DER BETRIEB
Das neue Bundesdatenschutzgesetz kommt – was gilt es zu beachten?

Das neue Bundesdatenschutzgesetz kommt – was gilt es zu beachten?

RA Dr. Christian Schröder

RA Dr. Christian Schröder
hbfm_db_2017_21_m5_a_1239043_a001.png

Das aktuelle Bundesdatenschutzgesetz (BDSG a.F.) hat ausgedient. Auf Grundlage der EU-Richtlinie 2016/680 zur Nutzung von Daten durch Polizei- und Strafverfolgungsbehörden und der EU-Datenschutz-Grundverordnung (DSGVO) haben Bundestag und Bundesrat im Eilverfahren das Datenschutz-Anpassungs- und Umsetzungsgesetz und damit einhergehend ein neues Bundesdatenschutzgesetz (BDSG n.F.) beschlossen. Der Gesetzgeber nutzt mit dem Gesetz die Öffnungsklauseln der DSGVO, die es den Mitgliedstaaten erlauben, spezifischere Regelungen zu treffen. Allerdings sind einige Stimmen der Auffassung, dass der deutsche Gesetzgeber seinen Gestaltungsspielraum überschreitet, und stellen die Europarechtskonformität des BDSG n.F. in Frage. Die Kommission droht bereits ein Vertragsverletzungsverfahren an.

Für Unternehmen bringt das Gesetz im Vergleich zum bisherigen BDSG nur wenige erhebliche Neuerungen. Der Gesetzgeber wollte vielmehr sicherstellen, dass die DSGVO nicht allzu sehr von dem bisherigen deutschen Datenschutzrecht abweicht.

Arbeitnehmerdatenschutzrecht

Obwohl das Arbeitnehmerdatenschutzrecht im alten BDSG überwiegend kritisiert wurde, folgt der neue den Arbeitnehmerdatenschutz regelnde § 26 BDSG n.F. weitgehend dem alten § 32 BDSG und lässt damit weiterhin Fragen wie die zur Zulässigkeit von Compliance-Untersuchungen oder Datenübermittlungen im Konzern offen. Immerhin bietet Erwägungsgrund 48 DSGVO insofern eine gewisse Erleichterung, als für Datenübermittlungen im Konzern ausdrücklich ein legitimes Interesse anerkannt wird. Konzerndatenübermittlungen dürften daher zukünftig leichter zu rechtfertigen sein.

Nicht überraschend hält § 26 Abs. 4 BDSG n.F. fest, dass Kollektivvereinbarungen auch weiterhin die Vorgaben für die Verarbeitung von Beschäftigtendaten regeln dürfen; allerdings macht Abs. 4 Satz 2 eben auch deutlich, dass sich die Betriebsparteien dabei an die Vorgaben des DSGVO zu halten haben. Die Betriebsparteien sollten daher zeitnah ihre bisherigen Betriebsvereinbarungen auf Vereinbarkeit mit Art. 88 Abs. 2 DSGVO prüfen. Sollten Betriebsräte bisher auf zu engen Vorgaben für konzerninterne Datenübermittlungen bestanden haben, dürfte jetzt ein guter Zeitpunkt für Neuverhandlungen gegeben sein.

Positiv ist festzuhalten, dass sich der Gesetzgeber nun endlich zu einem klaren Bekenntnis zur Zulässigkeit von Einwilligungen im Arbeitsverhältnis durchgerungen hat. Nach § 26 Abs. 2 BDSG n.F. sollen Einwilligungen in die Verarbeitung von Beschäftigtendaten zulässig sein, dabei werden wie bereits zuvor an die Freiwilligkeit solcher Einwilligungen hohe Anforderungen gestellt. Nach § 26 Abs. 2 Satz 2 kann eine Einwilligung insb. dann als freiwillig erteilt angenommen werden, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen haben; auch muss über das Widerrufsrecht nach Art. 7 Abs. 3 DSGVO in Textform aufgeklärt werden. Unternehmen sollten daher ihre bisherigen Einwilligungen prüfen und ggf. anpassen.

Betriebliche Datenschutzbeauftragte

Ebenfalls nicht überraschend führt der Gesetzgeber über die Anforderungen der DSGVO hinausgehend erneut die Pflicht ein, dass selbst kleine Unternehmen (10 Mitarbeiter mit ständiger Verarbeitung personenbezogener Daten) betriebliche Datenschutzbeauftragte zu bestellen haben.

Betroffenenrechte und Inhalt von Datenschutzerklärungen

Der viel kritisierte Vorschlag der Bundesregierung für §§ 32 Abs. 1, 33 Abs. 1 BDSG n.F. (Informationspflichten) wurde konkretisiert. Wenngleich viele im ersten Entwurf vorgesehene Erleichterungen für Unternehmen wieder gestrichen wurden, haben Unternehmen nun wenigstens Gewissheit, wie Informationspflichten z.B. in Form von Datenschutzerklärungen ausgestaltet werden sollen. Gleichwohl empfiehlt es sich weiterhin, die Überarbeitung von Datenschutzerklärungen noch etwas zurückzustellen, um diesbezügliche Hinweise von Aufsichtsbehörden beachten zu können. Spannend wird beispielsweise sein, wie breit die Ausnahme von der Informationspflicht bei Erhebung von Daten zur Geltendmachung oder Verteidigung eigener Ansprüche ausgelegt wird.

Weitere Sonderregelungen

Das BDSG n.F. enthält darüber hinaus weitere Sonderregelungen, u.a. zu Videoüberwachung, Verbraucherkrediten, Profiling oder Scoring. Die Datenverarbeitung zum Zweck der wissenschaftlichen Forschung wird im Vergleich zur DSGVO erleichtert und kann auch besondere personenbezogene Daten erfassen.

Was ist zu tun?

Unternehmen sollten das Verfahren zum Erlass des BDSG weiter aufmerksam beobachten. Die rechtzeitige Anpassung an das BDSG n.F. ist unbedingt notwendig und sollte mit einem Blick in die DSGVO verbunden werden.

Immerhin ist der Bußgeldrahmen stark erhöht und auch die Strafvorschriften sind erweitert. Die mit einer Verletzung von Datenschutzvorschriften verbundenen Risiken sind daher im Vergleich zur jetzigen Rechtslage deutlich erhöht.