BDSG-neu
Am heutigen Tag hat der Bundesrat dem vom Bundestag am 27.4.2017 beschlossenen Gesetzesentwurf eines neuen Bundesdatenschutzgesetzes zugestimmt. Damit kann dieser Entwurf nun nach Unterzeichnung durch den Bundespräsidenten in Kraft treten.
Das neue Bundesdatenschutzgesetz (BDSG-neu) regelt allerdings nur bestimmte ausgewählte Bereiche des Datenschutzes, da es die neue EU-Datenschutzgrundverordnung (DSGVO) letztendlich nur „flankiert“. Denn an sich finden sich nun die maßgeblichen Vorschriften zum künftigen europaweit gültigen Datenschutz in der DSGVO, welche zum 25.5.2018 Anwendung findet wird. Die DSGVO enthält allerdings in bestimmten Bereichen (nicht wenige) Öffnungsklauseln, wo die jeweiligen nationalen Gesetzgeber bestimmte Regelungen treffen müssen bzw. können.
Von dieser Möglichkeit hat der deutsche Gesetzgeber im Entwurf des BDSG-neu regen Gebrauch gemacht. Teilweise finden sich im BDSG-neu auch Regelungen in Bereichen, bei welchen sich nicht ohne Weiteres ein Rückschluss auf Öffnungsklauseln ziehen lässt und wo der Gesetzgeber die Regelungskompetenz des nationalen Gesetzgebers über die Öffnungsklauseln wohl sehr großzügig auslegt. Inwieweit hier die ein oder andere Vorschrift im BDSG-neu daher mit den Bestimmungen der DSGVO übereinstimmt und ein Vertragsverletzungsverfahren von Seiten der EU droht, wird sich noch zeigen müssen. Im Vorfeld hatte Renate Nikolay, die Kabinettschefin von EU-Justizkommissarin Věra Jourová, jedenfalls Bedenken angemeldet.
Wichtige Regelungen im BDSG-neu für Unternehmen
Für den Datenschutz in Unternehmen bringt das BDSG-neu folgende wichtige datenschutzrechtliche Regelungen mit sich (nur Übersicht):
- Datenschutzregelungen der Videoüberwachung von öffentlich zugänglichen Räumen (§ 4 BDSG-neu): Die Neuregelung entspricht weitgehend den bereits bekannten geltenden Regelungen nach § 6b BDSG, wobei die Durchführung von Videoüberwachungen von öffentlich zugänglichen großflächigen Anlagen (z.B. Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätzen) und Fahrzeugen und öffentlich zugänglichen großflächigen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs (z.B. Bahnhöfen) erheblich erleichtert wird.
- Die Befugnis zur Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (sog. besonders sensible Daten, z.B. Gesundheitsdaten) wird präzisiert (§ 22 BDSG-neu). Ergänzend wird nach BDSG-neu für Unternehmen unter bestimmten Voraussetzungen die Verarbeitung von besonders sensiblen Daten im Bereich des „Rechts der sozialen Sicherheit und des Sozialschutzes“, zum „Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs“ erlaubt, ferner „aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten“.
Ferner findet sich in § 27 BDSG-neu Vorschriften zur Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken.
- Ergänzend zu Art. 6 Abs. 4 DSGVO werden Fälle der zulässigen Zweckänderung bei der Verarbeitung personenbezogener Daten definiert (§ 24 BDSG-neu). So ist eine zweckändernde Verarbeitung erlaubt wie bisher unter § 28 Abs. 2 Nr. 2 BDSG unter bestimmten Voraussetzungen bei Erforderlichkeit „zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten“ oder (neu) „zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche“.
- Beschäftigtendatenschutz (§ 26 BDSG-neu): Es wurde weitgehend die Vorschrift des bestehenden § 32 Abs. 1 BDSG übernommen, allerdings wird nunmehr ausdrücklich auch auf Tarifverträge, Betriebs- oder Dienstvereinbarungen Bezug genommen. In § 26 Abs. 2 BDSG-neu wird auf die bestehende Problematik der „Freiwilligkeit“ von Einwilligungen im regelmäßig durch Abhängigkeit geprägten Arbeitsverhältnis eingegangen.
- Datenschutzregeln beim Scoring und Wirtschaftsauskünften (§ 31 BDSG-neu) – ähnlich der bisherigen Regelung in § 28b BDSG und § 28a BDSG.
- Einschränkung von Informationspflichten nach Art. 13 DSGVO und Art. 14 DSGVO (§§ 32, 33 BDSG-neu), Auskunftspflichten (§ 34 BDSG-neu) und Löschpflichten (§ 35 BDSG-neu).
- Präzisierung von Regeln zu automatisierten Einzelentscheidungen gem. Art. 22 DSGVO bei einer „Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag“.
- Verpflichtung von Unternehmen nach § 38 BDSG-neu, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn diese „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“, ferner unabhängig von der Mitarbeiteranzahl bei der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO – i.d.R. bei der Verarbeitung von Gesundheitsdaten) oder Unternehmen, welche „geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ personenbezogene Daten verarbeiten (z.B. Auskunfteien, Adressverlage usw.). Diese Regelung entspricht weitgehend der bisherigen Vorschrift des § 4f Abs. 1 BDSG.
Das neue Bundesdatenschutzgesetz wird nach Unterzeichnung durch den Bundespräsidenten zeitgleich mit der DSGVO am 25.05.2018 zur Anwendung kommen. Das bisherige BDSG wird zu diesem Zeitpunkt außer Kraft treten.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe