Zurück zur Übersicht
19.05.2017Fachbeitrag

Update Datenschutz Nr. 24

DSAnpUG-EU durch Bundestag und Bundesrat verabschiedet

Ein weiteres wichtiges Puzzlestück im neuen „Datenschutzflickenteppich“ steht damit fest.

Seit Verabschiedung der DSGVO vor rund eineinhalb Jahren stand der deutsche Gesetzgeber vor der Herausforderung, mögliche Widersprüche und Lücken, die durch den Anwendungsvorrang der DSGVO gegenüber nationalem Datenschutzrecht entstehen konnten, zu schließen. Außerdem wollte der deutsche Gesetzgeber die in der DSGVO vorhandenen Öffnungsklauseln in großem Umfang für nationale Sonderregelungen nutzen. Dazu hat er nun das Datenschutz-Anpassungs- und Umsetzungsgesetz-EU („DSAnpUG“) erlassen. Deutschland ist damit einer der ersten Mitgliedstaaten, in dem neue, durch die DSGVO veranlasste Datenschutzregelungen festgelegt wurden.

Der Gesetzgeber hat dabei bewusst den Weg gewählt, das gesamte bisherige Bundesdatenschutzgesetz aufzuheben und ein vollständiges neues BDSG (häufig BDSG-Neu genannt) zu ersetzen. Ob damit alle möglichen Rechtsunsicherheiten beseitigt werden, muss bezweifelt werden. Immerhin ist dem nationalem Gesetzgeber insgesamt zugute zu halten, dass vor Ende der aktuellen Legislaturperiode noch eine Einigung zwischen Bundestag und Bundesrat erreicht wurde und die Unsicherheit so nicht über den Zeitpunkt der Bundestagswahl hinaus fortbesteht.

Überblick zu den Sonderregelungen gegenüber der DSGVO

Das DSAnpaUG sieht einige Sonderregelungen im Vergleich zur DSGVO vor. Die wichtigsten haben wir nachfolgend aufgelistet:

  • § 4 BDSG-Neu enthält eine Regelung zur Zulässigkeit und zu weiteren Voraussetzungen einer Videoüberwachung im öffentlichen Raum (diese Regelung verdrängt damit Art. 6 Abs. 1 lit. f DSGVO). Teilweise enthält die Regelung aber auch wieder Rückverweise auf die DSGVO (so z.B. auf Art. 13 und 14 bzgl. der Transparenzpflichten).
  • § 22 BDSG-Neu enthält eine Regelung über die Zulässigkeit der Verarbeitung von besonderen Kategorien von personenbezogenen Daten (z.B. Gesundheitsdaten, Daten über Zugehörigkeit einer Religionsgemeinschaft und Ähnliches). Der deutsche Gesetzgeber schränkt die Zulässigkeit hier noch wesentlich weiter ein, als dies in Art. 9 DSGVO vorgesehen ist. Zusätzlich zu der Frage der Zulässigkeit wird in § 22 Abs. 2 eine Detailregelung zu technischen und organisatorischen Maßnahmen getroffen. Hier werden im Gesetz zehn Maßnahmen genannt, die im Rahmen der Verarbeitung von besonderen Kategorien von personenbezogenen Daten zu beachten sind.
  • § 24 BDSG-Neu enthält eine Regelung zur Verarbeitung von personenbezogenen Daten zu anderen Zwecken als denjenigen, zu denen die Daten ursprünglich erhoben wurden. Diese Regelung ist deutlich einschränkender als dies Art. 6 Abs. 4 DSGVO vorgesehen hatte. Während der europäische Gesetzgeber letztlich eine Abwägungslösung kodifizierte, reduziert der deutsche Gesetzgeber den Anwendungsbereich der Zweckänderung nun auf zwei abschließende Fallgruppen. Nimmt man dies ernst und hat die Regelung Bestand (siehe hierzu unten) dürfte dies eine ernsthafte Einschränkung vieler Big Data Anwendungen darstellen.
  • § 26 BDSG-Neu enthält eine Regelung zu Datenverarbeitung für die Zwecke eines Beschäftigungsverhältnisses. Neben der dem jetzigen BDSG (§ 32 BDSG-alt) sehr ähnlichen Regelung bezüglich der Zulässigkeit der Datenverarbeitung findet sich in Abs. 2 auch eine Regelung über die Beurteilung der Freiwilligkeit von Einwilligungserklärungen im Arbeitsverhältnis. Zudem wird für die Einwilligungserklärung innerhalb eines Arbeitsverhältnisses entgegen der DSGVO die Schriftform verlangt. Immerhin hat der Gesetzgeber berücksichtigt, dass eine einschränkende Regelung zu besonderen Kategorien von personenbezogenen Daten im Arbeitsverhältnis nicht sinnvoll durchführbar ist und eine entsprechende Abweichung von § 22 BDSG-Neu in § 26 Abs. 3 BDSG-Neu eingefügt.
  • § 31 BDSG-Neu enthält eine Sonderregelung zu Scoring und Bonitätsauskünften.
  • §§ 32 und 33 BDSG-Neu enthalten eine einschränkende Regelung zur Transparenzpflicht. Hier wurde unter anderem bis zuletzt darum gerungen, ob und wie weit die Transparenzpflicht entfallen kann, wenn dies einen „unverhältnismäßigen Aufwand erfordern würde“. Eine solche weite Ausnahmeregelung wurde nun nicht allgemein, sondern nur im Hinblick auf analog gespeicherte Daten aufgenommen.
  • Gemäß § 38 BSDG-Neu müssen Unternehmen – wie bisher – einen Datenschutzbeauftragten bestellen, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.


Bewegt sich der deutsche Gesetzgeber im Rahmen der Öffnungsklauseln?

Schon bei Durchsicht der oben genannten Punkte fällt auf, wie deutlich der deutsche Gesetzgeber in wichtigen Punkten von den Regeln der DSGVO abweicht. Ob diese Abweichungen in dem dargestellten Umfang durch die Öffnungsklauseln der DSGVO gedeckt sind, darf bezweifelt werden. In einem Rechtsstreit wird gegen nahezu jeder der oben genannten Regelungen eingewendet werden können, dass diese auf Basis der DSGVO nicht zulässig ist und daher die DSGVO vorrangig anzuwenden ist. Die nationalen Gerichte werden die Fragen letztlich dem EUGH vorlegen müssen. Als Fazit kann insoweit festgehalten werden, dass es dem deutschen Gesetzgeber gelungen ist, die durch die DSGVO entstandene Rechtsunsicherheit noch einmal enorm zu steigern, auch wenn damit in Einzelfällen (wie z.B. beim Scoring und bei Bonitätsauskünften) zumindest die Absicht bestand, für Unternehmen einen klareren Rahmen zu schaffen.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf
Dr. Lutz Martin Keppeler
Köln

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf
Dr. Lutz Martin Keppeler
Köln

Weitere Artikel

27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung
21.02.2024
Offenlegung der Identität des Bewerters bei Kununu
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
07.02.2024
Aktuelles zu Auskunftsansprüchen gegen Plattformen nach DSA & TTDSG
01.02.2024
Endlich mehr Kohle! – Neue Rechtsprechung zum Schadensersatz bei Patentverletzungen
30.01.2024
Arbeitnehmerüberwachung: Französische Datenschutzbehörde verhängt 32 Millionen Euro Strafe gegen großen Online-Versandhändler
29.01.2024
Digital Services Act: Rechtswidrige Inhalte – Die Entwicklung der Melde- und Abhilfeverfahren

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.