Das neue Bundesdatenschutzgesetz: Über den neuen Kabinettsentwurf
Die Bundesregierung hat einen neuen Entwurf für ein nationales Bundesdatenschutzgesetz (BDSG n.F.) vorgelegt. Zwar wird der überwiegende Teil der jetzigen Regelungen des bestehenden Bundesdatenschutzgesetzes (BDSG a.F.) durch die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar ersetzt werden, die ab dem 25.05.2018 Geltung erlangt, einige Fragen müssen jedoch dennoch vom nationalen Gesetzgeber weiterhin geregelt werden.
Nachdem die ersten beiden bekanntgewordenen Entwürfe zu den geplanten Nachfolgegesetzen teilweise erheblicher Kritik – auch aus anderen Bundesministerien – ausgesetzt waren, konnte sich die Regierung nunmehr auf einen Entwurf einigen.
Auch der neue Entwurf ist jedoch wenig übersichtlich und erweist sich eher als ein komplexes Konstrukt schwer leserlicher Verweisungen, als als transparente und sinnvolle Ergänzung der Verordnung. Zukünftig werden Rechtsanwender, Unternehmen und Verbraucher neben dem Verordnungstext auch das neue BDSG sowie gegebenenfalls etwaige Spezialvorschriften zur Hand nehmen müssen, um die Rechtslage im Allgemeinen oder Rechte und Pflichten im Speziellen einschätzen zu können. Hinzu kommen Stellungnahmen der Datenschutzaufsichtsbehörden und spätestens ab Mai 2018 auch die Lektüre einschlägiger gerichtlicher Entscheidungen. Im Hinblick auf die im Kabinettsentwurf teilweise enthaltenen Abweichungen von den Vorgaben der Verordnung kann bereits jetzt damit gerechnet werden, dass sich die Richter des Europäischen Gerichtshofes mit dem deutschen Anpassungsgesetz auseinandersetzen werden. Zuvor wird sich jedoch zunächst der Bundesrat am 10.03.2017 mit dem Entwurf beschäftigen.
Der Kabinettsentwurf des BDSG im Einzelnen
Der erste Teil des neuen BDSG betrifft Aspekte, die in der DSGVO nicht abschließend geregelt sind oder für die ausdrücklich Öffnungsklauseln für die Mitgliedstaaten existieren. So enthält der Entwurf Regelungen zu den Datenschutzbeauftragten öffentlicher Stellen und dem Amt und den Funktionen der Bundesdatenschutzbeauftragten sowie der Vertretung im Europäischen Datenschutzausschuss. In § 4 BDSG n.F. wird zudem eine Rechtsgrundlage für die Videoüberwachung im öffentlichen Raum geschaffen, die überwiegend § 6b BDSG a.F. entspricht. In Abs. 2 Satz 2 jedoch um Regelungen zur Überwachung von großflächigen Anlagen, Sport- und Vergnügungsstätten, Einkaufszentren und Parkplätzen sowie des öffentlichen Nah- und Fernverkehrs erweitert wurde. Diesbezüglich weist der Entwurf ausdrücklich darauf hin, dass in diesen Verarbeitungssituationen der Schutz von Leben, Gesundheit und Freiheit als „besonders wichtiges Interesse“ gilt. Die DSGVO sieht keine konkreten Vorgaben für die Videoüberwachung vor, die Verarbeitung kann daher aufgrund von Art. 6 Abs. 1 lit f) DSGVO gerechtfertigt sein. Zudem ist eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO vorzunehmen. Die Zwecke und von einer konkreten Videoüberwachung betroffenen Schutzgüter wären also ohnehin zu berücksichtigen gewesen, die Regelung im BDSG n.F. hat insofern allenfalls deklaratorische Wirkung. Die Pflicht auf die Videoüberwachung und den Verantwortlichen hinzuweisen ergibt sich ebenfalls bereits aus den allgemeinen Informationspflichten nach der DSGVO.
Grund für neue Beanstandungen werden jedoch vor allem die Regelungen im zweiten Teil des BDSG n.F. liefern.
Einschränkung der Betroffenenrechte
Der Entwurf des Kabinetts schränkt in §§ 32 ff BDSG die Betroffenenrechte für bestimmte Konstellation ein, die in der Verordnung geregelt sind. Zwar lässt Art. 23 DSGVO derartige Einschränkungen durch die Mitgliedstaaten ausdrücklich zu, dies gilt jedoch nur dann, wenn die jeweilige Regelung bestimmten Zwecken des Gemeinwesens, wie der öffentlichen Sicherheit dient. Sofern der vorliegende Entwurf Betroffenenrechte, wie die Informationspflicht des Verarbeiters bei beabsichtigter Zweckänderung (§ 32 BDSG n.F.) oder im Falle einer Erhebung bei einem Dritten (§ 33 BDSG n.F.), wenn dadurch „allgemein anerkannte Geschäftszwecke des Verantwortlichen erheblich gefährdet würden“ einschränkt, ist jedoch nicht durchweg erkennbar oder in der Begründung aufgeführt, welche Ausnahmetatbestände gem. Art. 23 Abs. 1 DSGVO der Gesetzgeber im Blick hatte. Diesbezüglich wird die Aufweichung des in der DSGVO festgelegten gemeinsamen Standards zugunsten der nationalen Regelungen des BDSG in seiner jetzigen Form befürchtet. Der überwiegende Teil der Einschränkungen entspricht nämlich Regelungen, die sich auch jetzt im BDSG wiederfinden, wie z. B. die Ausnahme in § 33 Abs. 2 Nr. 7 b) BDSG a.F., die einen Verzicht auf die Benachrichtigung bei einer Gefährdung der Geschäftszwecke vorsieht und der schon jetzt konturlos ist.
Scoring
Auch in Bezug auf das Scoring möchte der Gesetzgeber die gegenwärtigen Regelungen erhalten. § 28b BDSG a.F. soll sich in ergänzter Form § 31 BDSG n.F. wiederfinden. Ausweislich der Begründung soll sichergestellt werden, dass „Scoringverfahren und Kreditinformationssysteme mit der Einmeldung von Positiv- und Negativdaten, die z. B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder Leasinggesellschaften erfolgt, prinzipiell weiter zulässig bleiben“.
Datenschutzbeauftragte
Das deutsche Konzept der Datenschutzbeauftragten im nicht-öffentlichen Bereich bleibt weiterhin bestehen. Eine Bestellung muss gem. § 36 BDSG n.F. erfolgen, falls ein Unternehmen weiterhin mindestens zehn Personen ständig mit einer automatisierten Verarbeitung personenbezogener Daten beschäftigt. Unternehmen müssen zudem einen Datenschutzbeauftragten benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen und wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Auch der Kündigungsschutz für Datenschutzbeauftragte, der in der DSGVO nicht vorgesehen war, ist in § 36 Abs. 2 BDSG n.F. wieder enthalten.
Arbeitnehmerdatenschutz
In § 26 BDSG n.F. hat der Gesetzgeber den Arbeitnehmerdatenschutz im Vergleich zur bisherigen Regelung des § 32 BDSG a.F. weitgehend übernommen und zudem konkretisiert. Der Entwurf erläutert dabei einige Aspekte des Beschäftigungsverhältnisses, in der Begründung behält sich der Gesetzgeber jedoch ausdrücklich vor, weitere diesbezügliche Fragen wie den Ausschluss heimlicher Kontrollen oder das Fragerecht des Arbeitgebers in einem gesonderten Gesetz zu regeln. Die Möglichkeit eine Einwilligung des Arbeitnehmers einzuholen greift § 26 Abs. 2 BDSG n.F. ausdrücklich auf und konkretisiert die diesbezüglichen Vorgaben.
Umsetzung der (EU) 2016/680
Teil 3 des BDSG n.F. dient der Umsetzung der Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten. Die §§ 45-84 BDSG n.F. gelten daher nur für die Datenverarbeitung von Ermittlungsbehörden und betreffen Bürger und Unternehmen zumindest nicht unmittelbar.
Fazit
Der Gesetzgeber hat erkennbar den Versuch unternommen deutsche Regelungen über die Zeit zu retten. Sollte das Beispiel in Europa Schule machen, würde das Ziel einer Vollharmonisierung vollends verfehlt. Die kleinteiligen Abweichungen führen überdies zu einer sehr umständlichen Anwendung. Da zudem zu befürchten ist, dass einzelne Regelungen in den nächsten Jahren gerichtlich in Luxemburg überprüft werden, ergibt sich für alle Beteiligten ein nicht unerhebliches Maß an Rechtsunsicherheit. Eine schlanke Lösung wäre vorzugswürdig gewesen.