Mit dem überarbeiteten Bundesdatenschutzgesetz (BDSG) folgt die Gesetzgebung der Bundesrepublik den Vorgaben der Datenschutzgrundverordnung der Europäischen Union. Mit dem Gesetz werden mehrere neue Vorschriften zum Datenschutz im Beschäftigungsverhältnis und Öffnungsklauseln gültig. Zum Beispiel müssen Betriebe jetzt je nach Branche einen Datenschutzbeauftragten ernennen.
Warum wurde ein neues Bundesdatenschutzgesetz nötig?
Die europäische Kommission erarbeitete zwischen 2016 und 2018 eine neue Datenschutzgrundverordnung (DSGVO), mit der Absicht, den sich wandelnden Anforderungen an den Datenschutz gerecht zu werden, die sich aus der zunehmenden Digitalisierung der Arbeitswelt und des Privatlebens ergeben.
Da die europäische DSGVO zahlreiche Öffnungsklauseln enthält, um den Regierungen der EU-Mitgliedsstaaten Spielräume bei der Ausgestaltung des DSGVO zu lassen, sind in den Mitgliedsstaaten der EU nationale Gesetze nötig. Mit dem Bundesdatenschutzgesetz (BDSG) trat am 25. Mai 2018 dementsprechend das neue, deutschen Datenschutzgesetz in Kraft.
Wie verhalten sich DSGVO und BDSG zueinander?
Zunächst sind alle Vorschriften des europäischen Datenschutzrechts unmittelbar gültig. Da europäisches Recht immer einen Anwendungsvorrang vor nationalem Recht genießt, regelt das deutschen Datenschutzgesetz nur jene Sachverhalte, die die DSGVO nicht regelt, sondern deren Regelung mit einer Öffnungsklausel den Einzelstaaten vorbehalten bleibt.
In §1 Absatz 5 stellt das BDSG ausdrücklich fest, dass „die Vorschriften dieses Gesetzes (..) keine Anwendung (finden), soweit das Recht der Europäischen Union (…), unmittelbar gilt.“
Durch diesen Satz vermeidet der Gesetzgeber, dass es in Zukunft Konflikte geben könnte, welches Gesetz anzuwenden ist. Ein wichtiger Aspekt, den das BDSG regelt, sind die Strafvorschriften. Während auf europäischer Ebene lediglich Busgeldvorschriften existieren können, regelt der §42 die Strafmaßnahmen. So kann zum Beispiel jeder, der sich personenbezogene Daten unrechtmäßig erwirbt oder verarbeitet mit einer Freiheitsstrafe bis zu zwei Jahren bestraft werden.
Welche neuen Regelungen enthält das BDSG?
Da sich die beiden neuen Gesetze der Europäischen Union und der Bundesrepublik sich gegenseitig ergänzen, konzentrieren wir uns hier auf das deutsche Bundesdatenschutzgesetz. Besonders interessant für Sie sind die Regelungen, die neu für Unternehmen eingeführt sind um die Daten von Arbeitnehmern und Kunden zu schützen.
Der Datenschutzbeauftragte
Der Datenschutzbeauftragte (DSB) kann sowohl intern, als auch extern bestellt werden. Bei einer internen Bestellung muss diese schriftlich erfolgen und der entsprechende Mitarbeiter die entsprechende Qualifikation vorweisen – diese kann der DSB in einer Fortbildung beispielsweise beim TÜV erwerben. Ist eine interne Benennung nicht möglich, können Sie die Dienstleistung eines externen Datenschutzbeauftragten einkaufen.
In Artikel 37 regelt die europäische Verordnung die Bestellung eines Datenschutzbeauftragten in Unternehmen. Ob ein Datenschutzbeauftragter ernannt werden muss, ist abhängig von der Tätigkeit des Unternehmens und seiner Mitarbeiter. Tatsächlich gibt es nur wenige Formen der Datenverarbeitung, die eine Benennung eines Datenschutzbeauftragten im Sinne der DSGVO nötig machen.
Wann müssen Sie einen Datenschutzbeauftragten bestellen?
Die hauptsächlich verarbeiteten Daten des Unternehmens müssen entweder personenbezogene Daten sein, die einer hohen Schutzwürdigkeit unterliegen oder durch ihre besondere Art eine Überwachung erforderlich machen.
Nur in Fällen, in denen Informationen verarbeitet werden, die sehr weit in die Privatsphäre der Betroffenen hineinreichen, muss ein Datenschutzbeauftragter mit einbezogen werden.
Das BDSG konkretisiert diese Bestimmungen. Damit ein DSB nötig wird, müssen mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sein. Wenn durch die Art der Daten oder der Arbeit des Unternehmens eine Datenschutz-Folgenabschätzung nötig ist, muss ebenfalls ein DSB ernannt werden.
Eine Datenschutz-Folgenabschätzung geht der Frage nach, ob etwa durch die Verwendung neuer Technologien oder dem Umfang der verarbeiteten Daten ein hohes Risiko für die Rechte und Freiheiten von Personen zu erwarten sind.
Außerdem muss ein DSB mit einbezogen werden, wenn das Unternehmen geschäftsmäßig personenbezogene Daten verwendet, um diese für Markt- oder Meinungsforschung zu nutzen.
Die bisherige Vorschrift, dass ein Unternehmen einen DSB ernennen muss, sobald es mehr als 20 Mitarbeiter beschäftigt entfällt nun. Die Regelung ist tatsächlich heute realitätsfremd, da sie sich auf eine nicht-automatisierte Datenverarbeitung bezog, die es so heute de facto nicht mehr gibt. Jede Datenverarbeitung mittels eines Computers gilt als automatisierte Datenverarbeitung, daher gehen wir davon aus, dass diese heute der Regelfall ist.
In unserer Fortsetzung können Sie lesen, welche Folgen das BDSG für Arbeitgeber- und Nehmer sowie Verbraucher und Privatpersonen hat.