Ein Überblick über die wesentlichsten Änderungen des Bundesdatenschutzgesetzes

Die Datenschutz-Grundverordnung („DSGVO“) bezweckt die Vereinheitlichung des europäischen Datenschutzrechts und die Schaffung eines einheitlichen europäischen Datenschutzniveaus. Gleichwohl sind in der DSGVO eine Vielzahl sogenannter Öffnungsklauseln enthalten, die den Mitgliedsstaaten einen gewissen Umsetzungsspielraum für einzelne Regelungsbereiche belassen. Nachdem der deutsche Gesetzgeber mit Geltung der DSGVO das Bundesdatenschutzgesetz („BDSG“) an die europäischen Vorgaben und Öffnungsklauseln anpasste, sind zum 26.11.2019 durch das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU („2. DSAnpUG-EU“) nun weitere Änderungen in Kraft getreten.

Neben Anpassungen des BDSG enthält das 2. DSAnpUG-EU Änderungen von über 150 Gesetzen, die vorwiegend redaktioneller Art sind. In diesem Zusammenhang werden insbesondere Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen, Betroffenenrechte und Vorgaben zu technischen und organisatorischen Maßnahmen angepasst beziehungsweise neu geregelt. Für die tägliche Datenschutzpraxis insbesondere in mittelständischen Unternehmen ungleich relevanter sind demgegenüber die Änderungen des BDSG. Die Neuregelungen erfassen insbesondere

  • die Zuständigkeit des Bundesdatenschutzbeauftragten für den Datenschutz und die Informationsfreiheit („BfDI“) in § 9 BDSG und korrespondierender Befugnisse in § 16 BDSG,
  • die Verarbeitung besonders schutzwürdiger Daten nach § 22 BDSG,
  • die Aufhebung des Schriftformgebots für Einwilligungen im Beschäftigungsverhältnis in § 26 BDSG
  • die personelle Grenze für die Bestellung eines betrieblichen Datenschutzbeauftragten nach § 38 BDSG sowie
  • die Verarbeitung zu Zwecken der Verleihung staatlicher Auszeichnungen und Ehrungen in § 86 BDSG.

Im Einzelnen:

Die Änderung des § 9 BDSG n.F. betrifft die sachliche Zuständigkeit des BfDI, die über das Telekommunikationsgesetz (TKG“) nun hinaus generell für die Verarbeitung personenbezogener Daten durch Telekommunikationsunternehmen gegeben ist. Die Klarstellung der diesbezüglichen vorbehaltlosen bundesländerübergreifenden Zuständigkeit des BfDI war notwendig vor dem Hintergrund des Anwendungsbereiches des TKGs, welches künftig nur noch Regelungen zur Umsetzung der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) und nicht mehr auch zur DSGVO (respektive zur aufgehobenen Richtlinie 95/46/EG) enthält.

Die Änderungen in § 22 BDSG n.F. erweitern die Verarbeitungsbefugnisse für nichtöffentliche Stellen – also auch privatrechtliche Unternehmen – hinsichtlich besonders schutzwürdiger personenbezogener Daten nach Art. 9 DSGVO. Während zuvor die „zwingend erforderlich(e)“ Verarbeitung „aus Gründen eines erheblichen öffentlichen Interesses“ lediglich öffentlichen Stellen vorbehalten war, wird diese nun zusätzlich auch nichtöffentlichen Stellen zugestanden. Die Gesetzesbegründung nennt beispielhaft die Verarbeitung von Daten mit Religionsbezug durch zivilgesellschaftliche Träger im Rahmen von Präventions- oder Deradikalisierungsprogrammen. Ferner sei ein weiterer denkbarer Anwendungsfall die Bekämpfung von Pandemien oder die Unterstützung des Katastrophenschutzes. Die Gesetzesbegründung weist dabei explizit darauf hin, dass mit dieser Änderung keine Erweiterung der Verarbeitungsbefugnisse entsprechender Daten für gewerbliche Geschäftsmodelle intendiert ist. Dass der Gesetzgeber keine Präzisierung des öffentlichen Interesses vorgenommen hat, ist dabei kritikwürdig. Bereits vor der zweiten Änderung des Gesetzes wurde durch die juristische Literatur jedoch angemahnt, dass Ausführungsvorschriften auf Grundlage von Art. 9 Abs. 2 lit. g DSGVO sich gerade nicht auf eine inhaltliche Wiedergabe der Norm beschränken dürften, sondern wegen des Bestimmtheitsgebotes die öffentlichen Interessen näher zu präzisieren hätten. Dass der deutsche Gesetzgeber dieser Mahnung nicht auch nur ansatzweise gefolgt ist, ist umso unverständlicher vor dem Hintergrund, dass die nationalen Ausführungsvorschriften doch gerade eine (kontextuelle) Spezifizierung der Generalklauseln darstellen und sie nicht nur kopieren sollen.

Nach § 26 Abs. 2 S. 3 BDSG n.F. hebt das Schriftformgebot im Beschäftigungskontext auf. Die elektronische Form steht nun gleichberechtigt neben der Schriftform und ist nicht mehr durch besondere Umstände zu rechtfertigen. Positiv zu bewerten ist, dass der deutsche Gesetzgeber immerhin relativ schnell die fehlende Praxistauglichkeit seines Sonderweges erkannt und korrigiert hat.

In § 38 Abs. 1 BDSG n.F. ist nunmehr die personelle Schwelle, ab der die Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtend wird, von zehn auf zwanzig angehoben worden. Nur, wenn der Verantwortliche in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, muss er zwangsweise einen Datenschutzbeauftragten bestellen. Hinsichtlich der übrigen Pflichten im Zusammenhang mit dem Datenschutzbeauftragten oder den sonstigen formellen Pflichten, etwa hinsichtlich der Erstellung von Verarbeitungsverzeichnissen, ändert sich nichts.

In der neu geschaffenen Vorschrift des § 86 BDSG n.F. finden sich nun Regeln zur Verarbeitung personenbezogener Daten für Zwecke der Verleihung staatlicher Auszeichnungen und Ehrungen. Für diese Zwecke dürfen danach sowohl öffentliche als auch nichtöffentliche Stellen personenbezogene Daten möglicher Kandidaten für den Erhalt besonderer (staatlicher) Ehrungen verarbeiten, ohne dass die Betroffenen über die diesbezügliche Erhebung informiert werden müssen. Der Verzicht auf die üblichen Betroffenenrechte ist nachvollziehbar, da die Betroffenen im Hinblick auf ihre Verdienste und persönliche Integrität beurteilt werden müssen, ohne dass sie über die Prüfung Kenntnis erlangen.

Folgen für die Praxis:

Die Folgen der Änderungen dürften sich sowohl für mittelständische als auch für große Unternehmen in Grenzen halten. Aufgrund des engen Anwendungsbereiches ist die praktische Bedeutung der Anpassung beziehungsweise Neuschaffung des § 22 BDSG und § 86 BDSG sehr beschränkt. Am bedeutsamsten dürften wohl die Änderungen der personellen Schwelle für die Bestellung von Datenschutzbeauftragten als auch die Aufhebung des Schriftformgebots im Beschäftigungskontext sein, die gerade durch kleine Unternehmen verständlicherweise als übertriebene Regelungen empfunden worden sind. Interessant dürfte werden, wie Unternehmen, die nach der neuen Regelung nun keinen Datenschutzbeauftragten mehr benötigen, sich von diesem gerade bei langen Vertragslaufzeiten lösen können.