Das BDSG ist tot – es lebe das BDSG!: DSGVO und BDSG-neu in der Praxis

14. August 2017 in Kategorie IT / Orga / Neue Medien

von
Michael Friedel
Berater, FORUM Gesellschaft für Informationssicherheit mbH


Zum 25.05.2018 tritt europaweit die Datenschutzgrundverordnung (DSGVO) in Kraft. Diese muss wegen ihres Charakters als „Verordnung“ nicht erst in nationales Recht umgesetzt werden, sondern tritt unmittelbar in Kraft. Problematisch wird diese Wirkung für die nationalen Datenschutzgesetze, die damit keine Gültigkeit mehr haben.

So wird auch das deutsche Bundesdatenschutzgesetz (BDSG) zum 24.05.2018 außer Kraft treten. Viele der Inhalte des BDSG sind fast unverändert auch in der DSGVO zu finden, an einigen Stellen sind jedoch sogenannte „Öffnungsklauseln“ eingebaut, die es den Mitgliedsstaaten nach Art. 23 DSGVO erlauben, die entsprechenden Anforderungen weiter zu konkretisieren.

Bisher: unklare Gesetzeslage

Nun ist eine Übergangszeit von zwei Jahren, wie sie durch die DSGVO vorgegeben wird, erst einmal eine lange Zeit. Für die Erstellung, Prüfung und Bestätigung eines komplett neuen Gesetzes auf nationaler Ebene ist das jedoch eine große Herausforderung. Als zusätzliche Herausforderung stellt sich die am 24.09.2017 stattfindende Bundestagswahl und die damit endende Legislaturperiode dar. Unter dieser Prämisse war es notwendig, dass ein Nachfolgegesetz zum BDSG noch vor der Sommerpause 2017 fertiggestellt wird, da sonst eine Fertigstellung bis Mai 2018 sehr fraglich gewesen wäre.

Mit dem am 12.05.2017 durch den Bundesrat beschlossenen neuen Gesetz mit dem Kürzel DSAnpUG-EU (Datenschutz Anpassungs- und Umsetzungsgesetz EU, im Folgenden BDSG-neu) scheint dem Gesetzgeber dieses Vorhaben geglückt zu sein. Auch wenn das Gesetz vielfach kritisiert wurde, steht nun zumindest ein Rechtsrahmen zur Verfügung, an dem sich die datenverarbeitenden Stellen in Deutschland orientieren können. Damit ist Deutschland das erste Land in der EU, das seine nationale Gesetzgebung an die Grundverordnung angepasst hat. Lediglich Landes- und Spezialgesetze müssen nun noch angepasst werden.

Bisher haben viele Verantwortliche mit Verweis auf die unklare Gesetzeslage die Projekte zur Anpassung an die DSGVO noch nicht aktiv begonnen. Nun steht das Gesetz zur Verfügung, welches am 25.05.2018 zeitgleich mit der DSGVO seine Wirkung entfalten wird. Die Arbeiten können also beginnen, um rechtzeitig zur Wirksamkeit der Grundverordnung alle Anforderungen bereits erfüllen zu können.

Weniger als ein Jahr Zeit

Um auf den existierenden Handlungsbedarf hinzuweisen, hat z. B. das Bayerische Landesamt für Datenschutzaufsicht am 24.05.2017 an ca. 150 bayerische Unternehmen einen Fragebogen zum Stand der Umsetzung der kommenden Anforderun-gen nach der DSGVO gesendet. Dieser wurde zeitgleich auch mit einer Pressemitteilung veröffentlicht.

Eine der Fragen lautet z. B.: „Haben Sie ein Datenschutzmanagementsystem installiert, um sicherzustellen und einen Nachweis erbringen zu können, dass Ihre Verarbeitung gemäß der DSGVO erfolgt (Art. 24 Abs. 1 DSGVO)?“ Datenschutzmanagementsysteme unterstützen den DSB bei seiner Arbeit (Beispiel: siehe Bild).

Es ist sicherlich sehr interessant, diesen Fragebogen abzuarbeiten, um sich einen Überblick über den aktuellen Stand der Vorbereitungen im eigenen Haus zu verschaffen.

Der größte Teil der Anforderungen an die Datenverarbeitung in den Unternehmen wurde durch die DSGVO bereits geklärt, so dass lediglich entsprechende Konkretisierungen notwendig waren.

Anforderungen aus der DSGVO

So bringt bereits die DSGVO die Anforderung, für genutzte Verfahren (die ja auch nach bisherigem Recht im Rahmen des Verfahrensverzeichnisses bereits vorliegen sollten) im Unternehmen eine Risikobetrachtung durchzuführen. Hier müssen die Risiken der Verarbeitung nicht nur aus Sicht des Unternehmens, sondern vor allem aus Sicht der Betroffenen identifiziert und bewertet werden.

Mit passenden Maßnahmen wird dann versucht, diese Risiken zu minimieren. So hat man mit nur wenig Aufwand bereits die Vorgaben der Art. 24 Abs. 1, Art. 25 Abs. 1 und Art. 32 Abs. 1 der DSGVO erfüllt und kann das bisherige Verfahrens-verzeichnis recht einfach in ein „Verzeichnis von Verarbeitungstätigkeiten“ nach Art. 30 DSGVO überführen.

Ähnlich der bisherigen Vorabkontrolle muss unter bestimmten Voraussetzungen (Art. 35 DSGVO) eine Datenschutz-Folgenabschätzung durchgeführt werden, um klären zu können, ob die Verarbeitung unter diesen Bedingungen überhaupt durchgeführt werden darf. Nach Art. 36 DSGVO muss die Aufsichtsbehörde kontaktiert werden, wenn aus der Folgenabschätzung ein hohes Risiko erkennbar ist, das nicht mit weiteren Maßnahmen minimiert werden kann.

Was ändert sich mit dem BDSG-neu?

Im Vergleich zum BDSG ist das neue Gesetz, obwohl es lediglich als nationale Konkretisierung der DSGVO konzipiert ist, deutlich umfangreicher geworden. Während das bisherige BDSG mit 48 Paragraphen auskam, weist das BDSG-neu ganze 85 Paragraphen auf.

Bei näherer Betrachtung wird deutlich, dass der Teil 3 (ab § 45) im Anwendungsbereich explizit auf „die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständigen öffentlichen Stellen“ ausgelegt ist und damit für die „normale“ Bearbeitung keine Relevanz hat. Somit sind für Unternehmen nur die Teile 1 (Gemeinsame Bestimmungen) und 2 (Durchführungsbestimmungen für Verarbeitungen zu Zwecken gem. Art. 2 der Verordnung (EU) 2016/679des Gesetzes und damit wieder 44 Paragraphen für die tägliche Arbeit relevant – zusätzlich zur DSGVO und weiteren einschlägigen Gesetzen.

Der Teil 1 des BDSG-neu ist in sechs Kapitel gegliedert:

  • Kapitel 1 – Anwendungsbereich und Begriffsbestimmungen.
  • Kapitel 2 – Rechtsgrundlagen der Verarbeitung personenbezogener Daten.
  • Kapitel 3 – Datenschutzbeauftragte öffentlicher Stellen.
  • Kapitel 4 – Die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
  • Kapitel 5 – Vertretung im Europäischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Angelegenheiten der Europäischen Union.
  • Kapitel 6 – Rechtsbehelfe.

Da in der DSGVO keine Regelungen zur Videoüberwachung getroffen wurden, beschäftigt sich § 4 des BDSG-neu mit der Videoüberwachung öffentlich zugänglicher Räume. Zwar wird hier eine starke Einschränkung der Möglichkeiten der Überwachung vorgegeben (nur zulässig zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts und zur Wahrnehmung berechtigter Interessen für konkret festgelegte Ziele, sofern keine Anhaltspunkte bestehen, dass schutzwürdige Interessen Betroffener überwiegen), allerdings werden direkt im Anschluss zahlreiche „besonders wichtige Interessen“ aufgeführt, die das Verbot wieder relativieren.

Da auch keine Regelungen zum Beschäftigtendatenschutz in der Grundverordnung zu finden waren, hat sich der Gesetz-geber mit dem § 26 BDSG-neu dieses Themas angenommen. Erstmals wird hier auch eine erweiterte Definition der Freiwilligkeit der Verarbeitung von personenbezogenen Daten angegeben, die bisher im Beschäftigungsverhältnis mit eher gemischten Ansichten betrachtet wurde – führt doch eine Ablehnung wahrscheinlich zum Nicht- Zustandekommen eines Arbeitsverhältnisses und lässt es damit an einer wirklichen Freiwilligkeit fehlen.

Nun wird die Freiwilligkeit dahingehend erweitert, das „Freiwilligkeit … insbesondere vorliegen (kann), wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen“. Dieser Umstand ist im Allgemeinen beim Zustandekommen bzw. Weiterführen eines Beschäftigungsverhältnisses zu erwarten.

Zusätzlich werden auch „Kollektivvereinbarungen“ wie Betriebsvereinbarungen oder Tarifverträge als zulässige Rechts-grundlage für die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten, angesehen.

Die Paragraphen 32 und 33 des BDSG-neu eröffnen Ausnahmen von der Informationspflicht für Betroffene über Art, Inhalt und Verwendung der erhobenen Daten, die im Art. 13 DSGVO definiert sind. Diese sind jedoch allgemein umstritten, weil der Art. 13 keine eindeutige Öffnungsklausel und damit keine Möglichkeit der Einschränkung der dort hinterlegten Anforderungen vorsieht.

Auch die Pflicht zur Bestellung eines Datenschutzbeauftragten wird im § 38 BDSG-neu aufgenommen und greift, wie bisher, bereits bei mindestens zehn Personen, die im Unternehmen ständig mit der Datenverarbeitung beschäftigt sind. Zusätzlich gilt eine direkte Pflicht der Bestellung eines Datenschutzbeauftragten auch unabhängig von der Personenzahl, wenn Verarbeitungen vorgenommen werden, die nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung benötigen oder „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet werden. Noch öfter als bisher wird sich also für die Unternehmen die Notwendigkeit ergeben, einen Datenschutzbeauftragten zu bestellen.

Zu beachten ist jedoch: Selbst wenn ein Unternehmen nicht die Pflicht hat, einen Datenschutzbeauftragten zu bestellen, müssen dennoch alle Auflagen der DSGVO und des BDSG-neu erfüllt werden. Es empfiehlt sich also in jedem Fall, einen Mitarbeiter des Unternehmens zu schulen und ein Datenschutzmanagementsystem einzusetzen.

Fazit

Wie erwartet, greift das BDSG-neu die Öffnungsklauseln der DSGVO auf und nutzt sie, um die entsprechenden Bereiche auf das bisherige Niveau zu bringen, das durch das BDSG erreicht wurde. Ob dies in allen Teilen erlaubt ist und auch bei einer möglichen Klage gegen das Gesetz vor dem Europäischen Gerichtshof standhält, wird sich zeigen. In jedem Fall besteht nun eine gewisse Rechtssicherheit und die Vorbereitungen für das Inkrafttreten der DSGVO können intensiviert werden.

PRAXISTIPPS

  • Beginnen Sie frühzeitig mit dem Aufbau eines ganzheitlichen Datenschutzmanagement-Systems!
  • Schulen Sie sich selbst und die betroffenen Mitarbeiter.
  • Führen Sie eine umfangreiche Risikobetrachtung an Ihren genutzten Verfahren durch.
  • Melden Sie den Datenschutzbeauftragten namentlich an Ihre zuständige Aufsicht.
  • Prüfen Sie Ihre Mustervordrucke bezüglich der erweiterten Anforderungen an die Einverständniserklärung und Information der Betroffenen.
  • Prüfen Sie den Fragebogen des Bayerischen Landesamts für Datenschutzaufsicht!

SEMINARTIPPS

BUCHTIPPS

Lars Weimer

Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit & Cyberrisiken 4. Auflage

Erscheinungstermin: 15.01.2017
Umfang: 466 Seiten
Preis: € 89,-
ISBN: 978-3-95725-032-2
Hier erhalten Sie weitere Infos zum Buch und die Möglichkeit zur Bestellung im Online-Shop


Dr. Jaime Uribe Uribe / Henning Riediger / Mike Bona-Stecki 

Bearbeitungs- und Prüfungsleitfaden: IT-Berechtigungsmanagement

Erscheinungstermin: 30.11.2016
Umfang: 233 Seiten
Preis: € 89,-
ISBN: 978-3-95725-033-9
Hier erhalten Sie weitere Infos zum Buch und die Möglichkeit zur Bestellung im Online-Shop

 

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times SPEZIAL IT/Orga/Neue Medien,
Ausgabe Juli/August 2017
.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>