31.05.2018 | Datenschutz

Das BDSG-neu: Was ist wirklich neu und was bleibt?

Seit dem 25.05.2018 gilt die DSGVO. Ihr wesentliches Ziel besteht darin, den Datenschutz in Europa einheitlich zu regeln. Dennoch enthält die DSGVO an einigen Stellen sog. Öffnungsklauseln, die es den Mitgliedstaaten ermöglichen, bestimmte genau festgelegte Bereiche zu „spezifizieren“. Von dieser Möglichkeit hat der deutsche Gesetzgeber mit der Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) Gebrauch gemacht. Trotz der generellen Ermöglichung von „spezifischeren“ Regelungen bleibt es zum Teil unklar, ob es sich bei den Regelungen des BDSG-neu wirklich noch um „spezifischere“ Regelungen handelt, oder ob bereits Verstöße gegen die DSGVO vorliegen. Die wichtigsten Bereiche, in denen das BDSG-neu Neuerungen im Vergleich zur bisherigen Rechtslage enthält, sind der Beschäftigtendatenschutz, die Bestellung eines Datenschutzbeauftragten und Straf- und Bußgeldregelungen.

Enthält das BDSG-neu eine Regelung für das Verhältnis zur DSGVO?

Das BDSG-neu regelt in § 1 Abs.5, dass die Vorschriften des BDSG keine Anwendung finden, soweit die DSGVO bereits eine entsprechende Regelung enthält. Für Unternehmen bedeutet dies in der Praxis, dass sie in Zweifelsfällen prüfen müssten, ob ein Sachverhalt bereits umfassend von der DSGVO geregelt ist oder ob ergänzend die Vorschriften des BDSG-neu herangezogen werden können. Diese Regelung kann in Einzelfällen zu einer erheblichen Rechtsunsicherheit führen, da es grundsätzlich den Gerichten überlassen sein muss, über die Reichweite der DSGVO zu befinden. In Zweifelsfällen sollten Unternehmen daher dringend rechtlichen Rat einholen.

Beschäftigtendatenschutz

  • 26 BDSG-neu regelt die „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“. Wichtigste Neuerung ist, dass personenbezogene Daten auch dann verarbeitet werden dürfen, wenn sie „zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich“ sind. Daraus folgt, dass selbst bei gesetzlicher oder tarifvertraglicher Grundlage, eine Verhältnismäßigkeitsprüfungdurchzuführen ist. Es muss immer geprüft werden, ob der vom Unternehmen im Kontext des Beschäftigungsverhältnisses angestrebte Zweck nicht auch ohne Verarbeitung personenbezogener Daten erreicht werden kann. Zudem ist die Datenverarbeitung auf der Grundlage einer Kollektivvereinbarung nunmehr ausdrücklich zulässig.
  • 26 Abs.2 BDSG-neu regelt, dass bei Einwilligungen stets der Grundsatz der Freiwilligkeitzu berücksichtigen ist. Diese grundsätzlich auch aus der DSGVO bekannte Regelung verdient im Beschäftigungskontext deshalb besondere Aufmerksamkeit, weil Arbeitnehmer in der Regel in einem Abhängigkeitsverhältnis gegenüber dem Arbeitgeber stehen. Deshalb gibt § 26 Abs.2 eine Auslegungsrichtlinie vor und nimmt Freiwilligkeit etwa dann an, wenn für den Beschäftigten rechtliche oder wirtschaftliche Vorteile aus der Einwilligung folgen oder der Beschäftigte und der Arbeitgeber gleiche Interessen verfolgen. Zudem verlangt § 26 Abs.2 BDSG grundsätzlich die Schriftform für die Einwilligung in Beschäftigungsverhältnissen. Nach wie vor ist darauf zu achten, dass bei der Einwilligung in die Verarbeitung von besonders schutzwürdigen personenbezogenen Daten (wie Gesundheitsdaten), die Einwilligung ausdrücklich auf diese Daten bezogen sein muss.

Unklar bleibt, wie die Regelung des § 26 Abs. 8 BDSG neu zu verstehen ist. Darin wird der Begriff des Beschäftigten definiert. Dazu gehören nach dem BDSG-neu neben Arbeitnehmern etwa auch Leiharbeiter und Freiwilligendienstleistende. Eine solche Definition fehlt in der DSGVO. Fraglich ist, ob darin noch eine „Spezifizierung“ gesehen werden kann oder ob der deutsche Gesetzgeber über die Grenzen der Öffnungsklausel hinausgegangen ist. Von der Definition des Beschäftigten hängt in erheblichem Maße ab, ob die strengen Vorschriften des Beschäftigtendatenschutzes Anwendung finden oder nicht. An dieser Stelle ist eine Klarstellung durch die Rechtsprechung angezeigt.

Datenschutzbeauftragter

Das BDSG-neu regelt, wann Unternehmen einen Datenschutzbeauftragten bestellen müssen. Insoweit besteht Klarheit darüber, dass der nationale Gesetzgeber sich im Rahmen der Öffnungsklausel der DSGVO bewegt.

Die DSGVO schreibt vor, dass ein Datenschutzbeauftragter grundsätzlich dann zu bestellen ist, wenn mindestens 10 Personen mit der Verarbeitung personenbezogener Daten im Unternehmen betraut sind. Das BDSG-neu verlangt darüber hinaus auch dann die Bestellung eines Datenschutzbeauftragten, wenn der Verantwortliche oder sein Auftragsverarbeiter einer Tätigkeit nachgehen, die eine Datenschutz-Folgenabschätzung gemäß § 35 DSGVO erforderlich macht, also vor allem dann, wenn ein besonders hohes Risiko für den Betroffenen besteht bzw. besonders sensible Daten, wie Gesundheitsdaten verarbeitet werden. In diesem Fall hat die Bestellung unabhängig von der Anzahl der Mitarbeiter, die personenbezogene Daten verarbeiten, zu erfolgen. Gleiches gilt, wenn geschäftsmäßig anonymisierte Daten (etwa zu Werbezwecken) verkauft werden oder das Unternehmen sich im Bereich der Markt- und Meinungsforschung betätigt. Obwohl die Bestellpflicht für Datenschutzbeauftragte nach der DSGVO und dem BDSG-neu häufig zusammenfällt, kann es auch Fälle geben, in denen sich die Bestellpflicht nicht bereits aus Art. 37 DSGVO ergibt. Dies gilt etwa für Fälle, in denen zwar nicht die Kerntätigkeit des Unternehmens in der Verarbeitung besonderer Kategorien personenbezogener Daten besteht (Art. 37 Abs. 1 lit. c DSGVO), sehr wohl aber dennoch Gesundheitsdaten betroffen sind, etwa bei Überweisungen durch FinTechs an Ärzte oder Krankenkassen. In diesem Fall ergibt sich die Bestellpflicht erst aus dem BDSG-neu.

Die angesprochene Unklarheit über die Regelungsbefugnis des nationalen Gesetzgebers zeigt sich in Bezug auf den Kündigungsschutz des Datenschutzbeauftragten. Das BDSG-neu scheint eine Kündigung des Datenschutzbeauftragten „nur aus wichtigem Grund“ zuzulassen. Demgegenüber regelt die DSGVO, dass der Datenschutzbeauftrage „wegen der Erfüllung seiner Aufgaben“ nicht abberufen werden darf. Sollte der Kündigungsschutz nach der DSGVO geringer ausfallen als nach dem BDSG-neu, so wäre darin eine Kompetenzüberschreitung des nationalen Gesetzgebers zu sehen und die Regelung des BDSG-neu wäre unzulässig. Auch diese Frage ist von Gerichten zu klären.

Straf- und Bußgeldvorschriften

Wesentliche Neuerung im neuen Datenschutzrecht nach der DSGVO sind die deutlich erhöhten Bußgeldvorschriften. Auch das BDSG enthält eigene Bußgeldtatbestände, vor allem für Verstöße im Zusammenhang mit Informations- und Aufklärungspflichtengegenüber Darlehensgebern und Verbrauchern im Rahmen von Verbraucherkrediten.

Eine der wohl wichtigsten Regelungen innerhalb des BDSG-neu stellen die Strafvorschriften des § 42 dar. Während es der EU mangels Kompetenz grundsätzlich untersagt ist, Strafvorschriften zu verhängen, legt das BDSG-neu Freiheitsstrafen vor allem für die unrechtmäßige Verarbeitung und Erschleichung von Daten mit Bereicherungs- oder Schädigungsabsicht und die gewerbsmäßige Weitergabe personenbezogener Daten „in einer großen Zahl von Fällen“fest. Das BDSG-neu definiert nicht, wann eine „große Zahl von Fällen“ vorliegt.

Fazit

Das BDSG-neu ist Resultat der Öffnungsklauseln der DSGVO. Dennoch ist an einigen Stellen unklar, ob die Kompetenzverteilung zwischen EU und nationalem Gesetzgeber eingehalten wurde. Unternehmen sollten in Zweifelsfällen Rechtsrat einholen und darüber hinaus die Entwicklung der Rechtsprechung genau verfolgen.

 


Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Weitere Artikel

Anwälte der Kanzlei empfohlen durch: