News
BDSG-neu - Kabinett beschließt Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutz-Grundverordnung
Heute hat die Bundesregierung den Entwurf des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – (DSAnpUG-EU) beschlossen. Eine erste Version des Gesetzesentwurfs hatte das zuständige Bundesinnenministerium (BMI) bereits im November 2016 veröffentlicht und seither weiter überarbeitet. Der Bundesrat will sich am 10. März 2017 mit dem Entwurf befassen.
Mit dem geplanten Gesetz sollen die deutschen Regelungen zum Datenschutz zum Einen an die ab 25.Mai 2018 geltenden Vorschriften der EU-Datenschutzgrundverordnung (EU-DSGVO) angepasst werden. Die Verordnung räumt den Mitgliedsstaaten – vor allem bei Datenverarbeitungen der öffentlichen Stellen – zahlreiche nationale Regelungsspielräume (sog. Öffnungsklauseln) ein. Daneben dient das Vorhaben der Umsetzung der EU-Datenschutz-Richtlinie im Bereich Polizei und Justiz (Richtlinie (EU) 2016/680).
Der neue Entwurf sieht nunmehr 85 Paragrafen vor und ist deutlich umfangreicher als das bisherige BDSG (69 Paragrafen). In Teil 1 werden gemeinsame Bestimmungen niedergelegt.
Anwendungsbereich
Die für die digitale Wirtschaft wesentlichen Fragen zum Anwendungsbereich für nicht-öffentliche Stellen befinden sich in § 1 Abs. 1 s.2 und Abs. 4 S.2 BDSG-neu. Weiterhin sind in diesem Teil neben Begriffsbestimmungen vor allem die Aufgaben und Befugnisse der/des Bundesdatenschutzbeauftragten sowie die Vertretung im künftigen Europäischen Datenschutzausschuss geregelt. Der/die Bundesdatenschutzbeauftragte soll hier grundsätzlich Vertreter und zentrale Anlaufstelle sein. Die Stellvertretung soll durch einen auf fünf Jahre gewählten Landesvertreter erfolgen. Bei Landesangelegenheiten ist jedem Landesdatenschutzbeauftragten auf dessen Verlangen die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss zu übertragen.
Regelungsspielräume
Die für die digitale Wirtschaft wichtigen Regelungsfragen werden größtenteils in Teil 2 des Entwurfs behandelt.
Hier werden in § 22 BDSG-neu Regelungsspielräume mit Blick auf die Verarbeitung besonderer Kategorien personenbezogener Daten genutzt. Die ehemals in § 23 BDSG-neu verorteten Tatbestände zu Verarbeitungsmöglichkeiten bei geändertem Zweck sind nun in § 24 BDSG-neu niedergelegt. Anders als noch im Vor-Entwurf ist nun die zweckändernde Datenverarbeitung auf Grundlage eines legitimen Interesses zwar richtiger Weise in Abwägung der Interessen des Betroffenen aber erheblich begrenzt (zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich) geregelt worden. Dies ist unverständlich, da die EU-DSGVO Regelungen ohne einengende Bestimmung unter entsprechenden Vorgaben zulässt. Eine weitere Regelung zugunsten des legitimen Interesses steht nicht im Widerspruch zur Kompatibilitätsprüfung aus Art. 6 Abs.4 EU-DSGVO, da sie als entsprechendes Ergebnis in Form einer gesetzgeberischen Wertung im nationalen Recht anzusehen ist, welche den Verordnungstatbestand damit lediglich weiter ausfüllen würde. Ausweislich der Regelungsöffnung in der EU-DSGVO soll genau dies ermöglicht werden. In der Gesetzesbegründung ist der Verweis auf § 28 Abs. 2, Abs. 1 Nr. 2 BDSG-alt zwar enthalten, allerdings ohne Erwähnung der nun eingeführten Eingrenzung.
In § 32ff BDSG-neu befinden sich nunmehr die Regelungen zur Beschränkung von Informationspflichten und Auskunftsrechten. Sie entsprechen im Wesentlichen den ursprünglichen Versionen, wurden aber neu gefasst. So wurden beispielsweise Pflichten und Zeitpunkt hinsichtlich einer nachzuholenden Informationserteilung näher konkretisiert. Nach § 33 BDSG-neu kann eine Informationserteilung nun unterbleiben, wenn dadurch anerkannte Geschäftszwecke des Verantwortlichen gefährdet würden. Richtigerweise darf das Interesse des Betroffenen an Informationserteilung nicht überwiegen. Entsprechend sind nun die – im Zweifel dann nicht bestehenden - Auskunftsrechte in § 34 BDSG-neu beschrieben.
In § 38 BDSG-neu wird auf die bislang geltenden Regelungen zur Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten in Unternehmen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Ohne Rücksicht auf die Anzahl der Personen ist ein Datenschutzbeauftragter immer zu bestellen, soweit Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt - oder Meinungsforschung, verarbeitet werden.
Sanktionen
Das Kapitel Sanktionen wurde ebenfalls überarbeitet und um weitere Bestimmungen u.a zu Strafvorschriften und zum Gerichtsstand (§ 44 BDSG-neu) bei Klagen gegen Verantwortliche erweitert. Nach Art. 84 EU-DSGVO können Mitgliedsstaaten neben Geldbußen im Sinne des Art. 83 Eu-DSGVO mitgliedstaatlich strafrechtliche Sanktionen vorzusehen. Hiervon macht § 42 BDSG-neu Gebrauch.
Stellungnahme des BVDW
Der BVDW hatte im Rahmen der Verbändeanhörung zum ersten öffentlichen Entwurf vom 23.11.2016 Stellung zu den beabsichtigten Regelungen genommen. So ist es grundsätzlich zu begrüßen, dass der Gesetzgeber hier vorgesehene Handlungsspielräume für die nationale Wirtschaft nutzt. Zugleich dürfen die geschaffenen Regelungen dem Ziel der angestrebten Vollharmonisierung nicht zuwider laufen. Die digitale Wirtschaft benötigt hier europaweit einheitliche Bewertungen um die dringend erforderliche Rechtssicherheit nicht zu gefährden. Hier sollten europäisch verbindliche Absprachen getroffen werden. Der BVDW wird den nun beschlossenen Entwurf erneut prüfen und weiter kommentieren. Die Stellungnahme zum ersten Entwurf können sie hier downloaden.