Neues Datenschutzrecht (BDSG-neu)

Das Bundesdatenschutzgesetz wird europäisiert

03.05.2017
Von    und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Nach 40 Jahren soll das Bundesdatenschutzgesetz europäisiert werden. Wir sagen Ihnen, was Sie zum BDSG-neu wissen müssen.

Der Bundestag hat am 27. April 2017 das so genannte "Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)" beschlossen. Mit dem neuen Gesetz soll das 40 Jahre alte deutsche Bundesdatenschutzgesetz (BDSG) an die europäischen Vorgaben der Datenschutzgrundverordnung (DSVGO) angepasst werden.

Nach 40 Jahren soll das Bundesdatenschutzgesetz im Sinne der DSGVO angepasst werden.
Nach 40 Jahren soll das Bundesdatenschutzgesetz im Sinne der DSGVO angepasst werden.
Foto: posteriori - shutterstock.com

Datenschutzrecht: Harmonisierung?

Eine Anpassung des BDSG wurde erforderlich, um ein Zusammenspiel mit den neuen europäischen Vorgaben zum Datenschutz sicherzustellen. Dazu zählt neben der europäischen Datenschutzgrundverordnung (DSGVO) auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie). Anders als die Richtlinie, die erst in deutsches Recht umgesetzt werden muss, wird die DSGVO ab dem 25. Mai 2018 unmittelbar geltendes Recht in allen Mitgliedstaaten. Ziel der Verordnung ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in den Mitgliedstaaten.

Dieses Ziel der Harmonisierung sah die EU-Kommission aber bereits in vorangegangenen Gesetzesentwürfen als gefährdet an und hat dies unter anderem in einem Schreiben an das federführende Bundesinnenministerium auch zum Ausdruck gebracht. Auch Datenschutzverbände, wie die Deutsche Vereinigung für Datenschutz (DVD), äußert deutliche Kritik an dem nunmehr vom Bundestag beschlossenen, neuen Bundesdatenschutzgesetz (BDSG-neu).

Ob es noch zu den erhofften Gesetzesänderungen kommt, hängt auch von der Bundesratssitzung am 12. Mai 2017 ab. Denn sollte dem Gesetzesbeschluss nicht zugestimmt werden, ist der Vermittlungsausschuss anzurufen. Allerdings gilt die erforderliche Zustimmung des Bundesrats als sicher. Und dies, obwohl die geäußerten Bedenken aus Brüssel beim neuen BDSG nicht umfassend berücksichtigt wurden.

Neues Bundesdatenschutzgesetz: EU-rechtskonform?

Die Kabinettschefin von EU-Justizkommissarin Vera Jourova, Renate Nikolay, betonte schon vor der Bundestagsabstimmung bei einer Veranstaltung der Stiftung Datenschutz in Berlin, dass die EU-Kommission zwar im Dialog mit den deutschen Gremien stehe, aber auch die Gefahr eines Vertragsverletzungsverfahrens bestünde, sofern das Ziel der einheitlichen Datenschutzregeln gefährdet würde.

Denn die DSGVO enthält zahlreiche bereichsspezifische Öffnungsklauseln für die nationalen Gesetzgeber, aber im Grundsatz soll die Vereinheitlichung des Datenschutzrechts innerhalb der EU gewährleistet werden. Dagegen will die Bundesregierung mit dem neuen Bundesdatenschutzgesetz ganz offensichtlich den ihr eingeräumten Handlungsspielraum möglichst weit ausschöpfen. Nach Meinung der Kritiker überschreitet das neue Gesetz jedoch den nach der DSGVO zulässigen Spielraum. Es ist also gut möglich, dass das neue BDSG bald wieder (in Teilen) für unzulässig (weil unvereinbar mit EU-Recht) erklärt wird.

Nichtsdestotrotz dürfte aber mit dem neuen BDSG-Gesetzestext der wesentliche zukünftige Rechtsrahmen für die Datenverarbeitung in Deutschland gesetzt sein. Zumal die wirklich bedeutenden Regelungen zur Datenverarbeitung im Unternehmen bereits abschließend in der DSGVO geregelt sind. Für Unternehmen gibt es also keinerlei Grund, noch länger mit der Überprüfung und Anpassung ihrer Verträge und Prozesse an die Datenschutzgrundverordnung beziehungsweise das BDSG-neu zu warten. Ab dem 25. Mai 2018 endet nämlich die Übergangsfrist und es kommt nur noch das neue Datenschutzrecht zur Anwendung. Das bedeutet auch, dass dann deutlich höhere Strafen für Datenschutzverstöße verhängt werden können, die bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können.

BDSG-neu & DSGVO: Das ändert sich

Neu ist beispielsweise der Schmerzensgeldanspruch für Verbraucher und damit auch Arbeitnehmer in § 83 Abs. 2 BDSG-neu. Anders als nach der DSGVO kann nunmehr eine betroffene Person auch wegen eines Schadens der kein Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen. Dies kann für Unternehmen unter Umständen zu erheblichen, wirtschaftlichen Risiken führen, denn die neuen Verbandsklagerechte erleichtern Verbrauchern und Verbänden die gerichtliche Geltendmachung ihrer Ansprüche.

Eine weitere Abweichung von der DSGVO findet sich bei den Regelungen zum Datenschutzbeauftragten. Das BDSG-neu übernimmt im Wesentlichen die bisherigen Regelungen des Bundesdatenschutzgesetzes und stärkt damit im Vergleich zu der DSGVO die Stellung des Datenschutzbeauftragten.

Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wenn wegen eines hohen Risikos für die Rechte und Freiheiten der von der Datenverarbeitung Betroffenen eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO notwendig ist oder geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (vgl. § 38 Abs. 1 BDSG-neu).

Wie bisher gilt für den Datenschutzbeauftragten der bestellt werden muss, ein umfassender Kündigungsschutz. Dies ist bemerkenswert, weil die DSGVO dies nicht vorschreibt und nur für die Benennungspflicht sowie für die Wahrung der Geheimhaltung oder Vertraulichkeit Öffnungsklauseln bestehen. Offenbar geht der deutsche Gesetzgeber aber davon aus, dass der erweiterte Kündigungsschutz noch von dem Gestaltungsspielraum umfasst ist.

Datenschutz: Alles neu macht der Mai

Letztendlich wird aus dem "alten" BDSG mit derzeit 48 Regelungen ein "neues" Bundesdatenschutzgesetz mit nunmehr 85 Vorschriften - die teilweise nicht in Einklang mit der europäischen Datenschutzgrundverordnung stehen. Bereits dies verdeutlicht, warum Kritiker von einem Anwender-unfreundlichen Gesetz sprechen. Schwerer wiegen jedoch die zahlreichen Verweisungen im BDSG-neu (auch) auf die DSGVO, welche das deutsche Umsetzungs-Gesetz sehr komplex und nur schwer lesbar machen.

Ob das neue Datenschutzrecht vor dem Hintergrund eines möglichen Vertragsverletzungsverfahrens oder einer anderweitigen gerichtlichen Überprüfung überhaupt Bestand haben wird, ist zwar zweifelhaft. Klar ist allerdings, dass das neue BDSG kommt und die darin enthaltenen Vorgaben umgesetzt werden müssen. Das neue Bundesdatenschutzgesetz soll (bis auf eine Ausnahme) zusammen mit der Datenschutzgrundverordnung am 25. Mai 2018 in Kraft treten. (fm)