GDD: Datenschutzorganisation entbürokratisieren
Das Bundesministerium des Inneren hat am 23.11.2016 den Verbänden einen Gesetzentwurf zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung (DS-GVO) vorgelegt.
Datenschutz-Grundverordnung praxisgerecht ergänzen
Das Bundesministerium des Inneren hat am 23.11.2016 den Verbänden einen Gesetzentwurf zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung (DS-GVO) vorgelegt. Kernregelung ist die Neufassung des Bundesdatenschutzgesetzes.
Das BDSG-neu sieht zum einen die Übernahme der für die Wirtschaft relevanten Zulässigkeitsregelungen zum Beschäftigtendatenschutz (§ 32 BDSG), zur Datenübermittlung an Auskunfteien (§ 28a BDSG) und zum Scoring (§ 29 BDSG) vor. Auch für die Weiterverarbeitung von Daten werden auf Grundlage der Öffnungsklausel in Art. 6 Abs. 4 DS-GVO weitere Rechtsgrundlagen geschaffen.
Bestellpflicht für Datenschutzbeauftragte bleibt erhalten
Aus Sicht der GDD ist begrüßenswert, dass die Bestellvoraussetzungen für einen betrieblichen Datenschutzbeauftragten unverändert übernommen werden. Mit Blick auf seine unabhängige Aufgabenwahrnehmung wurde auch der besondere Kündigungsschutz übernommen.
Ebenso wurde auch die Schweigepflicht, die zugleich auch ein Schweigerecht ist, adaptiert.
Praxisgerechte Konkretisierungen der Transparenzpflichten
Von großer Bedeutung für die Datenschutzpraxis sind die Konkretisierungen der Transparenzpflichten der DS-GVO mit Blick auf die Praktikabilität des Datenschutzes. Nach Art. 13 DS-GVO hat der Verantwortliche bereits bei der Datenerhebung beim Betroffenen umfangreiche, detaillierte Informationspflichten. Insbesondere bei der Videoüberwachung sind diese schwer umsetzbar. Unter Berufung auf die Öffnungsklausel des Art. 23 DS-GVO sieht § 30 Abs. 3 Satz 2 BDSG-neu-E vor, dass bei der Videoüberwachung öffentlich zugänglicher Räume der Umstand der Beobachtung über Name und Kontaktdaten des Verantwortlichen durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen sind. Diese Vorgabe entspricht § 6b BDSG. Alle anderen Lösungen als der Standard durch ein Piktogramm wären nicht praktikabel und für diese spezifische Verarbeitungssituation nicht im Betroffeneninteresse. Auch das Korrektiv des § 30 Abs. 1 Nr. 3 BGSG-neu-E, wonach eine Informationspflicht bei der Weiterverarbeitung nicht besteht, wenn diese voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde, ist praxisgerecht, da anderweitig investigative Maßnahmen bei Verdacht von kriminellen Handlungen dem Betroffenen angekündigt werden müssten.
Sperrpflichten des BDSG werden übernommen
Das Recht auf Löschung soll in § 33 BDSG-neu-E auf die Sperrvorschriften des § 35 Abs. 3 BDSG zurückgeführt werden. Insofern wird aus der Einschränkung der Verarbeitung in Art. 18 DS-GVO, die nur als Betroffenenrecht ausgestaltet ist, eine ergänzende Pflicht des Verantwortlichen. Praxisrelevanz hat dieser Rückgriff auf das BDSG z.B. bei der Datensicherung. Sämtliche, z.T. umfangreiche Tages-, Wochen- und Monatssicherungen müssten für ein zu löschendes Datum mit großem administrativen Aufwand der IT korrigiert werden. Das wäre unverhältnismäßig. Konsequent ist auch die Beibehaltung der Sperrpflicht nicht nur bei gesetzlichen (geregelt Art. 17 Abs. 3 lit. b DS-GVO), sondern auch bei vertraglichen oder satzungsmäßigen Aufbewahrungspflichten. Dadurch werden Pflichtenkollisionen, auf die die Gesetzesbegründung zutreffend verweist, vermieden.
Auskunftspflichten an das BDSG angepasst
Die Beschränkungen des Auskunftsrechts nach Art. 15 DS-GVO hinsichtlich der Daten, für die eine Aufbewahrungspflicht besteht und entsprechend bei der Verarbeitung einzuschränken sind, haben ebenso die bestehende Rechtslage im Blick. Unverhältnismäßig wäre es, wenn Protokolldateien, die ausschließlich aus Gründen der Datensicherung und der Datenschutzkontrolle anfallen, beauskunftet werden müssten. Auch für widerstreitende Geschäftsgeheimnisse sieht die DS-GVO keine Beschränkung vor, sodass der nationale Gesetzgeber hier korrigierend eingreifen muss. Den Interessen der Betroffenen soll im Gegenzug dadurch Rechnung getragen werden, dass die Gründe der Auskunftsverweigerung zu dokumentieren und der Betroffene grundsätzlich darüber zu informieren ist.
Die geplanten Regelungen begrenzen zunächst den Aufwand für Unternehmen in Deutschland. Für europaweit tätige Konzerne, kann die Datenschutzorganisation hinsichtlich der Organisation der Betroffenenrechte zunächst nicht vereinheitlicht werden. Es bleibt deshalb zu hoffen, dass die anderen Mitgliedstaaten die deutschen Vorschläge wohlwollend prüfen und ggf. übernehmen. Der Zeitdruck für ein gesetzgeberisches Handeln ist jedenfalls vielfach dort nicht so groß, wie in Deutschland bedingt durch die Bundestagswahl im nächsten Jahr.
Den aktuellen Entwurf (vom 23.11.2016) des Datenschutz-Anpassungs- und -Umsetzungsgesetz finden Sie hier.