Das Besondere an einer EU-Verordnung besteht eigentlich darin, dass sie im Wesentlichen unverändert in allen EU-Mitgliedsstaaten gelten soll. Doch bei der Umsetzung der EU-Datenschutzverordnung in deutsches Recht will die Bundesregierung von den enthaltenen 70 Öffnungsklauseln möglichst ausgiebig Gebrauch machen. Der am Mittwoch vom Kabinett beschlossene 138-seitige Entwurf von Bundesinnenminister Thomas de Maizière (CDU) berücksichtigt die zum Teil harsche Kritik an den Plänen. Doch Datenschützer haben weiterhin sehr viel auszusetzen und sehen "gewaltigen Änderungsbedarf".

Nach jahrelangen Verhandlungen hatten sich EU-Kommission, Europaparlament und EU-Ministerrat im Dezember 2015 auf die Verordnung geeinigt, die im April 2016 in Kraft getreten war. Nach einer zweijährigen Übergangszeit soll sie ab Mai 2018 gültiges Recht in der EU werden. Damit ersetzt sie das bestehende Bundesdatenschutzgesetz (BDSG), das mit dem vorliegenden Entwurf an die Verordnung angepasst werden soll.

Bei dieser Anpassung ist die Bundesregierung sehr kreativ vorgegangen. So warf die niedersächsische Datenschutzbeauftragte Barbara Thiel der großen Koalition vor, vorhandene Öffnungsklauseln überdehnt und Regelungen geschaffen zu haben, für die überhaupt keine Öffnungsklausel zur Verfügung stehe. Damit werde das geplante Ziel der Verordnung verfehlt, für ein einheitliches Datenschutzrecht in Europa zu sorgen.

Unzulässige Aufweichung der Zweckbindung?

Auch der IT-Branchenverband Bitkom mahnte an, dass "die Öffnungsklauseln in der EU-Verordnung nicht dazu genutzt werden sollten, die Regelungen aufzublähen und damit die angestrebte und mögliche europaweite Harmonisierung der Datenschutzgesetzgebung zu konterkarieren". Bitkom-Geschäftsleiterin Susanne Dehmel sagte: "Eine mühsam errungene europaweite Regelung, die durch nationale Alleingänge wieder zum Flickenteppich wird, wäre ein Rückschlag in der Datenschutzgesetzgebung."

Kritisiert wurde beispielsweise, dass die sogenannte Zweckbindung der Daten unzulässig aufgeweicht würde. In einer früheren Version des Gesetzentwurfs durften Unternehmen beispielsweise personenbezogene Daten ihrer Kunden für andere Zwecke verwenden, wenn dies "zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist". Dieser Freifahrtschein für ungehemmte Datennutzung findet sich im nun beschlossenen Entwurf nicht mehr wieder. Nun ist die Verarbeitung nur noch dann für andere Zwecke erlaubt, wenn dies zur Gefahrenabwehr oder "zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist" (Paragraf 23). Zudem dürfen die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung nicht überwiegen.

Typische Gummiparagrafen

Doch wer entscheidet darüber, wessen Interessen höher zu werten sind? Im Zweifel muss dies das Unternehmen tun, schließlich erfährt der Nutzer zum Teil gar nichts davon, dass seine Daten für andere Zwecke genutzt werden. Die Informationspflicht von Behörden und Unternehmen wird in den Paragrafen 32 und 33 eingeschränkt. So entfällt die Pflicht, wenn sie "einen unverhältnismäßigen Aufwand erfordern würde und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere wegen des Zusammenhangs, in dem die Daten erhoben wurden, als gering anzusehen ist".

Ein typischer Gummiparagraf. Am Ende kann der Datenverarbeiter selbst entscheiden, wie groß das Interesse des Betroffenen an der Informierung wohl sein dürfte. In der Gesetzesbegründung heißt es: "Ein unverhältnismäßiger Aufwand kann beispielsweise vorliegen, wenn die Kontaktdaten des Betroffenen dem Verantwortlichen nicht bekannt und auch nicht ohne Weiteres zu ermitteln sind. Als Anhaltspunkte für die Beurteilung der Unverhältnismäßigkeit können die Anzahl der betroffenen Personen, das Alter der Daten oder das Bestehen geeigneter Garantien einbezogen werden." Auch hier besteht für Behörden und Unternehmen weiterhin ein großer Spielraum. Nach dem Motto: Wenn zu viele Nutzer informiert werden müssten, wäre der Aufwand unverhältnismäßig groß.

Geschenke an die Wirtschaft

Sehr dehnbar ist zudem die Formulierung von Paragraf 33, der die Informationspflichten regelt, "wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden". Demnach müssen die Betroffenen dann nicht informiert werden, wenn damit "allgemein anerkannte Geschäftszwecke" des Unternehmens erheblich gefährdet würden. Laut Gesetzesbegründung ist diese Ausnahme "eng auszulegen; die Möglichkeit des Scheiterns einzelner Geschäfte des Verantwortlichen, etwa das Zustandekommen oder die Abwicklung eines Vertrags mit der betroffenen Person, begründen keine Ausnahme von der Informationspflicht".

Dennoch ist fraglich, ob die EU-Verordnung eine solche Ausnahme in Artikel 14 hergibt. Der Grünen-Europaabgeordnete Jan Philipp Albrecht sieht das nicht so. "Die Bundesregierung macht der Wirtschaft Geschenke auf Kosten der Verbraucher und bricht damit europäisches Recht", sagte er der Stuttgarter Zeitung. "Sollte dieser Gesetzentwurf so auch den Bundestag passieren, wird er in null Komma nix vor dem Europäischen Gerichtshof landen."