EU-Da­ten­schutz: Die Uhr tickt!

Vie­le Un­ter­neh­men las­sen die Vor­be­rei­tun­gen auf die eu­ro­päi­sche Da­ten­schutz-Gr­und­ver­ord­nung schlei­fen.

Computerwoche - - Vorderseite - (ba)

Die An­pas­sung des BDSG wur­de er­for­der­lich, um ein Zu­sam­men­spiel mit den neu­en eu­ro­päi­schen Vor­ga­ben zum Da­ten­schutz si­cher­zu­stel­len. Da­zu zählt ne­ben der eu­ro­päi­schen Da­ten­schutz-Gr­und­ver­ord­nung (DSGVO) auch die Da­ten­schutz­richt­li­nie für Po­li­zei und Jus­tiz (JI-Richt­li­nie). An­ders als die Richt­li­nie, die erst in deut­sches Recht um­ge­setzt wer­den muss, wird die DSGVO ab dem 25. Mai 2018 un­mit­tel­bar gel­ten­des Recht in al­len Mit­glied­staa­ten. Ziel der Ver­ord­nung ist ein gleich­wer­ti­ges Schutz­ni­veau für die Rech­te und Frei­hei­ten von na­tür­li­chen Per­so­nen bei der Ver­ar­bei­tung von Da­ten in den Mit­glied­staa­ten. Die­ses Ziel der Har­mo­ni­sie­rung sah die EUKom­mis­si­on aber be­reits in vor­an­ge­gan­ge­nen Ge­set­zes­ent­wür­fen als ge­fähr­det an und hat dies un­ter an­de­rem in ei­nem Schrei­ben an das fe­der­füh­ren­de Bun­des­in­nen­mi­nis­te­ri­um auch zum Aus­druck ge­bracht. Auch Da­ten­schutz­ver­bän­de wie die Deut­sche Ver­ei­ni­gung für Da­ten­schutz (DVD) äu­ßer­ten deut­li­che Kri­tik an dem nun­mehr vom Bun­des­tag be­schlos­se­nen neu­en Bun­des­da­ten­schutz­ge­setz (BDSG-neu).

Neu­es BDSG kon­form mit EU-Recht?

Re­na­te Ni­ko­lay, die Ka­bi­netts­che­fin von EUJus­tiz­kom­mis­sa­rin Ve­ra Jou­ro­va, be­ton­te schon vor der Bun­des­tags­ab­stim­mung bei ei­ner Ver­an­stal­tung der Stif­tung Da­ten­schutz in Ber­lin, dass die EU-Kom­mis­si­on zwar im Dia­log mit den deut­schen Gre­mi­en ste­he, aber auch die Ge­fahr ei­nes Ver­trags­ver­let­zungs­ver­fah­rens be­stün­de, so­fern das Ziel der ein­heit­li­chen Da­ten­schutz­re­geln ge­fähr­det wür­de. Denn die DSGVO ent­hält zahl­rei­che be­reichs­spe­zi­fi­sche Öff­nungs­klau­seln für die na­tio­na­len Ge­setz­ge­ber, im Grund­satz soll aber die Ver­ein­heit­li­chung des Da­ten­schutz­rechts in­ner­halb der EU ge­währ­leis­tet wer­den. Da­ge­gen will die Bun­des­re­gie­rung mit dem neu­en Bun­des­da­ten­schutz­ge­setz ganz of­fen­sicht­lich den ihr ein­ge­räum­ten Hand­lungs­spiel­raum mög­lichst weit aus­schöp­fen. Nach Mei­nung der Kri­ti­ker über­schrei­tet das neue Ge­setz je­doch den nach der DSGVO zu­läs­si­gen Spiel­raum. Es ist al­so gut mög­lich, dass das neue BDSG bald wie­der (in Tei­len) für un­zu­läs­sig er­klärt wird, weil es un­ver­ein­bar mit dem EU-Recht ist.

Den­noch dürf­te mit dem neu­en BDSG-Ge­set­zes­text der zu­künf­ti­ge Rechts­rah­men für die Da­ten­ver­ar­bei­tung in Deutsch­land ge­setzt sein. Zu­mal die wirk­lich be­deu­ten­den Re­ge­lun­gen zur Da­ten­ver­ar­bei­tung im Un­ter­neh­men be­reits ab­schlie­ßend in der DSGVO ge­re­gelt sind. Für Un­ter­neh­men gibt es al­so kei­ner­lei Grund, noch län­ger mit der Über­prü­fung und An­pas­sung ih­rer Ver­trä­ge und Pro­zes­se an die

Da­ten­schut­zgr­und­ver­ord­nung be­zie­hungs­wei­se das BDSG-neu zu war­ten. Ab dem 25. Mai 2018 en­det näm­lich die Über­gangs­frist, und es kommt nur noch das neue Da­ten­schutz­recht zur An­wen­dung. Das be­deu­tet auch, dass dann deut­lich hö­he­re Stra­fen für Da­ten­schutz­ver­stö­ße ver­hängt wer­den kön­nen: bis zu 20 Mil­lio­nen Eu­ro oder vier Pro­zent des welt­wei­ten Jah­res­um­sat­zes ei­nes Un­ter­neh­mens.

BDSG-neu und DSGVO: Das än­dert sich

Neu ist bei­spiels­wei­se der Schmer­zens­geld­an­spruch für Ver­brau­cher und da­mit auch Ar­beit­neh­mer in Pa­ra­graf 83 Ab­satz 2 BDSG­neu. An­ders als nach der DSGVO kann nun­mehr ei­ne be­trof­fe­ne Per­son auch we­gen ei­nes Scha­dens, der kein Ver­mö­gens­scha­den ist, ei­ne an­ge­mes­se­ne Ent­schä­di­gung in Geld ver­lan­gen. Das kann für Un­ter­neh­men un­ter Um­stän­den zu er­heb­li­chen wirt­schaft­li­chen Ri­si­ken füh­ren, denn die neu­en Ver­bands­kla­ge­rech­te er­leich­tern Ver­brau­chern und Ver­bän­den die ge­richt­li­che Gel­tend­ma­chung ih­rer An­sprü­che.

Ei­ne wei­te­re Ab­wei­chung von der DSGVO fin­det sich bei den Re­ge­lun­gen zum Da­ten­schutz­be­auf­trag­ten. Das BDSG-neu über­nimmt im We­sent­li­chen die bis­he­ri­gen Re­ge­lun­gen des Bun­des­da­ten­schutz­ge­set­zes und stärkt da­mit im Ver­gleich zu der DSGVO die Stel­lung des Da­ten­schutz­be­auf­trag­ten. Die­ser muss be­stellt wer­den, wenn min­des­tens zehn Per­so­nen stän­dig mit der au­to­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten be­schäf­tigt sind, wenn we­gen ei­nes ho­hen Ri­si­kos für die Rech­te und Frei­hei­ten der von der Da­ten­ver­ar­bei­tung Be­trof­fe­nen ei­ne Da­ten­schutz-Fol­gen­ab­schät­zung ge­mäß Ar­ti­kel 35 DSGVO not­wen­dig ist oder ge­schäfts­mä­ßig per­so­nen­be­zo­ge­ne Da­ten zum Zweck der Über­mitt­lung, der an­ony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt­oder Mei­nungs­for­schung ver­ar­bei­tet wer­den (vgl. Pa­ra­graf 38 Ab­satz 1 BDSG-neu).

Wie bis­her gilt für den Da­ten­schutz­be­auf­trag­ten, der be­stellt wer­den muss, ein um­fas­sen­der Kün­di­gungs­schutz. Dies ist be­mer­kens­wert, weil die DSGVO dies nicht vor­schreibt und nur für die Be­nen­nungs­pflicht so­wie für die Wah­rung der Ge­heim­hal­tung oder Ver­trau­lich­keit Öff­nungs­klau­seln be­ste­hen. Of­fen­bar geht der deut­sche Ge­setz­ge­ber aber da­von aus, dass der er­wei­ter­te Kün­di­gungs­schutz noch von dem Gestal­tungs­spiel­raum um­fasst ist.

Da­ten­schutz: Al­les neu macht der Mai

Letzt­end­lich wird aus dem „al­ten“BDSG mit der­zeit 48 Re­ge­lun­gen ein „neu­es“Bun­des­da­ten­schutz­ge­setz mit nun­mehr 85 Vor­schrif­ten, die teil­wei­se nicht in Ein­klang mit der eu­ro­päi­schen Da­ten­schut­zgr­und­ver­ord­nung ste­hen. Be­reits dies ver­deut­licht, war­um Kri­ti­ker von ei­nem an­wen­de­r­un­freund­li­chen Ge­setz spre­chen. Schwe­rer wie­gen je­doch die vie­len Ver­wei­sun­gen im BDSG-neu, auch auf die DSGVO, die das deut­sche Um­set­zungs­ge­setz sehr kom­plex und schwer les­bar ma­chen. Klar ist al­ler­dings, dass das neue BDSG kommt und die dar­in ent­hal­te­nen Vor­ga­ben um­ge­setzt wer­den müs­sen. Das neue Bun­des­da­ten­schutz­ge­setz soll (bis auf ei­ne Aus­nah­me) zu­sam­men mit der Da­ten­schutz-Gr­und­ver­ord­nung am 25. Mai 2018 in Kraft tre­ten.

Von Micha­el Rath, Rechts­an­walt, Fach­an­walt für In­for­ma­ti­ons­tech­no­lo­gieRecht und Part­ner der Lu­ther Rechts­an­walts­ge­sell­schaft mit Sitz in Köln, und Chris­ti­an Kuss, Rechts­an­walt der Lu­ther Rechts­an­walts­ge­sell­schaft in Köln mit Tä­tig­keits­schwer­punkt IT- und

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.