BMI überarbeitet BDSG-E: Deut­scher Allein­gang beim Daten­schutz?

Ab dem Mai 2018 wirkt die neue EU-Datenschutz-Grundverordnung (DSGVO) in allen 28 Mitgliedsstaaten der EU, als EU-Verordnung wirkt sie unmittelbar. Die DSGVO muss also nicht erst in nationales Recht umgesetzt werden. Deutsche Regelungen zum Datenschutz werden ab diesem Zeitpunkt durch den Anwendungsvorrang der DSGVO weitgehend verdrängt.

Zulässig bleiben vor allem flankierende Regelungen, etwa zu den Zuständigkeiten der Bundes- und Landesdatenschutzbeauftragten. Zudem enthält die DSGVO eine Reihe von Öffnungsklauseln, die spezifische nationale Regelungen ermöglicht, etwa beim Beschäftigtendatenschutz. Das Bundesministerium des Inneren (BMI) hatte bereits im August einen Referentenentwurf für ein Ausführungsgesetz vorgelegt, das den Regelungsspielraum nutzen soll, den die DSGVO gibt. Das Gesetz soll "Datenschutz-Anpassungs- und Umsetzungsgesetz EU" (DSAnpUG-EU) heißen. Dieser Entwurf war Gegenstand teils massiver Kritik, etwa durch die Bundesdatenschutzbeauftragte und das Bundesministerium für Justiz und Verbraucherschutz (BMJV).

Mittlerweile hat das BMI einen überarbeiteten Referentenentwurf an Verbände und Interessenvertreter zur Stellungnahme übermittelt. Kernstück ist ein Entwurf für ein völlig neu gefasstes Bundesdatenschutzgesetz (BDSG-E). Das Kabinett soll über den Entwurf dann bereits im Januar 2017 beraten. Offenbar soll der neue deutsche Datenschutz noch kurz vor dem Wahlkampf  auf den Weg gebracht werden. Der folgende Überblick geht auf besonders relevante erste Eckdaten des BDSG-E ein.

Verwirrender Entwurf ohne klare Struktur

Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwierig zu verstehen. Außerdem verlangt Erwägungsgrund 8 der DSGVO: "Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen." Zum jetzigen Zeitpunkt ist zweifelhaft, ob der BDSG-E die Kohärenz wahrt. Noch unwahrscheinlicher ist es, dass das geplante deutsche Gesetz die nationalen Rechtsvorschriften verständlicher macht.

Das wird etwa anhand des geplanten § 24 BDSG-E sichtbar. Die Norm soll den künftigen Beschäftigtendatenschutz regeln und entspricht weitgehend dem bisherigen § 32 BDSG. Dabei stellt sich allerdings die Frage, ob diese Regelung den genannten Anforderungen aus der DSGVO entspricht, etwa in Bezug auf die dort geforderte Transparenz und Vorhersehbarkeit. Es ist zwar zu begrüßen, dass sowohl die DSGVO als auch der geplante deutsche Entwurf klarstellen, dass Betriebsvereinbarungen zum Datenschutz zulässig bleiben. Dies bietet Arbeitgebern und Betriebsräten eine praxisgerechte Möglichkeit, den Datenschutz im Betrieb präzise und konkret zu regeln.

Allerdings müssen auch bereits abgeschlossene Betriebsvereinbarungen auf die neuen Anforderungen der DSGVO angepasst werden. Hier kommt teilweise viel Arbeit auf Betriebsräte und Unternehmen zu. Denn erfahrungsgemäß nimmt es nicht selten einige Zeit in Anspruch, Betriebsvereinbarungen zu IT-Anwendungen, zum Datenschutz oder zu automatisierten Verhaltens- und Leistungskontrollen neu zu verhandeln.

Einschränkung von Informationspflichten nach der DSGVO

Das BDSG-E soll die Informationsrechte nach Art. 13. und 14 DSGVO einschränken. Die zwei Artikel verpflichten denjenigen, der Daten erhebt, den davon Betroffenen darüber zu unterrichten. Insbesondere die Unterrichtungspflichten nach Art. 13 DSGVO sollen nach dem BMI-Entwurf entfallen, sofern dies "einen unverhältnismäßigen Aufwand erfordern würde" oder "voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss".

Nach der Entwurfsbegründung soll diese Ausnahme auf Art. 23 DSGVO gestützt werden, der Beschränkungen der DSGVO-Rechte zu bestimmten Zwecken erlaubt. Juristisch erscheint diese Begründung schwer nachvollziehbar. Es dürfte daher ausgesprochen interessant werden, ob Fachliteratur und später ggf. einmal die Gerichte diese Beschränkung der Informationspflichten als europarechtskonform bewerten werden. Auch §§ 32 bis 35 BDSG-E schränken die Betroffenenrechte nach Art. 13 ff. DSGVO weiter ein.