Datenschutzgesetz Deutschland

In Teil 1 finden die allgemeinen Vorschriften Anwendung, und zwar ungeachtet dessen, ob die Verarbeitung für die Zwecke der Datenschutzverordnung, der Datenschutzrichtlinie für die Bereiche Kriminalität und Recht oder für Zwecke stattfindet, die nicht unter diese beiden Instrumente des Unionsrechts fallen. Dabei geht es beispielsweise um die Verarbeitung von Daten im Rahmen der staatlichen Sicherstellung. Zusätzliche Vorschriften zur Grundverordnung zum Datenschutz sind unter anderem in Teil 2 enthalten:

Darüber hinaus gibt es Vorschriften über die Rechte der betroffenen Personen und Verfahrensregeln für Geldstrafen bei Verstoß gegen die Grundverordnung zum Datenschutz. Der Teil 3 der Richtlinie zur Datensicherheit Polizeibeamte und Justizverwaltung ist, soweit dies nicht im technischen Recht separat geregelt ist. Dieser Abschnitt umfasst neben den allgemeinen Vorschriften zur Verarbeitung von Daten auch Vorschriften über die Rechte der betroffenen Personen, über die Verpflichtungen der Zuständigen und über die Übermittlung von Daten in Drittländer.

Der Teil 4 der Neufassung des BDSG und die anderen Abschnitte des Gesetzesentwurfs beinhalten spezifische Vorschriften für die Datenverarbeitung, die nicht durch die beiden oben erwähnten EU-Instrumente abgedeckt sind.

Mit dem neuen Datenschutzgesetz wurde die

Hinter der neuen Version des BDSG stehen umfangreiche Veränderungen im Bereich des deutschen Datenschutzrechts: Die DSGVO beinhaltet rund 70 Aufklauseln. Dies sind teils optionale, teils verbindliche Vorschriften, die eine Regelung bestimmter Datenschutzfragen auf einzelstaatlicher Ebene vorschreiben oder ermöglichen. Gegenstand der Eröffnungsklauseln sind z.B. die Gesetzmäßigkeit der Verarbeitung, die Beschränkung der Rechte der betroffenen Personen, die Auftragsbearbeitung, die Verpflichtung zur Ernennung eines Beauftragten für den Datenschutz, die Vorschriften über die Kontrollstellen und die Verarbeitung von Daten in speziellen Bearbeitungssituationen, z.B. im Rahmen von Mitarbeitern oder im Rahmen der Meinungsäusserung und des Informationsfreiraumes.

Von diesen Eröffnungsklauseln hat der Bundesgesetzgeber in großem Umfang Gebrauch gemacht: Das neue BDSG erweitert, vergegenständlicht und ändert die DSGVO in verschiedenen Fachbereichen (siehe unten). Das neue BDSG basiert auf einem national ausgerichteten und wirtschaftsfreundlichen Konzept der Regierung. Man kann davon ausgehen, dass der Parlamentarier der vielfach geäußerten Vorwürfe widersprechen wollte, dass die strikten staatlichen Datenschutzvorschriften die innovativen digitalen Geschäftschancen und den Standort Deutschland beeinträchtigen.

Datenschutz-Experten haben sich besorgt darüber gezeigt, ob der dt. gesetzgeberische Rahmen die in den Eröffnungsklauseln des DSGVO niedergelegten Gesetzgebungsbefugnisse mit einigen Vorschriften übertroffen hat. Vor allem einige Vorschriften, die die Forderungen der DSGVO einschränken (siehe Nr. VI), wurden kritisiert. Zahlreiche Rezensenten gehen - anders als der Parlamentarier - davon aus, dass diese nicht durch die Eröffnungsklauseln in den §§ 23 und 9 Nr. 3 DSGVO abgedeckt sind.

Für Manager und Verarbeiter bedeutet dies eine gewisse Unsicherheit: Die DSGVO ist eine übergeordnete EU-Kommission. Die nationalen Datenschutzbestimmungen müssen daher mit der DSGVO übereinstimmen. Außerdem droht die Möglichkeit, dass Gerichten und Kontrollbehörden die Vorschriften nicht einhalten, weil sie sie für gegen das europäische Recht verstoßen. Die weitgehende Nutzung der Eröffnungsklauseln durch die EU-Mitgliedstaaten birgt das Verlustrisiko, dass auch in Zukunft eine Fülle von unterschiedlichen nationalen Datenschutzbestimmungen zu berücksichtigen sind.

Ausgenommen sind die Bestimmungen des neuen BDSG, soweit die DSGVO direkt anwendbar ist (§ 1 (5) neues BDSG). Denn die DSGVO hat als EU-Verordnung gegenüber dem nationalen Recht Priorität. Sofern sie Verordnungen erlässt, sind diese schlüssig, eigene Verordnungen der EU-Mitgliedstaaten sind nicht erlaubt (Art. 4 des Vertrags über die Arbeitsweise auf dem Gebiet der EU (AEUV)).

Erst wenn und soweit die DSGVO Datenschutzfragen nicht reguliert oder Eröffnungsklauseln beinhaltet (siehe Nr. 1), haben die EU-Mitgliedstaaten die Möglichkeit, ihre eigenen Datenschutzfragen zu regulieren. Insofern die besonderen Bestimmungen des neuen BDSG in den Geltungsbereich der Eröffnungsklauseln der DSGVO fallen, werden diese vorangestellt. Besondere Vorschriften, die in einzelnen Aufstellungen Datenschutzfragen regulieren, z.B. im TMG, TKG, GwG oder EnWG, haben gegenüber den allgemeinen Vorschriften des neuen BDSG Priorität, wenn sie die selben Tatsachen regelm.

Diese Vorschriften müssen aber auch dem übergeordneten EU-Recht entsprechen, wie z.B. der DSGVO, der EU-Richtlinie 2016/680 (EU-Datenschutzrichtlinie für Polizei und Justiz), der EU-Richtlinie 2002/58/EG (E-Datenschutzrichtlinie) und der im EU-Gesetzgebungsprozess befindli. Daher werden viele Sonderregelungen durch den Bundesgesetzgeber zurzeit umgestellt. Mit dem neuen BDSG werden sowohl öffentlich-rechtliche (z.B. Behörden) als auch nichtöffentliche Einrichtungen angesprochen.

Nichtöffentliche Einrichtungen sind physische und rechtliche Körperschaften, Unternehmungen und andere Vereinigungen von Privatpersonen, z.B. Personengesellschaften (§ 2 Abs. 4 und 5 BDSG-neu). Die Vorschriften für öffentliche Einrichtungen sind zwar sehr umfangreich, aber das neue BDSG enthält nur wenige konkrete Vorschriften, die privatwirtschaftliche Betriebe einhalten müssen. Im Falle von privatwirtschaftlichen Betrieben ist der Umfang wie folgt: nicht automatisierte Bearbeitung (z.B. manuelles Bearbeiten, Papierakten) von personenbezogenen Plänen, die in einem Filesystem abgelegt sind oder aufbewahrt werden sollen.

Die Datenverarbeitung im Zusammenhang mit persönlichen oder familiären Aktivitäten ist aus dem materiellen Einsatzbereich des Bundesdatenschutzgesetzes ausgeschlossen. Räumlich gesehen ist das neue BDSG gemäß 1 Abs. 4 des Bundesdatenschutzgesetzes auf Verarbeiter und Auftragnehmer anzuwenden, die keine Zweigniederlassung in der EU/EWR haben, aber in den Erfassungsbereich der DSGVO gehören (§ 1 Abs. 1 Nr. 1) 3).

Das neue BDSG gilt damit auch für Privatunternehmen, die weder eine Zweigniederlassung in Deutschland haben noch persönliche Angaben in Deutschland bearbeiten, sondern beispielsweise Waren oder Leistungen in Deutschland bereitstellen oder das Handeln der betroffenen Menschen in Deutschland verfolgen (Marktplatzprinzip, vgl. § 3 Abs. 2 DSGVO). Zur Sicherstellung der grenzüberschreitenden Umsetzung der Datenschutzanforderungen sind die EU-Kommission und die Kontrollbehörden nach Artikel 50 DSGVO verpflichtet, Massnahmen zur Entwicklung von Verfahren für die grenzüberschreitende Kooperation (insbesondere Kooperation zwischen den Kontrollbehörden, Strafverfolgung in Drittländern) zu treffen, die gegenseitiger internationaler Verwaltungshilfe im Datenschutzbereich (z.B. Berichterstattung, administrative Unterstützung bei Ermittlungen, Informationsaustausch auf der Grundlage von Absprachen zwischen Kontrollstellen wie Memoranden of Understanding) zu verstärken, die politi-sche Beteiligung von Schlüsselakteuren sicherzustellen und den wechselseitigen Aus- und Dokumentations fluss zu begünstigen.

Im ersten und zweiten Teil des neuen BDSG sind Vorschriften für Privatunternehmen festgelegt (siehe Abschnitt 1). Sie lassen sich unterteilen in Vorschriften, die die Erfordernisse der DSGVO vervollständigen und spezifizieren (siehe Nr. 2) und Vorschriften, die die Erfordernisse der DSGVO einschränken (siehe Nr. 3). Die neue BDSG besteht aus vier Teilen:

Bei Privatunternehmen sind die §§ I ( "Anwendungsbereich"), II ( "Definitionen"), 4 ( "Videoüberwachung allgemein zugänglicher Räume") und 20 ( "Rechtsschutz") des ersten Teiles des BDSG sowie des gesamten zweiten Teiles von besonderer Bedeutung. Wichtigste Vorschriften für nicht-öffentliche Einrichtungen sind die datentechnische Verarbeitung im Beschäftigungsbereich (§26 BDSG-neu), die Verpflichtung zur Ernennung eines Beauftragten für den Datenschutz (§38 BDSG-neu) sowie die Vorschriften über Bonitäts- und Bonitätsinformationen (§30 BDSG-neu) und Verbraucherkredite.

42 Bundesdatenschutzgesetz -neu beinhaltet strafrechtliche Bestimmungen, 43 Bundesdatenschutzgesetz -neu strafrechtliche Bestimmungen. Nachfolgend werden diese Vorschriften kurz beschrieben: Der Inhalt von 26 TDSG-neu ist zum Teil aus 32 des ehemaligen BDSG-alt bekannt. Damit wurde die Datenverarbeitung zur Begründung, Erfüllung und Kündigung eines Arbeitsverhältnisses und zur Feststellung von strafbaren Handlungen in 26 Abs. 1 S. 1 S. 1 BDSG-neu nahezu wortgetreu umgestellt.

26 (4) Das Bundesdatenschutzgesetz präzisiert auch, dass die Datenverarbeitung auch auf der Basis von Tarifverträgen durchgeführt werden kann. 26 Abs. 3 GDSG-neu erlaubt die Datenverarbeitung spezieller Datenkategorien (z.B. gesundheitliche Angaben, gewerkschaftliche Zugehörigkeit, Volkszugehörigkeit, Religion) zur AusÃ??bung von Rechten und Pflichtempfehlungen des Arbeitsrechts, des Sozialversicherungsrechts und des Sozialschutzrechts.

26 Abs. 2 BDSG-Neu enthält darüber hinaus Vorgaben, wann die Zustimmung im Anstellungsverhältnis gültig ist. So wird der frühere Rechtsstreit darüber, ob die Zustimmung im Anstellungsverhältnis überhaupt effektiv sein kann oder ob der erforderliche freiwillige Charakter nicht vorhanden ist (vgl. Beschluss des BAG vom 11. Dezember 2014, 8 AZR 1010/13), durch die neuen Rechtsvorschriften aufgehoben.

Darüber hinaus ist der Mitarbeiter in schriftlicher Form über die Zweckbestimmung der Verarbeitung und sein Widerspruchsrecht gemäß § 7 Abs. 3 DSGVO zu informieren. Im Hinblick auf die Verpflichtung zur Ernennung eines Beauftragten für den Datenschutz hat sich der Parlamentarier auch an den früheren Erfordernissen des alten BDSG ausgerichtet und entspricht nicht den allgemeinen Erfordernissen des § 37 DSGVO.

Gemäß 38 Bundesdatenschutzgesetz müssen die Verantwortlichen und Auftragnehmer einen Beauftragten für den Datenschutz im Unternehmen benennen, wenn in der Regel mind. 10 Mitarbeiter mit der autom. automat. Bearbeitung von personenbezogenen Merkmalen betraut sind. Auch wenn das persönliche Limit nicht überschritten wird, die Bearbeitung aber besonders riskant ist und daher einer Datenschutzfolgenabschätzung unterzogen wird oder die gewerbliche Nutzung zum Zwecke der (auch anonymen!) Weitergabe oder der Markt- und Meinungsforschung erfolgt, ist ein Beauftragter für den Datenschutz zu errichten.

31 Das Bundesdatenschutzgesetz legt fest, unter welchen Bedingungen Scoring-Werte und Bonitätsinformationen über physische Personengruppen genutzt werden dürfen, z.B. um über die Aufnahme, Erfüllung oder Auflösung eines Arbeitsverhältnisses zu entscheiden. Gemäß 31 Abs. 1 Bundesdatenschutzgesetz dürfen Scoring-Werte nur dann herangezogen werden, wenn die datenschutzrechtlichen Bestimmungen beachtet werden, der Messwert auf einem naturwissenschaftlich gesicherten mathematisch-statistischen Messverfahren basiert und Adressangaben nicht die einzige Grundlage für die Ermittlung des Scoring-Wertes sind.

Gemäß 31 Abs. 2 DSG-neu erfordert die Nutzung von Bonitätsinformationen, dass die im vorigen Abs. 1 genannten Anforderungen erfüllt sind und nur gewisse Ansprüche beachtet werden, d.h. 30 Abs. 2 DSGVO ist für Unternehmer von Bedeutung, die Verbraucherkreditverträge oder finanzielle Unterstützung für Konsumenten bereitstellen. 42 Bundesdatenschutzgesetz -neu beinhaltet - wie auch 44 Bundesdatenschutzgesetz - strafrechtliche Bestimmungen.

Sie sind jedoch deutlich erleichtert und verkürzt worden: Gemäß 42 Abs. 1 Bundesdatenschutzgesetz kann eine Gefängnisstrafe von bis zu drei Jahren oder eine Geldbuße gegen diejenigen ausgesprochen werden, die unbefugt persönliche Angaben vieler Menschen an Dritte weitergeben oder auf eine andere Form der Zugänglichmachung dieser Angaben, die zu kommerziellen Zwecken nicht allgemein zugänglich ist.

Gegenüber Menschen, die gegen Bezahlung mit der Absicht der Anreicherung oder Beschädigung unzulässig schwer zugänglich sind, können Freiheitsstrafen von bis zu zwei Jahren auferlegt werden. Neben den Betreffenden sind auch der Betreuer, der Datenschutzbeauftragte und die Kontrollbehörden zur Einreichung einer Strafanzeige ermächtigt. 43 Bundesdatenschutzgesetz (BDSG-neu) beinhaltet eine Geldbuße für Datenschutzverletzungen im Rahmen von Datenschutzverpflichtungen für Verbraucherkredite in 30 Ausnahmen.

Außerdem werden sich die Bußgeldrückstellungen, wie vorstehend erläutert, in Zukunft im Wesentlichen unmittelbar aus der DSGVO ableiten (§ 83 DSGVO). Darüber hinaus ist die Überwachung allgemein zugänglich gemachter Räumlichkeiten durch Videoüberwachungsanlagen reguliert (§ 4 BDSG-neu). Der neue 4 Abs. 1 S. 2 Bundesdatenschutzgesetz (BDSG-neu), nach dem der Schutze von Menschen, die sich in den dort erwähnten Gemeinschaftsräumen aufhalten, grundsätzlich eine Bildüberwachung begründet, muss bei der Gewichtung von Erwägungen berücksichtigt werden.

Die §§ 20 und 44 BDSG-nu beinhalten Verfahrensregeln. Zuständiges Fachgericht ist das Fachgericht, in dessen Amtsbezirk die Überwachungsbehörde ihren Hauptsitz hat (§ 20 BDSG-neu). Gemäß 44 Bundesdatenschutzgesetz ist das zuständige Landesgericht an dem Standort der Zweigniederlassung der verantwortlichen Stelle oder des Verarbeiters oder an dem Standort, an dem die betreffende Stelle ihren ordentlichen Wohnsitz hat, für Zivilklagen der Betroffenen gegen Betreuer und Auftragnehmer örtlich und örtlich zuständiges Recht.

Die EU-Vertretung (Art. 27 DSGVO) ist für Gesellschaften, die keine Zweigniederlassung in der EU haben, zur Erbringung von Dienstleistungen berechtigt. Das neue BDSG beinhaltet darüber hinaus eine Reihe von Bestimmungen, die die Vorgaben der DSGVO eingrenzen. Beispielsweise entfällt das Informationsrecht nach 34 Abs. 1 Bundesdatenschutzgesetz, wenn die Speicherung nur für gesetzliche oder gesetzliche Aufbewahrungsfristen oder zum Zwecke der Datensicherheit oder des Datenschutzes erfolgt und die Bereitstellung von Informationen einen unverhältnismäßig hohen Arbeitsaufwand erfordert.

Allerdings ist in diesen FÃ?llen darauf zu achten, dass eine Weiterverarbeitung der Angaben zu anderen Verwendungszwecken durch technisch und organisatorisch bedingte MaÃ?nahmen auszuschlieÃ?lich ist. Gemäß 35 Bundesdatenschutzgesetz (BDSG-neu) ist das Recht auf Löschungen beschränkt, wenn bei einer nicht automatisierten oder automatisierten Weiterverarbeitung die Löschbarkeit nur mit unverhältnismäßigem Zeitaufwand und das Löschinteresse als niedrig einzustufen ist, wenn davon ausgegangen werden kann, dass die Belange der schützenswerten Person durch die Löschungen gefährdet sind oder wenn der Löschungen gesetzliche oder vertragsgemäße Aufbewahrungsfristen widersprechen.

22 und 24 DSGVO-neu ergänzen die Einsatzmöglichkeiten der DSGVO, um spezielle Arten von personenbezogenen Merkmalen zu bearbeiten und um solche zu anderen als den beabsichtigten Verwendungszwecken zu verwenden. 22 Bundesdatenschutzgesetz -neu ergänzt die Verarbeitungsmöglichkeiten spezieller Personenkategorien, z.B. auf der Grundlage von Sozialschutz- und Sozialversicherungsrechten ( 22 Abs. 1 Nr. 1 BDSG-neu), Gesundheitsversorgung, medizinischer Diagnose, Gesundheits- und Sozialfürsorge oder eines Vertrags mit einem Heilberufler (22 Abs. 1 Nr. 2 BDSG-neu) oder aus Gründen des Gemeinwohls ("22 Abs. 1 Nr. 3 BDSG-neu").

Gemäß 24 Bundesdatenschutzgesetz soll die Verarbeitung zu anderen als den ursprünglichen Verwendungszwecken über die Bestimmungen des 6 Abs. 4 DSGVO hinaus gestattet werden, wenn es zur Abwendung von Gefährdungen der öffentlichen Ordnung oder zur Strafverfolgung oder zur Durchsetzung, Wahrnehmung oder Abwehr von Zivilforderungen notwendig ist.

27 Abs. 1 S. 1 S. 1 BDSG-neu gestattet die Verwendung spezieller Personenkategorien für wissenschaftliche und historische Forschungszwecke und statistische Zwecke ohne Zustimmung der betroffene Person, sofern die Zinsen für die Bearbeitung deutlich höher sind als die der betroffene Person. Für die Bearbeitung der eingegebenen Informationen sind die in 22 Abs. 2 und 27 Abs. 3 BDSG neu beschriebene besondere technische und organisatorische Schutzvorkehrungen zu treffen (z.B. separate Ablage der Zuordnungsmerkmale, frühestmögliche Anonymisierung).

Nicht nur für dt. Gesellschaften ist das neue BDSG anwendbar (siehe Abschnitt III). Ausländische Gesellschaften müssen prüfen, ob sie in den geografischen Geltungsbereich des neuen BDSG fällt und ob sie dessen Bestimmungen einhalten müssen. Hauptkritikpunkte der Datenschutzbeauftragten sind Vorschriften, die die Vorgaben der DSG-Verordnung beschränken (siehe Abschnitt VI). Andererseits ist es wahrscheinlich, dass die Implementierung von Vorschriften, die die DSGVO vervollständigen und spezifizieren, einer größeren Stabilität und Sicherheit unterworfen ist.

Dazu gehört vor allem die Verarbeitung der Daten im Rahmen der Mitarbeiter ( 26 BDSG-neu) und die Ernennung eines Beauftragten für den Datenschutz (38 BDSG-neu). Daneben können je nach Geschäftsbereich weitere Sonderregelungen des BDSG neu zu berücksichtigen sein, z.B. die Verarbeitung von Daten im Rahmen von Punktestand, Bonitätsinformationen und Verbraucherkrediten ( 31, 30 BDSG neu), die Fernüberwachung von öffentlichen Einrichtungen ( 4 BDSG neu) oder die Verarbeitung von Daten für wissenschaftliche oder historische Forschungszwecke und statistische Zwecke.

Im Hinblick auf die Vorschriften zur Beschränkung der DSGVO sollten die damit verbundenen Gefahren evaluiert und evaluiert werden. Die DSGVO enthält gemäß Abschnitt III die wesentlichen Datenschutzbestimmungen und -vorgaben. Weil sowohl die DSGVO als auch das neue BDSG ab dem Stichtag des Jahres 2016 Anwendung finden, ist der Umsetzungszeitplan gleich.

Daher ist es ratsam, die Implementierung der DSGVO und der für Ihr Haus maßgeblichen Bestimmungen des Bundesdatenschutzgesetzes in einem Bündel anpacken. Durch die DSGVO und nun auch das Bundesdatenschutzgesetz stehen die wesentlichen Leitlinien des künftigen Datenschutzgesetzes zur Verfügung. Die DSGVO und das Bundesdatenschutzgesetz werden nicht nur im Bereich des Datenschutzes weiter verändert.

Zudem sind zurzeit eine Vielzahl von speziell gesellschaftsrelevanten Novellierungen der Datenschutzbestimmungen im Gesetzgebungsprozess. Daher ist es ratsam, die künftigen Entwicklungen des Datenschutzes im Auge zu behalten und diese gleichzeitig mit der Implementierung der neuen Vorgaben zu planen.