Wer das neue Datenschutzrecht verstehen will, der muss sich unendlich viel Mühe geben. Nach den jüngsten Skandalen sucht man im neuen Recht eine klare Linie - und findet sie nicht. Man erhofft sich ein praktikables Handbüchlein - und blättert stattdessen in einem Wust von Verweisungen und Paragraphen. Die aber sind nur für die juristischen Verlage nützlich, die nun mit Textausgaben und Kommentarwerken ein gutes Geschäft machen werden.
Eine Art Razzia
Der klarste Satz im Gesetzentwurf, der am Freitag im Bundestag verabschiedet wurde, ist dieser: "Finanzielle Auswirkungen auf die öffentlichen Haushalte sind auf Grund der Gesetzesänderung nicht zu erwarten." Und der wichtigste Satz zum Verständnis des neuen Rechts findet sich nicht in den Paragraphen, sondern in einer Äußerung, die der Bundesdatenschutzbeauftragte Peter Schaar zum Gesetzgebungsprozess gemacht hat: "Es hat hier eine Lobby-Kampagne gegeben, die ihresgleichen sucht."
Vom ersten Entwurf zum neuen Gesetz (er datiert vom 18.2.2009 und steht ersichtlich noch unter dem starken Eindruck der Skandale bei Bahn, Telekom, Lidl etc.) bis zur jetzigen Gesetzesfassung hat eine Art Razzia stattgefunden: Alle halbwegs scharfen datenschützerischen Vorschriften wurden aussortiert und gestrichen. Der Datenschutzbeauftragte Schaar gibt zwar, weil er nicht ganz verzweifeln will, noch halbwegs freundliche Kommentare zum Ergebnis dieser Razzia ab - indes: Alle Paragraphen, die ein "Audit", also eine Art Datenschutzprüfsiegel für Betriebe vorgesehen hatten, sind nun komplett gestrichen worden. Die FDP hat deshalb in einem Entschließungsantrag festgestellt: "Das ist ein krasser Fall gesetzgeberischen Versagens."
Geharnischte Abrechnung
Die Stellung des Datenschutzbeauftragen in den Betrieben ist gestärkt worden - indem ihm das Recht eingeräumt wird, auf Kosten des Betriebes an Weiterbildungsveranstaltungen teilzunehmen. Und es gibt immerhin einen (schwach ausgestalteten) Sonderkündigungsschutz für den betrieblichen Datenschutzbeauftragten. Die Bußgelder für Verstöße sind zwar erhöht worden, aber die Aufsichtsbehörden, die diese Bußgelder durchsetzen (oder noch viel besser: Datenschutzverstöße von vornherein verhindern) sollen, sind nicht gestärkt worden. Die FDP stellt in ihrer geharnischten Abrechnung mit dem neuen Gesetz fest, dass es den Aufsichtsbehörden sehr schwer fallen wird, einem auffällig gewordenen Call-Center die Datenverarbeitung zu verbieten oder nur unter Auflagen zu erlauben.
Der - weiche - Kern des neuen Rechts sieht so aus: Daten können künftig nur mit Einwilligung des Betroffenen weitergegeben werden. Es gibt hiervon jedoch so viele Ausnahmen, dass von einer wirksamen Einwilligungsregelung nicht mehr gesprochen werden kann. Für zahlreiche Unternehmungen - von Zeitungsverlagen und Marktforschungsinstituten angefangen bis hin zu Werbefirmen - wurden Privilegien geschaffen. In den Fällen, in denen die Einwilligungsregel noch gilt, kann sie leicht umgangen werden: Selbst die gesetzlich formulierte Anforderung, die Einwilligungserklärung müsse drucktechnisch hervorgehoben werden, ist ziemlich interpretationsfähig.
Auf der nächsten Seite: Wo das Gesetz große Freiheiten gewährt - und warum es kein Wort dazu enthält, wie mit den Krankheitsdaten von Arbeitnehmern umgegangen werden muss.
Überall hinterlassen Verbraucher ihre Daten. Auf diese haben Firmen auch in Zukunft Zugriff - trotz des neuen Datenschutzgesetzes. Die wichtigsten Neuerungen im Überblick.
Verschriftlichte Selbstverständlichkeiten
Große Freiheiten werden gewährt, wenn es um die zusammengefassten Daten des "Angehörigen einer Personengruppe" geht, "die sich auf seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken". Auf diese Weise können zum Beispiel alle Entwicklungsingenieure in Deutschland oder die Sekretärinnen von Geschäftsführungen gezielt an ihrem Arbeitsplatz beworben werden. Sie müssen aber immerhin nach dem neuen Recht erfahren, woher der Werbetreibende ihre Daten hat.
Der Arbeitnehmerdatenschutz ist in Paragraph 32 Absatz 1 des neuen Rechts in ganzen zwei Sätzen geregelt. Dort werden Selbstverständlichkeiten ausgeführt: Dass "zur Aufdeckung von Straftaten" Daten erhoben, verarbeitet und genutzt werden dürfen. Kein Wort dazu, wie mit den Krankheitsdaten von Arbeitnehmern umgegangen werden muss, kein Wort dazu, wie und wie lange Rügen oder Beschwerden über den Arbeitnehmer gespeichert werden dürfen. Auch kein Wort dazu, wie mit Bewerbungsunterlagen zu verfahren ist. Der Datenalltag in Betrieben ist in keiner Weise geregelt.
Rechtssicherheit beim Arbeitnehmer-Datenschutz gibt das neue Gesetz nicht. Der Datenschutz-Experte Hansjörg Geiger, ehedem Staatssekretär im Bundesjustizministerium, hält dem Gesetzgeber das klassische Wort "si tacuisses" entgegen. Soll heißen: Wenn der Gesetzgeber gar nichts gemacht hätte, wäre es besser gewesen.