Gratis
28. Juni 2017 - Datenschutz-Grundverordnung

BDSG-neu: Was sind die wesentlichen Änderungen?

Der Artikel 1 des nun verabschiedeten Datenschutz-Anpassungs- und -Umsetzungsgesetzes enthält die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu). Welche seiner Regelungen haben besondere Bedeutung für die Privatwirtschaft? Und wo verstößt der nationale Gesetzgeber möglicherweise gegen die DSGVO?

Der Bundesrat hat das BDSG-neu erstaunlich schnell durchgewunken Zum Schluss ging alles erstaunlich schnell: Am 12. Mai 2017 hat der Bundesrat den Gesetzentwurf für das „Datenschutz- Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU)“ binnen weniger Minuten gebilligt. (Bild: iStock.com / MarioGuti)

Die Datenschutz-Grundverordnung (EU) 2016 / 679, kurz meist DSGVO genannt, gilt in allen Mitgliedstaaten der EU unmittelbar. Das ist bei sämtlichen EU-Verordnungen so, wie sich aus Art. 288 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) ergibt: „Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“

„Öffnungsklauseln“ = „spezifischere Vorschriften“

Nationale Regelungen, wie sie der deutsche Gesetzgeber nunmehr im BDSG-neu getroffen hat, sind daneben normalerweise nicht zulässig. Etwas anderes gilt dann, wenn die DSGVO es ausdrücklich erlaubt. Dies geschieht durch entsprechende Formulierungen in einzelnen Bestimmungen. Sie werden in Deutschland meist als „Öffnungsklauseln“ bezeichnet.

Einige Kritiker halten diesen Begriff für unglücklich gewählt. Ihre Begründung: Er erweckt den Eindruck, als könne der nationale Gesetzgeber in solchen Fällen völlig frei handeln, obwohl das fast nie zutrifft. Häufig erlaubt die DSGVO lediglich, dass er „spezifischere Vorschriften“ vorsehen kann (so etwa in Art. 88 Abs. 1 DSGVO, der die „Datenverarbeitung im Beschäftigungskontext“ regelt).

„Kollisionsregelung“ im BDSG-neu

Es bedarf nur geringer Fantasie, dass im Einzelfall sehr schnell Streit darüber entstehen kann, ob eine bestimmte nationale Regelung noch als eine derartige „spezifischere Vorschrift“ anzusehen ist oder ob der nationale Gesetzgeber seinen Handlungsspielraum überschritten hat.

Dieses Problem versucht das BDSG-neu dadurch zu lösen, dass es eine Art „Kollisionsregelung“ trifft. Sie ist in § 1 Abs. 5 BDSG-neu enthalten und lautet: „Die Vorschriften dieses Gesetzes finden keine Anwendung, soweit das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 in der jeweiligen Fassung, unmittelbar gilt.“ Damit versucht der Gesetzgeber sicherzustellen, dass Regelungen des BDSG-neu nicht unzulässig in die DSGVO eingreifen.

Dem Praktiker gibt diese „Kollisionsregelung“ allerdings Steine statt Brot. Das BDSG-neu mutet ihm zu, in Zweifelsfällen zu prüfen, ob eine bestimmte Auslegung des BDSG-neu mit dem Inhalt der DSGVO kollidiert. Sollte dies der Fall sein, darf man das BDSG-neu nicht anwenden, sondern muss der entsprechenden Regelung der DSGVO den Vorrang geben.

Es liegt auf der Hand, dass der typische Praktiker eine solche Prüfung schlicht nicht leisten kann. Er muss davon ausgehen, dass das BDSG-neu nur solche Regelungen enthält, die mit der DSGVO zu vereinbaren sind. Alles andere wird er den Aufsichtsbehörden und den Gerichten überlassen.

Diese Situation trägt erhebliche Unsicherheit in den Datenschutzalltag der Unternehmen. Denn gerade bei wichtigen Fragen wird es anfangs unterschiedliche Meinungen dazu geben, ob einzelne Bestimmungen des BDSG-neu mit der DSGVO in Einklang stehen oder nicht.

Beispiel Beschäftigtendatenschutz

Ein gutes Beispiel für solche Zweifel bietet der neue § 26 BDSG, der laut Überschrift die „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ regelt. Bereits die Abweichung von der Überschrift des Art. 88 DSGVO („Datenverarbeitung im Beschäftigungskontext“) wirft die Frage auf, ob § 26 BDSG-neu spezifische Regelungen für jede Art von Datenverarbeitung im Beschäftigungskontext treffen will oder ob die „Beschäftigungsverhältnisse“ lediglich eine Teilmenge des „Beschäftigungskontextes“ bilden.

Diese Unsicherheit wird noch dadurch verstärkt, dass § 26 Abs. 8 BDSG-neu eigenständig definiert, welche Personen als „Beschäftigte im Sinne dieses Gesetzes“ anzusehen sind. Die DSGVO erwähnt den Begriff „Beschäftigte“ zwar an mehreren Stellen. Beispiele hierfür bilden Art. 47 DSGVO („Verbindliche interne Datenschutzvorschriften“) und Erwägungsgrund 155 (Einwilligung des Beschäftigten). Sie enthält aber keine Definition des Begriffs.

Ob man daraus ableiten kann, dass der jeweilige nationale Gesetzgeber selbst festlegen kann, wen er als Beschäftigten ansieht, ist äußerst umstritten. Falls man diese Frage bejaht, könnte es dazu kommen, dass in allen 28 Mitgliedstaaten jeweils unterschiedliche Definitionen dieses Begriffs erfolgen. Es liegt auf der Hand, dass dies mit der unmittelbaren und allgemeinen Geltung der DSGVO nicht zu vereinbaren wäre.

Insgesamt gesehen bleibt somit gerade bei der wichtigen Frage des Datenschutzes bei Beschäftigungsverhältnissen offen, ob der Bundesgesetzgeber über den Spielraum hinausgegangen ist, den ihm die DSGVO insoweit gibt.

Bestellung eines Datenschutzbeauftragten

Bei anderen Regelungen herrscht größere Klarheit. So steht außer Frage, dass der nationale Gesetzgeber ergänzende Regelungen dazu treffen kann, wann nicht-öffentliche Stellen (und damit insbesondere Unternehmen der Privatwirtschaft) einen Datenschutzbeauftragten benennen müssen. Das hat das BDSG-neu in § 38 Abs. 1 getan. Diese Regelung tritt neben Art. 37 Abs. 1 DSGVO.

Soweit Unternehmen bereits von dieser Bestimmung erfasst werden – etwa weil sich ihre Kerntätigkeit auf Gesundheitsdaten bezieht, siehe Art. 37 Abs. 1 Buchst. c DSGVO –, spielt § 38 Abs. 1 BDSG daneben keinerlei Rolle. Wichtig ist die Regelung dagegen für Unternehmen, für die Art 37 Abs. 1 DSGVO nicht gilt, und das sind zahlenmäßig relativ viele. Für sie ergibt sich die Pflicht zur Bestellung eines Datenschutzbeauftragten erst aus dem BDSG-neu.

Wie steht es um den Kündigungsschutz?
Schwierig wird es bei der Frage, ob das BDSG-neu für den Datenschutzbeauftragten einen besonderen Kündigungsschutz vorsehen darf. Dies hat das BDSG-neu in Form einer relativ schwer lesbaren Verweiskette getan: § 38 Abs. 2 Halbsatz 1 BDSG-neu verweist auf § 6 Abs. 4 Satz 2 BDSG-neu, der einen besonderen Kündigungsschutz vorsieht (Stichwort: „Kündigung nur aus wichtigem Grund“).

Das Problem: Ausdrücklich zum Kündigungsschutz sagt die DSGVO zwar nichts. Sie enthält jedoch in Art. 38 Abs. 3 Satz 2 folgende Regelung: „Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.“ Es ist umstritten, ob aus dem Verbot der Abberufung auch ein besonderer Kündigungsschutz für den Datenschutzbeauftragten abzuleiten ist oder gerade nicht.

  • Träfe die erste Interpretation zu, würde eine entsprechende nationale Regelung die DSGVO in unnötiger (und auch unzulässiger) Weise wiederholen.
  • Träfe dagegen die zweite Interpretation zu, stellt sich die Frage, ob der nationale Gesetzgeber einen besonderen Kündigungsschutz festlegen darf, den die DSGVO nicht vorsieht.

Die Angelegenheit wird noch komplizierter, wenn man die Frage stellt, ob der Kündigungsschutz des Datenschutzbeauftragten überhaupt zu den Themen gehört, die die DSGVO regeln kann, oder ob es sich dabei um eine rein arbeitsrechtliche Frage handelt, die überhaupt nicht zum Thema „Datenschutz“ gehört.

Ob ein Datenschutzbeauftragter einen besonderen Kündigungsschutz genießt oder nicht, wird bei dieser schwierigen Gemengelage abschließend erst der Europäische Gerichtshof klären können. Dabei kann es Jahre dauern, bis ein derartiger Fall zu ihm gelangt.

Ergänzende Bußgeldtatbestände

Einige wichtige Ergänzungen zur DSGVO enthält das BDSG-neu im Bereich der Sanktionen. Die DSGVO selbst sieht in Art. 83 Abs. 4 und Abs. 5 eine Reihe von Bußgeldtatbeständen vor. Zusätzlich gibt sie jedoch den Mitgliedstaaten den Auftrag, Sanktionen für Verstöße festzulegen, die in ihr selbst nicht geregelt sind (siehe Art. 84 Abs. 1 DSGVO). Das hat das BDSG-neu in § 43 für sehr spezielle Fälle getan, nämlich für Verstöße im Zusammenhang mit Verbraucherkrediten (§ 30 BDSG-neu).

Wichtige neue Strafvorschriften

Deutlich wichtiger sind die Strafvorschriften in § 42 BDSG-neu. Die Europäische Union hat normalerweise keine Befugnis, Strafvorschriften vorzusehen. Deshalb hält Erwägungsgrund 149 Satz 1 fest, dass es Sache der Mitgliedstaaten ist, strafrechtliche Sanktionen festzulegen.

Die Strafvorschriften in § 42 BDSG-neu können erhebliche praktische Bedeutung erlangen. Sie greifen beispielsweise dann ein, wenn es um Daten einer „großen Zahl von Personen“ geht,  die in gewerbsmäßiger Weise unzulässig an einen Dritten übermittelt werden. Dafür ist eine Freiheitsstrafe bis zu drei Jahren vorgesehen (siehe § 42 Abs. 1 BDSG-neu).

Was genau unter einer „großen Zahl von Personen“ zu verstehen ist, definiert das BDSG-neu nicht. Das werden Gerichte entscheiden.

Keine Bußgelder gegenüber Behörden und öffentlichen Stellen

Jeder Mitgliedstaat kann selbst festlegen, ob gegenüber Behörden und öffentlichen Stellen Bußgelder verhängt werden können (siehe Art. 83 Abs. 7 DSGVO). § 43 Abs. 3 BDSG-neu schließt diese Möglichkeit vom Grundsatz her aus. Dabei ist allerdings eine wichtige Ausnahme zu beachten, bei der auch gegen eine öffentliche Stelle eine Geldbuße verhängt werden kann. Sie betrifft sogenannte „Wettbewerbsunternehmen“.

Besonderheiten für Wettbewerbsunternehmen

Welche öffentlichen Stellen zu den Wettbewerbsunternehmen zählen, ist in § 2 Abs. 5 BDSG-neu geregelt. Für sie schließt § 43 Abs. 3 BDSG Bußgelder nicht aus. Er verweist nämlich für die Definition der öffentlichen Stellen lediglich auf die „gewöhnlichen“ öffentlichen Stellen, die in § 2 Abs. 1 BDSG-neu definiert sind.

Das hat große Bedeutung beispielsweise für Krankenhäuser. Sie sind in der Regel Unternehmen, die im Wettbewerb stehen. Damit sind gegen sie auch dann Bußgelder möglich, wenn sie von der Rechtsform her öffentliche Stellen sind.

Fazit: Neue Auslegungsfragen

Die Grundverordnung enthält manche Unklarheiten. Optimisten hatten gehofft, dass das BDSG-neu hier zumindest in manchen Punkten weiterhilft. Letztlich ist das Gegenteil eingetreten. Das BDSG-neu führt zu neuen Auslegungsfragen.

Bei Redaktionsschluss (15.05.2017) war das DSAnpUG-EU noch nicht im Bundesgesetzblatt veröffentlicht. Wer seinen genauen Inhalt feststellen will, muss deshalb einstweilen auf die entsprechenden Drucksachen von Bundestag und Bundesrat zurückgreifen. Das sind v.a.:

  • Bundestags-Drucksache 18/11325 vom 24. Februar 2017 (Gesetzentwurf der Bundesregierung)
  • Bundesrats-Drucksache 332/17 vom 28. April 2017 (Änderung des Bundestags am ursprünglichen Gesetzentwurf der Bundesregierung).

Beibehalten wurde die schwer verständliche Gliederungsstruktur des DSAnpUG-EU. Sie ist erläutert in Datenschutz PRAXIS 01/17, Seite 1.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern) und Mitherausgeber eines neuen Kommentars zur Grundverordnung.

 

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln