DSGVO – Entwurf für deutsches Umsetzungsgesetz
Ende November ist der Referentenentwurf eines neuen Allgemeinen Bundesdatenschutzgesetzes (ABDSG-RefE) des Bundesministeriums des Innern (BMI) veröffentlicht worden, mit dem der sich aus den Anforderungen der ab 25. Mai 2018 für alle Unternehmen verbindlich geltenden EU-Datenschutz-Grundverordnung (DSGVO) ergebende gesetzliche Anpassungsbedarf erfüllt werden soll. Im August wurde ein erster Referentenentwurf des ABDSG in einer vorläufigen Arbeitsversion des BMI geleakt und kurze Zeit später zurückgezogen.
Ungeachtet der grundsätzlich angestrebten Vollharmonisierung sieht die DSGVO für verschiedene Regelungsbereiche Öffnungsklauseln vor, die es den Mitgliedstaaten ermöglichen, die Vorschriften der DSGVO durch nationale Regelungen zu konkretisieren, zu ergänzen oder abzuändern. Öffnungsklauseln bestehen etwa für den praxisrelevanten Beschäftigtendatenschutz (vgl. Art. 88 DSGVO), die Frage der verpflichtenden Bestellung eines betrieblichen Datenschutzbeauftragten (Art. 37 Abs. 4 DSGVO), der von Unternehmen gegenüber Betroffenen zu erteilenden Informationen oder der Höhe von Bußgeldern gegen natürliche Personen (Art. 84 DSGVO).
Zu den für Unternehmen relevanten Neuerungen zählen dabei u.a. folgende Aspekte:
- Beschäftigtendatenschutz: § 24 BDSG-RefE, der den Umgang mit personenbezogenen Daten von Beschäftigten regelt, entspricht im Wesentlichen der bislang geltenden Vorschrift zum Beschäftigtendatenschutz (§ 32 BDSG). Klargestellt wird zudem, dass datenschutzrechtliche Regelungen im Beschäftigungskontext weiterhin mittels Betriebsvereinbarungen getroffen werden können. Ob die Bestimmung insgesamt den Vorgaben der DSGVO standhält, bleibt indes abzuwarten.
- Informationsrechte der Betroffenen: Die DSGVO sieht gegenüber der bisherigen Rechtslage erweiterte Betroffenenrechte hinsichtlich Information und Auskunft durch Unternehmen vor. In seinen §§ 30 ff. schränkt der ABDSG-RefE diese Rechte wiederum ein, indem es Unternehmen von ihren Informationspflichten gegenüber den Betroffenen befreit, etwa wenn die Erteilung der Information einen „unverhältnismäßigen Aufwand“ erfordern oder die Ziele der Datenverarbeitung ernsthaft beeinträchtigen würde. Auch hier ist fraglich, ob die Neuregelung unter der DSGVO Bestand haben oder durch die Gerichte für ungültig erklärt wird.
- Betrieblicher Datenschutzbeauftragter: Schließlich bestimmt § 36 ABDSG-RefE, dass Unternehmen wie bislang verpflichtet sind, einen betrieblichen Datenschutzbeauftragten (bDSB) zu bestellen, wenn sie zehn oder mehr Beschäftigte haben, die ständig personenbezogene Daten verarbeiten. Gleiches gilt u.a. für Unternehmen, die Datenverarbeitungen ausführen, die eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) erfordern.
- Bußgelder: Die DSGVO sieht bei Datenschutzverstößen drastisch erhöhte Bußgelder bis hin zu EUR 20 Mio. oder 4 Prozent des weltweiten Umsatzes des vorigen Geschäftsjahres vor. Der ABDSG-RefE sieht für Datenschutzverstöße, die jemand in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter begeht, zusätzlich persönliche Bußgelder mit den bislang geltenden Höchstgrenzen von EUR 300.000 vor.
Insgesamt dürfte der auf den ersten Blick aus Sicht der Wirtschaft größtenteils erfreuliche ABDSG-RefE für Unternehmen nicht unproblematisch sein. Diese müssen nämlich in der ohnehin knapp bemessenen Umsetzungszeit entscheiden, ob sie für die unternehmensinterne Planung und Umsetzung des neuen europäischen Datenschutzrechts bis Mai 2018 die niedrigeren, aber angesichts möglicher Unwirksamkeit unter der DSGVO wenig rechtssicheren Standards des ABDSG, oder die hohen, aber rechtssicheren Anforderungen der DSGVO zugrunde legen. Dies bedeutet eine nicht unerhebliche Rechtsunsicherheit. Allerdings bleibt abzuwarten, ob der ABDSG-RefE in seiner zweiten Fassung unverändert verabschiedet und damit tatsächlich Gesetz wird.
Dr. Marc Hilber