R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
BB 2017, I
Taeger 

Datenschutzrecht 2018

Abbildung 1

Der Deutsche Bundestag beschloss am 27.4.2017 das Datenschutz-Anpassungs- und -Umsetzungs-Gesetz (DSAnpUG-EU). Sein Art. 1 enthält das neue Bundesdatenschutzgesetz (BDSG 2018), das zeitgleich mit der Europäischen Datenschutzgrundverordnung (EU-DSGVO) ab dem 25.5.2018 anzuwenden ist. Das derzeit noch geltende BDSG tritt dann außer Kraft.

Damit ist Deutschland ein Jahr vor dem Stichtag, zu dem alle datenverarbeitenden Stellen in der EU das neue Datenschutzrecht anzuwenden haben, schon früh die Anpassung der nationalen Datenschutzvorschriften an die unmittelbar geltende europäische Verordnung gelungen. Andere Mitgliedstaaten haben diesen Status noch längst nicht erreicht. So ist etwa das 2018 noch zur EU gehörende Vereinigte Königreich erst dabei, den nationalen Regelungsbedarf bei “stakeholdern” mit einem “Call for views on GDPR derogations” zu erheben (http://bit.ly/2oIJLYz).

Im nächsten Schritt sind bereichsspezifische Regelungen vom Bund anzupassen, von den Länderparlamenten die Landesdatenschutzgesetze.

Das neue BDSG wurde erforderlich, um Regelungsaufträge der DSGVO zu erfüllen und um nationale Schwerpunkte zu setzen, soweit die Öffnungsklauseln der DSGVO dies zulassen. Zudem war die EU-Richtlinie zur Datenverarbeitung bei Polizei und Justiz (RL 2016/680) umzusetzen. Es liegt auf der Hand, dass die Regulierung des Umgangs mit personenbezogenen Daten auf eine Interessendivergenz stößt. So haben etwa Industrie, Handel und Dienstleister ein ausgeprägtes Interesse an der Nutzung von personenbezogenen Daten zur Steigerung des Absatzes und zur Kundenbindung durch Big Data-Anwendungen. Sog. Soziale Netzwerke wollen das Nutzerverhalten analysieren, und Versicherer, Kreditinstitute und FinTechs profitieren von einem über das Scoring hinausgehende Profiling. Sicherheitsbehörden möchten die Datenverarbeitung ausweiten und Betroffenenrechte einschränken. Demgegenüber stehen die Interessen der Nutzer an Selbstbestimmung, Transparenz, Datensparsamkeit und strenger Wahrung ihrer Persönlichkeitsrechte. Die Entwürfe des jetzt verabschiedeten BDSG 2018 stießen folglich auf heftigste Kritik von allen Seiten, so in der öffentlichen Sachverständigenanhörung am 27.3.2017 und vom Bundesrat. Wegen der Begrenzung der Informationspflichten und der Einschränkung der Rechte auf Auskunft und Löschung wurden Bedenken vorgetragen, dass Teile des BDSG 2018 europarechtswidrig seien und nicht angewendet werden dürften.

Der Bundesrat stimmte dem Gesetz am 12.5.2017 zu, nachdem die dem Bundestag vorgelegte Fassung doch zustimmungsfähig wurde, weil im letzten Moment Änderungen aus dem Innenausschuss eingearbeitet wurden (BT-Drs. 18/11325 mit BR-Drs. 332/17), die die berechtigte Kritik berücksichtigte.

Für Datenverarbeiter ist es herausfordernd, die hohe Komplexität des neuen Datenschutzrechts mit dem Zusammenspiel von europäischer Verordnung und nationalem BDSG zu erfassen und die erforderlichen Konsequenzen zu ziehen. Zu beachten wird insbesondere sein, dass es Er_laub_nis_tatbestände für die Datenverarbeitung sowohl aus dem Art. 6 DSGVO als auch aus dem BDSG 2018 gibt. So kennt die DSGVO keine ausdrückliche Erlaubnis für die Videoüberwachung öffentlich zugänglicher Räume. Aufgrund einer Öffnungsklausel in der DSGVO durfte eine Erlaubnis in § 4 BDSG 2018 aufgenommen werden, die weitgehend dem bisherigen § 6b BDSG entspricht. Allerdings ist bei der Interessenabwägung nun der neue Satz 2 des § 4 Abs. 1 BDSG 2018 zu beachten, wonach auf öffentlich zugänglichen großflächigen Anlagen (Stadien, Jahrmärkten, Einkaufszentren) und Einrichtungen (Bahnhöfen, Bahnen, Schiffen, Bussen) der Schutz von Leben, Gesundheit oder Freiheit von vornherein als ein besonders wichtiges Interesse gegenüber den Schutzinteressen der Betroffenen gilt. Dieser Passus ist übrigens – von vielen unbemerkt – vom Bundestag am 28.4.2017 auch in das noch geltende BDSG aufgenommen worden und gilt seit dem Tag danach (BGBl. I, 968).

Zu beachten ist ferner, dass Erlaubnistatbestände nach der DSGVO durch das BDSG 2018 wieder eingeschränkt werden können, etwa bei besonderen Arten personenbezogener Daten wie den Gesundheitsdaten. Auch der Beschäftigtendatenschutz und das Scoring wurden in der DSGVO nicht geregelt, aber im BDSG 2018. Damit konnten einige Errungenschaften in das nationale Datenschutzrecht “gerettet” werden, was aber zweifellos dem Ziel der europaweiten Harmonisierung zuwiderläuft. Die grenzüberschreitend agierende Wirtschaft wird das bedauern, während Betroffene die partielle Wahrung des hohen deutschen Datenschutzniveaus begrüßen werden.

Es wird einige Zeit dauern, sich in die neuen Systematiken hineinzufinden, die zahlreichen unbestimmten Rechtsbegriffe gesetzeskonform auszulegen und Interessenabwägungen rechtssicher zu treffen. Der neue risikobasierte Ansatz der DSGVO zwingt zu einem gewissen Aufwand an Information, Dokumentation und Rechenschaftslegung (“Accountability”), der als belastend empfunden werden wird.

Nun hat die EU-Kommission auch noch einen Entwurf für eine E-Privacy-Verordnung vorgelegt. Sie soll den Datenschutz bei der elektronischen Kommunikation und bei Over-the-Top-Diensten wie Voice over IP, instant messaging/WhatsApp und eMail-Diensten (OTT-Dienste) regulieren. Das Datenschutzrecht bleibt also eine dem ständigen Wandel unterworfene Materie. Wenn das dem Schutz des Individuums dient, ist das auch notwendig und gut so.

Prof. Dr. Jürgen Taeger ist Lehrstuhlinhaber für Bürgerliches Recht, Handels- und Wirtschaftsrecht sowie Rechtsinformatik an der Carl von Ossietzky Universität Oldenburg.

 
stats