Der Bundestag hat am 27. April 2017 das so genannte "Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)" beschlossen. Mit dem neuen Gesetz soll das 40 Jahre alte deutsche Bundesdatenschutzgesetz (BDSG) an die europäischen Vorgaben der Datenschutzgrundverordnung (DSVGO) angepasst werden.
Datenschutzrecht: Harmonisierung?
Eine Anpassung des BDSG wurde erforderlich, um ein Zusammenspiel mit den neuen europäischen Vorgaben zum Datenschutz sicherzustellen. Dazu zählt neben der europäischen Datenschutzgrundverordnung (DSGVO) auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie). Anders als die Richtlinie, die erst in deutsches Recht umgesetzt werden muss, wird die DSGVO ab dem 25. Mai 2018 unmittelbar geltendes Recht in allen Mitgliedstaaten. Ziel der Verordnung ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in den Mitgliedstaaten.
Dieses Ziel der Harmonisierung sah die EU-Kommission aber bereits in vorangegangenen Gesetzesentwürfen als gefährdet an und hat dies unter anderem in einem Schreiben an das federführende Bundesinnenministerium auch zum Ausdruck gebracht. Auch Datenschutzverbände, wie die Deutsche Vereinigung für Datenschutz (DVD), äußert deutliche Kritik an dem nunmehr vom Bundestag beschlossenen, neuen Bundesdatenschutzgesetz (BDSG-neu).
Ob es noch zu den erhofften Gesetzesänderungen kommt, hängt auch von der Bundesratssitzung am 12. Mai 2017 ab. Denn sollte dem Gesetzesbeschluss nicht zugestimmt werden, ist der Vermittlungsausschuss anzurufen. Allerdings gilt die erforderliche Zustimmung des Bundesrats als sicher. Und dies, obwohl die geäußerten Bedenken aus Brüssel beim neuen BDSG nicht umfassend berücksichtigt wurden.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Neues Bundesdatenschutzgesetz: EU-rechtskonform?
Die Kabinettschefin von EU-Justizkommissarin Vera Jourova, Renate Nikolay, betonte schon vor der Bundestagsabstimmung bei einer Veranstaltung der Stiftung Datenschutz in Berlin, dass die EU-Kommission zwar im Dialog mit den deutschen Gremien stehe, aber auch die Gefahr eines Vertragsverletzungsverfahrens bestünde, sofern das Ziel der einheitlichen Datenschutzregeln gefährdet würde.
Denn die DSGVO enthält zahlreiche bereichsspezifische Öffnungsklauseln für die nationalen Gesetzgeber, aber im Grundsatz soll die Vereinheitlichung des Datenschutzrechts innerhalb der EU gewährleistet werden. Dagegen will die Bundesregierung mit dem neuen Bundesdatenschutzgesetz ganz offensichtlich den ihr eingeräumten Handlungsspielraum möglichst weit ausschöpfen. Nach Meinung der Kritiker überschreitet das neue Gesetz jedoch den nach der DSGVO zulässigen Spielraum. Es ist also gut möglich, dass das neue BDSG bald wieder (in Teilen) für unzulässig (weil unvereinbar mit EU-Recht) erklärt wird.
Nichtsdestotrotz dürfte aber mit dem neuen BDSG-Gesetzestext der wesentliche zukünftige Rechtsrahmen für die Datenverarbeitung in Deutschland gesetzt sein. Zumal die wirklich bedeutenden Regelungen zur Datenverarbeitung im Unternehmen bereits abschließend in der DSGVO geregelt sind. Für Unternehmen gibt es also keinerlei Grund, noch länger mit der Überprüfung und Anpassung ihrer Verträge und Prozesse an die Datenschutzgrundverordnung beziehungsweise das BDSG-neu zu warten. Ab dem 25. Mai 2018 endet nämlich die Übergangsfrist und es kommt nur noch das neue Datenschutzrecht zur Anwendung. Das bedeutet auch, dass dann deutlich höhere Strafen für Datenschutzverstöße verhängt werden können, die bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können.
BDSG-neu & DSGVO: Das ändert sich
Neu ist beispielsweise der Schmerzensgeldanspruch für Verbraucher und damit auch Arbeitnehmer in § 83 Abs. 2 BDSG-neu. Anders als nach der DSGVO kann nunmehr eine betroffene Person auch wegen eines Schadens der kein Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen. Dies kann für Unternehmen unter Umständen zu erheblichen, wirtschaftlichen Risiken führen, denn die neuen Verbandsklagerechte erleichtern Verbrauchern und Verbänden die gerichtliche Geltendmachung ihrer Ansprüche.
Eine weitere Abweichung von der DSGVO findet sich bei den Regelungen zum Datenschutzbeauftragten. Das BDSG-neu übernimmt im Wesentlichen die bisherigen Regelungen des Bundesdatenschutzgesetzes und stärkt damit im Vergleich zu der DSGVO die Stellung des Datenschutzbeauftragten.
Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wenn wegen eines hohen Risikos für die Rechte und Freiheiten der von der Datenverarbeitung Betroffenen eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO notwendig ist oder geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (vgl. § 38 Abs. 1 BDSG-neu).
Wie bisher gilt für den Datenschutzbeauftragten der bestellt werden muss, ein umfassender Kündigungsschutz. Dies ist bemerkenswert, weil die DSGVO dies nicht vorschreibt und nur für die Benennungspflicht sowie für die Wahrung der Geheimhaltung oder Vertraulichkeit Öffnungsklauseln bestehen. Offenbar geht der deutsche Gesetzgeber aber davon aus, dass der erweiterte Kündigungsschutz noch von dem Gestaltungsspielraum umfasst ist.
Datenschutz: Alles neu macht der Mai
Letztendlich wird aus dem "alten" BDSG mit derzeit 48 Regelungen ein "neues" Bundesdatenschutzgesetz mit nunmehr 85 Vorschriften - die teilweise nicht in Einklang mit der europäischen Datenschutzgrundverordnung stehen. Bereits dies verdeutlicht, warum Kritiker von einem Anwender-unfreundlichen Gesetz sprechen. Schwerer wiegen jedoch die zahlreichen Verweisungen im BDSG-neu (auch) auf die DSGVO, welche das deutsche Umsetzungs-Gesetz sehr komplex und nur schwer lesbar machen.
Ob das neue Datenschutzrecht vor dem Hintergrund eines möglichen Vertragsverletzungsverfahrens oder einer anderweitigen gerichtlichen Überprüfung überhaupt Bestand haben wird, ist zwar zweifelhaft. Klar ist allerdings, dass das neue BDSG kommt und die darin enthaltenen Vorgaben umgesetzt werden müssen. Das neue Bundesdatenschutzgesetz soll (bis auf eine Ausnahme) zusammen mit der Datenschutzgrundverordnung am 25. Mai 2018 in Kraft treten. (fm)