch im Rahmen der nationalen Datenstrategie der Datenschutz bzw. das Datenschutzrecht Berücksichtigung finden: „Datennutzung und Datenschutz sind zwei Seiten derselben Medaille. Die Datenpolitik ist geprägt von beiden Zielen, die einer beständigen und sorgfältigen Balance bedürfen: Wie erreichen wir die notwendige Ausweitung von Datenzugang und -nutzung bei Einhaltung des Grundrechts auf informationelle Selbstbestimmung? Wie passt der datenschutzrechtliche Grundsatz der Zweckbindung und Datenminimierung oder der effektive Schutz von Geschäftsgeheimnissen und geistigem Eigentum zum erklärten Ziel, mehr Daten zu teilen?“
Für die datenschutzrechtliche Praxis erlangen – wie der Roadmap zur Datenstrategie zu entnehmen ist – allem voran zwei Punkte an Bedeutung: Die Anpassungen zum Bundesdatenschutzgesetz sowie die Verabschiedung eines Beschäftigtendatenschutzgesetzes. Eine hilfreiche Synopse zur geplanten Änderung des Bundesdatenschutzgesetzes gibt es hier.
Beschäftigtendatenschutzgesetz, da war doch was!?
Der ein oder andere mag sich entsinnen: „Wir schaffen Regelungen zum Beschäftigtendatenschutz, um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu erreichen und die Persönlichkeitsrechte effektiv zu schützen.“ Dies waren Bekenntnis und Aufgabe zugleich, welche sich die Bundesregierung auf Seite 17 des Koalitionsvertrages („Mehr Fortschritt wagen – Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit“) selbst vorgab.
Spätestens durch das EuGH-Urteil zum Beschäftigtendatenschutz in der Rechtssache C-34/21 durch welches neben der eigentlich gegenständlichen landesspezifischen Regelung des Hessischen Datenschutz- und Informationsfreiheitsgesetz (HDSIG) – zumindest in Teilen – ebenfalls Zweifel an der nationalen Bestimmung des § 26 BDSG zum Beschäftigtendatenschutz aufkommen waren, befand man sich in der Politik auf der Suche nach dem Beschäftigtendatenschutzgesetz. Derartige Bestrebungen sind in der datenschutzrechtlichen Welt nicht neu, gleichwohl sie in der Vergangenheit nie beendet werden konnten.
Daraufhin haben das Bundesministerium für Arbeit und Sozialordnung (BMAS) und der BMI haben ein Eckpunktepapier vorgelegt, das die Grundlage für ein geplantes Beschäftigtendatenschutzgesetz sein soll. Hierzu gibt es eine lesenswerte Stellungnahme der Gesellschaft für Datenschutz und Datensicherheit e.V. zu den „Vorschlägen für einen modernen Beschäftigtendatenschutz“.
Die Roadmap der Datenstrategie nennt nun das 4. Quartal 2023 als zeitliches Ziel für das Beschäftigtendatenschutzgesetz.
FAZIT
Durch die Datenstrategie wird für den Bereich des Datenschutzes in jedem Fall eines erreicht: Die Bundesregierung gibt sich Ziele und einen dazugehörigen Fahrplan vor, an dem sie sich im Zweifel messen lassen muss. Zu spät kommen kann dann zu negativer Stimmung führen. Was zu hoffen bleibt ist, dass weder die Anpassungen des BDSG noch die Schaffung des Beschäftigtendatenschutzgesetzes im Schweinsgalopp umgesetzt werden und der Praxis durch Sachverständige und Verbände ausreichend Gelegenheit zur Anhörung und Stellungnahme eingeräumt wird.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
