27
Apr
2017
Reichstag

Bundestag verabschiedet neues Bundesdatenschutzgesetz: Das Wichtigste auf einen Blick

Am 27. April 2017 hat der Deutsche Bundestag ein vollständig neues Bundesdatenschutzgesetz (BDSG) verabschiedet. Das neue BDSG tritt an die Stelle des seit 40 Jahren geltenden bisherigen gleichnamigen Gesetzes. Das neue BDSG soll das deutsche Recht an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) anpassen. Das neue Datenschutzgesetz wird nun die Basis für die Anpassung deutscher Gesetze an die DSGVO. Weitere Gesetze zu Spezialgebieten wie Sozialdatenschutz sollen folgen.

Diese Neuregelungen sollten Unternehmer unbedingt kennen:

  • Hohe Risiken bei Fehlern: Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes – je nachdem, welcher Betrag höher ist. Nur Verstöße, die allein deutsches Recht betreffen, sind bei EUR 50.000 gedeckelt.
  • Schmerzensgeld: Verbraucher (d.h. auch Arbeitnehmer) können Schadensersatzansprüche auch wegen Nichtvermögensschäden geltend machen. Das ist neu und führt zu erheblichen wirtschaftlichen Risiken für Unternehmen. Denn Verbraucher und Verbände haben Verbandsklagerechte, die ihnen die Geltendmachung tatsächlicher oder behaupteter Ansprüche erleichtern.
  • Beweislastumkehr: Der Arbeitgeber muss nachweisen können, dass er die geltenden datenschutzrechtlichen Vorgaben einhält. Hierfür muss das Unternehmen auch die umfassenden Dokumentationspflichten der DSGVO umsetzen.
  • Sonderregelungen: Das Gesetz enthält Sonderregelungen zu einigen Spezialgebieten, wie etwa dem Datenschutz am Arbeitsplatz, Videoüberwachung oder Profiling.
  • Teile des bisherigen Datenschutzes bleiben: Der deutsche Gesetzgeber versucht erkennbar, möglichst große Teile des bisherigen deutschen Beschäftigtendatenschutzes zu übernehmen.
  • Erschwerte Compliance-Kontrollen: Die Aufklärung von Straftaten oder anderen Pflichtverstößen bleibt zulässig, muss aber strengen Anforderungen genügen – gerade bei der Transparenz der Datenverarbeitung.
  • Transparenz: Es bleibt weitgehend bei den umfassenden Unterrichtungspflichten nach Art. 13 ff. DSGVO. Die in älteren Entwürfen zum BDSG vorgesehene Einschränkungen der Betroffenenrechte wurden stark zurückgenommen.
  • Dokumentation: Auch die sehr weitgehenden Dokumentationspflichten nach der DSGVO werden durch das BDSG nicht reduziert.
  • Betriebsräte und der neue Beschäftigtendatenschutz nach § 26 BDSG: Auch die Datenverarbeitung durch Betriebsräte muss sich künftig an den Maßstäben des BDSG und der DSGVO messen lassen.
  • Betriebsvereinbarungen: Kollektivvereinbarungen bleiben ein zulässiges Mittel zur Regelung erlaubter Datenverarbeitung. Sie müssen aber die Anforderungen von Art. 88 Abs. 2 DSGVO und § 26 BDSG erfüllen. Hierfür müssen auch viele geltende Betriebsvereinbarungen einzeln oder durch den Abschluss entsprechender Rahmenbetriebsvereinbarungen angepasst werden.

Fazit: Das neue BDSG ist ausgesprochen komplex und schwer verständlich. Das führt auch zu ganz erheblichen Folgeproblemen. Denn Gesetze, die niemand versteht, werden in der Praxis auch nicht richtig oder gar vollständig umgesetzt. Mit dem neuen Bundesdatenschutzgesetz will die Bundesregierung zudem den ihr von Brüssel eingeräumten Handlungsspielraum möglichst weit ausschöpfen. Nach Meinung der deutschen Datenschutzbehörden überschreitet das neue Gesetz jedoch den nach der DSGVO zulässigen Spielraum. Das kann zu Vertragsverletzungsverfahren der EU-Kommission führen. Vor allem aber dürfen deutsche Gerichte und Behörden Vorschriften des BDSG nicht anwenden, wenn sie diese für EU-rechtswidrig halten. Das führt für Unternehmen zu erheblicher Rechtsunsicherheit – gerade bei Umsetzungsprojekten zur DSGVO. Es steht auch nicht zu erwarten, dass der Bundesrat das vom Bundestag beschlossene Gesetz noch kippt. Das Gesetz ist zwar zustimmungspflichtig. Die erforderliche Zustimmung des Bundesrats gilt aber nach den letzten Verhandlungen als sicher.

Weitere Informationen zur DSGVO und zum neuen BDSG finden Sie auch hier. Einen Beitrag zum neuen Beschäftigtendatenschutz nach § 26 BDSG aus der aktuellen NZA können Sie hier gratis abrufen. Für weitere Nachfragen stehen wir Ihnen natürlich auch gerne im direkten Gespräch zur Verfügung.

 

23
Feb
2017
Internet (iStock_000005558176Small_quadrat)
Dr. Christian Tinnefeld
Dr. Christian Tinnefeld
Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
E-Mail: christian.tinnefeld@hoganlovells.com
Telefon: +49 40 41993 238
» zur Autorenseite
Dr. Christian Tinnefeld
Dr. Henrik Hanßen
Dr. Henrik Hanßen
IPMT, Datenschutzrecht, IT-Recht / Hamburg
E-Mail: henrik.hanssen@hoganlovells.com
Telefon: +49 40 419 93 0
» zur Autorenseite
& Dr. Henrik Hanßen

Website Compliance: Haftung für Social Plugins – Vorlagefragen an EuGH

Das von der Verbraucherzentrale NRW gegen die direkte Einbindung des Facebook “Like-Buttons” geführte Klageverfahren geht in die nächste Runde: Mittlerweile beschäftigt sich das Oberlandesgericht (OLG) Düsseldorf im Berufungsverfahren mit der Rechtmäßigkeit der direkten Einbindung von Social Plugins wie des “Like-Buttons”. Durch Beschluss vom 19. Januar 2017 (Az. I-20 U 40/16) hat das Gericht das Verfahren jedoch ausgesetzt und sich mit mehreren Vorlagefragen an den Europäischen Gerichtshof gewendet. Dieser muss nun grundsätzlich klären, ob Website-Betreiber für die Einbindung des “Like-Buttons” rechtlich verantwortlich sind. » Lesen Sie mehr

5
Jan
2016
Datenspeicherung
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

F.A.Z.-Kolumne: Was haben die neuen EU-Datenschutzregeln mit mir zu tun?

Jahrelang haben die Beteiligten verhandelt. Nun hat sich die Europäische Union auf ein neues Datenschutzrecht geeinigt. Was bedeutet das?

Die neuen Vorschriften gelten ab 2018 einheitlich in ganz Europa. Der bisherige Flickenteppich an nationalen Regeln wird durch eine einzige EU-Datenschutzgrundverordnung ersetzt. Fehler beim Datenschutz können dann fatale Folgen haben. Es drohen Bußgelder von bis zu 20 Millionen oder bis zu vier Prozent des gruppenweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. » Lesen Sie mehr

16
Dez
2015
Europa
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

EU Einigung beim neuen Datenschutz – Bußgelder von bis zu 4% des Unternehmensumsatzes

Die EU verkündet am 15.12.2015 eine Einigung bei der EU-Datenschutz-Grundverordnung (“GVO“). Mit der GVO gilt ab 2018 in ganz Europa ein einheitliches Datenschutzrecht. Die GVO sieht viele Veränderungen gegenüber dem bisherigen Recht vor. Nachstehend finden Sie einige der wichtigsten Eckdaten zum neuen europäischen Datenschutzrecht. » Lesen Sie mehr

23
Sep
2015

Generalanwalt (EuGH): Safe-Harbor-Abkommen unzureichend für Datentransfers in die USA

Der Generalanwalt des Europäischen Gerichtshofs (EuGH) hat heute seine Stellungnahme (Schlussanträge) in einem viel beachteten Verfahren veröffentlicht (Pressemitteilung vom 23. September, Nr. 106/15, C-362/14), in dem es um die Frage des Transfers von personenbezogenen Daten in die USA geht. Das Verfahren beim EuGH beruht auf einer Vorlage des irischen High Courts, der klären lassen möchte, ob die Entscheidung der EU-Kommission 2000/520/EG vom 26. Juli 2000 über den Abschluss des Safe-Harbor-Abkommens  und die Angemessenheit des Datenschutzniveaus in den USA die nationalen Datenschutzbehörden in den Mitgliedstaaten daran hindert, Beschwerden von Betroffenen nachzugehen, mit denen geltend gemacht wird, dass ein Drittland (hier: die USA) kein angemessenes Schutzniveau gewährleiste. Zudem geht es um die Frage, ob trotz der Entscheidung der EU-Kommission zum Safe-Harbor-Abkommen eine Aussetzung des beanstandeten Datentransfers durch die zuständigen nationalen Datenschutzbehörden möglich ist. Der Generalanwalt bejaht beide Fragen – und geht sogar noch einen Schritt weiter. » Lesen Sie mehr