Neues Hamburgisches Datenschutzgesetz schützt Daten weniger als zuvor
von Martin Dolzer, justizpolitischer Sprecher der Linksfraktion
Mit dem neuen Hamburgischen Datenschutzgesetz bleibt der Senat weit hinter den Möglichkeiten zurück, den Datenschutz auf seinem bisherigen Niveau zu halten und an einigen entscheidenden Stellen zu verbessern oder auszudifferenzieren.
Mit der neuen Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft trat, versucht die EU einen einheitlichen Rechtsrahmen für die Datenschutzvorgaben in den Mitgliedsstaaten zu schaffen. Daraufhin wurden und werden auf Bundes- und Landesebene ebenfalls neue Datenschutzgesetze entworfen, um diese der EU-Datenschutzgrundverordnung anzupassen.
Die Linksfraktion hat dem Entwurf für das neue Hamburgische Datenschutzgesetz aus mehreren Gründen nicht zugestimmt, weil er weder mehr Datenschutz noch mehr Transparenz schafft. Die Datenschutzrechte der Menschen in Hamburg hätten durch das Gesetz gestärkt werden müssen. Stattdessen wurde der Schutz vorhandener und erhobener Daten nicht so weit wie nötig definiert oder gestärkt, außerdem wurden weder das Auskunftsrecht in Bezug auf erhobene Daten noch die Möglichkeit, persönliche Daten löschen zu lassen, entscheidend verbessert. In mehreren Punkten wurde der Datenschutz sogar erheblich unter die bisherigen Standards gesenkt:
- Videoüberwachung wird in weit größerem Umfang ermöglicht als bisher. Dies ist ein inakzeptabler Eingriff in das Recht auf Informationelle Selbstbestimmung. Wie schon im neuen Bundesdatenschutzgesetz ist das ein zentraler Kritikpunkt am Hamburgischen Datenschutzgesetz.Die Übermittlung von Daten an Drittstaaten – also an Staaten außerhalb der EU – bei denen die EU davon ausgeht, dass sie nicht sicher mit den Daten umgehen, bleibt in den Regelungen der EU Datenschutzgrundverordnung in vielen Fällen durch Ausnahmeregelungen und Ausnahmegenehmigungen möglich, in weiteren Fällen ist es nicht ausreichend definiert.
- Zudem wurde auch in Hamburg, wie schon auf Bundesebene, versäumt, weitergehende Konkretisierungen vorzunehmen, die durch die EU-Datenschutzgrundverordnung nicht geregelt sind. Diese enthält dafür siebzig Öffnungsklauseln. Die Kompetenzen zwischen der Europäischen Union und den Mitgliedstaaten sind so geregelt, dass die EU nur dort tätig werden darf, wo sie eine ganz konkrete Ermächtigungsgrundlage hat. Alles andere liegt bei den Mitgliedstaaten. Soweit die EU in einem Bereich etwas geregelt hat, gibt es einen Vorrang vor dem Recht der Mitgliedstaaten. Wo sie dies nicht getan hat, ist der Mitgliedstaat frei. Das gilt auch für Fragen der Konkretisierung und Präzisierung. Wenn die EU nur eine allgemeine Regelung trifft, heißt das nicht, dass der Mitgliedstaat in dem ganzen Bereich dieser abstrakten Vorgaben selber nichts mehr regeln darf, sondern nur, dass im Konfliktfall die EU-Regel vorgehen würde. Das heißt konkret, dass Deutschland und Hamburg sehr wohl auch weitergehende Konkretisierungen vornehmen hätten können, so lange sie nicht gegen die EU-Datenschutzgrundverordnung verstoßen. Eine Umsetzung dieser Möglichkeit fehlt sowohl im neuen Bundesdatenschutzgesetz als auch im neuen Hamburgischen Datenschutzgesetz an vielen Stellen.
- Die EU-Datenschutzgrundverordnung enthält siebzig Öffnungsklauseln, kleine und große. Zwei große hat man beispielsweise für den Bereich des Beschäftigtendatenschutzes und für den öffentlichen Bereich, das heißt die Datenverarbeitung durch staatliche Stellen und auch durch alle privaten, die öffentliche Interessen verfolgen. Dieser Öffnungsbereich betrifft nahezu die Hälfte der gesamten Datenverarbeitung. Dementsprechend hätten auch auf der Hamburger Ebene ohne über den Rahmen der EU-Datenschutzgrundverordnung hinauszugehen, bereichsspezifische oder technikspezifische Regelungen getroffen werden können. So hätten zum Beispiel für die Bereiche „Beschäftigung und Datenschutz“ im öffentlichen Bereich Problemlösungen definiert werden können, die für den privaten Bereich eine Vorbildfunktion hätten. Auch die dazugehörige Videoüberwachung am Arbeitsplatz wurde nicht, wie möglich, genauer geregelt.
- Bei der Anpassung des Datenschutzgesetzes gibt es ein weiteres Grundproblem: Viele Paragraphen des neuen Gesetzes sind ohne direktes Hinzuziehen der EU-Datenschutzgrundverordnung und/oder des Bundesdatenschutzgesetzes (BDSG) nicht nachvollziehbar oder sogar missverständlich. Die genannten drei Normen sind darüber nicht in der gleichen Systematik nummeriert und strukturiert – so dass ein vollständiges Begreifen der nach dem Subsidiaritätsprinzip geregelten einzelnen Aspekte für die Bürger_innen oftmals schwer wird. Im Berliner Entwurf des Landesgesetzes zur Anpassung an die EU-Datenschutzgrundverordnung wird diesem Problem zumindest einigen Aspekten dadurch Rechnung getragen, dass auf die entsprechenden EU Regelungen hingewiesen wird und das Gesetz insgesamt klar strukturiert ist. Im Hamburger Gesetz fehlt das fast vollkommen. Sein Regelungsgehalt wird dadurch ohne juristische Expertise schlicht unverständlich und schwer nachvollziehbar. Um dem Problem der Unverständlichkeit entgegenzuwirken ist es nötig, dass den Bürge_innen, gesellschaftlichen Akteuren und Unternehmen Informationsmaterial zum Verständnis des neuen Gesetzes in synoptischer Form (mit entsprechenden Verweisen auf die Regelungen auf Europa und Bundesebene) zur Verfügung gestellt wird. Diese Aufgabe bleibt dem Datenschutzbeauftragten überlassen.
- Der Datenschutzbeauftragte hätte insgesamt in seinen Kompetenzen, insbesondere aber personell und finanziell stärker unterstützt werden müssen. Letzteres ist nur in sehr geringem Ausmaß geschehen. Die Stärkung der Kompetenzen durch Kontroll- und Sanktionsmöglichkeiten für den Datenschutzbeauftragten wurde ebenfalls in weiten Teilen verfehlt. Die Finanzierung zusätzlicher Stellen, die in der EU_Datenschutzgrundverordnung vorgesehen ist, fehlt ebenfalls.
- Eine andere Möglichkeit, das Hamburgische Datenschutzgesetz verständlicher zu machen, wurde überhaupt nicht erwogen: Der Europäische Gerichtshof (EuGH) lässt Normwiederholungen aufgrund des primärrechtlichen Vorrangs des Unionsrechts in einem besonderen Fall zu: Im Fall des Zusammentreffens einer ganzen Reihe unionsrechtlicher, einzelstaatlicher und regionaler Vorschriften kann es ausnahmsweise „nicht als ein Verstoß gegen das Gemeinschaftsrecht angesehen werden, dass Regionalgesetze im Interesse ihres inneren Zusammenhangs und ihrer Verständlichkeit für die Adressaten bestimmte Punkte der Gemeinschaftsverordnungen wiederholen.“ (C-272/83, Rn. 27). Das ist hier der Fall. Aus diesem Grund wäre es besser gewesen, wenn im neuen Hamburgischen Datenschutzgesetz für die Verständlichkeit notwendig mit Wiederholungen und grundsätzlich mit Verweisen auf die EU-Datenschutzgrundverordnung und das Bundesdatenschutzgesetz gearbeitet worden wäre, um das oben genannte Problem zu beheben. Vielleicht passiert dies ja durch entsprechenden politischen Druck durch eine nachträgliche Reform.
- Auch bei der Neuregelung des Justizvollzugs- wie des Maßregelvollzugsgesetzes wurden personenbezogene Daten besonderer Kategorien wie politische Ausrichtung, Gewerkschaftszugehörigkeit, Sexualität, ethnischer Hintergrund nicht ausreichend geschützt. Das gilt zum Teil nicht nur für die Inhaftierten, sondern auch für Besucher_innen. Zudem wurden auch hier die Möglichkeiten der Videoüberwachung zu wenig geregelt. Aus diesen Grund hat die Linksfraktion auch diesen Gesetzentwürfen nicht zugestimmt.
Fazit: 1983 hatte das Bundesverfassungsgericht im „Allgemeinen Volkszählungsurteil“ das Recht auf informationelle Selbstbestimmung, also den Datenschutz, auf einen Verfassungsrang gehoben. Wenn wir also heute von Datenschutz sprechen, reden wir über verbriefte Grundrechte und unabdingbare Grundlagen der Demokratie. Die vorliegenden Gesetze zur Umsetzung der EU-Datenschutzgrundverordnung müssen auf Hamburger Ebene an vielen Stellen verbessert und ausdifferenziert werden, um dem Recht auf Informationelle Selbstbestimmung gerecht zu werden. Interessant ist dabei nicht nur, was im neuen Datenschutzgesetz steht, sondern insbesondere, was nicht darin steht, unverständlich formuliert oder ungenau geregelt ist. Dies gilt insbesondere für den Beschäftigtendatenschutz. Es wird in den nächsten Jahren nötig sein, im politischen und zivilgesellschaftlichen Rahmen ein Bewusstsein für die Mängel der jetzigen Gesetze zu entwickeln und entsprechenden politischen Druck aufzubauen, damit diese verbessert werden.
Fotos: DIE LINKE/ „(Super)Helden 297/365“ (CC BY-ND 2.0) by Skley