Anpassung des BDSG geplant

Das vollkommen neu gestaltete Bundesdatenschutzgesetz (BDSG) trat am 25.05.2018 gemeinsam mit dem Wirksamwerden der DSGVO in Kraft. Seitdem gab es einiges an Urteilen zur Auslegung der Regelungen sowie auch zur Konformität mit dem eurpoäischen Recht. Insbesondere urteilte der Europäische Gerichtshof (EuGH) bereits kurz nach Inkrafttreten des BDSG zu Widersprüchen des § 4 BDSG mit den Regelungen zu den Informationspflichten des Art. 13 DSGVO. Unseren damaligen Artikel finden Sie hier.

Nun, über fünf Jahre nach Inkrafttreten des BDSG, steht die erste große Anpassung an. Auf fragdenstaat.de lässt sich ein Referentenentwurf für ein Anpassungsgesetz abrufen, welches sich um die folgenden Themenbereiche kümmert:

  • Präzisierung des Anwendungsbereichs (Inlandsbezug), § 1 BDSG-RefE
  • Neuregelung der Ausnahmen für Videoüberwachung, § 4 BDSG-RefE
  • Konstitutionierung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK), § 16a BDSG-RefE
  • Neuregeleung der Zuständigkeit des BfDI, § 9 BDSG-RefE
  • Festlegung des BfDI als Vertreter der deutschen Datenschutzaufsichtsbehörden im EDSA, § 17 BDSG-RefE
  • Konkretisierung der Zusammenarbeit der deutschen Datenschutzaufsichtsbehörden im Verhältnis zum EDSA, § 18 BDSG-RefE
  • Regelungen zur federführenden Aufsichtsbehörde bei grenzüberschreitenden Verarbeitungen, § 19 BDSG-RefE
  • Ergänzung weiterer Ausnahmen des Auskunftsrechts, § 34 BDSG-RefE
  • Präzisierung der Einschränkung der Regelungen zur automatisierten Einzelfallentscheidung bei Versicherungsverträgen, § 37 BDSG-RefE
  • Präzisierung der Bestimmung einer zuständigen Datenschutzaufsichtsbehörde bei Verantwortlichen oder Auftragsverarbeitern ohne inländische Niederlassung, § 40 BDSG-RefE
  • Einführung von Regelungen zur zuständigen Aufsichtsbehörde bei gemeinsam Verantwortlichen, § 40a BDSG-RefE und § 27 Abs. 5 BDSG-RefE
  • Sowie die Korrektur einiger redaktioneller Fehler (u. a. Tippfehler), auf die wir hier nicht näher eingehen

Was soll geändert werden?

Die für Unternehmen (also nichtöffentliche Stellen) praxisrelevanten Änderungen möchten wir nachfolgend kurz erläutern. Wir gehen also nicht auf alle oben aufgelisteten Änderungen ein und ignorieren insbesondere diejenigen, die keine direkten Auswirkungen auf nichtöffentliche Stellen haben.

Präzisierung des Anwendungsbereichs, § 1 BDSG-RefE

Es wird klargestellt, dass das BDSG nur anwendbar ist, sofern die Datenverarbeitung einen – wie auch immer gearteten – Inlandsbezug hat. Abs. 4 Ziff. 3 BDSG-RefE stellt klar, dass eine mögliche Voraussetzung für die Anwendbarkeit ist,

a. betroffenen Personen im Inland Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist oder
b. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten im Inland erfolgt.

Die anderen Voraussetzungen (Ziff. 1 und 2) bleiben unverändert. Im nachfolgenden Satz (immer noch Abs. 4) wird dann noch eine Präzisierung bezüglich der Anwendbarkeit auf nichtöffentliche Stellen vorgenommen, die u. E. aber keine praxisrelevante Änderung für die Unternehmen nach sich zieht.

Neuregelung der Ausnahmen für Videoüberwachung, § 4 BDSG-RefE

Achtung, bitte nicht zu früh freuen. Ja, der § 4 BDSG wurde durch den EuGH gekippt. Die im RefE vorgenommenen Änderungen bewirken allerdings, dass dieser zukünftig nur noch für öffentliche Stellen gilt. Für alle Unternehmen und sonstigen nichtöffentlichen Stellen gilt also auch weiterhin: Es gelten die Informationspflichten der DSGVO, die diesbezüglichen Empfehlungen der Aufsichtsbehörden dürften auch weiterhin uneingeschränkt gelten.

Für die öffentlichen Stellen wurde insbesondere die Wahrung des Hausrechts als Verarbeitungszweck aufgenommen. Da dieser nicht zu den eigentlichen Aufgaben einer öffentlichen Stellen gehört, kann vermutlich die normalerweise für die Verarbeitung personenbezogener Daten herangezogene Rechtsgrundlage (Art. 6 Abs. 1 lit. e DSGVO) hier nicht weiterhelfen. Da das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO im Nachsatz zu Art. 6 Abs. 1 DSGVO eingeschränkt wird (“Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung”) will der Bundesgesetzgeber hier vermutlich vorsorgen und eine andere Ermächtigung für die öffentlichen Stellen schaffen. Wir meinen, dass die Formulierung des eben zitierten Nachsatzes das eigentlich hergeben würde (“[…] nicht […] in Erfüllung ihrer Aufgaben […]”). Aber so ist es deutlich klargestellt.

Konstituierung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK), § 16a BDSG-RefE

Eigentlich ist dies kein wirklich relevanter Punkt für die Unternehmen. Dennoch halten wir es für interessant und sind auch gespannt, welche Auswirkungen diese Regelung für die Zukunft bringt. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz Datenschutzkonferenz oder DSK, war bislang ein eher inoffizielles Gremium, in dem sich die deutschen Datenschutzaufsichtsbehörden abgestimmt haben. Nötig war dies aufgrund der föderalistischen Struktur der Bundesrepublik Deutschland, welche in 18 Aufsichtsbehörden resultiert: Je eine pro Bundesland, Bayern allerdings zwei (eine für öffentliche und eine für nichtöffentliche Stellen) sowie die*der Bundesbeauftragte (BfDI), macht insgesamt 18. In Richtung der EU müssen diese 18 Behörden aber mit einer gemeinsamen Stimme sprechen. Darüber hinaus ergibt es Sinn, auch innerhalb Deutschlands eine möglichst einheitliche Rechtsauffassung zu vertreten, um “Bundeslandhopping” von Unternehmen aufgrund unterschiedlich rigider Durchsetzungspraxis unterschiedlicher Aufsichtsbehörden zu verhindern.

Mit der Änderung des BDSG wird die DSK zum offiziellen Gremium. Allerdings regelt § 16a BDSG-RefE lediglich, dass es die DSK geben soll, allerdings nicht wie sie zu arbeiten hat. Hierzu erteilt die Regelung in Satz 2 lediglich den Auftrag, sich eine Geschäftsordnung zu geben. Wir sind gespannt.

Regelungen zur federführenden Aufsichtsbehörde bei grenzüberschreitenden Verarbeitungen, § 19 BDSG-RefE

Diese Regelung ist eher klarstellender als wirklich ändernder Natur. In der Vergangenheit traten offenbar Unsicherheiten bezüglich der Bestimmung der federführenden Aufsichtsbehörde bei grenzüberschreitenden Verarbeitungen auf. Hier wurden die Regelungen des Abs. 1 ergänzt um die Hinweise, wann sie gelten. Nämlich wenn bei einem Verantwortlichen oder Auftragsverarbeiter mit mehreren inländischen Niederlassungen der Sitz der Hauptniederlassung zweifelhaft ist oder wenn ein Verantwortlicher oder Auftragsverarbeiter keine inländische Niederlassung hat. Die Ergänzungen des Abs. 1 dürften das Verfahren vereinfachen und damit beschleunigen, ändern allerdings nicht wirklich etwas am Verfahren an sich.

Ergänzung weiterer Ausnahmen des Auskunftsrechts, § 34 BDSG-RefE

Zum einen wird in § 34 Abs. 1 Ziff 2 lit. a BDSG-RefE das Wort “satzungsmäßig[er]” durch “von in öffentlich-rechtlichen Satzungen vorgesehenen” ersetzt und damit klargestellt, dass es nicht möglich ist, beispielsweise durch eine Vereinssatzung das Auskunftsrecht des Art. 15 DSGVO einzuschränken.

Die wichtigere Änderung ist allerdings die Ergänzung des § 34 Abs. 1 Ziff. 2 lit. b Satz 2:

Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.

Eigentlich findet sich diese Regelung in ähnlicher Form bereits in § 29 Abs. 1 Satz 2 BDSG (aktuelle Fassung):

Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Allerdings ist die neue Formulierung zum einen eindeutiger formuliert und die alte Formulierung (die beibehalten wird) befindet sich in § 29 BDSG, welcher mit “Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten” überschrieben ist. Dies könnte gegebenenfalls zu unnötigen Diskussionen führen, da der Begriff “Geheimhaltungspflichten” gegebenenfalls von unterschiedlichen Parteien mit unterschiedlichen Interessen sehr unterschiedlich ausgelegt werden könnte. Wir begrüßen diese Ergänzung daher, denn sie schafft Klarheit.

Auch in § 34 Abs. 3 BDSG-RefE werden Ergänzungen vorgenommen, diese beziehen sich allerdings auf Bundesbehörden, daher gehen wir auf diese Regelung nicht weiter ein.

Präzisierung der Einschränkung der Regelungen zur automatisierten Einzelfallentscheidung bei Versicherungsverträgen, § 37 BDSG-RefE

Der § 37 BDSG regelt die Leistungserbringung nach einem Versicherungsvertrag. Hier wird in Abs. 1 in der Aufzählung der Ausnahmen die Ziffer 1 ersatzlos gestrichen und Ziffer 2 in den Satz integriert (die Aufzählung entfällt somit). Die ehemalige Ziffer 1 erlaubte automatisierte Einzelfallentscheidungen gemäß Art. 22 DSGVO in Fällen, in denen dem Begehren der betroffenen Personen (aufgrund einer automatisierten Entscheidung) stattgegeben wurde. Art. 22 Abs. 1 DSGVO verbietet allerdings lediglich Einzelfallentscheidungen, die der betroffenen Person gegenüber

rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Für das Verbot ist also eine erhebliche Beeinträchtigung notwendig, die bei einer zugunsten der betroffenen Person gefällten Entscheidung regelmäßig nicht anzunehmen ist. Neben dieser sprachlichen Präzisierung und inhaltlichen Vereinfachung handelt es sich bei der Regelung aber auch um die Verhinderung von unzulässigen Umkehrschlüssen: Da die beiden Bedingungen des § 37 Abs. 1 Ziff. 1 und 2 BDSG (aktuelle Fassung) mit “oder” verknüpft sind, ließe sich ableiten, dass bereits eine automatische Einzelfallentscheidung zugunsten der betroffenen Person unzulässig wäre. Es ändert sich also de facto an der Bedeutung der Regelung nichts, der Gesetzestext wird aber eindeutiger.

Präzisierung der Bestimmung einer zuständigen Datenschutzaufsichtsbehörde bei Verantwortlichen oder Auftragsverarbeitern ohne inländische Niederlassung, § 40 BDSG-RefE

Die Ergänzung, die an § 40 Abs. 2 BDSG-RefE vorgenommen wird, entspricht in etwa der, die wir bereits oben zu § 19 BDSG-RefE beschrieben haben: Das Verfahren zur Bestimmung einer zuständigen Aufsichtsbehörde wird auf Verantwortliche oder Auftragsverarbeiter ohne inländische Niederlassung ausgedehnt.

Einführung von Regelungen zur zuständigen Aufsichtsbehörde bei gemeinsam Verantwortlichen, § 40a BDSG-RefE und § 27 Abs. 5 BDSG-RefE

Diese Regelung wurde neu eingefügt, gut zu erkennen am “a” in der Nummerierung des Paragraphen. Hier wird den gemeinsam für Verarbeitungen Verantwortlichen die Möglichkeit gegeben, diese gemeinsame Verantwortlichkeit gegenüber mehreren für die jeweiligen Einzelunternehmen zuständigen Aufsichtsbehörden anzuzeigen und zu beantragen, eine Aufsichtsbehörde zu bestimmen, die dann für alle gemeinsam Verantwortlichen zuständig sein soll. Die Kriterien für die Auswahl der zuständigen Aufsichtsbehörde sind die Geschäftszahlen der Unternehmen. So soll diejenige Aufsichtsbehörde für die gemeinsam Verantwortlichen zuständig sein, die bereits für dasjenige Unternehmen zuständig ist, das in dem der Antragstellung vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Bereits bei der Antragstellung müssen entsprechende Nachweise gegenüber allen bislang zuständigen Aufsichtsbehörden erbracht werden. Ab dem Zeitpunkt der Antragstellung ist dann für alle Unternehmen gemeinsam nur noch eine Aufsichtsbehörde zuständig.

Diese Regelung halten wir für ausgesprochen sinnvoll, da es ansonsten bei mehreren beteiligten Aufsichtsbehörden zu unklaren Zuständigkeiten oder – noch schlimmer – unterschiedlichen Rechtsauffassungen bezüglich einzelner Details der Verarbeitungen kommen könnte. Hier wird sozusagen der One-Stop-Shop für gemeinsam Verantwortliche konstituiert.

Fazit

Die Anpassungen des BDSG halten wir insgesamt für gelungen und sinnvoll. Bedauerlich finden wir, dass das EuGH-Urteil zur Unzulässigkeit der Regelung des § 21 HDSIG (wir berichteten) nicht eingeflossen zu sein scheint. Wir hoffen, dass der Referentenentwurf noch diesbezüglich ergänzt und § 26 Abs. 1 Satz 1 BDSG analog der Aussage des EuGH-Urteils überarbeitet wird. Ansonsten würde eine mit hoher Wahrscheinlichkeit europarechtswidrige Regelung bei der Überarbeitung des BDSG unangetastet bleiben. Der Bundesgesetzgeber würde hier die Chance auf eine aus Gesetzgebungssicht ausgesprochen schnelle und kurzfristige Reaktion verstreichen lassen. Aber warten wir es ab, vielleicht werden wir diesbezüglich ja noch überrascht…

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.