Update Datenschutz Nr. 171
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
„Zur besseren Durchsetzung und Kohärenz des Datenschutzes verstärken wir die europäische Zusammenarbeit, institutionalisieren die Datenschutzkonferenz im Bundesdatenschutzgesetz (BDSG) und wollen ihr rechtlich, wo möglich, verbindliche Beschlüsse ermöglichen.“, heißt es im Koalitionsvertrag der Ampelregierung. Nun hat das Bundeskabinett einen Entwurf zur Änderung des Bundesdatenschutzgesetzes beschlossen. Ziel soll es sein, den Koalitionsvertrag in Bezug auf Datenschutz, sowie die Ergebnisse einer Evaluierung des BDSG teilweise umzusetzen.
Auch das Bundesministerium für Digitales und Verkehr hat einen Entwurf vorgelegt. Das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) soll sich insbesondere insoweit ändern, dass „nummernunabhängige interpersonelle Telekommunikationsdienste“ dazu verpflichtet werden ihre Telekommunikationsdienste als Standard mit einer Ende-zu-Ende-Verschlüsselung anzubieten.
Dieser Beitrag zeigt auf, welche weiteren wichtigen Änderungen geplant sind und worauf Unternehmen und betroffene Personen nach Umsetzung zu achten haben.
A. Was sich ändert
I. BDSG-Entwurf
Seit der Einführung des BDSG in den 70er Jahren gab es zahlreiche Änderungen des Gesetzes. Nun gibt es neben vielen Änderungen, die der Klarstellung des Gesetzes dienen sollen, auch viele konkrete Änderungen die Auswirkungen auf Verantwortliche und betroffene Personen haben könnten.
So soll gemäß dem neu eingeführten § 16a BDSG-E die Datenschutzkonferenz (DSK) institutionalisiert werden, damit Zweifel hinsichtlich der Stellung als offizielles Vertretungsorgan der unabhängigen Datenschutzaufsichtsbehörden ausgeräumt werden. Anders als im Koalitionsvertrag gewollt, sollen die Beschlüsse der DSK allerdings rechtlich unverbindlich bleiben, weil anderenfalls verfassungsrechtliche Grenzen berührt werden könnten (Stichwort Mischverwaltung).
Unternehmen und/oder Forschungseinrichtungen mit länderübergreifenden Vorhaben sollen gemäß § 40a BDSG-E nur einer einzigen Landesdatenschutzbehörde unterstehen. Dabei sollen diese Unternehmen gemeinsam anzeigen können, dass sie gemeinsam verantwortliche Unternehmen sind. Es soll dann diejenige Aufsichtsbehörde zuständig sein, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Dabei soll die Anzeige an alle Aufsichtsbehörden erfolgen, die für die gemeinsam verantwortlichen Unternehmen zuständig sind.
Für gemeinsam Verantwortliche, die Daten zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken verarbeiten und die nicht oder nicht ausschließlich Unternehmen sind, soll § 40a BDSG mit der Maßgabe gelten, dass allein die Behörde zuständig ist, in welchem Ort die die meisten Personen beschäftigt sind.
Das Auskunftsrecht nach Art. 15 DSGVO soll klarstellend durch § 34 BDSG-E insoweit nicht bestehen, wenn der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.
Der Europäische Gerichtshof entschied am 7. Dezember 2023 – C-634/21 (wir berichteten im Update Datenschutz Nr. 161), dass das Schufa-Scoring eine unzulässige automatisierte Entscheidung darstelle, sofern von dieser maßgeblich abhängt, ob ein Dritter, dem der Scorewert übermittelt wird, ein Vertragsverhältnis mit dieser Person begründet, durchführt oder beendet wird. In dem Urteil des EuGH ging es zudem um die Frage, ob die Vorgaben der DSGVO der Anwendung des § 31 BDSG entgegenstehen. Dabei wurden vom vorlegenden VG Wiesbaden und dem Generalanwalt des EuGH „durchgreifende Bedenken“ bis hin zur Unionsrechtswidrigkeit geäußert, sodass die Bundesregierung durch den Entwurf Abhilfe schaffen möchte, indem sie § 31 BDSG aufheben und durch § 37a BDSG-E ersetzen möchte.
§ 37a BDSG-E soll das Recht der betroffenen Person nach Art. 22 DSGVO erweitern, nicht ausschließlich auf automatisierten Verarbeitungen beruhenden Entscheidungen, unterworfen zu werden. § 37a Abs. 2 BDSG-E soll den Bereich, in dem Wahrscheinlichkeitswerte im Sinne eines Scorings erstellt werden dürfen, einschränken. Dabei sollen insbesondere personenbezogene Daten besonderer Kategorien im Sinne des Art. 9 DSGVO nicht verarbeitet werden dürfen. Betroffene Personen sollen neben einem speziellen Auskunftsrecht nach § 37a Abs. 3 BDSG-E auch die Möglichkeit haben dem Verantwortlichen gegenüber der Entscheidung, die auf einem Wahrscheinlichkeitswert beruht, anzufechten und den eigenen Standpunkt darzulegen.
II. TTDSG-Entwurf
Neben der verpflichtenden Ende-zu-Ende-Verschlüsselung sollen auch hier klarstellende und ergänzende Regelungen ins Gesetz gegossen werden.
So wird beispielsweise die „sichere Ende-zu-Ende-Verschlüsselung“ definiert, als eine Verschlüsselungstechnologie, durch die ein Telekommunikationsinhalt beim absendenden Endnutzer verschlüsselt und erst beim empfangenden Endnutzer wieder entschlüsselt wird, so dass er über den gesamten Übertragungsweg unlesbar ist, nicht eingesehen werden kann und auch der Anbieter des Telekommunikationsdienstes oder Dritte nicht an den Schlüssel gelangen können.
Über die Ende-zu-Ende-Verschlüsselung sollen Endnutzer durch den Anbieter des Telekommunikationsdienstes informiert werden. Für den Fall, dass eine solche Verschlüsselung technisch nicht möglich ist, soll der Anbieter über die technischen Gründe, die einer solchen Verschlüsselung entgegenstehen informieren.
Der neu eingeführte § 13a TTDSG-E soll es ermöglichen, dass Anbieter von gewerblich angebotenen Telekommunikationsdiensten, Teilnehmerdaten, Verkehrsdaten, sowie Standortdaten verarbeiten dürfen, soweit dies zur Sicherung und Übermittlung elektronischer Beweismittel im Falle einer Europäischen Sicherheitsanordnung für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren erforderlich ist.
Zum selben Zweck sollen gemäß § 24a TTDSG-E Anbieter von gewerblich angebotenen Telemedien, die es ihren Nutzern ermöglichen, miteinander zu kommunizieren oder Daten auf sonstige Weise zu verarbeiten, Teilnehmerdaten und Nutzungsdaten verarbeiten dürfen, sofern die Speicherung von Daten ein bestimmender Bestandteil der für den Nutzer erbrachten Dienstleistung ist. Dies soll auch für Anbieter von Internetdomänennamen und IP-Nummerierungsdiensten wie Diensten der IP-Adressenzuweisung und der Domänennamen-Registrierung, Anbieter von Domänennamen-Registrierungsstellendienste und Anbieter von mit Domänennamen verbundenen Datenschutz- und Proxy-Diensten gelten.
Des Weiteren sollen der Bußgeldvorschrift § 28 TTDSG zwei neue Tatbestände hinzugefügt werden. Zum einen sollen Endnutzer im Sinne des § 3 Nr. 13 TKG bezüglich der Durchführung oder Möglichkeit der Ende-zu-Ende-Verschlüsselung informiert werden müssen. Zum anderen sollen Nutzer im Sinne des § 3 Nr. 41 TKG über die Möglichkeit einer durchgehenden und sicheren Verschlüsselung informiert werden müssen, die gewährleistet, dass Informationen nur vom bereitgestellten Nutzer gelesen werden können. Die Höhe der Bußgelder soll sich nicht ändern.
In § 29 TTDSG-E sollen die Befugnisse des oder der Bundesbeauftragten für Datenschutz und Informationsfreiheit erweitert werden. Insbesondere soll er oder sie jetzt Anordnungen und andere Maßnahmen treffen dürfen, um die Einhaltung des Datenschutzes sicherzustellen. Bislang ist eine solche Generalklausel in Art. 58 DSGVO nicht vorgesehen. Inwieweit sich diese Befugnis auf, die in Art 58 DSGVO genannten Befugnisse beschränkt, bleibt abzuwarten.
Unerwähnt darf nicht bleiben, dass die Möglichkeit bestehen soll, ein Zwangsgeld in Höhe von bis zu 1 Millionen Euro festzusetzen, um die Maßnahmen des § 29 TTDSG-E durchzusetzen.
B. Was daraus folgt
Zwar sollen die Beschlüsse der DSK unverbindlich bleiben. Die Kurzpapiere und Beschlüsse bieten jedoch weiterhin einen zuverlässigen Anhaltspunkt für Unternehmen, weil davon ausgegangen werden kann, dass die Sichtweisen der Aufsichtsbehörden nicht abweichen werden. Der kritische Blick darauf sollte gleichwohl geworfen werden, da die Ansichten der Behörde nicht selten strenger sind als die der Instanzgerichte.
Dass für gemeinsam verantwortliche Unternehmen mit länderübergreifenden Vorhaben nur noch eine Aufsichtsbehörde zuständig sein soll, könnte Rechtssicherheit für diese Unternehmen schaffen, indem Übersichtlichkeit der Aufsichtsbehörden geschaffen wird. Das Gleiche gilt für gemeinsam Verantwortliche, die Daten zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken verarbeiten und nicht ausschließlich Unternehmen sind. Der Weg dorthin spricht aber nicht gerade für Bürokratieabbau.
Besonderen Augenmerk sollten Unternehmen auf die Einschränkung des Auskunftsrechts legen. Dass die Auskunft verweigert werden könnte, sofern ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würden und das Interesse an der Geheimhaltung überwiegt, sollten Unternehmen wissen, um nicht unnötig Informationen preiszugeben. Die Regelung ist letztendlich aber auch nur eine Präzisierung des Art. 15 Abs. 4 DSGVO.
Betroffene Personen sollten hingegen den § 37a BDSG-E kennen, wenn es um Scoringverfahren geht. Auskunfteien könnten künftig die neuen Vorgaben des § 37a BDSG zu beachten haben. Insbesondere müssten sie darauf achten, dass sensible Daten im Sinne des Art. 9 DSGVO nicht verarbeitet werden.
Hinsichtlich der möglichen Änderungen des TTDSG besteht bezüglich der verpflichtenden Ende-zu-Ende-Verschlüsselung kein erhöhter Handlungsbedarf für die meisten betroffenen Diensteanbieter, denn dies wird bereits von vielen standardmäßig angeboten.
Beachten müssen sie jedoch die Informationspflichten, die mit der Verpflichtung einhergehen könnten. Gerade, weil diese mit in den Bußgeldtatbestand mit aufgenommen werden sollen.
C. Fazit
Der Gesetzgeber möchte durch die beiden Entwürfe die Versprechen aus dem Koalitionsvertrag, soweit es möglich ist, einhalten. Ein wesentlicher Fokus liegt dabei auf die bessere Durchsetzung des Datenschutzes und Cybersicherheit.
Bis die beiden Entwürfe Wirklichkeit werden kann es noch eine Weile dauern.
Während der Entwurf des neuen BDSG noch der Stellungnahme der Länder, sowie der Lesungen im Bundestag bedarf, bis das Gesetz verkündet wird und in Kraft tritt, ist das Inkrafttreten des neuen TTDSG bereits konkret für den 1. April 2025 geplant. Die Änderungen des BDSG sollen am ersten Tag des auf seine Verkündung folgenden Quartals in Krafttreten, sodass noch in diesem Jahr mit einer Änderung des Gesetzes gerechnet werden kann.
Bis dahin sollten Unternehmen sich mit den bevorstehenden Änderungen vertraut machen und wenn nötig Abhilfe schaffen.