Gesetzesentwurf zur DSGVO: Datenschutz-Anpassungs- und -Umsetzungsgesetz EU DSAnpUG-EU

Die Datenschutz-Grundverordnung trat am 24.05.2016 in Kraft und nach weniger als anderthalb Jahren wird sie schon unmittelbar in dem Recht der europäischen Mitgliedstaaten anwendbar sein. Der Hauptzweck der Verordnung liegt darin, die Datenschutzrechtssysteme in dem Europäischen Union zu vereinheitlichen und effektiver zu machen. Das Besondere an der Verordnung ist, dass sie mit den darin enthaltenen Öffnungsklauseln ein hybrider Gesetzestext ist, der zum Teil den Mitgliedstaaten explizit die Möglichkeit zur Variationen auf der Nationalebene bietet.

Nachdem der erste Entwurf für ein Allgemeinen Bundesdatenschutzgesetz (ABDSG) vom 05.09.016 nach massiver Kritik von dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV) zurückgezogen wurde, ist eine neue Fassung am 11.11.2016 von der Deutschen Vereinigung für Datenschutz e.V. (DVD) geleakt worden. Die in dem Gesetzesentwurf enthaltene Vorschläge sollen, wenn genehmigt, in einem neuen Bundesdatenschutzgesetz integriert werden, das die Vorschriften der Datenschutz-Grundverordnung beachtet und die einzelnen nationalspezifischen Regelungen enthalten
soll.

Es folgen einige der wichtigsten Aspekten des Gesetzesentwurfs.

Anwendungsbereich gem. § 1:

Das Gesetz dient dazu, die Fälle der Datenschutzverarbeitung zu regeln, die nicht unter der Kompetenz des Europäischen Union fallen, wie z.B. die nationale Sicherheit. Gemäß § 1 Abs. 2 wird der neue Gesetzesentwurf dann für diese Datenverarbeitungen allgemeine Regelungen anbieten, außer wenn bereichsspezifische Gesetze dieses Thema schon regeln. Abs. 3 entspricht den bisherigen Text des § 1 Abs. 4 BDSG.

In Abs. 4 wird klar gemacht, dass die Vorschriften dieses Gesetzes nur dann anwendbar sind, wenn die personenbezogene Daten von einer in Deutschland ansässigen Niederlassung verarbeitet werden. Weiterhin erinnert Abs. 5 daran, dass gemäß Art. 288 Abs. 2 AEUV die Datenschutz-Grundverordnung eine unmittelbare Geltung im Nationalrecht hat. Diese Bemerkung verweist auf das komplexe System von europäischen und nationalen Rechtsakten, die zusammen den Schutz personenbezogener Daten regeln.

Begriffsbestimmungen gem. § 2

§ 2 des Entwurfs enthält die Begriffsbestimmungen. Die Definitionen der öffentlichen und nicht-öffentlichen Stellen, die unter dem Anwendungsbereich dieses Gesetzes fallen, stimmen mit dem Text des BDSG überein. Was in diesem Paragraph geändert wurde, sind die neu hinzugefügte Definitionen von Begriffen, die aus der Richtlinie (EU) 2016/680 und der Datenschutz-Grundverordnung herausgenommen wurden. Hier kann der Gesetzgeber mit Kritik konfrontiert werden.

Es ist nach der Rechtsprechung der EuGH (EuGH, 07.02.1973 – 39/72; EuGH, 28.03.1985 – 272/83) verboten, die Inhalte einer Verordnung im nationalen Recht zu wiederholen, außer wenn es notwendig ist. Infolgedessen kann diese Vorschrift des Gesetzesentwurfs Probleme auslösen, wenn bestritten wird, dass es nicht zu den Ausnahmefällen zählt. Das Recht zur Wiederholung von Teilen einer Verordnung in den Gesetzen eines Mitgliedstaates wird von dem EuGH in der Entscheidung EuGH, 28.03.1985 – 272/83 eingeräumt:

„Ist jedoch in einem Mitgliedstaat für die Durchführung einer Gemeinschaftsregelung … erforderlich , kann es nicht als ein Verstoß gegen das Gemeinschaftsrecht angesehen werden, dass Regionalgesetze im Interesse ihres inneren Zusammenhangs und ihrer Verständlichkeit für die Adressaten bestimmte Punkte der Gemeinschaftsverordnungen wiederholen.”

Dieser gedanklichen Linie folgt auch die DSGVO, in deren Erwägungsgrund 8 darauf hingewiesen wird, dass Mitgliedstaaten das Recht haben, Teile der Verordnung in ihr nationales Recht aufzunehmen, wenn Einschränkungen oder Präzisierungen ihrer Vorschriften erforderlich sind.

Verarbeitung personenbezogener Daten durch öffentlichen Stellen gem. § 3

§ 3 des Vorschlags regelt die Verarbeitung personenbezogener Daten durch öffentlichen Stellen. Diese Regelung bezieht sich auf die Situationen, für die es keine Rechtsgrundlage in der Datenschutz-Grundverordnung gibt, nämlich Art. 6 Abs. 1 lit. c), e), die mit einer rechtlichen Verpflichtung des Verantwortlichen und mit der Wahrnehmung einer Aufgabe in der öffentlichen Interesse verbunden sind. Nach der Verordnung ist es die Aufgabe von dem Unionsrecht oder der Mitgliedstaaten, die Rechtsgrundlage für diese Situationen zu entscheiden, wobei der deutsche Gesetzgeber diese Pflicht mit § 3 erfüllt.

Videoüberwachung gem. § 4

Wie im BDSG ist die Videoüberwachung auch Teil des Gesetzesentwurfs. Die Rechte der öffentlichen und nicht-öffentlichen Stellen, durch Videoüberwachung erhobene personenbezogene Daten zu verarbeiten, ist ausführlicher festgesetzt. Besonders bei nicht-öffentlichen Stellen ist sie nur zu Zwecken des Schutzes von Leben, Gesundheit oder Freiheit von Personen oder wenn es „zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist” erlaubt. Im Vergleich zum BDSG entfällt der Absatz, der die Speicherdauer der Daten auf die Erfüllung des bestimmten Zweckes beschränkt. Gemäß Erwägungsgrund 39 der DSGVO ist die Speicherfrist für personenbezogene Daten auf „das unbedingt erforderliche Mindestmaß“ beschränkt.  Art. 23 Abs. 1 DSGVO ermächtigt die Mitgliedstaaten, die Rechte von Verantwortlichen zu begrenzen, wenn es zur Sicherstellung der darin aufgelisteten Interessen dient. Und im Fall von einer solche Beschränkung ist es dann erforderlich, auch die Speicherfristen genau zu regeln – dieser Pflicht ist der Gesetzesentwurf noch nicht nachgekommen.

Datenschutzbeauftragter gem. §§ 5-7: Benennung, Stellung, Aufgaben

Die Benennung, Stellung und Aufgaben von Datenschutzbeauftragten in öffentlichen Stellen wird in den §§ 5 bis 7 des Entwurfs geregelt. Diese Paragraphen setzen Art. 32 bis 34 der Richtlinie 2016/680 um, wobei auch die damit verbundenen Teilen der Art. 37 bis 39 der Verordnung aufgegriffen sind.

Datenverarbeitung im Beschäftigungskontext gem. § 24

Die Datenschutz-Grundverordnung mit dem Öffnungsklausel in Art. 88 bietet Mitgliedstaaten die Möglichkeit, im Bereich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext den Schutz der Rechte und Freiheiten von dem Einzelnen zu gewährleisten. Dieses Recht wurde auch in dem Entwurf genutzt. Hinsichtlich der Datenverarbeitung im Beschäftigungskontext enthält der Gesetzesentwurf Vorschriften, die weitgehend dem Inhalt des § 32 BDSG entspricht. Weiterhin sieht Abs. 1 vor, dass auch Kollektivvereinbarungen von dieser Vorschrift umfasst werden. Darüber hinaus enthält § 24 Abs. 3 eine Definition von dem Begriff „Beschäftige“, die dem bisherigen Text des BDSG entnommen wurde.

Die Frage entsteht dann, ob der deutsche Gesetzgeber die Pflichten im Art. 88 DSGVO zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person damit erfüllt hat. Abs. 1 sieht vor, dass die Verarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses nötig ist, und wenn ein begründeter Verdacht über eine Straftat vorhanden ist. Die Bedingungen, dass ein existierender dokumentierter Verweis auf die Straftat verlangt wird und dass bei der Abwägung auch die Interessen des Beschäftigten einbezogen werden müssen, verweisen auf eine rechtmäßige Erfüllung der Anforderungen in der Öffnungsklausel.

Es sind weitere spezielle Verarbeitungszwecken in den folgenden Paragraphen enthalten: Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken (§ 25), Geheimhaltungspflicht unterliegende Daten (§ 26), Übermittlung an Auskunfteien (§ 27), Scoring (§ 28) und Verbraucherkredite (§ 29).

Informationspflichten bei der Erhebung von personenbezogenen Daten beim Betroffenen gem. § 30 und wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden gem. § 31

Der neue Gesetzes-Entwurf versucht die Informationspflichten nach Art. 13 und 14 der DSGVO einzuschränken. § 30 Abs.1 enthält die Bedingungen, bei denen die Informationspflicht bei einem neuen Zweck der Verarbeitung entfallen soll. Zusätzlich zu den zwei Gründen, die im Erwägungsgrund 62 der Verordnung enthalten sind, wird auch ein dritter Grund eingeführt, bei der die Erteilung der Information die „Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss“. § 31 wiederholt und erweitert die in Art. 14 Abs. 5 DSGVO enthaltene Ausnahmen für den Fall, dass Daten von Dritten erhoben werden.

Art. 23 DSGVO gewährt Mitgliedstaaten das Recht, die Pflichten der Verantwortlichen zu beschränken, aber nur wenn eine der dabei aufgelisteten Zwecke dafür erfüllt sind. Der in § 30 Abs. 1 formulierte weitere Ausnahmefall schränkt die Pflichten der Verantwortlichen weiter ein und wird vielleicht unter dem Datenschutzniveau, das die Verordnung verschreibt, fallen. Es bleibt abzuwarten, ob dieser Vorschlag gegen das Prinzip verstößt, dass Nationalgesetze striktere, aber nicht schwächere Regelungen im Vergleich zu einer Verordnung schaffen dürfen.

§§ 32 bis 35 des Entwurfs beschreiben die Einschränkungen der Rechten der betroffenen Personen, nämlich des Auskunftsrechts, des Rechts auf Löschung, des Widerspruchsrechts, des Rechts bezüglich automatisierter Einzelentscheidungen im Einzelfall (Profiling).

Pflichten der Verantwortlichen und Auftragsverarbeiter gem. §§ 36-38

Aus praktischen Gründen will der neue Gesetzesentwurf die in Art. 37 Abs. 1 lit. b) und c) enthaltenen Fällen konkretisieren, bei denen ein Datenschutzbeauftragter verlangt wird. § 36 schreibt vor, dass der Datenschutzbeauftragte in diesen Situationen nur bei der Anwesenheit von mindestens zehn Personen, die sich ständig mit der Verarbeitung personenbezogener Daten beschäftigen, zwingend ist. Diese Vorschrift ist von § 4f Abs. 1 Satz 4 BDSG übernommen worden. Der Zweck dieser Einschränkung ist es zu vermeiden, dass kleinere nicht-öffentlichen Stellen mit der Aufnahme von einem Datenschutzbeauftragten unverhältnismäßig belastet werden. Zusätzlich verlangt § 36 entsprechend § 4f Abs. 1 Satz 6 BDSG, dass ein Datenschutzbeauftragter auch bei den folgenden Fällen einzusetzen ist: bei einer Datenschutz-Folgenabschätzung, bei der Verarbeitung zum Zwecke der Übermittlung, der anonymisierten Übermittlung  oder der Markt- und Meinungsforschung. Die klare gesetzlichen Hinweise würden es den Unternehmen erlauben, schneller die Anforderungen der DSGVO und der deutschen Datenschutzgesetze zu erfüllen.

Sanktionen gem. §§ 39-42

Die Sanktionen sind in §§ 39-42 des Gesetzesentwurfs geregelt. Gemäß § 40 soll eine Obergrenze von 300.000 Euro bei den Geldbußen dann bestehen, wenn jemand „in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter“ einen Verstoß gegen Art. 83 Abs. 4, 5, 6 DSGVO begeht. Die Frage entsteht, ob diese Geldbuße auch die Bedingungen der DSGVO über Wirksamkeit und Abschreckung entsprechen soll. Und wenn ja, ist diese Sanktion verhältnismäßig genug, um diese Erfordernisse zu erfüllen? Weiterhin gibt Abs. 2 die Vorschriften der § 43 Abs.1 Nr. 7a BDSG wieder, die die Sanktionen bei fahrlässigem oder vorsätzlichem Handeln bei ein Auskunftsverlangen regeln.

Die Unklarheit über die Geldbußen gegen Behörden und öffentlichen Stellen, die die Datenschutz-Grundverordnung mit seiner Öffnungsklausel in Art 83 Abs. 7 verursacht hat, ist mit §40 Abs. 3 beseitigt. Der deutsche Gesetzgeber will die Geldbußen für die obengenannten Einheiten entfernen, solange die öffentlichen Stellen nicht eine Tätigkeit ausüben, hinsichtlich der sie im Wettbewerb mit anderen Verarbeitern stehen. Letztendlich enthält diese Vorschrift ein Verbot der Selbstbezichtigung, unter der die Informationen aus einer Meldung nicht gegen den Meldepflichtigen benutzt werden dürfen, ohne seine Einwilligung vorher zu bekommen.

§ 41 des Entwurfs regelt die Straftaten und entspricht den bisherigen § 44 BDSG. Der Gesetzesgeber macht Gebrauch von der in Art. 84 DSGVO enthaltenen Öffnungsklausel, die es den Mitgliedstaaten genehmigt, zusätzliche strafrechtliche Sanktionen festzulegen. Für die Fälle, in denen die in Art. 83 enthaltenen Verstöße vorsätzlich gegen Entgelt oder mit Absicht zur Bereicherung begangen werden, wird eine Freiheitsstrafe bis zu zwei Jahren oder eine Geldstrafe vorgeschrieben. Der Verstoß gegen die Vorschriften in Art. 83 Abs. 4 dagegen droht nicht mit einer solchen Freiheitsstrafe.

Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 Richtlinie (EU) 2016/680 – §§ 43-72

Der dritte Teil des Gesetzesentwurfs ist der Umsetzung der Richtlinie gewidmet, die die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung regelt. Darin sind weitere Rechte der betroffenen Personen enthalten. Damit die Verarbeitung unter dem Anwendungsbereich dieses Teils fällt, ist es nötig, dass die Verarbeitung nicht nur für die erwähnten Zwecken erfüllt wird, sondern auch dass eine Zuständigkeit dazu vorliegt. §§ 57 bis 72 führen dann weitere Pflichten der Verantwortlichen und Auftragsverarbeiter, wie z.B. bei Auftragsverarbeitung, bei Erfüllung von Sicherheitsanforderungen, bei der Meldung von Datensicherheitsvorfällen, usw. auf. Diese Vorschriften enthalten wesentliche Abweichungen von den Regelungen der DSGVO und das weckt wiederum die Frage, ob dies rechtlich zulässig ist.

Der Entwurf versucht wesentlich die Pflichten von Unternehmen einzuschränken und die Drohung von Bußgelder für Behörden und öffentlichen Stellen für die meisten Situationen zu entfernen. Trotzdem gibt es wie bei der DSGVO  viele Unklarheiten, die die Anwendung dieses Gesetzes wesentlich erschwert werden wird. Zum jetzigen Zeitpunkt ist unklar, in welche Richtung sich das ausschlagen wird – entweder wird es vom Bundestag mit einer Mehrheit akzeptiert werden oder es wird neue Kritiken verursachen. Unternehmen sollten sich sich auf die Datenschutz-Grundverordnung konzentrieren und langsam die strukturelle und organisatorische Maßnahmen zur Einhaltung der Verordnung zu ergreifen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen