Tag 2 unserer Datenschutzrechtswoche: DSGVO und Stand der nationalen Gesetzgebung
Im Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Als Verordnung muss sie nicht erst von den nationalen Gesetzgebern umgesetzt werden, sondern wird unmittelbar in allen EU-Mitgliedsstaaten gelten. Jedoch hat die DSGVO Spielraum für die nationalen Gesetzgeber zur individuellen datenschutzrechtlichen Gestaltung gelassen. An vielen Stellen findet man sogenannte Öffnungsklauseln, die den nationalen Gesetzgebern das Recht geben, individuelle Regelungen in den betreffenden Bereichen zu treffen, soweit diese der DSGVO nicht zuwiderlaufen.
- Neues Bundesdatenschutzgesetz erlassen
Von dieser Möglichkeit hat der deutsche Gesetzgeber nun Gebrauch gemacht. Am 27.04.2017 hat der Bundestag den Regierungsentwurf eines neuen Bundesdatenschutzgesetzes (BDSG-neu) angenommen. Trotz vielfach geäußerter Kritik am neuen BDSG hat auch der Bundesrat dem Gesetz am 12.05.2017 zugestimmt. Die Regelungen des BDSG-neu treten somit ebenfalls im Mai 2018 zusammen mit der DSGVO in Kraft.
- Was ist neu im BDSG?
Das BDSG in seiner Neufassung wird statt wie bisher aus 48 Paragraphen nunmehr aus 85 Paragraphen bestehen. Es ist also deutlich umfangreicher als die bisherigen Regelungen. Angesichts der kurzen Umsetzungsfrist von einem Jahr, haben Unternehmen nun also allerhand zu tun, um sowohl die Vorschriften der DSGVO, als auch des BDSG-neu umzusetzen.
Um Ihnen einen Überblick zu verschaffen, von welchen Öffnungsklauseln der Gesetzgeber Gebrauch gemacht hat, stellen wir Ihnen hier einige der Vorschriften vor, die für Unternehmen relevant sind:
– Videoüberwachung
In § 4 BDSG-neu finden sich spezielle Vorschriften für die Videoüberwachung. Dies betrifft etwa Firmen, die Verkaufsräume, Kundenparkplätze, Eingangsbereiche oder besonders kritische, sicherheitsrelevante Bereiche überwachen. Videoüberwachungen sollen danach grundsätzlich zulässig sein, wenn dies zur „Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke“ erforderlich ist und Interessen der Betroffenen diese nicht überwiegen. Bei großflächigen, öffentlichen Plätzen wie Parkplätzen gilt insbesondere der Schutz von Leben, Gesundheit und Freiheit von Personen als ein solches berechtigtes Interesse.
– Sensible Daten
Die DSGVO stellt besondere Kategorien personenbezogener Daten (wie beispielsweise Gesundheitsdaten) unter besondere Anforderungen (Art. 9 DSGVO). Solche Daten dürfen nur in bestimmten Ausnahmen verarbeitet werden. In § 22 BDSG-neu werden einige zusätzliche Ausnahmen genannt, bei denen eine Verarbeitung ebenfalls zulässig ist. Für Unternehmen relevant ist insbesondere die in § 22 Abs. 1 Nr. 1b BDSG-neu genannte Ausnahme „für die Beurteilung der Arbeitsfähigkeit des Beschäftigten“. Arbeitgeber dürfen in verhältnismäßigem Umfang etwa auch Gesundheitsdaten von Beschäftigten zur Beurteilung von deren Arbeitsfähigkeit erheben.
– Zweckänderung
Die Datenverarbeitung darf nach der DSGVO nur für einen bestimmten Zweck erfolgen. Doch wie ist es, wenn sich der Zweck der Verarbeitung ändert, wenn also bereits bestehende Kundendaten für zusätzliche Bereiche verwendet werden sollen? Das BDSG-neu sieht zusätzlich zu den zulässigen Zweckänderungen der DSGVO eine Reihe weiterer Ausnahmen in § 23 BDSG-neu vor. Im Grunde geht es bei diesen Regelungen jedoch um die Überprüfung von Daten, die Strafverfolgung und die Abwehr von öffentlichen Gefahren. Für Unternehmen ist diese Ergänzung wenig nützlich.
– Scoring
Weit interessanter für Unternehmen ist das Scoring und das Profiling von Kunden. Das alte BDSG sah in den §§ 28a und 28b einige Möglichkeiten für das Scoring vor. Diese Regelungen übernahm nun der deutsche Gesetzgeber im Grunde in das neue BDSG (§ 31 BDSG-neu). Im Falle des Scoring bleiben für Unternehmen also die bisherigen Möglichkeiten bestehen.
– Daten von Angestellten
Umfassend Gebrauch gemacht wurde auch von der Öffnungsklausel des Art. 88 DSGVO. Hiernach können die Mitgliedstaaten spezifischere Vorschriften in Bezug auf die Datenverarbeitung in Beschäftigtenverhältnissen erlassen. In § 26 BDSG-neu finden sich zahlreiche spezifische Vorschriften, die in Bezug auf Angestellte beachtet werden sollten.
-Benennung eines betrieblichen Datenschutzbeauftragten
Auch hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten enthält die DSGVO eine Öffnungsklausel (Art. 37 DSGVO). Von dieser wurde in § 38 BDSG-neu Gebrauch gemacht. Inhaltlich gleicht dieser jedoch dem bisherigen § 4f BDSG zur Ernennung eines betrieblichen Datenschutzbeauftragten. Unternehmen mit mindestens 10 Personen, die ständig mit der Verarbeitung personenbezogener Daten befasst sind, müssen also auch in Zukunft einen Datenschutzbeauftragten benennen.
- Worauf sollten sich Unternehmen nun einstellen?
Wie bereits erwähnt, begegnet dem BDSG-neu Kritik aus vielen Lagern. Es wird bemängelt, dass die Bundesregierung mit der umfangreichen Neufassung des BDSG über das Ziel hinausgeschossen sei und die Regelungen nicht mehr von den Öffnungsklauseln der DSGVO gedeckt seien. Auch die EU-Kommission hat bereits Zweifel angekündigt, so dass davon auszugehen ist, dass sich die Gerichte mit den Regelungen zu befassen haben werden. Dabei wird gegebenenfalls auch die ein oder andere Vorschrift des BDSG-neu wieder kippen. Bis dahin kann jedoch einige Zeit verstreichen, so dass Unternehmen sich zunächst auf die umfangreichen Neuregelungen einstellen sollten und möglichst bald mit deren Umsetzung und der Überprüfung der eigenen Prozesse anfangen sollten.
- Das könnte Sie ebenfalls interessieren:
Datenschutzrechtswoche bei RESMEDIA mit Downloads, einem Webinar und einem Video: Jeden Tag ein anderer Content zum Thema Datenschutz, Datenschutzgrund-Verordnung, Privacy Shield …
