Wir kommen jetzt zum nächsten Themenblock und zwar, wie ich am Anfang schon angekündigt habe, wollen wir die nächste Stunde nutzen, um sozusagen einen Rückblick zu werfen auf Themen, wo wir denken, ja, okay, das stand schon mal auf der politischen Agenda, da wurde die eine oder andere netzpolitische Debatte oder Schlachtzeiten gewonnen oder vielleicht auch nicht so günstig was

ausgegangen. Was passiert jetzt eigentlich mit diesem Thema? Und der erste Redner in dieser Runde, da freuen wir uns sehr, dass heute bei uns ist Peter Schar. Er ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz und wie bestimmt der eine oder die andere von euch weiß auch, außer dem Bundesverauftragter für Datenschutz

und Informationsfreiheit AD. Also perfekt dafür geeignet, um sozusagen einen Rückblick oder auch einen Vorausblick zu werfen auf die Frage die EU-Datenschutz-Grundverordnung. Wie sieht es da eigentlich mit der nationalen Umsetzung aus? Einen großen Applaus, herzlich willkommen Peter Schar.

Ja, herzlichen Dank für die freundliche Einführung. Wir haben ja die letzten Jahre viel über diese europäische Datenschutzreform gesprochen und sie ist ja jetzt nicht nur in trockenen Tüchern, sondern sie ist beschlossen und sie tritt am 25. Mai des Jahres 2018 in Kraft. Bis dahin

müssen aber nicht nur die europäischen Gremien noch einige Feinarbeit machen. Die ePrivacy-Richtlinie ist ja da erwähnt worden. Da muss es eine Nachfolgeregelung geben. Da stimme

ich vollständig mit meinem Vorredner überein. Und zwar eine, die den Datenschutz eben auch ausweitet auf die OTTs, also die Messenger-Dienste und Vergleichbares. Aber auch auf nationaler Ebene sind bestimmte Aktivitäten erforderlich. Wie weit diese Aktivitäten gehen sollen,

ist allerdings immer wieder strittig gewesen. Diese europäische Datenschutz-Grundverordnung, dieses Wortmonster muss man sich wohl wirklich merken, ist direkt anwendbares Datenschutzrecht in allen 28 Mitgliedstaaten der Europäischen Union. Man kann sagen noch 28 Mitgliedstaaten. Und diese Regelung bedarf eigentlich

keiner Umsetzung in nationales Recht. Trotzdem gibt es bestimmte Dinge, die sicherlich sinnvollerweise im nationalen Recht zu regeln sind. Es geht hier zum Beispiel um die Frage des beschäftigten Datenschutzes, um das Verhältnis von Medienfreiheit,

Pressefreiheit einerseits und Datenschutzgrundrechten andererseits. So etwas sollte in nationalem Recht geregelt werden. Da gibt es auch explizite Ausnahmen für die in dieser Datenschutz-Grundverordnung enthalten sind. Um noch mal einen ganz kurzen Blick zu werfen, was

ändert sich? Zum einen soll es ja eben anstelle der 28 verschiedenen Gesetze eben ein Datenschutzgesetz geben. Die Datenschutzbehörden sollen gestärkt werden und sie sollen sehr eng miteinander kooperieren. Und auch Unternehmen, die ihren

Sitz nicht in Europa haben, also nicht innerhalb des europäischen Wirtschaftsraums, sollen das europäische Datenschutzrecht anwenden, wenn sie hier Geschäfte machen und dabei auch personenbezogene Daten verwenden. Also eine Art Lex Google, aber natürlich nicht nur. Last but not least und

ich finde, das ist möglicherweise die zentrale Änderung. Die Datenschutzverstöße sollen richtig empfindlich geahndet werden. Zum Vergleich, heute haben wir ein Bußgeld haben in Deutschland, der je nach Datenschutzverstoß maximale Bußgeldsummen von 50.000 Euro

beziehungsweise 300.000 Euro vorsieht. Diese Maximalrahmen werden nur sehr selten ausgenutzt. In Zukunft sollen diese Bußgelder bis zu 20 Millionen im Regelfall sein

können in der Höhe. Sie können aber bei großen Unternehmen darüber hinausgehen bis zu vier Prozent des Weltjahresumsatzes. Das umgerechnet sozusagen auf ein riesiges Unternehmen wie Google oder ein Konzern wie Facebook. Da ist man schnell in einem doch relativ hohen

einstelligen Milliardenbereich. Das kann man nicht mehr aus der Portokasse so einfach begleichen wie 50.000 oder 300.000 Euro, die maximal bisher zu befürchten waren. Diese Öffnungsklauseln, die ich schon eben erwähnt

hatte, sind zum Teil auch durchgesetzt worden durch die Bundesregierung. Die beiden Bundesinnenminister Demesier und Friedrich haben sich immer wieder öffentlich, aber nicht nur öffentlich, auch in den EU-Gremien dafür eingesetzt, Öffnungsklauseln zu schaffen. Nicht nur für die

Bereiche, über die ich eben gesprochen hatte, also Beschäftigtendatenschutz und gegebenenfalls Gesundheitsdaten, journalistische Daten, sondern auch für die Datenverarbeitung staatlicher Stellen. Die Begründung war ganz interessant. Es wurde gesagt, diese Öffnungsklauseln sind erforderlich, um das hohe

deutsche Datenschutzniveau zu erhalten. Die Kommission ist teilweise auf diese Forderungen eingegangen und in sofern waren natürlich jetzt alle gespannt darauf, wie dann die Bundesregierung die Umsetzung dieser Regelungen realisieren würde und vor einiger Zeit ist ja in

Netzpolitik dann der Text eines Referentenentwurfs erschien eines sogenannten allgemeinen Bundesdatenschutz Gesetzes, das an die Stelle des bisherigen Bundesdatenschutz Gesetzes treten sollte und wer diesen Gesetzentwurf sich durchlas, der rieb sich die Augen. Denn statt des hohe

deutsche Datenschutzniveau, das dort beschworen worden war, um Ausnahmeregelungen zu ermöglichen, zu garantieren, ist dieser Gesetzentwurf getragen von dem Duktus, den Datenschutz, wo es irgendwie geht,

abzusenken und zwar unter das jetzige Datenschutzniveau und auch unter das Datenschutzniveau, das durch die Europäische Union vorgegeben ist. Das heißt, mit der Vorgabe eines möglichst hohen Datenschutzniveaus hat das nur sehr wenig zu tun. Es gibt so ein paar Regelungen, die so neutral sind bzw. die ich

auch durchaus für diskutierenswert halte oder sogar sinnvoll zum Beispiel, dass es auch weiterhin betriebliche Datenschutzbeauftragte in Deutschland geben soll und zwar verpflichtend. Aber das ist es dann fast schon. Ansonsten enthält dieses Datenschutzgesetz zusätzliche Befugnisse

für alle möglichen staatlichen Stellen. Unter anderem auch für die Geheimdienste. Sie sollen möglichst unbehelligt und möglichst sozusagen auch außerhalb ihrer spezialgesetzlichen Grundlagen, also BND-Gesetz, Verfassungsschutzgesetz, die Erlaubnis bekommen, personenbezogene Daten zu

verarbeiten. Interessant ist auch, dass die sogenannten Scoring-Regelungen beibehalten werden sollen, die wir im BDSG haben. Scoring, das wissen Sie, ist die Bewertung anhand von sogenannten digitalen Kopfnoten, insbesondere im Bereich der Kreditwirtschaft. Diese

Scoring-Regelungen sind vor acht Jahren oder neun Jahren in das Bundesdatenschutzgesetz hineingekommen und zwar als Package-Deal. Einerseits sollte das die Schufa und Co. schützen, auf der anderen Seite sollten aber Verbraucher auch zusätzliche Befugnisse bekommen, zum Beispiel kostenlose Selbstauskünfte, ein Auszug über

dieses Scoring-Register, das dort jeweils über einen geführt wird. Was macht nun dieser BDSG-Entwurf? Er enthält lediglich diese Regelungen, die im Interesse der Wirtschaft sind, er nimmt allerdings das weg, was an zusätzlichen Rechten da ist. Also auch interessant, wenn es darum geht, das hohe

deutsche Datenschutzniveau zu erhalten. Interessant ist übrigens eine Regelung, die viele bisher überlesen haben. Danach soll Scoring zusätzlich zu dem, was bisher erlaubt ist, zulässig sein, soweit es erforderlich ist zur Wahrung berechtigter Interessen eines Dritten oder zur Abwehr

von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten und kein Grund zur Annahme besteht, dass die betroffene Person ein schutzwürdiges Interesse an dem Ausschluss der Verarbeitung hat. Das heißt, durch dieses ABDSG, das heißt der Datenschutzgesetz, soll es erlaubt

werden, für Zwecke der Gefahrenabwehr, der Strafverfolgung Scoring durchzuführen. Scoring betrifft ja nicht nur diejenigen, die schon im Fokus sind, sondern alle, um dann mögliche Verdächtige aus diesem größeren Kreis herauszufinden, die einen

schlechten Scorewert haben. Wir haben alle gelesen oder viele von uns vom sogenannten Citizen Score, den die chinesische Regierung einzuführen beabsichtigt. Ich frage mich, ob wir demnächst auch einen Citizen Score, einen Terror Score in Deutschland bekommen, der dann auch durch ein solches sogenanntes

Datenschutzgesetz abgesichert sein soll. Diese Frage ist noch nicht beantwortet. Ich hoffe, dass das Bundesjustizministerium dieses verhindert, aber ganz sicher können wir erst sein, wenn wir wissen, was dann im Endgültchengesetz drin steht, das vom Bundestag beschlossen

wird. Interessant ist, dass auch zusätzliche Regelungen, Erleichterungen für die Wirtschaft dort enthalten sind, die gar nicht in den Bereichsausnahmen auftauchen, die in der Grundverordnung drin sind. Zum Beispiel soll der Löschungsanspruch unterbleiben, wenn die Daten in einer Form gespeichert sind, die eine einzelne Löschung

unverhältnismäßig erscheinen lässt. Das heißt, um eine Löschung zu vermeiden, muss man die Daten so speichern, dass man sie danach nur schwer oder gar nicht löschen kann. Dann ist es auch rechtmäßig. So einen Vorbehalt gab es bisher nicht, den gibt es auch nicht in der Datenschutz-Grundverordnung, woher

die Bundesregierung die Schutz benimmt oder das in dem Falle der Referent oder das Bundesinnenministerium diese Ausnahme sozusagen zu Gunsten der Wirtschaft einzuführen, das frage ich mich, dasselbe gilt auch für Auskunftsrechte. Sie sollen eingeschränkt werden, wenn es unverhältnismäßig ist. Auch das, etwas was entweder in der

Grundverordnung so vorkommt, noch im bisherigen deutschen Datenschutzrecht. Skandalös wird es dann allerdings, wenn es um die Frage der Kontrolle geht. Sie erinnern sich, die Stärkung der Aufsichtsbehörden und diese hohen Bußgeldrahmen sind ganz wichtig. Was steht dazu im Gesetzentwurf, der nachzulesen

ist in Netzpolitik.org? Da steht drin, die Bußgeldgrenzen bleiben so, wie sie sind. Wie der Bundesinnenministerium dazu kommt, statt der erhöhten Bußgeldrahmen, den alten Bußgeldrahmen beizubehalten, der sich als unwirksam erwiesen hat,

entgegen europäischem Recht ist mir ein totales Rätsel. Europarechtswidrig, handwerklich schlecht gemacht und datenschutzfreundlich ist es auch nicht. Last but not least, die Bundesbeauftragte für den Datenschutz, also diejenige Person, die das Amt innehat, das ich auch

zehn Jahre wahrgenommen hatte, sie soll in Zukunft sich anders als ich das konnte und auch gemacht habe in Sachen der Nachrichtendienste nicht mehr direkt ans Parlament wenden können und auch nicht an seine Ausschüsse. Ich habe, Sie können das nachlesen, nach den ersten Veröffentlichungen,

die auf etwa Snowden zurückgingen, genau das gemacht. Ich habe einen Bericht erstattet, über den der Bundestag dann auch diskutiert hat. Man könnte sagen, diskutieren musste. In Zukunft wird so etwas nicht mehr möglich sein, wenn es nach dem Bundesinnenministerium geht. Und ob sie in Zukunft die Befugnis erhält, auch Bußgelder

gegen Post- und Telekommunikationsunternehmen zu erheben, wenn Datenschutzverstöße dort vorkommen, lässt der Gesetzentwurf auch offen. Also darf man gespannt sein. Lassen Sie mich ein Wort sagen. So wichtig andere Themen des

Datenschutzes sind, ich glaube, hier wird eine ganz entscheidende Schlacht geschlagen. Denn es geht tatsächlich um die Frage, ob das schwer durch gerungene, bessere europäische Datenschutzniveau wirklich kommen wird oder durch nationale Gesetzgeber unterminiert werden kann.

Und eines ist klar. Wenn in Deutschland so ein Gesetz gemacht wird, dann wird es auch in anderen, vielleicht in allen anderen europäischen Ländern genau solche Gesetze geben. Vielleicht welche, die sogar noch weitergehen. Ich möchte das nicht. Ich halte das auch

für politisch falsch und juristisch falsch. Aber eh man dann mit diesen Aspekten vor dem Europäischen Gerichtshof landet, dauert es eine ziemlich lange Zeit. Und deshalb ist es wichtig, das zu verhindern. Deshalb, da braucht man schon ein aktives Vorgehen der

Zivilgesellschaft und ich würde mich freuen, wenn Sie sich entsprechend engagieren würden. Ich danke Ihnen.