header icetemplate

Neues Bundesdatenschutzgesetz (BDSG) im Bundestag verabschiedet

DSGVO, BDSG, Neues BDSG verabschiedetDer Deutsche Bundestag hat am 27. April 2017 ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet, das das bisherige BDSG vollständig ersetzt.

Das neue BDSG dient der Anpassung des Datenschutzrechts an die EU-Datenschutz-Grundverordnung (DSGVO - Verordnung (EU) 2016/679) und zur Umsetzung der EU-Datenschutzrichtlinie (EU) 2016/680 ("Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU"). Grundlage des Bundestagsbeschlusses war die Beschlussempfehlung des Innenausschusses des Deutschen Bundestages. Das neue BDSG bedarf noch der Zustimmung des Bundesrates, der sich voraussichtlich am 12. Mai 2017 damit befassen wird.

Bildquelle: yellow computer folder with key isolated 3d image sergey ilin fotolia com

Ziel des neuen BDSG ist die Umsetzung der Vorgaben der EU-Datenschutzgrundverordnung, die ab dem 25. Mai 2018 unmittelbar vorrangig geltende Rechtsgrundlage für die Verarbeitung personenbezogener Daten in Deutschland und Europa werden wird.

Das neue BDSG wird ergänzend eingreifen und Bereiche regeln, deren Regelung der europäische Gesetzgeber durch sogenannte Öffnungsklauseln dem nationalen Gesetzgeber überlassen hat.

Datenschutzrechtliche Regelungen in anderen Gesetzen, wie zum Beispiel des Sozialgesetzbuch wurden noch nicht angepasst.

Was ist neu ?

Das neue Bundesdatenschutzgesetz nutzt viele der von der EU-Datenschutzgrundverordnung gebotenen Öffnungsklauseln.

Insbesondere die folgenden Neuerungen sind praxisrelevant:

  • Ins Auge fällt vor allem der stark erhöhte Bußgeldrahmen, der nun - wie schon in der DSGVO vorgegeben - bis zu 20 Millionen € oder 4 % des globalen Umsatzes reicht. Der deutsche Gesetzgeber wertet Verstöße, die nur das deutsche BDSG und nicht die DSGVO betreffen auf 50.000,- € gedeckelt, warum auch immer. Es bleibt abzuwarten, wie die Aufsichtsbehörden die neuen Spielräume nutzen werden.
  • Im Bereich des Arbeitnehmerdatenschutzrechts enthält die EU-DSGVO keine nennenswerten Regelungen. Es war daher während des gesamten Gesetzgebungsverfahrens weitgehend klar, dass es erst einmal bei den bisherigen Arbeitnehmerdatenschutz-Regelungen bleiben würde. Neu ist allerdings die nunmehr im neuen BDSG verankerte Beweislastumkehr, wonach zukünftig der Arbeitgeber nachweisen können muss, dass er die geltenden datenschutzrechtlichen Vorgaben einhält. Für die Unternehmen bedeutet dies, dass die gesetzlich vorgeschriebenen Dokumentationspflichten der DSGVO eingehalten werden sollten, um im Rahmen arbeitsrechtlicher Auseinandersetzungen mit datenschutzrechtlichem Hintergrund nicht den Kürzeren zu ziehen. Der Beschäftigtendatenschutz ist zukünftig in § 26 BDSG geregelt. Auch der Betriebsrat muss sich im Rahmen seiner Tätigkeit zukünftig nach den Regelungen des BDSG und der DSGVO richten. Zudem ist nun klar gesetzlich geregelt, dass es möglich ist, die Einwilligung einzelner Mitarbeiter durch Betriebsvereinbarungen zu ersetzen. Das neue BDSG stellt hierfür in Art. 88 Abs. 2 DSGVO und § 26 BDSG neue Anforderungen auf und beseitigt damit die bislang geltende Unklarheit hinsichtlich der Möglichkeiten, individuelle datenschutzrechtliche Einwilligungen von Arbeitnehmerin durch eine Betriebsvereinbarung mit dem Betriebsrat zu ersetzen.
    Bislang war dies nicht eindeutig geregelt. Es wurde in der datenschutzrechtlichen Fachliteratur die Ansicht vertreten, dass eine Betriebsvereinbarung als „andere Rechtsvorschrift“ i.S.v. § 4 Abs. 1 BDSG a.F. anzusehen ist (vgl. Mengel, BB 2004, 1452, 1453). Als Voraussetzung wurde lediglich angesehen, dass nur rein dienstliche Telekommunikation innerhalb des Unternehmens betroffen ist bzw. zugelassen wurde.
    Andere Meinungen gingen davon aus, dass die Betriebsvereinbarung zwar eine Rechtsvorschrift i.S.v. § 4 Abs. 1 BDSG a.F. darstellt, jedoch die Freiwilligkeit des einzelnen Mitarbeiters nicht ohne weiteres ersetzt werden kann (vgl. Scholz/Sokol, Simitis, BDSG , § 4, Rn. 11, 17).
    Die Rechtsprechung, die sich mit der Frage der Ersetzbarkeit individueller datenschutzrechtlicher Einwilligungen durch Betriebsvereinbarungen beschäftigt, ist nicht gerade aktuell.
    Bei der Frage, ob eine Betriebsvereinbarung die Einwilligung des Einzelnen ersetzen kann, ist vor allem eine Entscheidung des BAG vom 27.05.1986 (NJW 1987, 674) heranzuziehen. Das BAG war seinerzeit der Ansicht, Betriebsvereinbarungen seien geeignet, den Datenschutz in Unternehmen einschränken; sie könnten individuelle Einwilligungen im Einzelfall ersetzen.
    Angesichts des Schutzauftrages des § 75 Absatz 2 BetrVG und der Schutzzweck des allgemeinen Persönlichkeitsrechts aus Art. 2 Absatz 1 GG musste der Betriebsrat bei jeder Einschränkung des Datenschutzniveaus in einem Unternehemen durch Abschluss einer Betriebsvereinbarung prüfe, ob die getroffenen, einschränkenden Regelungen "verhältnismäßig" waren (vgl. Stamer/Kuhnke in: Plath, BDSG/DSGVO, § 32 BDSG, Rn. 85, 86).
    Andernfalls droht - bei unverhältnismäßigen Eingriff - zumindest die (Teil-)Nichtigkeit der Betriebsvereinbarung in diesem Punkt gemäß §§ 134, 138 BGB.
    Unternehmen sollten bestehende Betriebsvereinbarungen anwaltlich daraufhin überprüfen lassen, ob diese an die neue Rechtslage angepasst werden müssen.
  • Betroffene, d.h. natürliche Personen können bei Datenschutzverstößen nun auch Schmerzensgeld geltend machen. Hierin liegt ein unkalkulierbares Risiko für "verantwortliche Stellen", die personenbezogene Daten verarbeiten. In diesem Zusammenhang ist auch zu bedenken, dass gem. dem Unterlassungsklagegesetz (UklaG) seit dem Jahr 2016 auch Abmahnvereine bei Datenschutzverstößen klagebefugt sind.

Das neue BDSG führt zunächst einmal zu erheblicher Rechtsunsicherheit in den Unternehmen. Die befürchtete Absenkung des Datenschutzniveaus konnte voraussichtlich verhindert werden. Chancen zum Bürokratieabbau gab es angesichts der strikten Vorgaben des EU-Datenschutzrechtes hinsichtlich der Zertifizierung und Dokumentation kaum.

Wenn Ihr Unternehmen personenbezogene Daten automatisiert verarbeitet (und welches Unternehmen tut dies im Jahr 2017 nicht?) sollten Sie spezialisierte datenschutzrechtliche Beratung in Anspruch nehmen, um im Mai 2018 und in der Folgezeit keinen datenschutzrechtlichen Schiffbruch zu erleiden.

Sollten Sie Fragen zu unseren Beratungsleistungen und den notwendigen nächsten Schritten haben, stehen wir Ihnen natürlich auch gerne per E-Mail oder Telefon kostenfrei und unverbindlich zur Verfügung.

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Über den Autor:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY Rechtsanwälte.

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2018 DURY Rechtsanwälte