Update Datenschutz Nr. 24
DSAnpUG-EU durch Bundestag und Bundesrat verabschiedet
Ein weiteres wichtiges Puzzlestück im neuen „Datenschutzflickenteppich“ steht damit fest.
Seit Verabschiedung der DSGVO vor rund eineinhalb Jahren stand der deutsche Gesetzgeber vor der Herausforderung, mögliche Widersprüche und Lücken, die durch den Anwendungsvorrang der DSGVO gegenüber nationalem Datenschutzrecht entstehen konnten, zu schließen. Außerdem wollte der deutsche Gesetzgeber die in der DSGVO vorhandenen Öffnungsklauseln in großem Umfang für nationale Sonderregelungen nutzen. Dazu hat er nun das Datenschutz-Anpassungs- und Umsetzungsgesetz-EU („DSAnpUG“) erlassen. Deutschland ist damit einer der ersten Mitgliedstaaten, in dem neue, durch die DSGVO veranlasste Datenschutzregelungen festgelegt wurden.
Der Gesetzgeber hat dabei bewusst den Weg gewählt, das gesamte bisherige Bundesdatenschutzgesetz aufzuheben und ein vollständiges neues BDSG (häufig BDSG-Neu genannt) zu ersetzen. Ob damit alle möglichen Rechtsunsicherheiten beseitigt werden, muss bezweifelt werden. Immerhin ist dem nationalem Gesetzgeber insgesamt zugute zu halten, dass vor Ende der aktuellen Legislaturperiode noch eine Einigung zwischen Bundestag und Bundesrat erreicht wurde und die Unsicherheit so nicht über den Zeitpunkt der Bundestagswahl hinaus fortbesteht.
Überblick zu den Sonderregelungen gegenüber der DSGVO
Das DSAnpaUG sieht einige Sonderregelungen im Vergleich zur DSGVO vor. Die wichtigsten haben wir nachfolgend aufgelistet:
- § 4 BDSG-Neu enthält eine Regelung zur Zulässigkeit und zu weiteren Voraussetzungen einer Videoüberwachung im öffentlichen Raum (diese Regelung verdrängt damit Art. 6 Abs. 1 lit. f DSGVO). Teilweise enthält die Regelung aber auch wieder Rückverweise auf die DSGVO (so z.B. auf Art. 13 und 14 bzgl. der Transparenzpflichten).
- § 22 BDSG-Neu enthält eine Regelung über die Zulässigkeit der Verarbeitung von besonderen Kategorien von personenbezogenen Daten (z.B. Gesundheitsdaten, Daten über Zugehörigkeit einer Religionsgemeinschaft und Ähnliches). Der deutsche Gesetzgeber schränkt die Zulässigkeit hier noch wesentlich weiter ein, als dies in Art. 9 DSGVO vorgesehen ist. Zusätzlich zu der Frage der Zulässigkeit wird in § 22 Abs. 2 eine Detailregelung zu technischen und organisatorischen Maßnahmen getroffen. Hier werden im Gesetz zehn Maßnahmen genannt, die im Rahmen der Verarbeitung von besonderen Kategorien von personenbezogenen Daten zu beachten sind.
- § 24 BDSG-Neu enthält eine Regelung zur Verarbeitung von personenbezogenen Daten zu anderen Zwecken als denjenigen, zu denen die Daten ursprünglich erhoben wurden. Diese Regelung ist deutlich einschränkender als dies Art. 6 Abs. 4 DSGVO vorgesehen hatte. Während der europäische Gesetzgeber letztlich eine Abwägungslösung kodifizierte, reduziert der deutsche Gesetzgeber den Anwendungsbereich der Zweckänderung nun auf zwei abschließende Fallgruppen. Nimmt man dies ernst und hat die Regelung Bestand (siehe hierzu unten) dürfte dies eine ernsthafte Einschränkung vieler Big Data Anwendungen darstellen.
- § 26 BDSG-Neu enthält eine Regelung zu Datenverarbeitung für die Zwecke eines Beschäftigungsverhältnisses. Neben der dem jetzigen BDSG (§ 32 BDSG-alt) sehr ähnlichen Regelung bezüglich der Zulässigkeit der Datenverarbeitung findet sich in Abs. 2 auch eine Regelung über die Beurteilung der Freiwilligkeit von Einwilligungserklärungen im Arbeitsverhältnis. Zudem wird für die Einwilligungserklärung innerhalb eines Arbeitsverhältnisses entgegen der DSGVO die Schriftform verlangt. Immerhin hat der Gesetzgeber berücksichtigt, dass eine einschränkende Regelung zu besonderen Kategorien von personenbezogenen Daten im Arbeitsverhältnis nicht sinnvoll durchführbar ist und eine entsprechende Abweichung von § 22 BDSG-Neu in § 26 Abs. 3 BDSG-Neu eingefügt.
- § 31 BDSG-Neu enthält eine Sonderregelung zu Scoring und Bonitätsauskünften.
- §§ 32 und 33 BDSG-Neu enthalten eine einschränkende Regelung zur Transparenzpflicht. Hier wurde unter anderem bis zuletzt darum gerungen, ob und wie weit die Transparenzpflicht entfallen kann, wenn dies einen „unverhältnismäßigen Aufwand erfordern würde“. Eine solche weite Ausnahmeregelung wurde nun nicht allgemein, sondern nur im Hinblick auf analog gespeicherte Daten aufgenommen.
- Gemäß § 38 BSDG-Neu müssen Unternehmen – wie bisher – einen Datenschutzbeauftragten bestellen, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Bewegt sich der deutsche Gesetzgeber im Rahmen der Öffnungsklauseln?
Schon bei Durchsicht der oben genannten Punkte fällt auf, wie deutlich der deutsche Gesetzgeber in wichtigen Punkten von den Regeln der DSGVO abweicht. Ob diese Abweichungen in dem dargestellten Umfang durch die Öffnungsklauseln der DSGVO gedeckt sind, darf bezweifelt werden. In einem Rechtsstreit wird gegen nahezu jeder der oben genannten Regelungen eingewendet werden können, dass diese auf Basis der DSGVO nicht zulässig ist und daher die DSGVO vorrangig anzuwenden ist. Die nationalen Gerichte werden die Fragen letztlich dem EUGH vorlegen müssen. Als Fazit kann insoweit festgehalten werden, dass es dem deutschen Gesetzgeber gelungen ist, die durch die DSGVO entstandene Rechtsunsicherheit noch einmal enorm zu steigern, auch wenn damit in Einzelfällen (wie z.B. beim Scoring und bei Bonitätsauskünften) zumindest die Absicht bestand, für Unternehmen einen klareren Rahmen zu schaffen.