Datenschutz ist ganz leicht
Eine Festplatte für den Datenschutz
Bei dichtem Schneetreiben haben wir heute dem Innenministerium eine Festplatte übergeben. Damit haben wir sichergestellt, dass die Behörden auch künftig dauerhaft speichern können, auf welche persönlichen Daten sie zugreifen.
Hier findest du Fotos von unserer Aktion vor dem Innenministerium.
Dies wurde nötig, weil das Ministerium mit einem neuen Gesetz (Datenschutzanpassungsgesetz Inneres) den Datenschutz empfindlich beschneiden will. Die Informationen über Abfragen behördlicher Datenbanken sollen künftig „zwecks Speicherbegrenzung“ nur mehr zwei Jahre lang aufgehoben werden, ein Jahr kürzer als bisher.
Unsere Kritikpunkte
- Bei „automatisierten“ Abfragen aus Datenbanken soll nicht mehr protokolliert werden, wer diese macht (was den Nachweis von Missbrauch verhindert)
- Die Informationen über Abfragen behördlicher Datenbanken sollen künftig „zwecks Speicherbegrenzung“ nur mehr zwei Jahre lang aufgehoben werden, ein Jahr kürzer als bisher.
- Schutzsuchende Menschen werden beim Datenschutz deutlich schlechter gestellt (eine weitere Schikane gegenüber Asylwerbenden)
- Die Zuständigkeiten sind unklar geregelt (das Innenministerium soll auch „Auftragsverarbeiter“ sein, was zu einer widersprüchlichen Situation führt).
Hier findest du unsere Stellungnahme zum Datenschutzanpassungsgesetz - Inneres.
„Schon das erste netzpolitische Gesetz der Bundesregierung spricht eine klare Sprache. Nun wird bestätigt, was sich schon beim Regierungsprogramm abgezeichnet hat: Zwar will man die Digitalisierung vorantreiben, vernachlässigt dabei aber Grundrechte und insbesondere das Recht auf Privatsphäre und den Datenschutz.“
Thomas Lohninger von epicenter.works
„Das Datenschutzanpassungsgesetz Inneres enthält dramatische Verschlechterungen für den Schutz personenbezogener Informationen, die in behördlichen Datenbanken gespeichert werden. Während die Regierung immer mehr Daten über Bürgerinnen und Bürger sammeln und verknüpfen will, beschneidet sie die Möglichkeiten, gegen Datenmissbrauch vorzugehen.“
Angelika Adensamer, Juristin bei epicenter.works.
Hauptkritikpunkte am Datenschutzanpassungsgesetz Inneres
Die Hauptkritikpunkte von epicenter.works zum Entwurf des Innenministeriums:
- Automatisierte Datenschutzverletzung: Bei sogenannten „automatisierten Abfragen“ sollen die wichtigsten Informationen schlichtweg nicht mehr protokolliert werden. Nach den Plänen der Regierung wird nicht mehr aufgezeichnet, wer sie durchführt, oder wer die abgefragten Informationen erhält. Datenmissbrauch wäre so kaum mehr nachzuweisen oder aufzuklären. Um die Einhaltung von Grundrechten und Datenschutzvorschriften zu gewährleisten, ist es unerlässlich, dass jeder Datenzugriff durch (Sicherheits-)Behörden nachvollziehbar ist – auch ein automatisierter. Praktischer Grundrechtsschutz bedeutet, dass natürlich auch Informationen über die Personen protokolliert werden, die auf die Daten zugreifen oder diese empfangen. Das Problem entsteht mit der Definition des Begriffes „automatisiert“. Laut EU-Datenschutz-Grundverordnung (DSGVO), die auch Anlass für die gesetzliche Anpassung ist, ist unter einem „automatisierten“ Abruf „insbesondere die Abfrage von Datenbanken zu verstehen“. Somit kann so gut wie jede Abfrage als automatisiert gelten.
- Dramatische Einschränkung von Beschwerdemöglichkeiten für Betroffene von Datenmissbrauch: Künftig sollen nicht nur lückenhafte Protokolldaten gespeichert werden, auch eine Senkung der Speicherfristen ist geplant. Sie sollen sogar kürzer sein als die Beschwerdefristen. Wer sich etwa fristgerecht mit einer Beschwerde an die Behörden wendet, muss künftig damit rechnen, dass keine Informationen mehr vorliegen, um diese nachzuvollziehen. Ein Beispiel: Die Beschwerdefrist an die Datenschutzbehörde ist mit maximal drei Jahren nach Feststellung des Ereignisses festgesetzt. Die Protokolldaten würden nach dem neuen Gesetz schon nach zwei Jahren gelöscht. Besonders bedenklich ist, dass sie sogar gelöscht werden können, wenn schon eine Beschwerde erhoben wurde. Die Reduktion wird mit Hinweis auf die Grundsätze der „Datenminimierung und Speicherbegrenzung“ begründet. Diese wurden in der DSGVO aber formuliert, um die Privatsphäre der Betroffenen zu schützen und nicht die Institutionen, die Daten verarbeiten.
- Schutzsuchende bekommen schlechteren Datenschutz: Das geplante Gesetz enthält einige Verschärfungen im Zusammenhang mit dem Fremdenrecht. Zum einen werden die Informationspflichten aufgeweicht: Es soll keine Informationsblätter mehr in einer für Betroffene verständlichen Sprache geben, die darüber informieren, welche Daten über die Personen erfasst und verarbeitet werden. Zum anderen wird das Auskunftsrecht beschnitten. Mit einer unklar definierten Regelung kann die Auskunft verweigert werden, wenn sie "überwiegenden öffentlichen Interessen" gegenübersteht. Es ist nicht nachvollziehbar, was damit gemeint sein könnte. Wenn es um sicherheitspolizeiliche Daten geht, ist das im Sicherheitspolizeigesetz bzw. im Polizeilichen Staatsschutzgesetz geregelt.
- Problematische Zuständigkeiten – Innenminister als Auftragsverarbeiter: Im Gesetzesvorschlag wird das Innenministerium als Auftragsverarbeiter bezeichnet. Das ist normalerweise ein Dienstleister, der im Auftrag Daten verarbeitet. Damit kommt es zur widersprüchlichen Situation, dass der Bundesminister in vielen Bereichen weisungsbefugt ist, aber dennoch nicht Verantwortlicher im Sinne der DSGVO. Dies steht auch im Widerspruch zur Bundesverfassung.
Gesetzesvorschlag muss dringend überarbeitet werden
Wir fordern das Innenministerium auf, Datenschutz ernst zu nehmen und den Gesetzesvorschlag so zu überarbeiten, dass er mit Grundrechten und den Prinzipien der EU-Datenschutz-Grundverordnung im Einklang steht.
- Wenn Abfragen aus behördlichen Datenbanken erfolgen, dann müssen diese so protokolliert werden, dass Missbrauch auch nachvollzogen werden kann. Die Rechtsunsicherheit, die aus der Verwendung des Begriffes „automatisierte Abfragen“ entsteht, muss beseitigt werden.
- Speicherfristen müssen an die Einspruchsfristen angeglichen werden, damit hier keine Lücken im Rechtsschutz entstehen. Protokolldaten von Abfragen sollten mindestens so lange gespeichert werden wie die Daten selbst. Bei laufenden Beschwerdeverfahren muss die Löschung von Protokolldaten ausgeschlossen werden.
- Datenschutz ist ein Menschenrecht. Schutzsuchende dürfen beim Datenschutz nicht schlechter gestellt werden.Auch beim Datenschutz hat Diskriminierung keinen Platz.
- Zuständigkeiten müssen klar geregelt sein. Eine Lösung für das Problem der Rollenverteilung könnte sein, den Bundesminister für Inneres gesetzlich als einen datenschutzrechtlich gemeinsam Verantwortlichen zu bestimmen.
„Der Staat hat eine noch größere Verantwortung gegenüber Bürgerinnen und Bürgern als sie Unternehmen haben. Wir werden die Regierung immer daran erinnern, dass verantwortungsvoll mit unseren Daten umgegangen werden muss und wir das Recht haben zu wissen, was mit ihnen geschieht.“
Thomas Lohninger von epicenter.works
Da du hier bist!
… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!
Jetzt Fördermitglied werden