Am vergangenen Freitag, den 12. Mai 2017, hat der Bundesrat für ein neues Bundesdatenschutzgesetz (BDSG-neu) die Zustimmung erteilt, das bereits am 27. April 2017 vom Bundestag beschlossen wurde. Das neue Gesetz wird gleichzeitig mit der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft treten. Im Vergleich zum Regierungsentwurf (wir berichteten) wurden – als Reaktion auf eine Stellungnahme des Bundesrates – noch einige Änderungen am nun verabschiedeten Gesetz vorgenommen. An einigen Stellen weicht das BDSG-neu von den Leitlinien der DSGVO ab.

1. Wichtige Präzisierungen der DSGVO

1.1 Beschäftigtendatenschutz

Nach Art. 88 DSGVO können die Mitgliedstaaten für den Beschäftigtendatenschutz spezifischere Vorschriften vorsehen. Der deutsche Gesetzgeber belässt es hier in § 26 BDSG-neu im Wesentlichen bei der bisherigen des § 32 BDSG. Eine Einwilligung für die Verarbeitung personenbezogener Daten von Beschäftigten bedarf nach § 26 Abs. 2 BDSG-neu der Schriftform, während die DSGVO grundsätzlich keine bestimmte Form voraussetzt.

1.2 Videoüberwachung

Mit § 4 BDSG-neu wurde die Zulässigkeit der Videoüberwachung von öffentlichen Plätzen sowohl für öffentliche Stellen als auch für Private ausgeweitet, indem der Gesetzgeber die Überwachung bestimmter Flächen privilegiert. Diese Privilegierung wurde bereits kurz vor der heutigen Reform per Gesetzesänderung vom 28. April 2017 in § 6b Abs. 1 S. 2 BDSG aufgenommen und wird nun im neuen Gesetz fortgesetzt. Der deutsche Gesetzgeber gibt der Videoüberwachung damit im Lichte der Abwägung von Art. 6 Abs. 1 lit. f DSGVO ein besonderes Gewicht. Die Europarechtskonformität dieser Regelung wird von manchen Autoren bezweifelt (z.B. Stellungnahme Prof. Wolff, S. 10).

1.3 Datenschutzbeauftragter

§ 38 BDSG-neu entspricht im Wesentlichen der bisherigen Pflicht zur Bestellung eines Datenschutzbeauftragten nach § 4f Abs. 1 BDSG. Dies ist wenig überraschend, denn die Möglichkeit strengere nationale Bestellpflichten nach Art. 37 Abs. 4 DSGVO zuzulassen wurde gerade auf Betreiben der deutschen Verhandlungsdelegation vorgesehen. Eine Bestellung ist nach § 38 BDSG-neu bei Betrieben mit mindestens zehn Angestellten, die sich ständig mit automatisierten Datenverarbeitungsvorgängen befassen, notwendig (was der bisherigen deutschen Regelung im BDSG entspricht). Art. 37 Abs. 1 lit. b DSGVO knüpft demgegenüber nicht an die Anzahl der Beschäftigten an. Vielmehr sind Unternehmen zur Bestellung verpflichtet, wenn ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine systematische Überwachung erforderlich machen.

1.4 Betroffenenrechte

Die DSGVO räumt den Betroffenen umfassende Rechte ein. Neben den schon bekannten Rechten auf Auskunft, Berichtigung und Löschung ist dies z.B. das in Art. 20 DSGVO verankerte Recht auf Datenübertragbarkeit.

Das BDSG-neu enthält einige Ausnahmen bei den Betroffenenrechten, welche Erleichterungen für die Wirtschaft schaffen. Diese stehen teilweise in der Kritik, über den nationalen Regelungsrahmen hinausgegangen zu sein. Insoweit bleibt abzuwarten, wie andere Mitgliedstaaten die Gestaltungsspielräume nutzen und wie der Europäische Gerichtshof die nationalen Regelungen bewertet. In der letztlich verabschiedeten Fassung sind die Ausnahmen jedoch im Vergleich zum Regierungsentwurf noch einmal erheblich beschränkt worden. Dies betrifft z.B.:

Bei den Informationspflichten gegenüber Betroffenen nach Art. 13 DSGVO (Erhebung beim Betroffenen) soll eine Information unterbleiben können, wenn eine Informationserteilung die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen würde und die Interessen des Verantwortlichen an der Nichterteilung die Interessen der betroffenen Person überwiegen.

Vorgesehen sind auch Ausnahmen zum Auskunftsrecht des Betroffenen. Ein solches soll insbesondere dann nicht bestehen, wenn die personenbezogenen Daten nur gespeichert sind, weil sie aufgrund gesetzliche oder satzungsgemäßer Aufbewahrungsfristen nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Es empfiehlt sich daher die Einführung eines Lösch- und Sperrkonzepts (auch im Hinblick auf die DSGVO).

1.5 Geheimhaltungspflichten

§ 29 BDSG-neu sieht eine Ausnahme zur Informationspflicht des Betroffenen nach Art. 14 Abs. 1 bis 4 DSGVO im Hinblick auf Daten vor, die einer Geheimhaltungspflicht unterliegen. Gemäß § 29 Abs. 2 BDSG-neu findet auch eine Privilegierung von bestimmten Geheimnisträgern (bspw. Ärzten und Rechtsanwälten) im Rahmen der Informationspflicht nach Art. 13 Abs. 3 DSGVO statt. Auch hier macht der deutsche Gesetzgeber von dem durch Art. 23 DSGVO eröffneten Spielraum Gebrauch.

1.6 Bonitätsauskünfte / Scoring

Die bisherigen Regelungen des § 28b BDSG werden in § 31 BDSG-neu in ähnlicher Form weitergeführt. Dies stellt eine Privilegierung des Wirtschaftsverkehrs gegenüber den Regelungen der DSGVO, insbesondere im Hinblick auf die Zweckbindung, dar.

1.7 Besondere Kategorien personenbezogener Daten

In Ausformung von Art. 9 Abs. 2 DSGVO sieht § 22 BDSG-neu Ausnahmen vom generellen Verbot der Verarbeitung besonders schutzwürdiger Daten im Sinne des Art. 9 Abs. 1 DSGVO vor. Dies betrifft insbesondere den Bereich der Gesundheitsdaten, deren Verarbeitung auch für Unternehmen der Privatwirtschaft unter bestimmten Voraussetzungen möglich bleibt.

1.8 EU-weite Koordination der Aufsichtsbehörden

Gemäß Art. 51 Abs. 3 DSGVO musste Deutschland eine seiner Aufsichtsbehörden bestimmen, die die Koordination auf EU-Ebene federführend übernimmt und insbesondere Deutschland im Europäischen Datenschutzausschuss vertritt, Art 68 Abs. 4 DSGVO. Diese Rolle wird gemäß §17 BDSG-neu der/die Bundesbeauftragte für Datenschutz und Informationssicherheit übernehmen. In §§ 17 ff. BDSG-neu ist geregelt, dass jeweils eine Datenschutzaufsichtsbehörde auf Landesebene die Stellvertretung im Europäischen Datenschutzausschuss übernimmt und eine Abstimmung im Hinblick auf die Länder betreffende Themen erfolgt.

2. Praxishinweis

Die Verabschiedung des BDSG-neu führt im Rahmen bereits bestehender Umsetzungsprojekte zu keinen großen Veränderungen. Insbesondere die nationalen Sonderregelungen zum Datenschutzbeauftragten und Beschäftigtendatenschutz waren zu erwarten. Unternehmen, welche noch nicht mit der Umsetzung begonnen haben, seien daran erinnert, dass die DSGVO ab dem am 25. Mai 2018 ohne weitere Übergangsfrist in Kraft tritt.

Informieren Sie sich mit dem Workbook Datenschutz-Grundverordnung von Dr. Sibylle Gierschmann.