
Nachdem der europäische Gesetzgeber mit der DS-GVO auch in Deutschland für den Datenschutz den Takt vorgibt, trifft ihn natürlich auch zuerst Kritik an sinnarmen und -losen Regelungen. Beispiele aus Sicht des Verfassers: Pflicht zur generellen ungefragten Datenschutzinformation; Verantwortung des Blumenhändlers für sein PC-Betriebssystem und die Internet-Suchmaschine sowie gemeinsame Verantwortlichkeit mit Meta und Sophos. Aber daneben bleiben beträchtliche Regelungskompetenzen für Bund und Länder. Auch dort bestehen durchaus Möglichkeiten, datenschutzrechtliche Gesetze zu verbessern und zu vereinfachen. Die folgenden Punkte beziehen sich auf Sachsen, lassen sich aber fast durchweg auf alle oder die meisten anderen Bundesländer übertragen.
Strafverfolgung
Das europäische Recht regelt den Datenschutz in der DS-GVO sehr detailliert, in der sogenannten JI-Richtlinie – vor allem für die Bereiche Polizei und Strafjustiz – mit größerem Umsetzungsspielraum. Aber ist es wirklich klug, diesen Spielraum auszunutzen? Tut man es, entstehen in Deutschland mindestens 17 verschiedene Regelungswerke – beim Bund und den 16 Ländern.
Einige Bundesländer und der Bund haben ihr Datenschutzrecht in einem Gesetz gebündelt. Andere – zum Beispiel Sachsen – haben die DS-GVO und die JI-Richtlinie jeweils durch ein eigenes Gesetz beantwortet. Im Ergebnis haben sächsische Polizeibeamte die DS-GVO mit dem Sächsischen Datenschutz-Durchführungsgesetz (SächsDSDG) und die JI-Richtlinie mit dem Sächsischen Datenschutz-Umsetzungsgesetz (SächsDSUG) anzuwenden – daneben natürlich die Datenschutz-Regeln in den Fachgesetzen wie zum Beispiel dem Sächsischen Beamtengesetz oder dem Sächsischen Polizeigesetz. Das geht besser und einfacher.
Spezifische Datenschutz-Aufsichten
An anderen Stellen gewährt die DS-GVO selbst Spielraum. So erlaubt Art. 85 DS-GVO Abweichungen und Ausnahmen bei der Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken. Und wieder gilt: Es gibt keine Pflicht, Spielräume auszunutzen. Manchmal ist es klüger, darauf zu verzichten. Umsetzung leider – soweit erkennbar in allen Bundesländern: Neben der allgemeinen Datenschutz-Aufsicht zusätzliche Mini-Aufsichten (1) für die öffentlich-rechtlichen Medien und (2) für die privaten Medien. Für die Presse existiert keinerlei effektive Datenschutz-Aufsicht. Zu manchen dieser Aufsichtsstellen ist auch bei wiederholter Anfrage kein Kontakt möglich. Die Abgrenzung der Zuständigkeiten fällt schwer, kostet Kraft und ist fehleranfällig. Das deutsche Datenschutzrecht bleibt – trotz DS-GVO – ein Flickenteppich.
Landesparlamente
Richtig skurril wird die Ausnutzung von Spielräumen zum Beispiel, wenn die Landesparlamente ihre eigenen Datenschutzpflichten regeln. Was für Privatwirtschaft und Normalbehörden gilt, vom jeweiligen Landtag für die Landesbehörden in den Landesdatenschutzgesetzen teils selbst geregelt wird, möchten die Parlamente in eigener Sache oft nicht anwenden. Deshalb hat sich zum Beispiel der Sächsische Landtag eine eigene Datenschutzordnung gegeben.
Ausreichend wäre, die Besonderheiten der parlamentarischen Datenverarbeitung in einem Paragraphen eines Landesdatenschutzgesetzes zu regeln. Stattdessen findet sich der Versuch, in 21 Paragraphen einen eigenständigen Datenschutz zu normieren. Das wirkt holprig und seltsam. Teils ist es ganz sicher EU-rechtswidrig. Zum Beispiel befasst sich § 7 Abs. 2 der Datenschutzordnung des Sächsischen Landtags mit der Veröffentlichung von Daten durch den Petitionsausschuss. Inzwischen hat aber der EuGH – Urt. v. 9.7.2020, Rs. C-272/19 – geklärt, dass die Datenverarbeitung von Petitionsausschüssen der Parlamente an die DS-GVO gebunden ist.
Hochschulrecht
Noch ein Beispiel landesrechtlicher Überregulierung: Bekanntlich verlangt die DS-GVO für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Sie verlangt jedoch nicht, dass der nationale Gesetzgeber – oder sonst irgendeine Stelle – sämtliche zulässigen Datenkategorien und die zugehörigen Verwendungszwecke abschließend aufzählt. Eine solche Aufgabe wäre auch gar nicht umsetzbar.
Der sächsische Gesetzgeber (und nicht nur er) hat aber zum Beispiel für die Datenverarbeitung durch Hochschulen genau diese unlösbare Aufgabe gestellt: Gemäß § 15 Abs. 4 Satz 1 des Sächsischen Hochschulgesetzes (SächsHSG) regelt an den Hochschulen jeweils „der Senat […] welche Daten […] verarbeitet werden dürfen, welche Organe, Gremien, Kommissionen, Amtsträgerinnen und Amtsträger der Hochschule welche Daten verarbeiten dürfen sowie das Verfahren der Verarbeitung dieser Daten.“
Das heißt: Auch wenn eine Datenverarbeitung durch die Hochschule erforderlich ist, um eine Prüfung durchzuführen (§ 15 Abs. 1 Satz 1 Nr. 2 SächsHSG) darf sie nur durch jene Stellen und für jene Daten stattfinden, die zusätzlich in der Datenschutzordnung des Senats der Hochschule aufgelistet sind (§ 15 Abs. 4 Satz 1 SächsHSG). Das ist weder notwendig, noch verbessert es den Datenschutz. Wahrscheinlich ist die Regelung sogar EU-rechtswidrig mit Blick auf Art. 6 Abs. 1 lit. e) i. V. m. Abs. 3 Satz 4 DS-GVO, wonach nationale Regeln „ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen“ müssen.
Informationssicherheit
Und abschließend aus dem gerade novellierten Sächsischen Informationssicherheitsgesetz (SächsISichG) ein Beispiel für das Gegenteil von gut ist gut gemeint: § 12 Abs. 1 SächISichG erlaubt Datenprotokollierung unter anderem zur Verhinderung und Abwehr von Angriffen auf die IT-Systeme. § 13 Abs. 2 Satz 5 i. V. m. Abs. 4 desselben Gesetzes verlangt für die „nicht automatisierte Verarbeitung“ der Protokolldaten – zwecks Beseitigung von Gefahren für IT-Systeme – eine Anordnung durch die Behördenleitung und eine/n Bedienstete/n mit Befähigung zum Richteramt – landläufig: Volljuristen.
Bemerkt ein IT-Administrator also am Freitagnachmittag technische Probleme, dann beschafft er sich vor dem Blick in die Protokolldaten des Servers eine Anordnung durch Behördenleiter und Volljuristen… . Hoffen wir, dass beide Personen stets schnellstens greifbar sind. Anordnen werden sie dann sicher, denn wie sollen sie mangels eigener technischer Kenntnisse die Gefahrenlage einschätzen?
Um zum Jahresbeginn – in der Zeit guter Vorsätze – ein positives Fazit zu ziehen: Es gibt Verbesserungspotenzial im Datenschutzrecht, auch auf Landesebene und nicht nur im fernen Brüssel.
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.