Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

Die Datenschutz-Grundverordnung und das nationale Recht: BDSG-Nachfolgegesetz - Das sollten Sie zum 2. Entwurf wissen

0 Beurteilungen
Neue Datenschutz-Grundverordnung kommt [Urheber: vege | Fotolia]

Erstellt:

Es scheint sicher, dass die europäische Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 verbindlich wird. Fast genauso sicher ist, dass man in Deutschland ein Nachfolgegesetz zum Bundesdatenschutzgesetz (BDSG) schnellstens erarbeiten und verabschieden muss, damit auch dieses rechtzeitig in Kraft treten kann.

Im August 2016 war ein erster Referentenentwurf zu einem BDSG-Nachfolgegesetz, dem „Allgemeinen Bundesdatenschutzgesetz (ABDSG)“ publik geworden. Nach einiger Kritik und dem zurückgezogenen ersten Entwurf ist er nun da: der 2. Referentenentwurf zum „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU-DSAnpUG-EU)“.

DS-GVO: Was ändert sich?

Bevor Sie denken: „Was kommt da jetzt schon wieder auf mein Unternehmen und mich zu?“, sollten Sie eines wissen: Es handelt sich derzeit nur um einen zweiten Referentenentwurf des Bundesinnenministeriums. Er kann erste Orientierung bieten, wie manche Regelungen in Zukunft aussehen sollen und wie beispielsweise von den Öffnungs- und Konkretisierungsklauseln der DS-GVO in Deutschland Gebrauch gemacht wird. Der Gesetzestext dürfte hier und da vielleicht noch erhebliche Änderungen erfahren. So ist denkbar, dass weitere Anforderungen und Hinweise anderer Ministerien einfließen. Selbst ein sich schließlich ergebender Regierungsentwurf kann auch noch im Bundestag und in dessen Ausschüssen erheblich verändert werden. Erst wenn der Gesetzesentwurf vom Gesetzgeber beschlossen ist, ist er final. Insofern brauchen Sie jetzt noch nicht an eventuelle Umsetzungsmaßnahmen denken. Weil jedoch ein solcher Gesetzesentwurf auch in den (Fach-)Medien und auf Fachveranstaltungen diskutiert wird, können Fragen an Sie herangetragen werden. Auf häufig gestellte Fragen können Sie folgendermaßen antworten:

Wie soll das zukünftige BDSG heißen?

Beim ersten Referentenentwurf war das kommende Gesetz noch als ABDSG bezeichnet worden. Der zweite Entwurf greift diesen Namen nicht mehr auf. Hier ist von einer Neufassung des BDSG (BDSG-neu) die Rede.

Tipp: Richtiges Zitieren zeichnet auch den Nichtjuristen unter den Datenschutzbeauftragten als professionellen Kenner der Materie aus. Achten Sie darauf, dass Sie Entwürfe richtig kennzeichnen. Dass es sich beim BDSG-neu noch um einen Entwurf handelt, machen Sie mit einem E kenntlich, sprich: BDSG-neu-E. Welche Rahmenbedingungen sollen im BDSG-neu geregelt werden? Neben vielen Regelungen für den Datenschutz bei öffentlichen Stellen des Bundes sind auch zahlreiche Festlegungen für den Datenschutz bei nicht öffentlichen Stellen mit Sitz in Deutschland enthalten. So finden sich in § 4 BDSG-neu-E Festlegungen zum Thema Videoüberwachung, welches in der DS-GVO nicht konkret geregelt worden ist. Das BDSG-neu soll aber auch Festlegungen zum Umgang mit besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) enthalten (§ 22 BDSG-neu-E). Bekannte Regelungskomplexe zu Auskunfteien oder Scoring sollen weiterhin auf deutscher Ebene konkret geregelt sein. Daneben sind auch Vorgaben zu Informationspflichten bei der Datenerhebung (§§ 30, 31 BDSGneu-E), zum Auskunfts- oder Widerspruchsrecht (§§ 32, 34 BDSGneu-E) vorgesehen.

Wird durch das BDSG-neu manches einfacher umsetzbar als nach der DS-GVO?

Hier und da wird es sicherlich Anforderungen im BDSG-neu geben, die in gewisser Weise Rücksicht auf die praktische Umsetzbarkeit der Anforderungen nach dem BDSG nehmen. So z. B. bei der Videoüberwachung. Grundsätzlich müsste man nach Art. 13 DS-GVO umfassenden Informationspflichten nachkommen, was etwa an der Eingangstür eines Geschäftes nicht praktikabel wäre. Insofern lässt es § 4 Abs. 2 BDSG-neu-E ausreichen, dass der Umstand der Videoüberwachung durch geeignete Maßnahmen erkennbar gemacht wird. Auch das Recht auf Löschung wird praxisgerecht in § 33 BDSGneu-E konkretisiert. So ist weiterhin die Möglichkeit vorgesehen, die Verarbeitung der Daten einzuschränken (nach aktuellem BDSG: zu sperren), wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

Wie steht es um den Beschäftigtendatenschutz in Deutschland?

Der neue § 24 BDSG-neu-E ist im Wesentlichen dem bekannten § 32 BDSG nachgebildet. So können personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für dessen Begründung, Durchführung oder Beendigung erforderlich ist. Auch die aus § 32 Abs. 1 Satz 2 BDSG bekannten Anforderungen für Ermittlungen bei Straftaten im Beschäftigungsverhältnis finden sich in § 24 Abs. 1 Satz 2 BDSG-neu-E wieder. Auch wenn in der Abstimmungsfassung des EU-DSAnpUG vom 23.11.2016 nicht explizit auf Kollektivvereinbarungen wie beispielsweise Betriebsvereinbarungen eingegangen wird, werden diese nach der vorgesehenen Gesetzesbegründung weiterhin als Rechtsgrundlagen zulässig sein. Hintergrundinfo: Gerade im Zusammenhang mit dem Beschäftigtendatenschutz zeichnen sich weitere Diskussionen zum Gesetzgebungsvorhaben ab. So wird beispielsweise diskutiert, inwieweit konkrete Festlegungen zur Einwilligung im Beschäftigungsverhältnis aufgenommen werden sollen.

Brauchen deutsche Unternehmen auch zukünftig einen Datenschutzbeauftragten?

Es gelten zunächst die Vorgaben des Art. 37 DS-GVO. Besteht etwa die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, muss schon nach Art. 37 Abs. 1 Buchst. b DS-GVO ein Datenschutzbeauftragter benannt werden. Auf eine Beschäftigtenanzahl kommt es nicht an. Nach Art. 37 Abs. 4 DS-GVO können EU-Mitgliedstaaten weitergehende Vorgaben zur Pflicht zur Benennung eines Datenschutzbeauftragten machen. Hiervon wird Deutschland aller Voraussicht nach Gebrauch machen. In § 36 BDSG-neu-E finden sich Vorgaben zur Benennungspflicht des Datenschutzbeauftragten bei nicht öffentlichen Stellen. Werden in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt, bedarf es eines Datenschutzbeauftragten. Kommt es bei einem Verantwortlichen oder bei einem Auftragsverarbeiter zu Verarbeitungen, die der Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, ist ebenfalls ein Datenschutzbeauftragter Pflicht. Auch in Fällen der geschäftsmäßigen Verarbeitung zum Zweck der Übermittlung bzw. zur Markt- und Meinungsforschung bedarf es eines Datenschutzbeauftragten, ohne dass es auf die Personenzahl ankommt. Auch der aus dem bisherigen BDSG bekannte besondere Kündigungsschutz bleibt erhalten. Hierzu referenziert § 36 Abs. 2 BDSG-neu-E auf die Vorgaben zum Datenschutzbeauftragten bei öffentlichen Stellen in § 5 Abs. 6 BDSG-neu-E.

Ist mit dem BDSG-neu das Datenschutzrecht in Deutschland abschließend geregelt?

Darauf kann es nur ein klares Nein geben. In Deutschland gibt es viele bereichsspezifische Datenschutzvorschriften wie beispielsweise in den Sozialgesetzbüchern. Diese werden vom aktuellen Gesetzgebungsvorhaben und vom BDSG-Neu-E nicht erfasst. Aller Voraussicht nach wird es für die bereichsspezifischen Datenschutzvorschriften weitere Anpassungsgesetze geben. Ob es dazu allerdings noch vor der Bundestagswahl im Herbst 2017 kommen wird, ist mehr als fraglich.

Wird es in der EU ähnliche Gesetze wie das BDSG-neu geben?

Die Öffnungs- und Konkretisierungsklauseln der DS-GVO gelten für alle Mitgliedstaaten der EU. Insofern kann man in den Mitgliedstaaten hiervon Gebrauch machen und beispielsweise ebenfalls Festlegungen zum Beschäftigtendatenschutz treffen. Prinzipiell stellt das für deutsche Unternehmen auch kein Problem dar. Schließlich beurteilt sich das anzuwendende nationale Datenschutzrecht nach dem Sitz des Unternehmens. Problematisch kann die Vielzahl nationaler Datenschutzbestimmungen für Konzerne sein, die Gesellschaften in verschiedenen Mitgliedstaaten haben.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!

Jobs