Wie läuft das jetzt mit dem Datenschutz ab 2018 in Deutschland? – Oder: DSAnpUG-EU (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU)

Das neue Jahr ist da. Hurra! Und wir wenden uns trotzdem gleich wieder einem alten Bekannten zu: dem Datenschutz. Schließlich schreiben wir jetzt 2017 und damit ist es auch auf dem Kalenderblatt nicht mehr weit bis zu 2018. Der geneigte Leser des Blogs weiß, worauf ich hinaus möchte. Ab Mai 2018 wird der Datenschutz in Deutschland und Europa durch die EU-Datenschutzgrundverordnung (DSGVO) geregelt. Mit den Änderungen, die damit und insbesondere für Unternehmen einhergehen, haben wir uns hier schon eingehend mit unserer – inzwischen sechsteiligen! – Blog-Serie zur DSGVO befasst. (Wenn Sie noch nichts von einer ominösen Datenschutzgrundverordnung gehört haben sollten, aber in Ihrem Unternehmen Verantwortung tragen, dann kann ich Ihnen nur dringend raten einmal einen Blick in die Blog-Serie zuwerfen).

Sinn und Zweck oder Idee der DSGVO ist bekanntermaßen eine europaweite, einheitliche und verbindliche Regelung des Datenschutzes zu schaffen, um den momentan bestehenden „datenschutzrechtlichen Flickenteppich“ eben dort zu beseitigen. Das ist gut.

Doch gemeinhin ist nichts so einfach, wie es auf den ersten Blick scheint. Und so dürfen wir uns hier im Zusammenhang mit der DSGVO – als wäre das nicht alles kompliziert genug –  mit dem nationalen Entwurf des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 beschäftigen. Dieses Gesetz wird auch Datenschutz-Anpassungs- und -Umsetzungsgesetz EU oder DSAnpUG-EU genannt. Ich gestehe, auch mit den Abkürzungen wird es nicht besser, es bleibt ein Wortungeheuer. Doch es nützt nichts, wer DSGVO sagt, der wird auch DSAnpUG-EU sagen müssen. Was es aber mit diesem Entwurf „Datenschutz-Anpassungsgesetz“ auf sich hat und warum es sich auch für Unternehmen lohnt, diese zugegebenermaßen erst ganz am Anfang stehende Gesetzesentwicklung schon jetzt zu verfolgen, zeigen wir nachfolgend auf. Damit Sie aber nach dieser trockenen Einleitung überhaupt einen Grund haben, weiterzulesen, (Ha! Erwischt! Sie wollten gerade wegklicken!), spoiler ich hier ein wenig und verrate Ihnen, dass es um eine neuen Entwurf eines nationalen Bundesdatenschutzgesetz (Hä? Sollte das nicht gerade durch die DSGVO abgelöst werden? – Ja, das erkläre ich Ihnen gleich!) und unter anderem um diese Themen gehen wird:

  • Grundsatz der Zweckbindung, Verarbeitung über die Zweckbindung hinaus, Verarbeitung von allgemein zugänglichen Daten
  • Beschäftigendatenschutz
  • Videoüberwachungen
  • Big Data, Scoring und Verbraucherkredite
  • Die automatisierte Entscheidung im Einzelfall
  • Informationsrechte und Pflichten (Datenschutzerklärungen…)
  • Bestellung eines Datenschutzbeauftragten
  • Besondere personenbezogene Daten (sensible Daten zur Gesundheit, Sexualität oder Gewerkschaftszugehörigkeit).

Datenschutzgrundverordnung und nationale Datenschutzgesetze? Geht das überhaupt?

Wie Sie vermutlich schon wissen, wird die DSGVO als EU-Verordnung in den Mitgliedstaaten unmittelbar gelten. Es sind also keine nationalen Gesetze notwendig (wie bei EU-Richtlinien), mit welchen erst die Umsetzung in den nationale Staaten erfolgen würde/müsste. Vereinfacht ausgedrückt: Das, was in der Verordnung steht, gilt so, wie es dort steht und zwar für alle in der ganzen EU.

Nun hat sich das BMI mit dem vorgenannten Referentenentwurf die Mühe gemacht, ein Gesetzes zur Anpassung des Datenschutzrechts an die DSGVO mit dem Namen „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU“ zu entwerfen (Stand 23.11.2016). Warum? Zum einen müssen natürlich zahlreiche Gesetze, die datenschutzrechtliche Bestimmungen enthalten aufgrund der Regelungen in der DSGVO angepasst werden. Doch ein Kernstück des DSAnpUG-EU ist der Entwurf zu einem „neuen“ „Bundesdatenschutzgesetz (BDSG-E). Nach dem Vorstehenden drängt sich die Frag auf : Wieso ein nationales Datenschutzgesetz? Das sollte doch gerade weg?

Der Grund dafür ist, dass die DSGVO den Mitgliedstaaten über sog. Öffnungsklauseln* zahlreiche Möglichkeiten einräumt, in bestimmten Bereichen eigene datenschutzrechtliche Regelungen aufzustellen. So ist beispielsweise die Öffnungsklausel zur Regelung des Beschäftigtendatenschutzes nur eine von ca. 60 Klauseln, die in der DSGVO zu finden sind. Wenige Bereiche müssen vom Gesetzgeber geregelt werden (z.B. die unabhängige Datenschutzaufsicht), weitaus mehr können von ihm geregelt werden. Aus dem vorliegenden Referentenentwurf geht jedoch hervor, dass der deutsche Gesetzgeber von den optionalen Klauseln rege Gebrauch machen wird.

Damit steht also jetzt schon fest, dass der Datenschutz in Deutschland künftig weitgehend durch die DSGVO und das „neue BDSG“ (ob dieses tatsächlich am Ende wieder BDSG heißen wird, steht noch in den Sternen) geregelt wird.

Weiter steht dass bei EU-Staaten übergreifenden Fragen in bestimmten Bereichen neben der DSGVO, das nationale BDSG-E und  – wie bisher –  die nationalen Datenschutzgesetze anderer Mitgliedstaaten berücksichtigt werden müssen. Schließlich gelten die Öffnungsklauseln der DSGVO nicht nur für den deutschen Gesetzgeber, sondern für alle Mitgliedstaaten.

Tja, soweit also zur Beendigung des Flickenteppichs.

[* Ok, die Juristen streiten sich hier mal wieder, ob das überhaupt echte Öffnungsklauseln seien, die den Mitgliedern Gesetzeskompetenz an die Hand gäben etc. pp. – aber diese Dogmatik lassen wir hier jetzt mal weg, sonst kriegen Sie beim Lesen Kopfschmerzen bevor Sie überhaupt angekommen sind… ]

Endlich klare Datenschutzgesetze mit der DSGVO und dem „neuen“ BDSG?

Nun könnte man sich der Hoffnung hingeben, dass sich mit der DSGVO und einem „neuen“ BDSG“ auf nationaler Ebene für den Gesetzgeber die Möglichkeit bietet, die bisher bestehende Unordnung aus alten und neuen EU-Richtlinien, die stückweise durch das an sich noch ältere BDSG umgesetzt wurden, zu beseitigen. Und mit einem „neuen“ BDSG, das leicht verständlich neben der DSGVO steht, endlich klare und anwenderfreundliche Datenschutzgesetze zu vor sich zu haben. Well, keep on dreaming… Denn wirft man einen ersten Blick auf den (frühen) Referentenentwurf, muss man aller Vorfreude zum Trotz feststellen, dass erhebliche Zweifel daran bestehen, dass diese Chance auch genutzt wird.

Inhaltlich sieht der BDSG-E insgesamt 79 Paragraphen vor, die sich auf drei Teile verteilen. Allerdings ist knapp die Hälfte des Entwurfs (§§ 43-79) aus Unternehmensperspektive zu vernachlässigen, da dieser Regelungen zur Umsetzung der EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates beinhaltet und sich nur an öffentliche Stellen des Bundes richtet.

Ein erster zaghafter Einblick in den BDSG-E 

Nachdem das geklärt ist, wagen wir nun einen vorsichtigen Ritt quer durch die ersten 42 Paragraphen und greifen uns mal ein paar wichtige Punkte (die eingangs genannten) heraus:

Grundsatz der Zweckbindung, Verarbeitung über die Zweckbindung hinaus, Verarbeitung von allgemein zugänglichen Daten

Wir kennen aus dem BDSG den Grundsatz der Zweckbindung. Diesen Grundsatz der Zweckbindung, wonach personenbezogene Daten nur zu den Zwecken verarbeitet werden dürfen, zu denen sie erhoben wurden, kennt auch die DSGVO, vgl. Art. 5 Abs. 1b) DSGVO.

Art. 6 Abs. 4 DSGVO eröffnet jedoch abweichend von dem vorgenannten Grundsatz nicht nur dem Datenverarbeiter – unter engen Voraussetzungen –  die Möglichkeit der Zweckänderung (d.h. dass nachträglich die Daten zu anderen Zwecken verarbeitet werden dürfen als zu dem diese ursprünglich erhoben wurden), sondern gibt auch den Mitgliedstaat den Raum, eigene Regelungen zur Weiterverarbeitung aufzustellen.

Und so finden sich in § 23 Abs. 2 und 4 BDSG-E zu Gunsten datenverarbeitender Unternehmen nun einige Ausnahmen, in denen die Verarbeitung auch über den ursprünglichen Zweck hinaus möglich sein soll.  Und da freuen wir uns als Unternehmen, denn hier sind etliche Normenbestandteile aus dem bisherigen § 28 BDSG, der die „Datenerhebung und Speicherung zu eigenen geschäftlichen Zwecken“ regelt, wiederzu erkennen. Und Hurra! Hier taucht auch der von mir in der DSGVO schmerzlich vermisste Begriff der allgemein zugänglichen Daten wieder auf.

Dass der § 28 BDSG dem Grunde nach erhalten bleibt, ist also begrüßenswert. Aber auch hier wurde die Chance verpasst aus einem kaum lesbaren und anwendbaren Gesetz eine praktisch verwertbare und den Zeiten wie technischen Gegebenheiten angepasste Regelung vorzulegen. Denn etwa der Streit darum, zu welchen Zwecken denn nun allgemein zugängliche Daten verarbeitet werden dürfen und wann ein „schutzwürdiges Interesse“ an dem Ausschluss der Weiterverarbeitung überwiegt… das dürfen die Datenschützer weiter unter sich ausdiskutieren.

Beschäftigtendatenschutz

Der jetzige Regelung Beschäftigtendatenschutz, die sich in § 32 BDSG findet und noch recht jung ist, war vor einigen Jahren als Übergangslösung gedacht. Sie wurde schon damals in der in der Annahme erlassen, bald würde die DSGVO den Beschäftigtendatenschutz sowieso ausführlich regeln. Doch in der DSGVO finden sich keine Regelungen zum Beschäftigtendatenschutz. Und nun? Blieb zu hoffen, dass wenigsten mit dem Ungetüm des Anpassungsgesetzes diese „Übergangslösung“ endlich einmal angefasst wird und drängende Fragen – gerade auch im Hinblick auf die Digitalisierung des Arbeitslebens angegangen würden -, doch: Pustekuchen. Das war wohl doch zuviel an Aufgabe, denn der Beschäftigungsdatenschutz wird einfach mit der – leicht abgeänderten – Fassung des § 32 BDSG geregelt.

Hurra! Wie behalten also eine eine provisorische Vorschrift, mit der der zunehmenden Digitalisierung der Arbeitswelt und dem Einsatz von Big-Data-Anwendungen (wie z.B. das Scoring) zur massenhaften Verarbeitung von Beschäftigtendaten weiterhin nicht sinnvoll Herr zu werden ist. Hintergrund zur Nicht-Neuregelung war wohl, dass zu § 32 BDSG eine gewisse Kasuistik besteht, die man nicht zum Einstürzen bringen wollte… dass sich die (Arbeits-)Welt drum herum geändert hat, nun denn, das lassen wir mal unter den Tisch fallen.

Daneben stellt sich die Frage, ob die bestehende(=geplante) Regelung der Forderung der DSGVO nach Vorschriften, die angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz enthalten (Art. 88 Abs. 2; Unterstreichung durch d. Verf.), entspricht.  Man könnte auch sagen, dass der Gesetzgeber hier immer noch viel Arbeit vor sich hat.

Videoüberwachung

Nachdem die DSGVO die Videoüberwachung nicht ausdrücklich, sondern nur sporadisch (z.B. im Rahmen der Folgenabschätzung gem. Art. 35 Abs. 3 lit. c DSGVO) regelt, gilt für sie, was bei ganz grundsätzlich bei allen Arten der Verarbeitung personenbezogener Daten gilt: Die Verarbeitung/Überwachung ist grundsätzlich verboten, es sei denn, es liegt einer der in Art. 6 Abs. 1 DSGVO genannten Erlaubnisgründe vor (Grundsatz des Verbots mit Erlaubnisvorbehalt).

Und was sagt das BDSG-E dazu? Statt in soeben kennengelernter Manier die bisherigen Regelungen des BDSG zu übernehmen (§ 6b BDSG), enthält der Entwurf in § 4 BDSG-E hier eine neu gestaltete Regelung zur Videoüberwachung öffentlich zugänglicher Flächen geschaffen. Nach § 4 Abs. 1 Nr. 2 BDSG-E), soll Unternehmen die Videoüberwachung  auf öffentlich zugänglichen großflächigen Anlagen, insbesondere Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren oder Parkplätze, oder Einrichtungen und Fahrzeuge des öffentlichen Personenverkehrs (Hervorhebung durch d. Verf.) erlaubt sein, wenn es zum Schutz von Leben, Gesundheit oder Freiheit von Personen erforderlich ist .

Diese Ausweitung stößt auf verfassungs- und europarechtliche Kritik , schließlich könnte hierin ein unverhältnismäßiger Eingriff in das Grundrecht auf informationelle Selbstbestimmung und in das durch Art. 8 der EU-Grundrechtecharta garantierte Grundrecht auf Datenschutz liegen.

Die bisherige Regelung der Videoüberwachung zur Wahrnehmung des Hausrechts nach § 6b Abs. 1 Nr. 2 BDSG entfällt. Die Zulässigkeit einer Überwachung zu diesem Zweck hat sich damit also an der DSGVO zu orientieren. Da diese, wie gesagt, nichts zur Videoüberwachung sagt, Dies richtet sich, diese Form der Datenerhebung nach Art. 6 DSGVO und danach wäre die Videoüberwachung zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten eingesetzt wird und sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen […]. Hilft uns das? Nun ja, wenn man nichts dagegen hat jedesmal eine umfängliche Verhältnismäßigkeitsprüfung zu machen, dann hilft uns das. Denn da kommen wir jedenfalls hin. (*ironieoff) Ob die Videoüberwachung erlaubt ist, hängt also – sofern nicht der Tatbestand es § 4 Abs. 1 Nr. 2 BDSG-E einschlägig ist –   vom jeweiligen Einzelfall ab.

Klar ist, dass man sich schon jetzt auf freundliche Abgrenzungsprobleme bei nicht-öffentlichen Stellen in Sachen Videoüberwachung zwischen dem Anwendungsbereich der DSGVO und dem BDSG-E gefasst machen darf.

Big Data, Scoring und Verbraucherkredite

Die verschiedenen Big Data-Analyseverfahren werden in der DSGVO unter dem Begriff „Profiling“ zusammengefasst und nicht vereinzelt, sondern lediglich im Rahmen der automatisierten Entscheidung im Einzelfall geregelt (Art. 22; dazu gleich). Das ist im BDSG anders, hier findet bspw. das Scoring eine ausdrückliche Regelung (§ 28b BDSG). Diesen rechtlichen „Schritt zurück“, den die DSGVO hier macht, versucht das BMI mit der Schaffung eigener Regelungen zum Scoring und den Verbraucherkrediten aufzufangen, in dem die bisherigen Vorschriften im wesentlichen unverändert in §§ 28, 29 BDSG-E übernommen wurden. Also frei nach dem Motto: Ein bisschen Regelung ist besser, als gar keine. Eine umfassende datenschutzrechtliche Regelung für Big Data-Anwendungen wird es daher auch in Zukunft wohl nicht geben. (Und die Autorin dieses Textes geht weinend ab).

Die automatisierte Entscheidung im Einzelfall

Das grundsätzliche Verbot, eine betroffene Person einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung zu unterwerfen, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, regelt Art. 22 DSGVO. Verboten sind damit also Fälle, in denen ein Computerprogramm o.Ä. eigenständig und ausschließlich über rechtliche Folgen (z.B. Kündigung, Vertragsschluss) gegenüber einem Betroffenen entscheidet. Das Verbot gilt aber gem. Art. 22 Abs. 2 DSGVO u.a. nicht, wenn eine derartige Verarbeitung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist. § 35 BDSG-E geht weiter. Das „neue“ BDSG nimmt hier noch die „sonstigen Rechtsverhältnisse“ auf und die Voraussetzung, dass dem „Begehren der betroffenen Person“ stattgegeben wurde“. Begründet wird diese, Entschuldigung, komplett unlesbare Norm damit, dass es hier vor allem zu Anwendungsbereichen im Bereich der Versicherungen und Schadensregulierung komme, bspw. auch die Schadensregulierung in der Haftpflichtversicherung, bei der kein rechtsgeschäftliches Verhältnis zwischen dem Versicherungsunternehmen des Schädigers und dem Geschädigten besteht.

(Nun. Man sieht, die guten alten Versicherungen haben eben doch einfach eine starke Lobby. Im Gegensatz zur Digitalbranche, denn für die sind einfach keine sinnvollen Regelungen, Stichwort zB „Big Data“ zu entdecken.)

Informationsrechte und Pflichten (Datenschutzerklärungen…)

Die DSGVO enthält mit Informations-, Auskunfts- und Widerspruchsrechten sowie dem Recht auf Löschung oder dem Recht auf Datenübertragbarkeit neue und bekannte Betroffenenrechte, von denen einige durch den BDSG-E wieder eingeschränkt werden sollen.

Werden bspw. Daten direkt beim Betroffenen erhoben, so regelt Art. 13 DSGVO, welche Informationen die datenverarbeitenden Unternehmen den Betroffenen in diesem Zusammenhang zur Verfügung zu stellen haben. Die einzige Ausnahme von dieser Informationspflicht besteht dann, wenn und soweit die betroffene Person bereits über die Informationen verfügt (Art. 13 Abs. 4 DSGVO). Der BDSG-E enthält nun darüber hinausgehende Fälle, in denen die Informationspflicht entfallen soll. Das gilt bspw., wenn die Pflichterfüllung sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde (§ 30 BDSG-E). Ebenso regelt der Entwurf auch die Ausnahme der Informationspflicht in den Fällen, in denen die Daten nicht direkt beim Betroffenen erhoben werden. Dazu soll die Informationspflicht auch entfallen, wenn die Information die Geschäftszwecke oder das Bekanntwerden dieser die öffentliche Sicherheit und Ordnung gefährden würde (§ 31 Abs. 1 Nr. 2 BDSG-E).

Das kommt Ihnen bekannt vor. Ja. Das ist auch nichts neues. Das sind nämlich – more or less – die jetzigen Regelungen aus § 33 BDSG.

Das mag man nun für einen Aufweichung der DSGVO halten, ich halte es für begrüßenswert, weil es ansonsten um Informations- und Dokumentationspflichten um ihrer selbst Willen bzw. kaum reale Praxisspielräume vorhanden wären.

Weiter wird auch das Recht auf Löschung („Recht auf Vergessenwerden“), welches sich für den Betroffenen aus Art. 17 DSGVO ergibt, eingeschränkt. Danach müssen Unternehmen die erhobenen Daten löschen, sofern einer der in Abs. 2 genannten Gründe vorliegt (u.a. bei nicht mehr erforderlichen Daten oder wenn die Einwilligung widerrufen wird). Der BDSG-E macht hiervon in § 33 Abs. 1 eine Ausnahme, wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung […].

Dem wird entgegen gehalten, dass diese Vorschrift Unternehmen die Möglichkeit eröffnen, künftig alle Daten so zu speichern, dass ihre Löschung nur mit unverhältnismäßig viel Aufwand betrieben werden könnte. Damit würde der Schutzzweck der Vorschrift  ins Gegenteil verkehrt und dies könne so nicht gewollt sein. Das mag sein. Aber ich denke, bei den meisten Unternehmen wird hier schon ein kleiner Erleichterungsseufzer entfleuchen.

Das Recht, einer Datenverarbeitung aus bestimmten Gründen zu widersprechen, wird in Art. 21 DSGVO geregelt. Speziell für den Fall einer Verarbeitung besonders sensibler Daten normiert  § 34 BDSG-E jedoch eine – wie ich finde – recht erstaunliche (aber möglicherweise auch äußerst sinnvolle) Ausnahme. Danach soll das Widerspruchsrecht nicht bestehen, wenn die Verarbeitung erforderlich ist und der Widerspruch die Verwirklichung des Zwecks der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde.

All diese Beschränkungen der Betroffenenrechte haben sich an den Leitlinien zu orientieren, die der Verordnungsgeber als Auslegungshilfe in Erwägungsgrund 73 zur DSGVO festgehalten hat. Dort wird eine Vielzahl von wichtigen Gründen genannt, die eine Beschränkung der Betroffenenrechte rechtfertigen können (z.B. zur Aufrechterhaltung der öffentlichen Sicherheit, zur Verfolgung von Straftaten oder zum Schutz von Freiheiten und Rechten). Ob die geplanten Regelungen jedoch tatsächlich gerechtfertigt sind, wird im Einzelfall zu klären sein. Zweifel ergeben sich bspw. bei der Einschränkung des Rechts auf Löschung (und damit auch des Rechts auf informationelle Selbstbestimmung) auf Grund der besonderen Art der Speicherung von Daten. Hier kann man sich trefflich streiten, ob ein s wichtiger Grund vorliegt oder nicht.

Bestellung eines Datenschutzbeauftragten

Die DSGVO enthält in Art. 37, 38 DSGVO Bestimmungen zum/zur Datenschutzbeauftragten. Unternehmen müssen danach eine/n solche/n nur dann bestellen, wenn Kerntätigkeit des Unternehmens die Verarbeitung besonders sensitiver Daten oder die systematische Überwachung von betroffenen Personen ist.

§ 36 BDSG-E sieht ergänzend zur DSGVO nun vor, dass auch Verantwortliche und Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten [bestellen], soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen (Hervorhebung durch d. Verf.). Unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen haben Unternehmen darüber hinaus eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen, wenn die Verarbeitung einer Datenschutz-Folgeabschätzung unterliegt oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Ach, huch! Komisch. Und das, obwohl in Deutschland doch gar keine Lobby der Datenschutzbeauftragten herrscht. #ironieoff.

Lange Rede, kurzer Sinn: In Bezug auf den Datenschutzbeauftragten bleibt es dem Grunde nach beim Alten… mit einigen kleinen Schärfungen.

Besondere personenbezogene Daten

Das alte BDSG kennt sie, ebenso wie die DSGVO: Die besonderen personenbezogenen Daten. Gemeint sind damit Daten wie etwa zur Gesundheit, zur sexuellen Orientierung oder zu einer Gewerkschaftsangehörigkeit. Derartige Daten sind natürlich besonders sensibel. Und so wird deren Verarbeitung grundsätzlich untersagt, es sei denn, es liegt einer der in Artikel 9 genannten Ausnahmegründe vor (z.B. die ausdrückliche Einwilligung des Betroffenen). Auch im BDSG-E wird die Verarbeitung besonders personenbezogener Daten geregelt. Nach § 45 BDSG-E muss die Verarbeitung zur Aufgabenerfüllung unbedingt erforderlich sein und ein Ausnahmegrund, wie eine andersweitige Ermächtigungsgrundlage (§ 45 Abs. 1 Nr. 1 BDSG-E) oder eine Einwilligung des Betroffenen (§ 45 Abs. 1 Nr. 4) vorliegen.

Und Obacht! Wenn Sie Ihre Fitnessdaten fröhlich öffentlich in die sozialen Netzwerke stellen, dann dürfen diese grundsätzlich erst einmal verarbeitet werden, schließlich haben Sie diese Daten offenkundig öffentlich gemacht (vgl. § 45 Abs. 1 Nr. 3 BDSG-E).

Oder andersrum: Liebe Unternehmen, bitte greifen Sie zu!

Wie geht es jetzt weiter? Was ist zu tun?

Beim hier besprochenen BDSG-E handelt es sich ausdrücklich um einen nur vom BMI entworfenen Vorschlag, in den die Stellungnahmen anderer Ministerien (wie z.B. des BMJV) noch gar keinen Eingang gefunden haben. Der für Anfang 2017 geplante Entwurf eines Umsetzungsgesetzes durch das Bundeskabinett wird daher erst der nächste Schritt sein. Und erst im Laufe des Jahres kann mit einem Gesetzesentwurf der Bundesregierung gerechnet werden. Und der kann natürlich noch einmal ganz anders aussehen. Allerdings bietet der vorliegende Entwurf handfeste Anhaltspunkte dafür, wie und in welchem Umfang der deutsche Gesetzgeber von seinem Regelungsspielraum Gebrauch machen könnte.

Und es hilft nichts, auch wenn Ihnen nun vor lauter BDSG, DSGVO und BDSG-E nun der Kopf schwirrt (versteh ich!), mit der DSGVO kommen zahlreiche neue Verpflichtungen auf die Unternehmen zu, deren Nichteinhaltung hart sanktioniert werden kann. Von daher müssen Unternehmen bis zum Mai 2018 ihre internen Prozesse entsprechend anpassen und dabei eben auch die Gesetzesentwicklung des BDSG-E zugleich im Auge behalten, um ab Mai 2018 datenschutzkonform dazustehen. (Und denken Sie daran: Ich bin nur der Bote, nicht der Verursacher dieses äußert leicht verständlichen und anwendbaren Datenschutzrechts… *hust.)

Freundlich erinnern wir aber lieber noch mal an die Bußgeldhöhen nach Art. 83 DSGVO, die bis zu 10 Millionen bzw. 20 Millionen EUR (je nach Verstoß) betragen können und auf die selbstverständlich auch über § 40 BDSG-E verwiesen wird.

Und wer glaubt, es sei noch so viel Zeit…. nun, wir haben Januar 2017. Und Sie wissen doch selbst wie lange es dauert, Unternehmensprozesse zu gestalten oder?

In diesem Sinne,

auf ein gutes neues Jahr 2017