2
Mrz
2017
Figuren
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

Bundesrat fordert umfassende Änderungen am geplanten Bundesdatenschutzgesetz

Die Bundesregierung hat Anfang Februar 2017 einen Gesetzentwurf für ein neues Bundesdatenschutzgesetz (BDSG-E) vorgelegt. Das BDSG-E soll das deutsche Recht an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) anpassen. Umfassende Informationen zur DSGVO und zum BDSG-E finden sie hier. Ein Interview zu dem Gesetzesvorhaben mit Dr. Stefan Brink (Landesdatenschutzbeauftragter Baden-Württemberg), Jan Philipp Albrecht (MdEP, Berichterstatter zur DSGVO) und Tim Wybitul (Hogan Lovells) finden Sie hier.

Am 10. März 2017 berät der Bundesrat über das Gesetzespaket zum geplanten neuen Datenschutz. Unter Tagesordnungspunkt 36 beraten die Vertreter der Länder auch über das BDSG-E. Mittlerweile haben die mit dem Gesetzentwurf befassten Ausschüsse des Bundesrats eine Stellungnahme vorgelegt. » Lesen Sie mehr

24
Feb
2017
Computerstecker
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

Bundestag berät am 9.3.2017 über neues Datenschutzrecht

Der Gesetzgeber gibt weiter Vollgas beim geplanten neuen deutschen Datenschutz. Hierzu berichteten wir bereits umfassend auf unserem Blog. Dort können Sie auch den aktuellen Gesetzentwurf als Bundesrats-Drucksache 110/17 abrufen.  Nun steht auch der Termin der ersten Lesung im Bundestag fest. Weitere Einzelheiten finden Sie hier. Eine Zusammenfassung zu den Plänen der Bundesregierung zum neuen Beschäftigtendatenschutz finden Sie hier.

23
Nov
2016
Starttaste Computer
Tim Wybitul
Tim Wybitul
Arbeitsrecht, Compliance / Frankfurt
E-Mail: tim.wybitul@hoganlovells.com
Telefon: +49 69 962 36 358
» zur Autorenseite
Tim Wybitul

EU-Datenschutz-Grundverordnung: Überblick über den neuen Gesetzentwurf zur DSGVO

Gesetzentwurf zum neuen Bundesdatenschutzgesetz (BDSG) abrufbar – Erster Überblick über geplante Regelungen

Ab Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Das Bundesministerium des Inneren (BMI) hatte bereits im August einen Referentenentwurf für ein Ausführungsgesetz vorgelegt. Das Gesetz soll “Datenschutz-Anpassungs- und Umsetzungsgesetz EU” (DSAnpUG-EU) heißen. Kernstück des ersten vorgelegten Entwurfs war ein “Allgemeines Bundesdatenschutzgesetz” (ABDSG). Das ABDSG sollte eine Anpassung des deutschen Rechts an die Vorgaben der DSGVO sicherstellen. Zudem soll es die in der DSGVO vorgesehenen Öffnungsklauseln möglichst weitgehend nutzen. Dieser Entwurf war Gegenstand teilweise massiver Kritik, etwa durch die Bundesdatenschutzbeauftragte und das Bundesministerium für Justiz und Verbraucherschutz (BMJV). Nähere Einzelheiten hierzu sowie ausführliche Stellungnahmen finden Sie hier.

Ein entsprechendes Interview aus der Zeitschrift für Datenschutz (ZD) mit dem Berichterstatter der DSGVO im Europaparlament und Hogan Lovells-Partner Tim Wybitul können Sie hier mit freundlicher Genehmigung des Verlag C.H. Beck abrufen.

Ein erster Überblick über den  neuen BDSG-Entwurf

Nun hat die Deutsche Vereinigung für Datenschutz e.V. (DVD) eine neue Entwurfsfassung vom 11.11.2016 geleakt. Die wichtigsten Änderungen sollen nun in einem neu gefassten Bundesdatenschutzgesetz geregelt werden. Dessen Entwurf können sie hier online abrufen. Bereits beim ersten Durchlesen fällt auf, dass der Entwurf viele Kritikpunkte nicht berücksichtigt. Nachstehend finden Sie einige für Unternehmen besonders relevante erste Eckdaten des Referentenentwurfs für ein BDSG:

  • Struktur und Klarheit: Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwer verständlich. Erwägungsgrund 8 der DSGVO stellt hierzu allerdings recht hohe Anforderungen auf: “Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.” Insgesamt dürfte zweifelhaft sein, ob der BDSG-E die Kohärenz wahrt. Noch mehr Zweifel dürften bestehen, ob das geplante deutsche Gesetz “die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher” macht.
  • Begriffsbestimmungen: In § 2 BDSG-E sind eine Reihe gesetzlicher Begriffsbestimmungen aus Art. 4 DSGVO wiedergegeben. Diese Regelung dürfte im Hinblick auf das vom EuGH aufgestellte Wiederholungsgebot problematisch sein.
  • Datenschutz am Arbeitsplatz: § 24 BDSG-E regelt den künftigen Beschäftigendatenschutz. Die Vorschrift entspricht weitgehend dem bisherigen § 32 BDSG. Hier stellt sich die Frage, ob diese Regelung den Anforderungen des Art. 88 Abs. 2 DSGVO entspricht. Einen ausgesprochen gelungenen Überblick zu dieser Frage gibt Kort, Die Zukunft des deutschen Beschäftigtendatenschutzes, ZD 2016, 555 ff. Zudem enthält § 24 Abs. 3 DSGVO eine gesetzliche Definition des Begriffs des Beschäftigten.
  • Sonderregelungen: Der Entwurf sieht Spezialregelungen für Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken vor (§ 25 BDSG-E), für Geheimhaltungspflichten unterliegenden Daten (§ 26 BDSG-E), für Übermittlungen an Auskunfteien (§ 27 BDSG-E), für Scorings (§ 28 BDSG-E), für Verbraucherkredite (§ 29 BDSG-E)
  • Informationspflichten: § 30 und § 31 BDSG-E sollen die Informationsrechte nach Art. 13. und 14 DSGVO einschränken. Insbesondere sollen Untersichtungspflichten nach Art. 13 DSGVO entfallen, sofern dies “einen unverhältnismäßigen Aufwand erfordern würde” oder “voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss“. Ausweislich der Entwurfsbegründung soll diese Ausnahme auf Art. 23 DSGVO gestützt werden. Es dürfte ausgesprochen interessant werden, ob Fachliteratur (und später ggf. einmal die Gerichte) dies als EU-rechtlich zulässig bewerten werden.
  • Einschränkung sonstiger Betroffenenrechte: Auch §§ 32 bis 35 BDSG-E schränken die Betroffenenrechte nach Art. 14 ff. DSGVO weiter ein.
  • Datenschutzbeauftragte: § 36 BDSG-E sieht vor, dass Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen, falls sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Unternehmen müssen auch dann einen DSB benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Bestellpflicht gilt auch, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Diese Regelung ist zweckmäßig und schafft Rechtssicherheit für DSB und Unternehmen mit Niederlassungen in Deutschland.
  • Bußgelder: § 40 BDSG-E  sieht eine Obergrenze von EUR 300.000 vor, wenn jemand “in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter” einen der in Art. 83 Abs. 4, 5 oder Abs. 6 DSGVO genannten Verstöße begeht. Auch hier dürfte fraglich sein, ob diese Regelung mit der in Art. 83 Abs. 1 DSGVO angeordneten Vorgabe vereinbar ist, dass Bußgelder “wirksam und abschreckend” sein müssen. Zudem hilft die Regelung Vorständen oder Geschäftsführern nur bedingt, wenn Datenschutzverstöße in ihren Verantwortungsbereich fallen. Denn dann sehen sie sich Regressansprüchen des Unternehmens ausgesetzt, für das ja die hohen, am Umsatz orientierten Bußgelder Anwendung finden können. Da es hier in der Regel um vorsätzliche Handlungen geht, treten D&O-Versicherungen normalerweise nicht ein, da diese Versicherungen vorsätzliche Taten zumeist nicht abdecken.
  • Datenschutz-Straftaten: § 41 BDSG-E regelt die Strafbarkeit von Datenschutzverstößen. Die Vorschrift entspricht im Wesentlichen dem bisherigen § 44 BDSG. Begeht jemand eine Handlung nach Art. 83 Abs. 5 DSGVO “vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen“, so macht er sich strafbar. Verstöße gegen § 41 BDSG-E sollen mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet werden. Verstößt jemand in gleicher Weise “nur” gegen die mit Bußgeldern von bis zu EUR 10 Millionen (bzw. Bis zu 2 Prozent des Umsatzes) bewehrten Vorgaben von Art. 83 Abs. 4 BDSG, so drohen keine Strafbarkeitsrisiken.
  • Sonstige Pflichten der Verantwortlichen und Auftragsverarbeiter: Die §§ 57 bis 72 BDSG-E regeln sonstige Pflichten für Unternehmen, die Daten in eigener Verantwortung oder im Auftrag verarbeiten. Sie regeln Themen von der Auftragsverarbeitung bis hin zur vertraulichen Meldung von Verstößen und enhalten teilweise für die Praxis durchaus relevante Abweichungen von den Vorgaben der DSGVO. Bereits bei einer ersten kursorischen Durchsicht stellt sich hier die Frage, wie eine Reihe der Vorschriften mit dem vom EuGH aufgestellten Wiederholungsverbot in Einklang zu bringen sein sollen.
  • Übermittlungen in Drittstaaten: §§ 73 bis 76 BDSG-E enthalten Sonderregeln für die Übermittlung personenbezogener Daten an Verantwortliche in Drittstaaten.

 

Fazit und Handlungsempfehlungen

Natürlich sollte man in einem ersten Überblick mit Bewertungen vorsichtig sein. Der erste Eindruck von dem geplanten BDSG-E verheißt allerdings aus Unternehmenssicht wenig Gutes. Zwar versucht das BMI erkennbar, der Wirtschaft Gutes zu tun. Der Referentenentwurf sieht viele Ausnahmen vor, die die Pflichten von Unternehmen bei der Datenverarbeitung einschränken sollen. Allerdings ist er so schwer verständlich, dass er für Laien kaum anwendbar sein dürfte – gerade im Zusammenspiel mit der auch nicht eben einfach strukturierten DSGVO. Für Datenschutzexperten sind Gesetze wie das geplante BDSG-E zwar eine stete Einnahmequelle – für Unternehmen und Bürger wären aber klare und verständliche Vorschriften nötig.

Vor allem aber sind viele Regelungen europarechtlich durchaus nicht unproblematisch. Auch einige wesentliche Kritikpunkte der Bundesdatenschutzbeuaftragten und des BMJV sind nicht ausgeräumt. Damit bleibt auch völlig offen, ob der Gesetzentwurf eine Mehrheit im Bundestag findet. Und gerade diese Unsicherheit stellt deutsche Unternehmen vor hohe Hürden. Denn sie müssen nun entscheiden, ob sie sich in laufenden Umsetzungsprojekten an den Vorgaben der DSGVO oder mehr an denen des BDSG-E orientieren. Bauen sie auf den Referentenentwurf des BMI, stehen sie vor großen Problemen, wenn der Entwurf den deutschen Bundestag nicht passiert oder bereits in der Ressortabstimung scheitert. Zudem erschwert das geplante BDSG-E es Unternehmen, EU-weite Konzepte zur Umsetzung der DSGVO zu entwickeln und umzusetzen. Daher werden gerade größere Unternehmen voraussichtlich zunächst eher an die Anforderungen der DSGVO als die des BDSG-E in ihre Planung bei DSGVO-Implementierungsprojekten einbeziehen.

Zudem empfiehlt es sich für in Deutschland tätige Unternehmen, die weitere Entwicklung in Bezug auf den geplanten BDSG-E genau zu beobachten. Hierzu können Sie auch unseren rechts auf dieser Seite angebrachten Newsfeed nutzen. Gerne halten wir Sie zur DSGVO, zum BDSG-E und zu weiteren wirtschaftsrechtlichen Fragen auf dem Laufenden.