Das Bun­des­mi­ni­ste­ri­um des Inne­ren hat am 23.11.2016 den Ver­bän­den einen Gesetz­ent­wurf zur Anpas­sung des Daten­schutz­rechts an die Daten­schutz-Grund­ver­ord­nung (DS-GVO) vor­ge­legt.

Daten­schutz-Grund­ver­ord­nung pra­xis­ge­recht ergän­zen

Das Bun­des­mi­ni­ste­ri­um des Inne­ren hat am 23.11.2016 den Ver­bän­den einen Gesetz­ent­wurf zur Anpas­sung des Daten­schutz­rechts an die Daten­schutz-Grund­ver­ord­nung (DS-GVO) vor­ge­legt. Kern­re­ge­lung ist die Neu­fas­sung des Bun­des­da­ten­schutz­ge­set­zes.

Das BDSG-neu sieht zum einen die Über­nah­me der für die Wirt­schaft rele­van­ten Zuläs­sig­keits­re­ge­lun­gen zum Beschäf­tig­ten­da­ten­schutz (§ 32 BDSG), zur Daten­über­mitt­lung an Aus­kunf­tei­en (§ 28a BDSG) und zum Sco­ring (§ 29 BDSG) vor. Auch für die Wei­ter­ver­ar­bei­tung von Daten wer­den auf Grund­la­ge der Öff­nungs­klau­sel in Art. 6 Abs. 4 DS-GVO wei­te­re Rechts­grund­la­gen geschaf­fen.

Bestell­pflicht für Daten­schutz­be­auf­trag­te bleibt erhal­ten

Aus Sicht der GDD ist begrü­ßens­wert, dass die Bestell­vor­aus­set­zun­gen für einen betrieb­li­chen Daten­schutz­be­auf­trag­ten unver­än­dert über­nom­men wer­den. Mit Blick auf sei­ne unab­hän­gi­ge Auf­ga­ben­wahr­neh­mung wur­de auch der beson­de­re Kün­di­gungs­schutz über­nom­men.

Eben­so wur­de auch die Schwei­ge­pflicht, die zugleich auch ein Schwei­ge­recht ist, adap­tiert.

Pra­xis­ge­rech­te Kon­kre­ti­sie­run­gen der Trans­pa­renz­pflich­ten

Von gro­ßer Bedeu­tung für die Daten­schutz­pra­xis sind die Kon­kre­ti­sie­run­gen der Trans­pa­renz­pflich­ten der DS-GVO mit Blick auf die Prak­ti­ka­bi­li­tät des Daten­schut­zes. Nach Art. 13 DS-GVO hat der Ver­ant­wort­li­che bereits bei der Daten­er­he­bung beim Betrof­fe­nen umfang­rei­che, detail­lier­te  Infor­ma­ti­ons­pflich­ten. Ins­be­son­de­re bei der Video­über­wa­chung sind die­se schwer umsetz­bar. Unter Beru­fung auf die Öff­nungs­klau­sel des Art. 23 DS-GVO sieht § 30 Abs. 3 Satz 2 BDSG-neu-E vor, dass bei der Video­über­wa­chung öffent­lich zugäng­li­cher Räu­me der Umstand der Beob­ach­tung über Name und Kon­takt­da­ten des Ver­ant­wort­li­chen durch geeig­ne­te Maß­nah­men zum frü­hest­mög­li­chen Zeit­punkt erkenn­bar zu machen sind. Die­se Vor­ga­be ent­spricht § 6b BDSG. Alle ande­ren Lösun­gen als der Stan­dard durch ein Pik­to­gramm wären nicht prak­ti­ka­bel und für die­se spe­zi­fi­sche Ver­ar­bei­tungs­si­tua­ti­on nicht im Betrof­fe­nen­in­ter­es­se. Auch das Kor­rek­tiv des § 30 Abs. 1 Nr. 3 BGSG-neu-E, wonach eine Infor­ma­ti­ons­pflicht bei der Wei­ter­ver­ar­bei­tung nicht besteht, wenn die­se vor­aus­sicht­lich die Ver­wirk­li­chung der Zie­le der Ver­ar­bei­tung unmög­lich machen oder ernst­haft beein­träch­ti­gen wür­de, ist pra­xis­ge­recht, da ander­wei­tig inve­sti­ga­ti­ve Maß­nah­men bei Ver­dacht von kri­mi­nel­len Hand­lun­gen dem Betrof­fe­nen ange­kün­digt wer­den müss­ten.

Sperr­pflich­ten des BDSG wer­den über­nom­men

Das Recht auf Löschung soll in § 33 BDSG-neu-E auf die Sperr­vor­schrif­ten des § 35 Abs. 3 BDSG zurück­ge­führt wer­den. Inso­fern wird aus der Ein­schrän­kung der Ver­ar­bei­tung in Art. 18 DS-GVO, die nur als Betrof­fe­nen­recht aus­ge­stal­tet ist, eine ergän­zen­de Pflicht des Ver­ant­wort­li­chen. Pra­xis­re­le­vanz hat die­ser Rück­griff auf das BDSG z.B. bei der Daten­si­che­rung. Sämt­li­che, z.T. umfang­rei­che Tages-, Wochen- und Monats­si­che­run­gen müss­ten für ein zu löschen­des Datum mit gro­ßem admi­ni­stra­ti­ven Auf­wand der IT kor­ri­giert wer­den. Das wäre unver­hält­nis­mä­ßig. Kon­se­quent ist auch die Bei­be­hal­tung der Sperr­pflicht nicht nur bei gesetz­li­chen (gere­gelt Art. 17 Abs. 3 lit. b DS-GVO), son­dern auch bei ver­trag­li­chen oder sat­zungs­mä­ßi­gen Auf­be­wah­rungs­pflich­ten. Dadurch wer­den Pflich­ten­kol­li­sio­nen, auf die die Geset­zes­be­grün­dung zutref­fend ver­weist, ver­mie­den.

Aus­kunfts­pflich­ten an das BDSG ange­passt

Die Beschrän­kun­gen des Aus­kunfts­rechts nach Art. 15 DS-GVO hin­sicht­lich der Daten, für die eine Auf­be­wah­rungs­pflicht besteht und ent­spre­chend bei der Ver­ar­bei­tung ein­zu­schrän­ken sind, haben eben­so die bestehen­de Rechts­la­ge im Blick. Unver­hält­nis­mä­ßig wäre es, wenn Pro­to­koll­da­tei­en, die aus­schließ­lich aus Grün­den der Daten­si­che­rung und der Daten­schutz­kon­trol­le anfal­len, beaus­kunftet wer­den müss­ten. Auch für wider­strei­ten­de Geschäfts­ge­heim­nis­se sieht die DS-GVO kei­ne Beschrän­kung vor, sodass der natio­na­le Gesetz­ge­ber hier kor­ri­gie­rend ein­grei­fen muss. Den Inter­es­sen der Betrof­fe­nen soll im Gegen­zug dadurch Rech­nung getra­gen wer­den, dass die Grün­de der Aus­kunfts­ver­wei­ge­rung zu doku­men­tie­ren und der Betrof­fe­ne grund­sätz­lich dar­über zu infor­mie­ren ist.

Die geplan­ten Rege­lun­gen begren­zen zunächst den Auf­wand für Unter­neh­men in Deutsch­land. Für euro­pa­weit täti­ge Kon­zer­ne, kann die Daten­schutz­or­ga­ni­sa­ti­on hin­sicht­lich der Orga­ni­sa­ti­on der Betrof­fe­nen­rech­te zunächst nicht ver­ein­heit­licht wer­den. Es bleibt des­halb zu hof­fen, dass die ande­ren Mit­glied­staa­ten die deut­schen Vor­schlä­ge wohl­wol­lend prü­fen und ggf. über­neh­men. Der Zeit­druck für ein gesetz­ge­be­ri­sches Han­deln ist jeden­falls viel­fach dort nicht so groß, wie in Deutsch­land bedingt durch die Bun­des­tags­wahl im näch­sten Jahr.

Den aktu­el­len Ent­wurf (vom 23.11.2016) des Daten­schutz-Anpas­sungs- und -Umset­zungs­ge­setz fin­den Sie hier.