Das neue Bundesdatenschutzgesetz (BDSG)
Entwicklung des deutschen Datenschutzrechtes
Das Bundesdatenschutzgesetz (BDSG) regelt gemeinsam mit der europäischen Datenschutzgrundverordnung (DSGVO) und den Datenschutzgesetzen der Bundesländer den Datenschutz in Deutschland. Die Datenschutzgesetzgebung hat in Deutschland große Tradition und zeigt das besondere Bewusstsein für Datenschutz in Deutschland. Die erste Fassung des Datenschutzgesetzes stammt bereits aus dem Jahr 1977. Größere Novellierungen gab es 1990 als Folge des Volkszählungsurteils des Bundesverfassungsgerichts und in den Jahren 2009 und 2010.
Am 25. Mai 2018 trat das neue Bundesdatenschutzgesetz in Kraft, welches an die Anforderungen der Datenschutzgrundverordnung angepasst ist. Es werden nur bestimmte ausgewählte Bereich des Datenschutzes geregelt, da die DSGVO den Großteil der Bereiche des Datenschutzrechtes selbst abdeckt. Insofern muss das Bundesdatenschutzgesetz immer ergänzend zur DSGVO gelesen werden.
Wichtige Regelungen im BDSG für Unternehmen
Der Alltag in einem Unternehmen ist geprägt von personenbezogenen Daten. Das BDSG legt daher wichtige Regeln für den Datenschutz im Betrieb fest.
§ 26 BDSG trifft Regelungen für den Beschäftigtendatenschutz. Personenbezogene Daten von Beschäftigten dürfen danach verarbeitet werden, wenn dies für die Entscheidung über die Begründung oder für die Durchführung eines Beschäftigungsverhältnisses notwendig ist. Damit wird gewährleistet, dass sich ein Arbeitgeber nicht für jede Datenverarbeitungstätigkeit im Zusammenhang mit Mitarbeiterdaten eine Einwilligung erteilen lassen muss. Auch für die Durchführung eines Tarifvertrages oder einer Betriebs- oder Dienstvereinbarung dürfen Daten von Mitarbeitern ohne zusätzliche Einwilligung verarbeitet werden.
Eine weitere Verpflichtung von Unternehmen betrifft die Benennung (das alte Bundesdatenschutzgesetz sprach insoweit von Bestellung) eines Datenschutzbeauftragten. Unternehmen müssen nach § 38 BDSG einen Datenschutzbeauftragten benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder das Geschäftsmodell gerade die Übermittlung von personenbezogenen Daten (z.B. zum Zweck der Markt- oder Meinungsforschung) beinhaltet. Unabdingbar ist die Benennung auch dann, wenn eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO erforderlich ist.
Präzisiert werden die technischen Anforderungen an die Datenverarbeitung in § 64 BDSG. Gerade im Bereich der automatisierten Verarbeitung finden sich hier ergänzende Regelungen, die eine zu gewährleistende Datensicherheit bezwecken sollen.
Sanktionen und Strafen - das ändert sich durch das neue BDSG
Eine Ergänzung zur DSGVO enthält das BDSG im Bereich der Sanktionen, die vor allem für Unternehmen, die Finanzdienstleistungen anbeten, relevant ist. Das BDSG sieht in § 43 BDSG für datenschutzrechtliche Verstöße im Zusammenhang mit Verbraucherkrediten einen ergänzenden Bußgeldtatbestand vor. Behörden können hier Geldbußen bis zu 50.000 € verhängen.
Ebenfalls eine bedeutende Ergänzung zur DSGVO findet sich im Bereich der Strafvorschriften. Da die europäische Union keine Befugnis hat, selbst Strafvorschriften zu erlassen, bleibt es den Mitgliedsstaaten vorbehalten, strafrechtliche Sanktionen im Bereich des Datenschutzes festzulegen. Davon hat der deutsche Gesetzgeber in § 42 BDSG Gebrauch gemacht. Die gewerbliche Übermittlung oder Zugänglichmachung von nicht allgemein zugänglichen personenbezogenen Daten einer großen Zahl von Personen kann beispielsweise mit Freiheitsstrafe bis zu drei Jahren bestraft werden.
Für Geschäftsführer und Vorstände besteht die Gefahr, aufgrund der persönlichen Haftung bei Datenschutzverstößen mit ihrem Privatvermögen in Anspruch genommen zu werden. Zudem ist man dem Risiko ausgesetzt, von Konkurrenten oder Verbraucherverbänden abgemahntzu werden.
Weitere wesentliche Änderungen des BDSG
Weitere Änderungen des Datenschutzgesetzes gibt es im Zuge der Anpassung an die DSGVO im Mai 2018 z.B. im Bereich der Videoüberwachung (§ 4 BDSG). Außerdem gelten neue Anforderungen für Scoring und Bonitätsauskünfte (§ 31 BDSG).
Ist das BDSG europarechtswidrig?
In einigen Bereichen enthält die DSGVO sogenannte Öffnungsklauseln, von denen der deutsche Gesetzgeber rege Gebrauch gemacht hat. Kritiker bemängeln, dass das Bundesdatenschutzgesetz in dieser Form zu weit geht, sodass das Ziel der DSGVO, ein europäisch einheitliches Datenschutznviveau zu erreichen, gefährdet ist. Es wird daher spannend zu beobachten sein, ob das BDSG in der aktuellen Form dauerhaft Bestand haben wird. Möglicherweise droht ein Vertragsverletzungsverfahren von Seiten der EU. Darauf sollten sich Unternehmen aber nicht verlassen - unabhängig von einer etwaigen Europarechtswidrigkeit tun Unternehmen gut daran, die Regeln des neuen Bundesdatenschutzgesetzes einzuhalten.
Für Fragen rund um das neue Datenschutzrecht stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Kontaktieren Sie uns gern unverbindlich telefonisch oder per E-Mail oder nutzen Sie unser Kontaktformular: