Ein komplexes Zusammenspiel

Im Blickpunkt: Die Datenschutz-Grundverordnung und das neue Bundesdatenschutzgesetz

Von Rafael Hertz und Dr. Nils Gruske

Beitrag als PDF (Download)

Einleitung

Das neue Bundesdatenschutzgesetz (BDSG-neu) wird ab dem 25.05.2018 gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) gelten. Weitere nationale Regelungen zum Datenschutz werden folgen. So einfach das Verhältnis zwischen der DSGVO und beispielsweise dem BDSG-neu auf den ersten Blick ist, so schwierig erweist sich in der Praxis zum Teil der Umgang mit diesen Rechtsquellen. Welchen Gesetzestext soll der Praktiker im Einzelfall zuerst in die Hand nehmen? Lohnt ein Kontrollblick in das jeweils andere Gesetz?

Die DSGVO lässt den Mitgliedstaaten erhebliche Spielräume bei der Konkretisierung. Ähnlich wie bei einer Richtlinie bedarf es zum Teil nationaler Umsetzungsakte. Der deutsche Gesetzgeber hat im Rahmen des BDSG-neu den Regelungsauftrag des EU-Normgebers erfüllt und von zahlreichen Öffnungsklauseln Gebrauch gemacht. Gleichzeitig gilt die DSGVO wie alle europäischen Verordnungen gemäß Art. 288 Abs. 2 Satz 2 AEUV unmittelbar in allen Mitgliedstaaten und geht jeder nationalen Regelung vor. Soweit die Verordnung reicht, ist eine nationale Regelung unzulässig. Das Datenschutzrecht wird daher zukünftig gleichzeitig durch unmittelbar geltendes europäisches Recht und das jeweilige nationale Recht geprägt sein, während bisher einzig der nationale Umsetzungsakt der noch geltenden Datenschutzrichtlinie, insbesondere das BDSG-alt, für den Rechtsanwender relevant war.

Es wäre naheliegend gewesen, dass der deutsche Gesetzgeber unter Berücksichtigung der DSGVO einen einheitlichen Gesetzestext zur Verfügung stellt. In den Bereichen, in denen die DSGVO keine nationalen Spielräume vorsieht, könnte der Wortlaut der DSGVO wiederholt werden, und soweit nationale Spielräume bestehen, würde der Wortlaut der DSGVO entsprechend ergänzt. Dem Rechtsanwender wären jedenfalls erhebliche Mühen erspart geblieben. So einfach war es jedoch nicht. Der EuGH erlaubt dem nationalen Gesetzgeber „im Interesse … der Verständlichkeit“ lediglich die Wiederholung  „einzelner Punkte“ einer Verordnung (EuGH, Urteil vom 28.03.1985 – C-272/83). Auch der Erwägungsgrund 8 DSGVO erlaubt nur die Wiederholung von Teilen „dieser Verordnung …, soweit dies erforderlich ist, um … die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.“

Damit waren von vornherein die Grenzen eng gesteckt, und das Unterfangen, verständliche Regelungen in einem im höchsten Maße praxisrelevanten Rechtsbereich den „Personen, für die sie gelten“ zur Verfügung zu stellen, zum Scheitern verurteilt. Das Ergebnis ist in weiten Teilen ein Sammelsurium von Verweisen und Querverweisen, Wiederholungen sowie schier endlosen, verschachtelten Sätzen. Der Anwender fragt sich zu Recht, ob er gleich zum BDSG-neu greifen soll oder ob er dogmatisch konsequent zunächst die DSGVO studieren und sodann einen Blick in das BDSG-neu werfen sollte.  Für einige praxisrelevante Teilbereiche lassen sich jedoch durchaus belastbare Aussagen treffen, und der Schwerpunkt liegt hier im nationalen Umsetzungsakt.

Beschäftigtendatenschutz

Im Bereich des Beschäftigtendatenschutzes hat die DSGVO durch die Öffnungsklausel des Art. 88 den Nationalstaaten erheblichen Gestaltungsspielraum eingeräumt. Der deutsche Gesetzgeber hat diesen Spielraum durch § 26 BDSG-neu genutzt, indem er Altbewährtes in Gesetzesform gegossen hat. So wurden in § 26 Abs. 2 BDSG-neu die Anforderungen an die Einwilligung des Arbeitnehmers in die Datenverarbeitung konkretisiert. Vor dem Hintergrund des Abhängigkeitsverhältnisses war die Einwilligung des Arbeitnehmers immer problematisch, so dass jetzt etwas mehr Rechtssicherheit in Bezug auf die Anforderungen an eine Einwilligung herrscht. Die Einwilligung des Arbeitnehmers wird insbesondere dann als freiwillig angesehen, wenn ihm durch die Einwilligung ein Vorteil entsteht, etwa bei der privaten Nutzung von IT-Systemen oder der Teilnahme an einem betrieblichen Gesundheitsmanagementsystem oder wenn die Interessen der Parteien gleichgelagert sind.

Aufgrund der hohen Praxisrelevanz ist in diesem Zusammenhang noch eine weitere Erleichterung bei der Verarbeitung von Arbeitnehmerdaten zu erwähnen: das „kleine Konzernprivileg“. Bisher wurde jede Gesellschaft in einem Konzern als externe Stelle betrachtet, so dass bei einer Datenübermittlung innerhalb des Konzerns die Einwilligung des Arbeitnehmers erforderlich war. Nun kann laut Erwägungsgrund 48 der DSGVO die Übermittlung von personenbezogenen Daten der Arbeitnehmer für interne Verwaltungszwecke innerhalb des Konzerns ausdrücklich ein berechtigtes Interesse des Arbeitgebers darstellen.

Öffentlicher Bereich

Nicht zuletzt für Unternehmen, die für öffentliche Stellen tätig sind, spielt auch das Datenschutzrecht der öffentlichen Stellen eine Rolle. Gerade im Rahmen der Auftragsdatenverarbeitung für öffentliche Stellen wird dies oft übersehen. Nach Art. 6 Abs. 2 der DSGVO können die Mitgliedstaaten spezifischere Bestimmungen in Bezug auf die Verarbeitung von personenbezogenen Daten, die für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder die zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, beibehalten oder einführen. Bei der Verarbeitung von personenbezogenen Daten durch und für öffentliche Stellen spielt damit die DSGVO weitgehend keine praktische Rolle. Der Rechtsanwender kann sich daher am BDSG-neu und bei der Verarbeitung von personenbezogenen Daten durch öffentliche Stellen der Länder am jeweiligen Landesdatenschutzgesetz orientieren.

Datenschutzbeauftragter

Beim Datenschutzbeauftragten hat der deutsche Gesetzgeber sich für eine strengere Lösung als in der DSGVO vorgesehen entschieden. Während Art. 37 DSGVO die Benennung eines Datenschutzbeauftragten lediglich vorsieht, wenn die „Kerntätigkeit“ des Unternehmens die systematische Überwachung von personenbezogenen Daten oder die Verarbeitung besonderer Kategorien von Daten oder Daten über strafrechtliche Verurteilungen betrifft, sieht § 38 BDSG-neu vor, dass zusätzlich zu den Benennungsgründen gemäß Art. 37 DSGVO in Deutschland, wie bisher, ein Datenschutzbeauftragter benannt werden muss, wenn mindestens zehn Beschäftigte regelmäßig personenbezogene Daten automatisiert verarbeiten.

Scoring

Wie beim Beschäftigtendatenschutz sollte der Rechtsanwender auch beim Scoring seinen Blick auf das BDSG-neu richten. Auch diesen Bereich hat die DSGVO offengelassen und den Nationalstaaten zur Regelung überlassen. Art. 22 DSGVO regelt zwar – wie das deutsche Recht bisher auch –, dass Betroffene in für sie wichtigen Fällen nicht einer rein automatisierten Entscheidung über den Abschluss oder die Erfüllung eines Vertrags unterworfen werden dürfen; explizite Vorschriften zum Scoring enthält sie jedoch nicht. Für in diesem Bereich tätige Unternehmen ändert sich jedoch glücklicherweise nicht viel, da der einschlägige § 31 BDSG-neu die Regelungen des bisher geltenden § 28b BDSG weitestgehend fortschreibt.

Fazit

Zusammenfassend lässt sich festhalten, dass ab dem 25.05.2018 das Datenschutzrecht grundsätzlich durch die DSGVO geregelt ist, dass das BDSG-neu allerdings vereinzelt ganze Teilbereiche, wie den Beschäftigtendatenschutz, autonom regelt und ansonsten häufig eher Detailabweichungen bereithält. In allen anderen Bereichen, in denen die Mitgliedstaaten die Datenverarbeitung „lediglich“ beschränken oder das Schutzniveau senken dürfen, bleibt nichts anderes übrig, als mit Hilfe der Kombination beider Rechtsquellen zu einem Ergebnis zu kommen. In anderen praxisrelevanten Bereichen wie beispielsweise der Auftragsdatenverarbeitung im nichtöffentlichen Bereich ist einzig die DSGVO einschlägig.

rafael.hertz@kallan-legal.de

nils.gruske@kallan-legal.de