Anpassung des Berliner Datenschutzrechts – es gibt noch einiges zu tun

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Anlässlich der Verabschiedung des Gesetzes zur Anpassung datenschutzrechtlicher Bestimmungen in Berliner Gesetzen an die Datenschutz-Grundverordnung (kurz Berliner Datenschutzanpassungsgesetz EU), weist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, darauf hin, dass bisherige Regelungsmängel im Berliner Datenschutzgesetz fortbestehen. Sie fordert den Gesetzgeber auf, diese im Zuge der angekündigten Evaluierung des neuen Berliner Datenschutzgesetzes zu beheben.

Ziel des Berliner Datenschutzanpassungsgesetzes EU ist es, eine Vielzahl Berliner Landesgesetze an die Vorgaben der seit zwei Jahren wirksamen Europäischen Datenschutz-Grundverordnung anzupassen. Leider hat der Gesetzgeber diesen Gesetzgebungsprozess nicht genutzt, um wesentliche Regelungsmängel im Berliner Datenschutzgesetz zu beheben. Insbesondere im Bereich der Datenschutzaufsicht und -kontrolle sieht die Berliner Datenschutzbeauftragte weiterhin dringenden Nachbesserungsbedarf.

Im Bereich der Polizei und Justiz fehlen der Datenschutzaufsicht nach wie vor wirksame Durchsetzungsbefugnisse. Die Datenschutzbeauftragte kann gegenüber Polizei- und Justizbehörden weiterhin keine verpflichtenden Anordnungen treffen, sondern festgestellte Verstöße nur unverbindlich beanstanden. Dies widerspricht dem klaren Wortlaut der zugrundeliegenden europarechtlichen Regelungen. Dieses Defizit ist gravierend, weil Polizei- und Justizbehörden häufig besonders sensible Daten über Bürgerinnen und Bürger verarbeiten, etwa Daten von Zeugen in strafrechtlichen Ermittlungsverfahren.

In allen anderen Bereichen der öffentlichen Verwaltung kann die Berliner Datenschutzaufsicht zwar förmliche Anordnungen treffen. Hier fehlen jedoch die dazugehörigen Vollstreckungsmöglichkeiten. Ohne die Möglichkeit, Zwangsgelder festzusetzen oder eine Ersatzvornahme zu veranlassen, können solche Anordnungen – etwa zur Löschung rechtswidrig gespeicherter Daten – letztlich nicht zwangsweise durchgesetzt werden. Eine wirksame Datenschutzaufsicht ist dadurch in der gesamten öffentlichen Verwaltung nicht gewährleistet. Hinzu kommt, dass die Datenschutzbehörde auch keine Bußgelder gegen Behörden oder sonstige öffentliche Stellen verhängen kann. Insbesondere öffentliche Stellen wie Krankenhaus- oder Eigenbetriebe werden so in nicht begründbarer Weise gegenüber privaten Stellen privilegiert.

Kontrolldefizite bestehen auch nach wie vor im wichtigen Bereich der Betroffenenrechte. Das Recht auf Auskunft über die zur eigenen Person gespeicherten Daten ist ein grundlegendes Prinzip der europäischen Datenschutz-Grundverordnung. Sollte die Auskunft im Einzelfall verweigert werden dürfen, sollen Bürgerinnen und Bürger grundsätzlich verlangen können, dass entsprechende Auskünfte zumindest gegenüber der zuständigen Datenschutzbehörde erteilt werden. Durch diese ersatzweise Information an die Aufsichtsbehörde und die daraus folgende Kontrolle soll sichergestellt werden, dass die Verarbeitung der betreffenden Daten datenschutzgerecht erfolgt. Selbst diese ersatzweise Auskunft kann allerdings nach der nunmehr weiterhin geltenden gesetzlichen Berliner Regelung von der betroffenen Behörde verweigert werden, wenn sie der Auffassung ist, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet würde. – Eine solche Einschränkung der Betroffenenrechte ist nicht nachvollziehbar, da es sich bei der Datenschutzbehörde um eine unabhängige, oberste Landesbehörde handelt, deren Beschäftigte zur strikten Geheimhaltung der ihnen im Dienst bekannt gewordenen Informationen verpflichtet sind. Nicht nur wird durch diese Regelung eine wichtige Kontrollfunktion der Berliner Datenschutzaufsicht ausgehebelt. Diese Regelung kann zu Fällen führen, in denen Bürgerinnen und Bürgern ihr wichtigstes Betroffenenrecht, nämlich das Recht auf Auskunft, gänzlich abgesprochen wird. Diese Einschränkung eines Grundrechts ist rechtsstaatlich höchst bedenklich.

Ein bekanntes Kontrolldefizit im Geschäftsbereich des Abgeordnetenhauses wurde mit dem neuen Gesetz sogar noch verschärft. Denn obwohl es nach wie vor keine Datenschutzregelung für das Berliner Parlament gibt, weitet das nun verabschiedete Gesetz die Möglichkeiten weiter aus, auch sensitive personenbezogene Daten an das Abgeordnetenhaus zu übermitteln. Auch wenn man davon ausgeht, dass das Parlament nicht unmittelbar den Regelungen der europäischen Datenschutz-Grundverordnung unterliegt, bedürfen derartige personenbezogene Daten wirksamer und verlässlicher Schutzmaßnahmen und Kontrollmechanismen auf der Grundlage nachvollziehbarer Regelungen. Dies wurde zuletzt in Zusammenhang mit dem von der AfD-Fraktion initiierten Projekt „Neutrale Schule“ deutlich, das zeigte, dass Organe der Gesetzgebung durchaus sensible personenbezogene Daten verarbeiten. Betroffene Bürgerinnen und Bürger stehen solchen Initiativen in Berlin bisher ohne Kontrollmöglichkeiten gegenüber. Hier muss dringend nachgebessert werden. Schutzvorkehrungen, mit denen auch im Parlament ein an die Datenschutz-Grundverordnung angelehntes Datenschutzniveau sichergestellt wird, sind unverzichtbar.

Maja Smoltczyk:
„Ziel des Datenschutzanpassungsgesetzes war es, zwei Jahre nach Wirksamwerden der Datenschutz-Grundverordnung das Berliner Landesrecht endlich vollständig an die Vorgaben des europäischen Rechts anzupassen. Leider wurden dabei immer noch nicht alle notwendigen Regelungen getroffen. Noch immer kann sich die öffentliche Verwaltung in mehrfacher Hinsicht einer wirksamen Datenschutzkontrolle entziehen. Dies widerspricht den Anforderungen an eine moderne, transparente und bürger*innenfreundliche Verwaltung. Ich hoffe sehr, dass der Gesetzgeber die teils gravierenden Mängel im Rahmen der von ihm noch vor Ablauf der Legislaturperiode angekündigten Evaluierung des neuen Berliner Datenschutzgesetzes beheben wird.“