01.03.2017 [Fachbeiträge aus dem IT-Bereich, EU-DSGVO]
Von: Dr. Oliver Hornung, Dr. Wulf Kamlah

Bundeskabinett beschließt Datenschutzanpassung an die EU-Datenschutzgrundverordnung

Vor kurzer Zeit hat das Bundeskabinett einen Gesetzesentwurf beschlossen, der die Lücken in der EU-Datenschutzgrundverordnung (DSGVO) schließen soll. Welche Inhalte in diesem Datenschutz-, Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-EU) verankert sind und was Unternehmen in diesem Kontext in der Praxis berücksichtigen sollten, haben unsere Fachautoren, Dr. Oliver Hornung und Dr. Wulf Kamlah, in einem Beitrag für Sie zusammengefasst.

Am 1. Februar 2017 hat das Bundeskabinett den Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 – Datenschutz- Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-EU) – beschlossen.

Hintergrund dieses etwas sperrig klingenden Gesetzgebungsvorhabens ist die Schließung der sich aus der EU-Datenschutzgrundverordnung (DSGVO) noch ergebenden Lücken. Die EU-Datenschutzgrundverordnung wird am 25. Mai 2018 die bislang noch geltende Datenschutzricht-linie 95/46/EG ablösen und aufgrund ihres Rechtscharakters unmittelbar geltendes Recht.

Nationales Regelungsbedürfnis bestand insbesondere für die Bundesrepublik Deutschland aufgrund ihrer föderalen Struktur. Es galt vor allem die Frage zu klären, wer Deutschland in dem Europäischen Datenschutzausschuss vertritt. Dies wird nach den §§ 17ff DSAnpUG-EU grundsätzlich der oder die Bundesbeauftragte für den Datenschutz sein – eine Lösung, die mit Blick auf die Rechte und Zuständigkeiten der Länder bis zuletzt nicht unumstritten blieb.

Für die Wirtschaft ist insbesondere Teil 2 des DSAnpUG-EU relevant. Ziel ist es dort, Umsetzungsspielräume zu nutzen, soweit dies die DSGVO zulässt. Eine solche sogn. Öffnungsklausel besteht insbesondere für weitere Regelungen zum betrieblichen Datenschutzbeauftragten. Dort sollte insbesondere der derzeit bestehende Schwellenwert für die Bestellpflicht – ab 10 Mitarbeiter – erhalten bleiben (§ 38 DSAnpUG-EU). Im Rahmen der Verhandlungen zur DSGVO hatte vor allem die deutsche Seite dafür plädiert, dass die bislang in Deutschland bestehenden Regelungen zum betrieblichen Datenschutzbeauftragten fortgeschrieben werden können.

Bedeutsame Konkretisierungen für die Wirtschaft

Darüber hinaus hat der deutsche Gesetzgeber weitere für die Wirtschaft bedeutsame Konkretisierungen vorgenommen. So darf nach § 24 DS-AnpUG-EU u.a. dann von dem Grundsatz des Verbots der zweckändernden Weiterverarbeitung abgewichen werden, wenn die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist.

Gestützt auf Art. 88 DSGVO enthält § 26 DSAnpUG-EU eine umfangreiche Regelung zum Beschäftigtendatenschutzgesetz. Mit dieser Vorschrift sollen zum einen die §§ 3 Abs.11 und 32 BDSG erhalten bleiben. Gleichzeitig enthält die Vorschrift aber auch die Klarstellung, dass Kollektivvereinbarungen Rechtsgrundlage für eine Datenverarbeitung sein können sowie Voraussetzungen für eine im Beschäftigungsverhältnis erteilte Einwilligung.

Einen relativ breiten Raum nehmen Vorschriften ein, die Einschränkungen der Rechte der betroffenen Person vorsehen. So wurde mit § 29 DSAnpUG-EU eine Vorschrift verankert, die die grundsätzlich gegenüber betroffenen Personen aber auch der Datenschutzaufsichtsbehörde bestehenden Transparenzpflichten mit etwa bestehenden Geheimhaltungspflichten des Verantwortlichen in Einklang bringen soll. Weitere Erleichterungen enthalten die §§ 32-37 DSAnpUG-EU. Solche Ausnahmen von den Betroffenenrechten können ausdrücklich auf Art. 23 DSGVO gestützt werden. Der nunmehr vorliegende Ausnahmekatalog bleibt aber zumindest im Bereich der Informations- und Auskunftspflichten hinter der bestehenden Rechtslage des § 33 Abs. 2 (i.V.m. § 34 Abs. 7) BDSG zurück, sodass hier entgegen dem teilweise vermittelten öffentlichen Eindruck die Transparenzpflichten und damit die Kosten für Unternehmen eher steigen als abnehmen.

Schließlich war im Kapitel „Sanktionen“ das deutsche Ordnungswidrigkeitenrecht auf die DSGVO zu erstecken. Gestützt auf Art. 84 Abs. 1 DSGVO wurden einige Verarbeitungsvorgänge national unter Strafe gestellt.

Gesetzesentwurf steht weiterhin in der Kritik

Der aktuelle Gesetzesentwurf des Bundeskabinetts wird weiterhin – zum Teil stark – kritisiert. Die deutschen Aufsichtsbehörden zum Datenschutz sehen zum Teil einzelne Regelungen im DSAnpUG-EU als europarechtswidrig an. Weiterhin wird von Branchenverbänden, wie dem Digitalverband BITKOM kritisiert, dass die Öffnungsklauseln in der DSGVO nicht dazu genutzt werden sollten, die Regelungen aufzublähen und damit die angestrebte und mögliche europaweite Harmonisierung der Datenschutzgesetzgebung zu konterkarieren.

Fazit

Die Umsetzung der EU-Datenschutzgrundverordnung im deutschen Recht gewinnt mit dem nun im Bundestag und Bundesrat eingereichten Anpassungs- und Umsetzungsgesetz an Konturen.

Aufgrund der zum Teil starken Kritik wird es im Gesetzgebungsverfahren sicherlich noch Änderungen geben. Unternehmen sind daher gut beraten, ihr Projekt zur Umsetzung der EU-Datenschutzgrundverordnung zunächst an der europäischen Verordnung auszurichten. Nationale Besonderheiten des deutschen Gesetzgebungsverfahrens sollten ggf. dann berücksichtigt werden, wenn das Anpassungs- und Umsetzungsgesetz verabschiedet wird.