Probleme mit Compliance
Kritik an neuem Datenschutzgesetz
Innenminister Thomas de Maizière (CDU) plant ein neues Gesetz zum Arbeitnehmer-Datenschutz. Anlass waren die Datenschutzskandale bei Unternehmen wie der Deutschen Bahn, Lidl oder der Deutschen Telekom. Doch über den Entwurf gibt es geteilte Meinungen. Datenschützer bemängeln, der Entwurf verschlechtere den Datenschutz für Beschäftigte sogar.
Rechtsanwalt und Datenschutzexperte Jens Nebel von der Wirtschaftskanzlei Kümmerlein Rechtsanwälte & Notare in Essen warnt aus anderen Gründen: „Die Umsetzung von Compliance-Richtlinien wird für Unternehmen deutlich erschwert.“ CIO.de sprach mit ihm.
CIO: Was halten Sie generell von einem neuen Arbeitnehmer-Datenschutzgesetz?
Jens Nebel: Man muss das Ganze differenziert betrachten. Beschäftigtendatenschutz ist ein wichtiges Thema, nicht nur für die Arbeitnehmer, sondern auch für die Unternehmen, die beim Umgang mit Daten natürlich gerne eine gewisse Rechtssicherheit hätten. Insoweit ist es zu begrüßen, dass es diese Gesetzesinitiative gibt. Man muss zum Hintergrund wissen: Das Thema ist mittlerweile ein Evergreen des Datenschutzrechts. Es geistert schon seit Jahren durch die Fachwelt. Bisher ist es aber nie zu einer Gesetzesinitiative gekommen.
CIO: Woran lag das?
Jens Nebel: Der Handlungsdruck war in der Vergangenheit nicht so hoch. Durch die sogenannten Datenschutzskandale der letzten Jahre hat er sich deutlich erhöht, das hat zu einer fast blindwütigen Aktivität des Gesetzgebers geführt.
CIO: Sie sagen "sogenannte Datenschutzskandale", waren das keine richtigen Skandale?
Jens Nebel: Sicherlich waren etliche Fälle dabei, wo man ganz klar sagen muss, das war so nicht in Ordnung. Mein Problem ist eher: Was ist die Folge davon, was wurde dadurch los getreten? Es wurde in der der Diskussion so getan, als sei das alles ein Problem mangelnder gesetzgeberischer Regelungen. Das ist mir jedoch zu pauschal. Vielfach handelt es sich um Dinge, die schon nach dem alten Datenschutzrecht ganz klar rechtswidrig waren. Deswegen kann mit diesen Vorfällen die Notwendigkeit einer Neuregelung jedenfalls nicht begründet werden.
CIO: Also wurden die bestehenden Gesetze bisher nicht richtig angewendet oder beachtet?
Jens Nebel: Das Datenschutzrecht in Deutschland ist in der Tat schon sehr restriktiv. Es ist so konzipiert, dass es von einem grundsätzlichen Verbot mit Erlaubnisvorbehalt ausgeht. Das heißt, eine Datenverarbeitung ist nach dem Gesetz erst einmal per se verboten. Es sei denn, derjenige der sie durchführt, kann eine Erlaubnis dafür vorweisen, also eine Einwilligung des Betroffenen oder einen gesetzlichen Ausnahmetatbestand. Derjenige, der in diesem Bereich etwas machen will, befindet sich konzeptionell in einer Rechtfertigungssituation. Die bisherige Rechtslage stellt also keineswegs einen Freifahrtschein für die Wirtschaft dar.