Teil 2: Das BDSG-NEU
Neues Bundesdatenschutzgesetz (BDSG-NEU) ergänzt die Datenschutzgrundverodnung (DSGVO)

Wie die DSGVO, tritt auch das BDSG-neu am 25.05.2018 in Kraft. Das BDSG-neu füllt vor allem die in der DSGVO enthaltenen Öffnungsklauseln aus. Im Zusammenspiel der beiden neuen Rechtsnormen genießt die DSGVO Vorrang; das BDSG-neu greift nur dort und insoweit, wie die Bestimmungen der DSGVO ergänzungsbedürftig oder zumindest ergänzungsfähig sind. Folgende Neuerungen durch das BDSG-neu sind für Unternehmen relevant:
 

Videoüberwachung

§ 4 BDSG-neu erlaubt – wie das bisherige BDSG auch – die Videoüberwachung für private Zwecke nicht-öffentlicher Stellen, also privater Unternehmen, etwa zur Abwehr von Diebstählen im Rahmen der Wahrnehmung des Hausrechts. Umstritten ist aber, ob § 4 BDSG-neu insoweit überhaupt unionsrechtskonform ist. Die Öffnungsklausel in der DSGVO bezieht sich nämlich nur auf die Videoüberwachung öffentlicher Stellen. Der deutsche Gesetzgeber hätte nach derzeitig herrschender Meinung die Regelungen für nicht-öffentliche Stellen nicht erlassen dürfen, sondern es müsste auf die Legitimationstatbestände in Art. 6 Abs. 1 DSGVO zurückgegriffen werden. Inhaltlich dürfte aber auch im Falle der Feststellung einer Unionsrechtswidrigkeit die Videoüberwachung im bisherigen Rahmen – unabhängig von der konkreten Verortung der Rechtsgrundlage – zulässig sein.

 

Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 9 Abs. 1 DSGVO untersagt grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten, im Besonderen die Verarbeitung von genetischen und biometrischen Daten und allgemeinen Gesundheitsdaten, nennt aber Ausnahmen hierzu und sieht eine Öffnungsklausel vor. Davon hat der deutsche Gesetzgeber mit § 22 BDSG-neu Gebrauch gemacht. Insbesondere Unternehmen im Gesundheitswesen haben daher auch weiterhin die Möglichkeit, Patientendaten zu verarbeiten.

 

Zweckändernde Datenverarbeitung

Nach § 24 BDSG-neu dürfen Unternehmen in zwei Fällen eine Datenverarbeitung vornehmen, auch wenn diese von dem ursprünglichen Zweck, zu dem die Daten erhoben wurden, abweicht. Bei den zwei Fällen handelt es sich zum einen um eng zu verstehende Zwecke der Gefahrenabwehr und der Verfolgung von Straftaten und zum anderen um die Möglichkeit der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche.

 

Arbeitnehmerdatenschutz

Der Arbeitnehmerdatenschutz ist in § 26 BDSG-neu geregelt. Für die Praxis wichtig ist § 26 Abs. 1 und 4 BDSG, nach dem erstmals Kollektivvereinbarungen (Tarifverträge, Betriebsvereinbarungen und Dienstvereinbarungen) als Legitimationsinstrument für eine Datenverarbeitung herangezogen werden können.  Neu ist außerdem § 26 Abs. 2 BDSG-neu, der die Anforderungen an eine Einwilligung in die Datenerhebung/-verwendung im Beschäftigungsverhältnis regelt. Grundsätzlich wird eine solche Einwilligung aufgrund des Abhängigkeitsverhältnisses und der fehlenden Freiwilligkeit als problematisch angesehen. Nach § 26 Abs. 2 BDSG-neu ist von der Freiwilligkeit jedenfalls dann auszugehen, wenn der Arbeitnehmer einen Vorteil erlangt. Als Beispiel nennt die Gesetzesbegründung die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder die Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen.

 

Prozedurale Betroffenenrechte

a) Einschränkung der Informationspflicht

§ 32 BDSG-neu regelt Einschränkungen der Informationspflicht gemäß Art. 13 DSGVO in Bezug auf die Erhebung von personenbezogenen Daten gegenüber der betroffenen Person. Die Informationspflicht, die sich aus Art. 13 DSGVO ergibt, bestimmt, welche Informationen der betroffenen Person im Zusammenhang mit der Verwendung ihrer Daten mitgeteilt werden müssen (z.B. Name des Datenerhebers, Zweck der Datenerhebung, Dauer der Speicherung der Daten). Nach § 32 BDSG-neu kann die Informationspflicht begrenzt werden bei einer Weiterverarbeitung, deren Zweck mit dem ursprünglichen Erhebungszweck vereinbar ist und bei der sich der Datenerheber unmittelbar an die betroffene Person wendet. Durch diese Eingrenzung wird dem Schutzinteresse der betroffenen Person Rechnung getragen, da sie als Adressat der Weiterverarbeitung Kenntnis von der Weiterverarbeitung bekommt und sich gegen diese etwa mittels Widerspruch zur Wehr setzen kann. Beschränkungen der Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, sieht § 33 BDSG-neu vor. Die Informationspflicht greift danach dann nicht ein, wenn die Information der betroffenen Person die Durchsetzung zivilrechtlicher Ansprüche beeinträchtigen würde oder die Datenverarbeitung bei zivilrechtlichen Verträgen zur Verhütung von Schäden durch Straftaten (z.B. Betrugspräventionsdateien der Wirtschaft) dient.

 

b) Ausnahme vom Auskunftsrecht des Betroffenen

§ 34 BDSG nennt Ausnahmen vom Auskunftsrecht. Die betroffene Person hat kein Recht auf Auskunft der über sie gespeicherten Daten, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen bzw. ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen. Vertragliche Aufbewahrungspflichten genügen hingegen nicht. Es müssen zusätzlich geeignete technische und organisatorische Maßnahmen getroffen werden, um eine andere Verwendung der Daten auszuschließen. § 34 BDSG-neu sieht eine Dokumentationspflicht für die Gründe der Auskunftsverweigerung vor.
 

c) Beschränkung der Löschung

Das Recht auf Löschung wird durch § 35 BDSG-neu beschränkt. Dessen Anwendungsbereich beschränkt sich auf Fälle nicht-automatisierter Datenverarbeitung, wie Archivierungen in Papierform. Wenn eine Löschung nicht oder nur mit unverhältnismäßigem Aufwand durchführbar wäre, steht dem Betroffenen kein Löschungsrecht zu.

 

Zur Umsetzung der gesetzlichen Vorgaben zum Datenschutz hat W+ST eine angemessene Konzeption sowie eine Vorgehensweise zur Implementierung entwickelt, welche wir unseren Mandanten anbieten, um sie bei der Einhaltung der neuen gesetzlichen Regelungen zu unterstützen. Dabei setzen wir ein IT-Tool ein, welches es ermöglicht die Prozessaufnahme zu dokumentieren und den gesetzlich mindestens jährlich geforderten Datenschutzbericht zu erstellen (Verfahrensverzeichnis).

ANSPRECHPARTNER

Kerstin Kiefer
W+ST Rechtsanwaltsgesellschaft mbH

Telefon: 0 68 31 / 76 2 0
E-Mail: Schreiben Sie mir