privacy

Article

Das neue Bundes­datenschutz­gesetz

Die Regelungen im Überblick

Am 25. Mai 2018 tritt – zeitgleich mit der EU-Datenschutzgrundverordnung („DSGVO“) – das neue Bundesdatenschutzgesetz („BDSG-neu“) in Kraft. Das BDSG-neu ergänzt, konkretisiert und modifiziert die DSGVO. Es beinhaltet spezielle Regelungen unter anderem im Bereich Beschäftigtendatenschutz, für Scoring und Bonitätsauskünfte, Profiling, sowie zum betrieblichen Datenschutzbeauftragten.

Der folgende Beitrag bietet einen Überblick über Hintergrund und Anwendungsbereich des BDSG-neu und dessen Verhältnis zur DSGVO (I. Teil). Er zeigt die wichtigsten Regelungen auf, die für Unternehmen von Relevanz sind (II. Teil) und gibt Hinweise für die Umsetzung der neuen Regelungen (III. Teil).

I. Teil Hintergrund und Kontext des BDSG-neu

1. Hintergrund

Hintergrund der Neufassung des BDSG sind umfassende Änderungen im europäischen Datenschutzrecht:

Im Frühjahr 2016 ist die DSGVO in Kraft getreten, die ab dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedsstaaten gilt. Sie beinhaltet die zukünftig europaweit geltenden grundlegenden datenschutzrechtlichen Anforderungen und Voraussetzungen und bildet damit die Basis des europäischen Datenschutzrechts. (hierzu unser Beitrag „Die EU - Datenschutzgrundverordnung – Was bleibt? Was ändert sich?“)

Die DSGVO enthält ca. 70 Öffnungsklauseln. Dabei handelt es sich teilweise und fakultative, teilweise um verpflichtende Regelungen, die dazu führen, dass bestimmte Datenschutzthemen auf nationaler Ebene geregelt werden müssen bzw. dürfen. Die Öffnungsklauseln betreffen z.B. die Rechtmäßigkeit der Datenverarbeitung, die Einschränkung von Betroffenenrechten, die Auftragsverarbeitung, die Pflicht zur Bestellung eines Datenschutzbeauftragten, Regelungen zu Aufsichtsbehörden und die Datenverarbeitung in besonderen Verarbeitungssituationen, z.B. im Beschäftigtenkontext oder im Kontext von Meinungsäußerung und Informationsfreiheit.

Der deutsche Gesetzgeber hat von diesen Öffnungsklauseln umfassend Gebrauch gemacht: Das BDSG-neu ergänzt, konkretisiert und modifiziert die DSGVO in diversen Themenbereichen (s. unten). Zugleich dient es der Umsetzung der EU-Datenschutzrichtlinie für Polizei- und Justiz in nationales Recht.

Die Regelungen des BDSG-neu basieren auf einem nationalzentrierten und unternehmensfreundlichen Ansatz der Bundesregierung. Es steht zu vermuten, dass der Gesetzgeber der häufig geäußerten Kritik entgegentreten wollte, die strengen nationalen Datenschutzregeln behinderten innovative digitale Geschäftsmodelle und Deutschland als Wirtschaftsstandort. Nach der Gesetzesbegründung erfolgte die Einschränkung der Betroffenenrechte im Wesentlichen mit dem Hintergedanken, die Umsetzungskosten für Unternehmen zu beschränken.

Dieser Ansatz wurde bereits im Gesetzgebungsverfahren und wird noch bis heute kritisch diskutiert. Datenschutzexperten haben Bedenken geäußert, ob der deutsche Gesetzgeber mit einigen Regelungen die in den Öffnungsklauseln der DSGVO festgelegten Gesetzgebungskompetenzen überschritten hat. Insbesondere einige Regelungen, die die Anforderungen der DSGVO beschränken (siehe Ziff. VI) stehen in der Kritik. Viele Kritiker gehen – anders als der Gesetzgeber - davon aus, dass diese nicht von den Öffnungsklausen in Art. 23 und 9 Nr. 3 DSGVO umfasst sind.

Dies führt zu einiger Unsicherheit für Verantwortliche und Auftragsverarbeiter: Die DSGVO ist als EU-Verordnung höherrangiges Recht. Nationale Datenschutzgesetze müssen daher im Einklang mit der DSGVO stehen. Verstößt ein nationales Gesetz gegen höherrangiges EU-Recht, verletzt der Mitgliedsstaat seine Loyalitätspflichten aus Art. 4 AEUV. Dies kann zu einem Vertragsverletzungsverfahren führen. Darüber hinaus besteht ein Risiko, dass Gerichte und Aufsichtsbehörden die Regelungen nicht anwenden, da sie diese für europarechtswidrig halten.

Mit einer extensiven Ausnutzung der Öffnungsklauseln durch die EU-Mitgliedsstaaten geht die Gefahr einher, dass auch zukünftig eine Vielzahl unterschiedlicher nationaler Datenschutzanforderungen berücksichtigt werden müssen. Dies führt bei international tätigen Unternehmen zu einem erhöhten Umsetzungs- und Compliance-Aufwand. 

2. Verhältnis zu anderen Regelungen

a. Verhältnis zur DSGVO

Die Vorschriften des BDSG-neu finden keine Anwendung, soweit die DSGVO unmittelbar gilt (§ 1 Abs. 5 BDSG-neu).

Dies hängt damit zusammen, dass die DSGVO als EU-Verordnung Vorrang gegenüber nationalem Recht hat. Soweit sie Regelungen trifft, sind diese abschließend, eigene Regelungen der EU-Mitgliedsstaaten sind nicht zulässig (Art. 4 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV)). Nur sofern und soweit die DSGVO Fragen des Datenschutzes nicht regelt oder Öffnungsklauseln enthält (siehe Ziff. 1), besteht Raum für eigene Regelungen der EU-Mitgliedsstaaten. Soweit sich die speziellen Regelungen des BDSG-neu innerhalb der Öffnungsklauseln des DSGVO bewegen, sind diese vorrangig zu beachten.

b. Verhältnis zu Spezialregelungen

Spezialregelungen, die datenschutzrechtliche Themen in bestimmten Konstellationen regeln, z.B. im Telemediengesetz (TMG), im Telekommunikationsgesetz (TKG), im Geldwäschegesetz (GwG) oder im Energiewirtschaftsgesetz (EnWG) haben Vorrang vor den allgemeinen Regelungen des BDSG-neu, sofern sie den gleichen Sachverhalt regeln (§ 1 Abs. 2 BDSG-neu).

Auch diese Regelungen müssen jedoch mit höherrangigem EU-Recht, wie der DSGVO, der EU-Richtlinie 2016/680 (EU-Datenschutzrichtlinie für Polizei- und Justiz), der EU-Richtlinie 2002/58/EG (E-Privacy Richtlinie) bzw. der derzeit im EU-Gesetzgebungsverfahren befindlichen E-Privacy Verordnung im Einklang stehen. Viele Spezialregelungen werden daher aktuell vom deutschen Gesetzgeber überarbeitet. Es sind bis Mai 2018 noch einige Gesetzesänderungen zu erwarten.

3. Anwendungsbereich

Das BDSG-neu richtet sich sowohl an öffentliche Stellen (z.B. Behörden), als auch an nicht-öffentliche Stellen. Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, z.B. Privatunternehmen (§ 2 Abs. 4 und 5 BDSG-neu). Während die Regelungen für öffentlichen Stellen sehr umfassend sind, beinhaltet das BDSG-neu nur einzelne spezifische Regelungen, die von privaten Unternehmen zu beachten sind.

Für private Unternehmen ergibt sich folgender Anwendungsbereich:

In sachlicher Hinsicht gilt das BDSG-neu nach § 1 Abs. 1 - ebenso wie die DSGVO - für die 

  • ganz oder teilautomatisierte Verarbeitung (z.B. computergestützte Verarbeitung) personenbezogener Daten und 
  • die nichtautomatisierte Verarbeitung (z.B. manuelle Verarbeitung, Papierakten) personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Ausgenommen von dem sachlichen Anwendungsbereich des BDSG-neu sind Datenverarbeitungen im Rahmen persönlicher oder familiärer Tätigkeiten.

In räumlicher Hinsicht gilt das BDSG-neu nach § 1 Abs. 4 BDSG-neu für Verantwortliche und Auftragsverarbeiter, 

  • die personenbezogene Daten in Deutschland verarbeiten (Territorialitätsprinzip, § 1 Abs. 4 Nr. 1) oder
  • die personenbezogene Daten im Rahmen der Tätigkeiten einer deutschen Niederlassung verarbeiten (Niederlassungsprinzip), § 1 Abs. 4 Nr. 2) oder 
  • die zwar keine Niederlassung in der EU/ im EWR haben, aber in den Geltungsbereich der DSGVO fallen (§ 1 Abs. 1 Nr. 3).

Damit betrifft das BDSG-neu auch private Unternehmen, die weder eine Niederlassung in Deutschland haben, noch personenbezogene Daten in Deutschland verarbeiten, aber z.B. Waren oder Dienstleistungen in Deutschland anbieten oder das Verhalten betroffener Personen in Deutschland beobachten (Marktortprinzip, vgl. Art. 3 Abs. 2 DSGVO).

Um eine Durchsetzung der datenschutzrechtlichen Anforderungen international zu gewährleisten sind die EU-Kommission und die Aufsichtsbehörden nach Art. 50 DSGVO gefordert, Maßnahmen ergreifen, um Mechanismen der internationalen Zusammenarbeit zu entwickeln (insb. Zusammenarbeit von Aufsichtsbehörden, gerichtliche Rechtsdurchsetzung in Drittländern), die gegenseitige internationale Amtshilfe im Bereich Datenschutz zu stärken (z.B. Meldungen, Amtshilfe bei Untersuchungen, Informationsaustausch auf Basis von Vereinbarungen zwischen Aufsichtsbehörden wie Memoranda of Understanding), die politische Einbindung maßgeblicher Interessenträger zu gewährleisten und den gegenseitigen Austausch und die Dokumentation zu fördern.

 

II. Teil: Inhalt des BDSG-neu

Der 1. und 2. Teil des BDSG-neu enthalten Regelungen für private Unternehmen (siehe Ziff. 1). Diese können unterteilt werden in Regelungen, die die Anforderungen der DSGVO ergänzen und konkretisieren (siehe Ziff. 2) und Regelungen, die die Anforderungen der DSGVO beschränken (siehe Ziff. 3).

1. Aufbau

Das BDSG-neu enthält vier Teile:

1. Teil: Gemeinsame Bestimmungen, §§ 1-21 BDSG-neu
2. Teil: Durchführungsbestimmungen für die Datenverarbeitung nach der DSGVO, §§ 22-44 BDSG-neu
3. Teil: Bestimmungen für die Datenverarbeitung nach der EU-Datenschutzrichtlinie für Polizei- und Justiz, §§ 45-84 BDSG-neu
4. Teil: Bestimmungen für Datenverarbeitungen, die nicht unter die DSGVO und die EU-Datenschutzrichtlinie für Polizei- und Justiz fallen, § 85 BDSG-neu

Für private Unternehmen sind insbesondere die §§ 1 (Anwendungsbereich), 2 (Begriffsbestimmungen), 4 (Videoüberwachung öffentlich zugänglicher Räume), und 20 (Gerichtlicher Rechtsschutz) des 1. Teils von Relevanz, sowie der gesamte 2. Teil des BDSG-neu. 

2. Konkretisierung / Ergänzung der DSGVO

Die für nicht-öffentliche Stellen wichtigsten Regelungen betreffen die Datenverarbeitung im Beschäftigungsverhältnis (§26 BDSG-neu), die Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG-neu) und Regelungen zu Scoring und Bonitätsauskünften (§ 30 BDSG-neu) und Verbraucherkrediten. § 42 BDSG-neu enthält Strafvorschriften, § 43 BDSG-neu Bußgeldvorschriften.

Diese Regelungen werden im Folgenden kurz dargestellt:

a. Datenverarbeitung im Beschäftigungsverhältnis (§ 26 BDSG-neu)

Die Inhalte von § 26 BDSG-neu sind teilweise aus § 32 des alten Bundesdatenschutzgesetzes („BDSG-alt“) bekannt. So wurde die Verarbeitung personenbezogener Daten zur Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses und zur Aufdeckung von Straftaten in § 26 Abs. 1 BDSG-neu beinahe wortgleich übernommen. § 26 Abs. 4 BDSG-neu stellt darüber hinaus klar, dass die Verarbeitung personenbezogener Daten auch auf Grundlage von Kollektivvereinbarungen erfolgen kann. § 26 Abs. 3 BDSG-neu ermöglicht die Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten, Gewerkschaftszugehörigkeit, ethnische Herkunft, Religion) zur Ausübung von Rechten und Pflichten aus dem Arbeitsrecht, dem Recht der Sozialen Sicherheit und des Sozialschutzes.

Darüber hinaus beinhaltet § 26 Abs. 2 BDSG-neu Kriterien dafür, wann eine Einwilligung im Beschäftigungsverhältnis wirksam ist. Damit wird der bisherige Streit darüber, ob Einwilligungen im Arbeitsverhältnis überhaupt wirksam sein können, oder ob es an der erforderlichen Freiwilligkeit fehlt (vgl. Entscheidung des BAG vom 11.12.2014, 8 AZR 1010/13), durch die neuen gesetzlichen Regelungen beendet. Nach der neuen Vorschrift ist eine Einwilligung insbesondere dann freiwillig, wenn für den Beschäftigten ein wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und der Beschäftigte gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf im Regelfall der Schriftform. Der Beschäftigte ist darüber hinaus über die Zwecke der Datenverarbeitung und sein Widerrufsrecht nach Art. 7 Abs. 3 DSGVO in Textform aufzuklären.

§ 26 Abs. 8 regelt schließlich, wer Beschäftigter im Sinne des Gesetzes ist (z.B. Arbeitnehmer, Leiharbeiter, Auszubildende, arbeitnehmerähnliche Beschäftigte, Beamte und Richter).

b. Pflicht zur Bestellung eines Datenschutzbeauftragten (§ 38 BDSG-neu)

Auch hinsichtlich der Pflicht zur Bestellung eines Datenschutzbeauftragten hat sich der Gesetzgeber an den bisherigen Anforderungen des BDSG-alt orientiert und folgt nicht den weiten Vorgaben des Art. 37 DSGVO. Nach § 38 BDSG-neu müssen Verantwortliche und Auftragsverarbeiter einen betrieblichen Datenschutzbeauftragten bestellen, wenn im Regelfall mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein Datenschutzbeauftragter ist auch dann zu bestellen, wenn die Personengrenze zwar nicht erreicht wird, aber die Datenverarbeitung besonders risikoreich ist und daher einer Datenschutz-Folgenabschätzung unterliegt oder Daten geschäftsmäßig zum Zweck der (auch anonymisierten!) Übermittlung oder der Markt- und Meinungsforschung verarbeitet werden.

c. Scoring und Bonitätsauskünfte (§ 31 BDSG-neu) und Verbraucherkredite (§ 30 BDSG-neu)

§ 31 BDSG-neu regelt, unter welchen Voraussetzungen Scoringwerte und Bonitätsauskünfte über natürliche Personen verwendet werden dürfen, z.B. zur Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses. Die Norm setzt auf § 28 b und § 28 a BDSG-alt auf.

So dürfen Scoringwerte auch nach § 31 Abs. 1 BDSG-neu nur dann verwendet werden, wenn die Vorschriften des Datenschutzrechts eingehalten wurden, der Wert auf einem wissenschaftlich anerkannten mathematischstatistischen Verfahren beruht und nicht ausschließlich Adressdaten für die Berechnung des Scoringwerts zugrunde gelegt werden. Soweit Anschriftendaten genutzt werden, muss die betroffene Person im Vorfeld unterrichtet und die Unterrichtung dokumentiert werden. Unternehmen müssen daher im Falle der Nutzung von Scoringwerten z.B. durch vertragliche Vereinbarungen oder Vorlage von Zertifikaten sicherstellen, dass die Zulieferer der Scoringwerte die entsprechenden Voraussetzungen einhalten.

Die Verwendung von Bonitätsauskünften setzt nach § 31 Abs. 2 BDSG-neu voraus, dass die im vorherigen Absatz beschriebenen Voraussetzungen des Abs. 1 vorliegen und nur bestimmte Forderungen berücksichtigt werden, d.h. solche, für die ein Titel vorliegt (Urteil, Schuldtitel), die im Insolvenzverfahren festgestellt und nicht bestritten sind, die anerkannt wurden, für die ein bestimmtes Mahnprozedere eingehalten wurde oder aufgrund derer ein Vertragsverhältnis fristlos gekündigt werden kann.

§ 30 Abs. 2 DSGVO ist relevant für Unternehmen, die für Verbraucher Verbraucherdarlehensverträge oder Finanzierungshilfen anbieten. Wird ein solcher Vertrag aufgrund einer negativen Bonitätsauskunft abgelehnt, ist der Verbraucher über die Auskunft und die Ablehnung zu unterrichten.

d. Straf- und Bußgeldvorschriften (§§ 42, 43 BDSG-neu)

§ 42 BDSG-neu enthält - ebenso wie § 44 BDSG-alt - Strafvorschriften. Diese wurden jedoch stark vereinfacht und reduziert:

So kann nach § 42 Abs. 1 BDSG-neu eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe gegen Personen verhängt werden, die gewerbsmäßig nicht allgemein zugängliche personenbezogene Daten vieler Personen unberechtigt an Dritte übermitteln oder auf andere Art und Weise zugänglich machen. Eine Freiheitsstrafe bis zu zwei Jahren kann verhängt werden für Personen, die gegen Entgelt, mit Bereicherungsabsicht oder mit Schädigungsabsicht nicht allgemein zugängliche Daten unberechtigt verarbeiten oder durch unrichtige Angaben erschleichen.

Berechtigt, einen Strafantrag zu stellen, sind neben den Betroffenen auch der Verantwortliche, der Bundesdatenschutzbeauftragte und die Aufsichtsbehörden.

§ 43 BDSG-neu enthält eine Bußgeldregelung für Datenschutzverstöße im Zusammenhang mit den Datenschutzpflichten bei Verbraucherkrediten in § 30 BDSG-neu. Darüber hinaus ergeben sich, wie dargelegt, die Bußgeldvorschriften zukünftig im Wesentlichen direkt aus der DSGVO (Art. 83 DSGVO).

e. Weitere Regelungen

Zudem ist die Videoüberwachung öffentlich zugänglicher Räume geregelt (§ 4 BDSG-neu). Diese darf wie bisher in Art. 6 b BDSG-alt z.B. zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke (z.B. Videoüberwachung des Kassenbereichs zur Verhinderung von Diebstählen) erfolgen. Die Videoüberwachung muss für die Zwecke erforderlich sein und die Interessen der Betroffenen dürfen nicht überwiegen. Bei der Abwägung ist der neue § 4 Abs. 1 S. 2 BDSG-neu zu beachten, nach dem der Schutz von Leben, Gesundheit oder Freiheit der sich in den dort genannten öffentlichen Räumen aufhaltenden Personen im Regelfall eine Videoüberwachung rechtfertigt. § 4 Abs. 2 bis 4 regeln die Erkennbarkeit der Videoüberwachung, die weitere Verarbeitung, die Informationspflichten und die Löschpflichten.

§§ 20 und 44 BDSG-neu enthalten prozessuale Regelungen. Danach steht für Streitigkeiten mit Aufsichtsbehörden – mit Ausnahme der Bußgeldverfahren – der Verwaltungsrechtsweg offen. Zuständig ist das Gericht, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat (§ 20 BDSG-neu). Für zivilrechtliche Klagen betroffener Personen gegen Verantwortliche und Auftragsverarbeiter ist nach § 44 BDSG-neu das Gericht an dem Ort zuständig, an dem sich die Niederlassung des Verantwortlichen oder Auftragsverarbeiters befindet, oder an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat. Für Unternehmen, die keine Niederlassung in der EU haben, ist deren EU-Vertreter (Art. 27 DSGVO) zustellbevollmächtigt.

3. Einschränkung der DSGVO

Darüber hinaus enthält das BDSG-neu einige Regelungen, die die Anforderungen der DSGVO einschränken.

a. Einschränkung von Betroffenenrechten (§§ 32-37 BDSG-neu)

§§ 32 bis 37 BDSG sehen Gründe vor, aufgrund derer die Betroffenenrechte (Information, Auskunft, Löschung, Widerspruch und das Recht, keiner automatisierten Entscheidung unterworfen zu werden) eingeschränkt werden können:

So besteht z.B. das Auskunftsrecht nach § 34 Abs. 1 BDSG-neu nicht, wenn die Daten nur noch aufgrund gesetzlicher oder satzlicher Aufbewahrungsfristen oder zu Zwecken der Datensicherung oder Datenschutzkontrolle gespeichert werden und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde. In diesen Fällen ist allerdings sicherzustellen, dass eine Verarbeitung der Daten zu anderen Zwecken durch technische und organisatorische Maßnahmen ausgeschlossen ist. Darüber hinaus sind die Gründe der Auskunftsverweigerung zu dokumentieren und gegenüber der betroffenen Person zu begründen.

Nach § 35 BDSG-neu ist das Recht auf Löschung eingeschränkt, wenn bei nicht automatisierter Datenverarbeitung die Löschung nur mit unverhältnismäßig großem Aufwand möglich ist und das Interesse an der Löschung als gering anzusehen ist, wenn anzunehmen ist, dass durch die Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt werden oder wenn der Löschung satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

b. Weitere Rechtsgrundlagen für die Datenverarbeitung (§§ 22, 24 BDSG-neu)

§ 22 und § 24 BDSG-neu erweitern die Möglichkeiten der DSGVO, besondere Kategorien personenbezogener Daten zu verarbeiten und Daten zu anderen, als den ursprünglich vorgesehenen Zwecken zu verarbeiten.

§ 22 BDSG-neu erweitert die Möglichkeiten der Verarbeitung besonderer Kategorien personenbezogener Daten, z.B. aufgrund von Rechten des Sozialschutzes und der sozialen Sicherheit (§ 22 Abs. 1 Nr. 1 BDSG-neu), der Gesundheitsvorsorge, der medizinischen Diagnostik, der Versorgung und Behandlung im Gesundheits- und Sozialbereich oder eines Vertrages mit einem Angehörigen eines Gesundheitsberufs (§ 22 Abs. 1 Nr. 2 BDSG-neu) oder aus Gründen des öffentlichen Interesses (§ 22 Abs. 1 Nr. 3 BDSG-neu). In diesen Fällen sind besondere technische und organisatorische Schutzmaßnahmen, insbesondere die in Abs. 2 genannten Maßnahmen wie Pseudonymisierung, Verschlüsselung, Zugangsbeschränkung und Sensibilisierung der Beteiligten zu ergreifen.

Nach § 24 BDSG-neu soll die Datenverarbeitung zu anderen Zwecken, als zu den ursprünglich vorgesehenen Zwecken über die Regelungen in Art. 6 Abs. 4 DSGVO hinaus auch dann zulässig sein, wenn sie zur Abwehr von Gefahren für die öffentliche Sicherheit oder Verfolgung von Straftaten oder zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist.

§ 27 Abs. 1 BDSG-neu erlaubt die Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen und historischen Forschungszwecken und statistischen Zwecken ohne Einwilligung der Betroffenen, sofern die Interessen an der Verarbeitung erheblich überwiegen. Bei der Datenverarbeitung sind die in § 22 Abs. 2 und in § 27 Abs. 3 BDSG-neu beschriebenen besonderen technischen und organisatorischen Schutzmaßnahmen einzuhalten (z.B. getrennte Speicherung von Zuordnungsmerkmalen, frühest mögliche Anonymisierung). Darüber hinaus werden die Rechte der Betroffenen auf Auskunft, Berichtigung, Einschränkung der Verarbeitung und Widerspruch beschränkt.

 

III. Teil: Umsetzung des BDSG-neu

1. Finden Sie heraus, ob Sie betroffen sind

Das BDSG-neu gilt nicht nur für deutsche Unternehmen (siehe Ziff. III). Nicht deutsche Unternehmen müssen evaluieren, ob sie in den räumlichen Anwendungsbereich des BDSG-neu fallen und dessen Regelungen zu beachten haben.

2. Identifizieren Sie, welche Regelungen umzusetzen sind

Die wesentliche Kritik der Datenschützer betrifft Regelungen, welche die Anforderungen der DSG-VO einschränken (siehe Ziff. VI). Dagegen dürfte die Umsetzung von Regelungen, die die DSGVO ergänzen und konkretisieren, einer höheren Beständigkeit und Rechtssicherheit unterliegen. Hierzu gehören insbesondere die Datenverarbeitung im Beschäftigtenkontext (§ 26 BDSG-neu) und die Bestellung eines Datenschutzbeauftragten (§ 38 BDSG-neu).

Darüber hinaus sind ggf. abhängig vom jeweiligen Geschäftsmodell weitere spezielle Regelungen des BDSG-neu, z.B. die Datenverarbeitung im Zusammenhang mit Scoring, Bonitätsauskünften und Verbraucherdarlehen (§§ 31, 30 BDSG-neu), die Videoüberwachung öffentlicher Plätze (Art. 4 BDSG-neu) oder die Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und statistischen Zwecken zu beachten.

Hinsichtlich der Regelungen, die die Anforderungen der DSGVO einschränken, sollten die damit einhergehenden Risiken beurteilt und bewertet werden.

3. Gehen Sie die Umsetzung gebündelt an

Wie in Ziff. III dargelegt, beinhaltet die DSGVO die grundlegenden datenschutzrechtlichen Regelungen und Anforderungen. Da sowohl die DSGVO, als auch das BDSG-neu ab dem 25. Mai 2016 gelten, ist der Zeitplan für die Umsetzung gleich.

Es empfiehlt sich daher, die Umsetzung der DSGVO und der für Ihr Unternehmen relevanten Regelungen des BDSG-neu gebündelt anzugehen.

4. Halten Sie die Augen offen

Mit der DSGVO und nunmehr auch dem BDSG-neu liegen die zentralen Richtlinien des zukünftigen Datenschutzrechts vor. Unbeschadet dessen ist jedoch zu erwarten, dass auch nach Mai 2018 einige Änderungen und Konkretisierungen der rechtlichen Rahmenbedingungen auf Unternehmen zukommen. Nicht nur werden die DSGVO und das BDSG-neu weitere Ausformungen erfahren, insbesondere im Hinblick auf den technischen Datenschutz. Darüber hinaus befinden sich derzeit zahlreiche spezialgesetzlichen Änderungen datenschutzrechtlich relevanter Vorschriften im Gesetzgebungsverfahren.

Es empfiehlt sich deshalb, parallel zur Umsetzung der neuen Anforderungen die zukünftigen Datenschutzentwicklungen im Blick zu behalten und einzuplanen.

Stand: November 2017

Fanden Sie diese Information hilfreich?