Dr. Christian Hamann: Das neue Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) – Unsicherheit über die genauen Spielregeln bleibt bestehen
Am 27.4.2017 hat der Bundestag das sogenannte „Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Kernstück des Artikelgesetzes ist ein vollständig neu gefasstes Bundesdatenschutzgesetz (BDSG). Tritt das Gesetz wie vorgesehen in Kraft, ist Deutschland der erste EU-Mitgliedstaat, der sein nationales Datenschutzrecht (oder zumindest weite Teile davon) an die neue Datenschutz-Grundverordnung (DS-GVO) anpasst, die ab dem 25.5.2018 gilt. Nötig geworden ist das, weil die an sich unmittelbar wirkende DS-GVO zahlreiche sogenannte „Öffnungsklauseln“ enthält, die ein Tätigwerden der nationalen Gesetzgeber erlauben oder sogar erfordern. Das jetzt beschlossene deutsche Regelwerk bestätigt Befürchtungen, die vielen Öffnungsklauseln könnten das Ziel einer Harmonisierung und Vereinfachung des europäischen Datenschutzrechts konterkarieren. In seinem Bemühen, die ihm eröffneten Regelungsspielräume maximal auszunutzen und dabei so viel vom bisherigen deutschen Datenschutzrecht zu „retten“ wie möglich, hat der deutsche Gesetzgeber ein an Komplexität kaum zu überbietendes Regelwerk geschaffen, das mit seinen 85 Paragrafen einen beinahe doppelt so großen Umfang aufweist wie das geltende BDSG. Sollten andere EU-Länder diesem Beispiel folgen, dürfte das Datenschutzrecht innerhalb der EU ab Mai 2018 noch mehr fragmentiert sein als zuvor.
Vor allem von Seiten der Datenschutzbehörden war der Gesetzentwurf der Bundesregierung in den vergangenen Monaten scharf kritisiert worden. Die Ausweitung der Befugnisse öffentlicher Stellen zur Datenverarbeitung und die im Interesse von Behörden und Unternehmen vorgenommene Einschränkung der Betroffenenrechte auf Information und Auskunft seien von den Öffnungsklauseln der DS-GVO nicht gedeckt. Die EU-Kommission hat ebenfalls Bedenken geäußert und bereits angekündigt, ein Vertragsverletzungsverfahren gegen die Bundesrepublik zu prüfen. Für die Rechtsanwender bleibt deshalb wohl die Unsicherheit über die genauen Spielregeln für die Verarbeitung personenbezogener Daten auch nach dem Inkrafttreten des neuen BDSG bestehen.
Zu den wesentlichen Inhalten des neuen BDSG aus Sicht der Privatwirtschaft zählen die Beibehaltung der Pflichten zur Bestellung eines betrieblichen Datenschutzbeauftragten und der Vorgaben für die Datenverwendung im Rahmen von Scoring-Verfahren, die so im europäischen Recht keine Entsprechung finden. Mit einigen Modifikationen übernommen hat der Gesetzgeber auch die bisherige Regelung zum Beschäftigtendatenschutz in § 32 BDSG a.F. Die Gelegenheit zur Ausmerzung der inhaltlichen und systematischen Schwächen dieser Norm, die in der Literatur und sogar in der höchstrichterlichen Rechtsprechung des BAG zu Recht kritisiert worden sind, ist nicht genutzt worden. Von einer kohärenten Regelung des Beschäftigtendatenschutzes bleibt Deutschland daher auch in Zukunft weit entfernt.
Das DSAnpUG-EU soll zeitgleich mit dem Geltungsbeginn der DS-GVO am 25.5.2018 in Kraft treten. Es bedarf zuvor noch der Zustimmung des Bundesrates, die aller Voraussicht nach in der BR-Sitzung am 12.5.2017 erteilt werden wird.
Dr. Christian Hamann ist Rechtsanwalt im Berliner Büro der Sozietät Gleiss Lutz. Er berät nationale und internationale Unternehmen seit mehr als 18 Jahren zu allen Fragen des Datenschutzrechts.
