24
Aug
2016
Europa
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

Deutsches Ausführungsgesetz zur EU-Datenschutz-Grundverordnung: Erste Eckdaten

LOBO BMI

 

BMI legt ersten Referentenentwurf für ein deutsches Gesetz zur Ausführung der EU-Datenschutz-Grundverordnung vor

Ab dem 25.05.2018 gilt die EU-Datenschutz-Grundverordnung (“DSGVO“). Das Bundesministerium des Inneren (“BMI“) hatte bereits seit geraumer Zeit angekündigt, einen Gesetzentwurf zur Ausführung der DSGVO in Deutschland vorzulegen. Zwar wirkt die DSGVO als EU-Verordnung nach Art. 288 AEUV direkt und unmittelbar in allen Mitgliedsstaaten. Allerdings sind flankierende Regelungen wie etwa zur Zuständigkeit nationaler Behörden, durchaus erlaubt. Zudem sieht die DSGVO an einer Reihe von Stellen die Möglichkeit vor, einzelne Punkte im Recht der Mitgliedsstaaaten spezifischer zu regeln. Mittlerweise sind erste Eckdaten des Referentenentwurfs des BMI zur Anpassung des deutschen Datenschutzrechts an die Vorgaben der DSGVO bekannt geworden. Kernstück der Neuregelung soll der Entwurf für ein Allgemeines Bundesdatenschutzgesetz (“ABDSG-E“) werden.

Nachstehend sind einige erste Eckpunkte des Entwurfs des BMI zusammengefasst, die für Unternehmen besonders maßgeblich sind:

  • Hintergrund der Neuregelung: Der ABDSG-E soll das derzeit geltende BDSG zum 25.05.2018 ersetzen. Er soll ein reibungsloses Zusammenspiel der DSGVO und der Richtlinie (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr “mit dem stark differenzierten deutschen Datenschutzrecht” sicherstellen. Der Referentenentwurf zielt deutlich darauf ab, den von Brüssel vorgegebenen Spielraum für nationale Regelungen möglichst weitgehend auszunutzen.

 

  • Umfang und Struktur des Entwurfs: Der ABDSG-E soll künftig das deutsche Datenschutzrecht in 60 Paragrafen an die Regelungen der DSGVO anpassen. Teilweise gibt der ABDSG-E die Regelungen der DSGVO wieder, etwa bei den Definitionen. Zudem regelt der Entwurf etliche Fragen, in denen die DSGVO den einzelnen Mitgliedsstaaten einen gewissen Spielraum einräumt. Dies betrfft etwa die Pflicht zur Bestellung eines Datenschutzbeauftragten, denBeschäftigtendatenschutz bei den Zuständigkeiten der Aufsichtsbehörden oder die Verhängung von Bußgeldern. Zudem sollen die Betroffenenrechte (Art. 12 ff. DSGVO) “unter Berücksichtigung” von Art. 23 DSGVO beschränkt werden. Diese Beschränkungen orientieren sich laut dem Referentenentwurf “sehr weitgehend an den bestehenden Regelungen des Bundesdatenschutzgesetzes“.

 

  • Datenverarbeitung im Beschäftigungskontext: Der Beschäftigtendatenschutz ist in § 33 ABDSG-E geregelt. Art. 88 DSGVO erlaubt nationale Regelungen zur Datenverarbeitung Beschäftigungskontext. § 33 ABDSG-E schreibt das bisherige deutsche Recht fort und entspricht weitgehend den bisherigen §§ 32 und 3 Abs. 11 BDSG. Wird der Entwurf in dieser Form umgesetzt, werden deutsche Arbeitsrichter weiterhin die vom BAG entwickelten strengen Maßstäbe anlegen und die Zulässigkeit der Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage einer Verhältnismäßigkeitsprüfung bewerten. Auch die nichtautomatisierte Verarbeitung personenbezogener Daten im Beschäftigungskontext soll nach § 33 Abs. 2 ABDSG-E den Anforderungen des Datenschutzes unterliegen. Im Ergebnis läuft der Vorschlag des BMI darauf hinaus, dass der derzeit geltende § 32 BDSG auch noch nach dem 25.05.2018 in Deutschland weiter gelten soll. § 32 wurde bereits 2009 eigentlich nur als Übergangslösung eingeführt. Folgt der Deutsche Bundestag dem Vorschlag des BMI, so wird dies einer provisorischen Regelung eine erstaunliche lange Lebensdauer bescheren.

 

  • Bestellung von Datenschutzbeauftragten (DSB): Grundsätzlich sieht die DSGVO eine Pflicht zur Bestellung eines DSB nur unter recht engen Voraussetzungen vor. Falls aber eine Bestellung nach dem Recht der Mitgliedsstaaten vorgesehen ist, müssen Unternehmen dennoch einen DSB bestellen, Art. 37 Abs. 4 DSGVO. Der ABDSG-E macht von dieser Möglichkeit Gebrauch. Gemäß § 14 Abs. 1 Satz 2 ABDSG-E müssen Verantwortliche und Auftragsverarbeiter auch dann einen DSB bestellen, wenn sie “in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.” Die bislang in Deutschland geltende Bestellpflicht würde damit weitgehend beibehalten. Das Unternehmen veröffentlicht zudem Angaben zur Erreichbarkeit des DSB und teilt diese der Bundesbeauftragten für den Datenschutz mit. Ebenso muss die Bundesbeauftragte von Neubestellungen von DSB unterrichtet werden. Für als Arbeitnehmer beschäftigte DSB ist eine Kündigung des Arbeitsverhältnisses nur aus wichtigem Grund zulässig. Zudem wirkt der Sonderkündigungsschutz des DSB auch nach einer Abberufung für ein Jahr nach.

 

  • Einschränkung von Betroffenenrechten: Die Art. 12 bis 22 DSGVO sehen umfangreiche Betroffenenrechte vor. So müssen Verantwortliche betroffene Personen bei der Erhebung ihrer personenbezogenen Daten umfassend informieren, Art. 13 und 14 DSGVO. Betroffene haben das Recht, Auskunft über ihre von einem Verantwortlichen verarbeiteten Daten sowie eine Kopie dieser Daten zu verlangen, Art. 15 DSGVO. Hinzu kommen unter anderem Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen Datenverarbeitung und enge Vorgaben zum Profiling. Der ABDSG-E soll diese Betroffenenrechte einschränken. Beispielsweise soll eine Informationspflicht bei Datenerhebung entfallen, soweit diese einen unverhältnismäßigen Aufwand erfordern würde, § 7 Abs. 2 und § 8 Abs. 2 lit. d ABDSG-E. Auch die sonstigen Betroffenenrechte sollen eingeschränkt werden. Viele der vorgeschlagenen Regelungen entsprechen denen des bisherigen BDSG.

 

  • Bußgelder: Grundsätzlich richten sich die Bußgelder nach Art. 83 gegen Verantwortliche und Autragsverarbeiter, die die Vorgaben der DSGVO nicht einhalten. Die Bußgelder können bis zu 20 Millionen Euro betragen – oder sogar bis zu vier Prozent des globalen Umsatzes, je nachdem, welcher Betrag letztlich höher ist. Im deutschen Ordnungswidrigkeitenrecht gilt der sogenannte Einheitstäterbegriff des § 14 OWiG. Beteiligt sich eine natürliche Person an einem vom Unternehmen begangenen Datenschutzverstoß, so drohen ihr grundsätzlich ähnlich hohe Bußgelder wie dem Unternehmen selbst, vgl. § 14 Abs. 1 Satz 2 OWiG. Hier legt das BMI mit § 43 BDSG-E Hand an. Das Bußgeld für beteiligte Vorstände, Geschäftsführer oder sonstige Manager und Arbeitnehmer soll auf bis zu 300.000 Euro beschränkt werden. Diese Regelung würde das Risiko für an Verstößen beteiligte Personen im Unternehmen erheblich einschränken. Allerdings könnten Unternehmen, gegen die Bußgelder verhängt warden, durchaus gehalten sein, die dafür letztlich verantwortlichen Mitarbeiter in Regress zu nehmen.

 

Fazit: Die vom BMI aktuell vorgeschlagenen Regelungen sind komplex. Durch die vielen Verweisungen auf die DSGVO und im ABDSG-E selbst ist der Entwurf sogar für Datenschutzexperten nur schwer verständlich. Für eine abschließende Bewertung ist es in der jetzigen Phase des Gesetzgebungsverfahrens noch viel zu früh. Dennoch kann man bereits jetzt einige Eindrücke zusammenfassen: Das Ministerium versucht erkennbar, die vielen Ausnahmeregelungen in der DSGVO weitgehend auszunutzen, die den Mitgliedsstaaten nationale Sonderregelungen erlauben. Viele der vorgeschlagenen Regelungen des geplanten neuen deutschen Datenschutzrechts entsprechen denen des bislang geltenden BDSG. Man fragt sich an vielen Stellen, ob das ABDSG-E den Vorgaben der DSGVO, aber auch allgemeinen europarechtlichen Anforderungen zu derartigen Ausführungsgesetzen entspricht. Es wird daher spannend werden, ob das deutsche Parlament diesen Versuch mitgehen wird, beim Datenschutz “das Rad zurückzudrehen”. In jedem Falle dürfen sich Politik und Datenschützer auf ein interessantes und kontroverses weiteres Gesetzgebungsverfahren zum Datenschutz einstellen.

Gerne beraten wir Ihr Unternehmen bei der Umsetzung der Vorgaben der DSGVO. Umfassende weitere Informationen hierzu uns zu anderen Fragen des Datenschutzes finden Sie hier oder auf unserem HL-Datenschutz-Blog. Wir stehen Ihnen auch für Gespräche darüber zur VErfügung, ob und in welcher Weise man diese Pläne des Gesetzgebers bereits zeitnah bei der Implementierung der DSGVO berücksichtigen sollte.