Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung


Entwurf eines Gesetzes zur Anpassung des Bundesdatenschutzgesetzes veröffentlicht

Wenn die EU-Datenschutz-Grundverordnung ab dem 25.05.2018 überall in der Europäischen Union anwendbar wird, heißt das nicht, dass das deutsche Bundesdatenschutzgesetz gegenstandslos wird. Die Datenschutz-Grundverordnung lässt den Mitgliedsstaaten Spielraum. Mit dem Referentenentwurf wird sichtbar, wie der deutsche Gesetzgeber diesen Spielraum nutzen könnte.

Wenn die Datenschutz-Grundverordnung ab 25.05.2018 unmittelbar gilt, wird sie das Bundesdatenschutzgesetz (BDSG) nicht ersetzen. Eine „Vollharmonisierung“ ist nicht vorgesehen. Die Datenschutz-Grundverordnung (DS-GVO) enthält an vielen Stellen Öffnungsklauseln, die den nationalen Gesetzgebern erlauben, Regelungen zu treffen, die von der DS-GVO abweichen. Wie sich das Innenministerium das Verhältnis zwischen der EU-Verordnung und dem BDSG vorstellt, ergibt sich aus dem 2. Referentenentwurf zum „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU-DSAnpUG-EU)“ vom 11.11.2016. Noch im Januar 2017 soll das Kabinett über das Gesetz entscheiden. Mit einer Verabschiedung des Gesetzes ist in der zweiten Jahreshälfte 2017 zu rechnen.

Unternehmen, die ihre Abläufe bis Mai 2018 sowohl an die DS-GVO als auch an das BDSG-neu anpassen müssen, haben also wenig Zeit.

Beschäftigtendatenschutz

Die DS-GVO enthält keine Regelung zum Beschäftigtendatenschutz. Der Erlaubnistatbestand des BDSG, der Arbeitgebern die Verarbeitung von Beschäftigtendaten zugesteht, soll aber weiterhin gelten. Artikel 88 DS-GVO erlaubt den Mitgliedsstaaten, spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext zu erlassen. Das gilt insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrages, der Planung und der Organisation der Arbeit. § 32 BDSG erlaubt auch heute schon die Verarbeitung von Daten, die zur Anbahnung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses benötigt werden. Die Regelung wird in § 24 BDSG-neu weitgehend unverändert übernommen und erhält eine Definition des Beschäftigten.

Wie bisher bleibt es zulässig, den Datenschutz im Unternehmen über Betriebsvereinbarungen zu regeln. Auch bereits abgeschlossene Betriebsvereinbarungen müssen allerdings an die neuen Anforderungen der DS-GVO angepasst werden. Hiermit muss frühzeitig begonnen werden, denn das Verhandeln von Betriebsvereinbarungen zu IT-Anwendungen, zum Datenschutz oder zu automatisierten Verhaltens- und Leistungskontrollen neu zu verhandeln, nimmt viel Zeit in Anspruch.

Zweckänderung

Auf Kritik stößt die Regelung zur Zweckänderung, die nach BDSG-neu deutlich einfacher als nach BDSG-alt und auch DS-GVO vorgesehen ist. Bei Zweckänderungen zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten (§ 23 Abs. 2 Nr. 1 BDSG-neu), bei der Wahrung berechtigter Interessen des Verantwortlichen (Nr. 2) und bei der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche (Nr. 3) soll keine Abwägung mehr nötig sein.

Datenschutzbeauftragter

Die Verpflichtung zur Benennung eines Datenschutzbeauftragten in Unternehmen war bisher ein Alleinstellungsmerkmal des deutschen Datenschutzrechts. Wegfallen soll nun die Unterscheidung zwischen automatisierter und nicht-automatisierter Verarbeitung zugunsten der leichter handhabbaren Bezeichnung „Verarbeitung“. Die Benennungspflicht soll zukünftig für Unternehmen gelten, soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Außerdem besteht die Pflicht zur Benennung, wenn die verantwortliche Stelle oder der Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO unterliegen oder wenn geschäftsmäßig Daten – anonymisiert oder nicht – zum Zwecke der Markt- oder Meinungsforschung übermittelt werden. Die Bedeutung der neuen Datenschutz-Folgenabschätzung steigt damit.

Betroffenenrechte

Die DS-GVO sieht in den Artikeln 13 bis 22 eine ganze Reihe von Betroffenenrechten vor (Informationspflicht bei Datenerhebung, Auskunftsrecht, Recht auf Berichtigung und Löschung, Recht auf Vergessenwerden, Widerspruchsrecht), von denen der nationale Gesetzgeber gem. Artikel 23 aber Ausnahmen vorsehen kann. Der Ansatz des Bundesinnenministeriums ist deutlich wirtschaftsfreundlicher, sodass im BDSG-neu viele Ausnahmen für Unternehmen vorgesehen sind. Im BDSG-neu finden sich in den §§ 30 bis 35 nähere Ausgestaltungen der Betroffenenrechte.

Sanktionen

Gem. Artikel 83 DS-GVO können Verstöße gegen Betroffenenrechte und das Nichtbefolgen von Anweisungen durch die Aufsichtsbehörden mit Geldbußen von bis zu 20 Mio. EUR oder im Fall von Unternehmen von bis zu 4 Prozent des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden.

Daneben sieht § 40 BDSG-neu Bußgelder in Höhe von bis zu 300.000 EUR für denjenigen vor, der bei der Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter vorsätzlich oder fahrlässig einen der in Artikel 83 DS-GVO genannten Verstöße begeht. In bestimmten Fällen (Artikel 83 Abs. 5 DS-GVO) ist bei vorsätzlichen, gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht begangenen Verstößen eine Freiheitsstrafe von bis zu zwei Jahren vorgesehen. Beides war im BDSG bereits ähnlich geregelt, wobei sich aus der DS-GVO nun mehr strafbewehrte Pflichten ergeben. Ob die nach BDSG-neu zusätzlich zu den nach DS-GVO vorgesehenen Geldbußen mit bis zu 300.000 EUR „wirksam, verhältnismäßig und abschreckend“ sind, wie es Artikel 84 DS-GVO verlangt, darf gerade im Vergleich zu den die Unternehmen nach Artikel 83 DS-GVO treffenden Geldbußen bezweifelt werden.

Fazit

Das BDSG-neu setzt – wenn auch nur in Teilen – eine EU-Richtlinie um. Es wird ergänzend zur Datenschutz-Grundverordnung gelten. Aus Sicht der Unternehmen geht der Entwurf des BDSG-neu mit zahlreichen Ausnahmen in die richtige Richtung. Aus Sicht der Betroffenen ist nach heutigem Stand ein Absinken des deutschen Datenschutzniveaus zu befürchten. Auch für Unternehmen wird es schwieriger sein, DS-GVO und BDSG-neu nebeneinander anzuwenden und in der Umstellung auf das neue Datenschutzregime den Anforderungen beider Vorschriften zu genügen. Die endgültige Form des BDSG-neu ist ohnehin noch gar nicht bekannt. Auf keinen Fall kann Unternehmen dazu geraten werden, abzuwarten, bis das BDSG-neu in Kraft getreten ist.

Seite als PDF sichern

Tags: #BDSG, #Beschäftigtendatenschutz, #Datenschutz, #DS-GVO, #Grundverordnung, #Öffnungsklausel, #Recht auf Vergessenwerden

Artikel versenden