Ab 25. Mai gilt europaweit die Datenschutzgrundverordnung (DS-GVO), bis dahin müssen die EU-Mitgliedsstaaten ihre Datenschutzgesetze angepasst haben. Die niedersächsische Landesregierung hat nun einen Gesetzesentwurf beschlossen, der aus Sicht der Landesdatenschutzbeauftragten viele bisher ungeklärte Fragen im Sinne des Datenschutzes entschieden hat. Dennoch ist sie mit dem Entwurf nicht zufrieden. Besonders enttäuscht zeigt sie sich im Gespräch mit Isabel Christian darüber, dass zuvor vom Innenministerium zugesagte Kompetenzen für ihre Behörde nun doch nicht kommen sollen.

Rundblick-Redakteurin Isabel Christian (links) im Gespräch mit der Datenschutzbeauftragten Barbara Thiel. Foto: Wallbaum

Rundblick: Frau Thiel, warum braucht Niedersachsen überhaupt ein neues Datenschutzgesetz, wenn schon die DS-GVO unmittelbar gilt und durch das neue Bundesdatenschutzgesetz (BDSG-neu) auf nationaler Ebene bereits ergänzende Regelungen getroffen worden sind?

Thiel: Die DS-GVO enthält sogenannte Öffnungsklauseln, also Spielräume in der Gesetzgebung, mit denen es den EU-Mitgliedsstaaten ermöglicht werden soll, in engen Grenzen das neue, EU-weit geltende Datenschutzrecht an ihre eigenen Bedürfnisse anzupassen. Mit dem BDSG-neu hat der Bund diese Öffnungsklauseln zwar genutzt, das Gesetz gilt aber nur für Bundesbehörden und für sogenannte nichtöffentliche Stellen, also die Wirtschaft. Um die DS-GVO für die Behörden auf Landes- und Kommunalebene umzusetzen, muss es noch ein neues Landesdatenschutzgesetz geben. Dort ist beispielsweise definiert, zu welchem Zweck personenbezogene Daten durch öffentliche Stellen im Land Niedersachsen verarbeitet werden dürfen.

Rundblick: Sie sind mit dem Entwurf der Landesregierung für das neue niedersächsische Datenschutzgesetz unzufrieden. Warum?

Thiel: Zunächst muss ich sagen, dass ich schon vor dem Beschluss des Entwurfs Gelegenheit hatte, meine Vorschläge einzubringen, und vieles davon spiegelt sich jetzt auch im Gesetzesentwurf wieder. Zum Beispiel, dass die Behörden immer dokumentieren müssen, wann und aus welchen Gründen sie die Rechte von Betroffenen, zum Beispiel auf Information zur Verarbeitung der Daten, einschränken. Aber trotzdem hat der Entwurf immer noch gravierende Lücken, die dem widersprechen, was die europäischen Gesetzgeber eigentlich im Sinn hatten. Die DS-GVO verändert etwa die Sanktionsmöglichkeiten für Verstöße gegen den Datenschutz massiv. Damit können Unternehmen zu Bußgeldern bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Umsatzes verpflichtet werden, bisher liegt der Höchstsatz bei 300.000 Euro. Die DS-GVO gibt dem nationalen Gesetzgeber ausdrücklich die Möglichkeit, zukünftig auch Sanktionen gegenüber Behörden zu verhängen. In diesem Punkt enttäuscht die Landesregierung, denn meine Behörde bekommt viel weniger Abhilfebefugnisse als erwartet.

Durch einen schwammigen Zusatz wird Videoüberwachung quasi überall möglich.

Barbara Thiel

Rundblick: Welche Möglichkeiten, Verstöße von Behörden gegen den Datenschutz zu ahnden, haben Sie denn künftig?

Thiel: Momentan haben wir nur ein Beanstandungsrecht. Das heißt, wir können in einem deutlichen Schreiben die Behörde auf den Verstoß hinweisen und sie bitten, ihn zu beheben. Die Behördenleitung muss dem aber nicht folgen. Im Wirkungskreis der DS-GVO bekommen wir jetzt eine Anordnungsbefugnis. Das ist ein schärferes Schwert, denn eine Anordnung hat zukünftig Regelungscharakter und muss daher befolgt werden. Vollstrecken dürften wir die Anordnung aber dennoch nicht, das bedeutet, dass wir keine Zwangsmittel einsetzen dürfen. Besonders ärgerlich ist die Entwicklung nun bei der geplanten Umsetzung der EU-Richtlinie Justiz/Inneres. Sie soll den Datenschutz bei den Ermittlungs- und Strafvollzugsbehörden konkretisieren. Das Innenministerium hatte uns zu verstehen gegeben, dass wir gegenüber Polizei und Justiz ebenfalls Anordnungsbefugnisse bekommen sollten, in der Praxis aber vorher eine Einigungsstelle aufsuchen müssten. Dies hätte uns beispielsweise in der Auseinandersetzung beim Einsatz von Bodycams geholfen. Im jetzt vorgelegten Ergänzungsentwurf der Koalitionsfraktionen ist von einer Anordnungsbefugnis oder Einigungsstelle keine Rede mehr.

Rundblick: Sie beklagen, dass die Landesregierung auch im jetzt vorliegenden Gesetzesentwurf den Datenschutz vernachlässigt. Woran machen Sie das fest?

Thiel: Zum Beispiel an der Videoüberwachung. Die DS-GVO macht dazu keine konkreten Vorgaben, sondern überlässt die Ausgestaltung den Ländern. Und Niedersachsen nutzt die Öffnungsklausel, um die Videoüberwachung auszuweiten. Bisher musste Videoüberwachung einen bestimmten Zweck haben, zum Beispiel den Schutz von Personen oder die Wahrung des Hausrechts. Durch den schwammigen Zusatz, Videoüberwachung im öffentlichen Raum sei zulässig, wenn sie zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe nötig ist, wird Videoüberwachung quasi überall möglich. Auch eine Speicherfrist von maximal drei Wochen taucht nun nicht mehr auf. Die meiner Behörde erst zugesagte Löschungsvorschrift findet sich im Gesetzesentwurf nicht mehr wieder.

Rundblick: Der Gesetzesentwurf wird ja erst noch in den Ausschüssen beraten, und es liegen auch mehrere Änderungsanträge aus den Fraktionen vor. Wie wollen Sie jetzt vorgehen?

Thiel: Bei der nächsten Anhörung im Innenausschuss habe ich eine halbe Stunde Zeit, um die Bedenken meiner Behörde vorzutragen. Da werden auch die gerade genannten Kritikpunkte zur Sprache kommen. Darüber hinaus setze ich auf die zukünftige Ausgestaltung durch konkrete Fälle. Denn die DS-GVO nutzt viele unbestimmte Begriffe. Ab dem 25. Mai können wir als Aufsichtsbehörden anhand von tatsächlichen Fällen unklar formulierte Regelungen auslegen und damit Rechtssicherheit schaffen. Ich gehe aber davon aus, dass das drei bis fünf Jahre dauern kann.