Die EU-Datenschutz-Grundverordnung (EU-DSGVO) 2016/679 wird am 25. Mai 2018 unmittelbar geltendes Recht in Deutschland. Die neue Datenschutzgrundverordnung gilt dann für alle Mitgliedstaaten der Europäischen Union und gewährleistet ein gleiches Recht für die Datenverarbeitung von natürlichen Personen. Die unmittelbar geltende Datenschutz-Grundverordnung enthält Bereiche, in denen das nationale Recht abweichen kann. Zur Anpassung an die Grundverordnung wurde eine Änderung des bisherigen Bundesdatenschutzgesetzes (BDSG) beschlossen. Hierzu hat die Bundesregierung im Februar einen entsprechenden Gesetzentwurf verabschiedet.
Anwendung des neuen BDSG
Angewendet wird das neue BDSG gemäß § 1 BDSG auf alle öffentliche und nichtöffentliche Stellen, die in irgendeiner Form personenbezogene Daten verarbeiten. Die EU-DSGVO bestimmt die Rechte der Betroffenen. Hierzu muss gemäß Art. 13 EU-DSGVO (§§ 32, 33 BDSG) eine betroffene Person über eine Datenverarbeitung informiert werden. Die betroffene Person muss die Daten hierzu nicht selbst herausgegeben haben.
Verstöße gegen das BDSG
Verstöße gegen das BDSG stellen eine Ordnungswidrigkeit dar und werden gemäß § 43 BDSG mit einer Geldbuße geahndet. Die Geldbuße kann je nach Verstoß aktuell bis zu 50.000 Euro oder bis zu 300.000 € betragen. Die Geldbuße soll dabei den durch den Verstoß erlangten wirtschaftlichen Vorteil übersteigen. Diese Maximalbeträge ändern sich mit dem neuen Datenschutzrecht erheblich: zukünftig liegt die Obergrenze bei 20 Mio € oder 4 % des weltweiten Jahresumsatzes einer verarbeitenden Stelle.
Verstöße gegen das Bundesdatenschutzgesetz liegen beispielsweise vor, wenn der Verbraucher nicht rechtzeitig und vollständig über die Erhebung der personenbezogenen Daten unterrichtet wurde, solche Daten ohne Zustimmung des Betroffenen verarbeitet oder übermittelt werden oder beispielsweise auch, wenn ein Auskunftsverlangen eines Verbrauchers nicht richtig (vorschriftsmäßig) behandelt wird. Der Betroffene kann seine Ansprüche auf Auskunft, Berichtigung, Sperrung oder Löschung gerichtlich einklagen.
Datenverarbeitungsanforderungen
Alle Daten dürfen nur erhoben werden, wenn ein eindeutiger, legitimer und festgelegter Zweck gegeben ist. Hierauf haben Verantwortliche und Auftragsverarbeiter zu achten. Auch müssen die erforderlichen technischen und organisatorischen Vorrichtungen getroffen werden, damit die Daten geschützt sind. Die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik haben die Verantwortlichen hierzu zu beachten.
Sind Daten unrichtig, weil sie beispielsweise nicht mehr aktuell sind, so müssen sie berichtigt werden. Ist die Richtigkeit der Daten bestritten, müssen sie gesperrt werden. Nach Zweckerfüllung sind personenbezogene Daten zu löschen. Nach derzeitigem Recht müssen die verarbeitenden Stellen umfangreiche Informationspflichten erfüllen, wie beispielsweise Aufklärung über den Zweck der Datenerhebung.
Nach dem neuen Datenschutzgesetz können diese Pflichten entfallen, wenn hiermit ein unverhältnismäßiger Aufwand verbunden wäre oder der gesamte Geschäftszweck gefährdet wäre. Unabhängig davon, dass hiermit eine Begründungspflicht der verarbeitenden Stelle einhergeht und somit der Aufwand im Grunde genommen voraussichtlich nur verschoben wird, dürfte ein solcher Fall nur sehr selten eintreten.
Auch lässt die EU-DSGVO bei den Pflichten wenig Spielraum, so dass abzuwarten bleibt, ob sich hier für die verarbeitenden Stellen tatsächlich etwas verändert. Dafür sind nach dem neuen Recht alle verantwortlichen Stellen zur Führung eines Verzeichnisses verpflichet, worin alle Kategorien der Verarbeitungstätigkeiten aufzuführn sind. Außerdem sollen aber im Arbeitsbereich zukünftig auch Betriebsvereinbarungen und Tarifverträge eine Grundlage für die Datenvereinbarung darstellen können.
Sensible Daten
Besondere Arten von personenbezogenen Daten (auch als sensible Daten bezeichnet) sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Eine Datenverarbeitung von solchen Daten ist gemäß Art. 9 EU-DSGVO grundsätzlich verboten. Verarbeitende Stellen dürfen solche Daten nur unter ganz bestimmten Voraussetzungen erheben. Möglich ist die Erhebung und Verarbeitung z. B. dann, wenn eine konkret auf die besondere Art der personenbezogenen Daten und der Art der Verwendung bezogene Einwilligung des Betroffenen vorliegt.
Scoring und Bonitätsauskünfte
Das Scoring ist gemäß § 31 BDSG zulässig. Hierzu müssen zur Berechnung des Scoringwerts genutzten Daten den Vorschriften des Datenschutzrechts entsprechen. Auch die Daten der Anschrift dürfen genutzt werden, wenn der Betroffene zuvor hierüber informiert worden ist.
Videoüberwachung
Öffentlich zugängliche Räume dürfen gemäß § 4 BSDG mit Videotechnik überwacht werden. Hierzu genügt als Voraussetzung die Aufgabenerfüllung einer öffentlichen Stelle, die Wahrnehmung berechtigter Interessen oder auch die Wahrnehmung des Hausrechts. Bei der Wahrnehmung berechtigter Interessen dürfen die Interessen der Betroffenen nicht schutzwürdiger sein. Können die durch Videoüberwachung erhobenen Daten einer bestimmten Person zugeordnet werden, dann muss die betroffene Person über die Datenverarbeitung informiert werden. Die Videoüberwachung muss mit den verantwortlichen Kontaktdaten erkennbar sein. Tiefgreifende Änderungen sind nach dem neuen Bundesdatenschutzgesetz hierbei nicht geplant.
Auftragsverarbeitung
Nach neuem Recht haftet der Auftraggeber als Verantworlticher für die im Datenschutzrecht niedergelegten Pflichten. Er kann sich somit nicht darauf berufen, dass er selbst die Daten nicht erhoben oder verarbeitet hat, wenn dies in seinem Auftrag geschieht. Der Betroffene muss seine Rechte in dem Fall gegen den Verantworltichen Auftraggeber geltend machen. Die Aufgaben und datenschutzrechtlichen Verantwortlichkeiten können in einem Vertrag festgelegt werden. Betroffene Personen haben ein Auskunftsrecht und auch ein Recht auf Berichtigung oder Löschung. Ein Schadensersatzanspruch gegenüber dem Verantwortlichen bleibt den betroffenen Personen auch vorbehalten.
Fazit
Auch das neue BDSG ist wieder sehr komplex ausgelegt. An die Umsetzung in gesetzeskonformer Form sollten sich die Betroffenen halten, weil die Verstöße geahndet werden, zumal hier zukünftig deutlich höhere Geldbußen drohen können, als bisher. Darüber hinaus haben die Betroffenen einen Klageanspruch auf Einhaltung und ggf. auch auf Schadensersatz. Durch die Neuregelung wurde der gesetzgeberische Handlungsspielraum in Deutschland vollumfänglich ausgeschöpft. Inwieweit die Neuregelungen auch EU-konform sind, wird die Zukunft zeigen. Immerhin könnte eine Überbeanspruchung des eingeräumten Regelungsbereiches zu einem Vertragsverletzungsverfahren der EU-Kommission führen. Insbesondere sind den deutschen Behörden und Gerichten die Hände in der Anwendung des neuen BDSGes gebunden, wenn sie die Regelungen für EU-rechtswidrig halten. Darüber hinaus führt eine Überreizung des Regelungsrahmens auch immer wieder zu Rückfragen und Unklarheiten bei deutschen Unternehmen, die das Gesetz anwenden sollen.