Bundestag verabschiedet Bundesdatenschutzgesetz: Über­for­de­rung mit Ansage

Der Bundestag hat am 27. April ein neues Bundesdatenschutzgesetz (BDSG) verabschiedet, um die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) umzusetzen. Die nun verabschiedete Gesetzesfassung weist gegenüber früheren Entwürfen erhebliche Veränderungen auf.

Viele allgemeine Regelungen der DSGVO gelten mit dem BDSG weiter: Unverändert drohen den Unternehmen Risiken bei Verstößen gegen den Datenschutz, denn Behörden können Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes verhängen – je nachdem, welcher Betrag höher ist. Nur Verstöße ausschließlich gegen Regelungen des BDSG sind bei 50.000 Euro gedeckelt. Dies betrifft etwa unrichtige Angaben bei Verbraucherkrediten.

Zudem können Kunden, Arbeitnehmer oder andere Verbraucher Schadensersatzansprüche wegen Nichtvermögensschäden geltend machen. Das ist im deutschen Recht neu und führt zu erheblichen wirtschaftlichen Risiken für Unternehmen. Zudem haben Verbraucher und Verbände mit dem BDSG nun in Art. 80 DSGVO Verbandsklagerechte, die ihnen die Geltendmachung von Ansprüche erleichtern. Darüber hinaus liegt die Beweispflicht, dass sie die geltenden datenschutzrechtlichen Vorgaben umsetzen, künftig bei den Unternehmen.

Das neue BDSG enthält in vielen Bereichen Sonderregelungen zum Datenschutz. Sie betreffen etwa Videoüberwachung und Profiling. Einige Sonderregelungen legen nahe, dass der deutsche Gesetzgeber die hohen Anforderungen der DSGVO für Unternehmen möglichst senken möchte. Im Kern geht es dabei auch um die Unterrichtung von Personen, deren Daten verarbeitet werden sowie um deren Auskunftsrechte. Gegenüber früheren Entwürfen schränkt die nun verabschiedete Regelung Verbraucherrechte aber nicht mehr gravierend ein.

Rechtsprechung zum Arbeitnehmerdatenschutz umgesetzt

Die wichtigste Änderung bringt für die Praxis allerdings der neue Beschäftigtendatenschutz. Der neue § 26 BDSG ist deutlich umfangreicher und ausführlicher als die bisherige Regelung zum Datenschutz am Arbeitsplatz aus § 32 BDSG-AF. Inhaltlich findet man in der Neuregelung viele der von der Rechtsprechung zu seiner Vorgängervorschrift entwickelten Grundsätze wieder, etwa zur Erforderlichkeit einer Interessenabwägung zwischen den vom Arbeitgeber vorfolgten Zwecken und den Belangen des Beschäftigten oder zur Datenverarbeitung für Zwecke der Aufklärung von Straftaten.

Es gibt auch spezielle Regelungen zu Einwilligungen von Beschäftigten in die Speicherung oder sonstige Verarbeitung ihrer Daten, zur Datenverarbeitung durch Betriebsräte und zu den inhaltlichen Anforderungen an Betriebsvereinbarungen, die Datenverarbeitungen regeln oder voraussetzen, wie etwa Betriebsvereinbarungen zur IT-Nutzung, zum Datenschutz im Betrieb oder zu Leistungs- oder Verhaltenskontrollen.

Für Arbeitgeber und Betriebsräte wird sich die Aufgabe stellen, viele der bestehenden Betriebsvereinbarungen an das neue Recht anzupassen. Alternativ empfiehlt sich der Abschluss entsprechender Rahmenbetriebsvereinbarungen.

Dem Gesetz fehlt Struktur – und teilweise anwendbare Öffnungsklauseln

Das nun verabschiedete Gesetz ist sehr komplex – und leider fehlt ihm eine klare Struktur. Gerade das Zusammenspiel zwischen DSGVO und BDSG ist für Unternehmen schwer zu verstehen. Anstatt Unternehmen und Verbrauchern bei der Auslegung der DSGVO zu helfen, sorgt das neue BDSG eher für weitere Verwirrung. Das neue BDSG ist umfangreich, schwer verständlich geschrieben und arbeitet mit vielen Verweisungen – insgesamt ist es ein weiteres schlechtes Bespiel für die Formulierung in Juristendeutsch.

Zudem ist umstritten, ob tatsächlich alle Vorschriften des nun verabschiedeten BDSG von den Öffnungsklauseln der DSGVO gedeckt sind. Diese Diskussion betrifft vor allem die Regelungen zur Unterrichtung von Personen, deren Daten ein Unternehmen verarbeitet. Sollen diese nicht von der Öffnungsklausel erfasst sein, verstoßen sie gegen vorrangiges Europarecht – und sind im Ergebnis unwirksam, so dass sie keine Rechtswirkung entfalten. Dementsprechend haben Vertreter der EU-Kommission bereits Vertragsverletzungsverfahren angedroht.

Auch deutsche Datenschutzaufsichtsbehörden haben bereits angekündigt, dass sie solche Vorschriften des BDSG nicht anwenden werden, die sie für EU-rechtswidrig halten. Gerade die Einschränkung der Unterrichtung von Verbrauchern sehen die Behörden sehr kritisch.