Kritik am Entwurf zum neuen BDSG

Nachdem bereits vor einiger Zeit ein inoffizieller Referentenentwurf des neuen Bundesdatenschutzgesetzes im Internet aufgetaucht war, wurde nun ein erster offizieller Entwurf veröffentlicht. Dieser sieht sich bereits einer umfassenden Kritik ausgesetzt.

DS-GVO löst BDSG ab

Sobald die Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 gültig wird, werden die Regelungen des bisherigen Bundesdatenschutzgesetzes erst einmal hinfällig. Was jedoch nicht in der DS-GVO aufgeführt ist, kann weiterhin durch den nationalen Gesetzgeber geregelt werden.

Ziel der Verordnung ist es, für ein europaweit einheitliches Datenschutzniveau zu sorgen. Darüber hinausgehende Regelungen sollen aber weiterhin durch die nationalen Parlamente getroffen werden können. Außerdem enthält die Verordnung zahlreiche Öffnungsklauseln, die eine Abweichung von der europarechtlichen Bestimmung ermöglichen.

Kritik an einzelnen geplanten Regelungen

Nachdem schon der inoffizielle Referentenentwurf stark kritisiert wurde, häuft sich nun auch die Kritik am offiziell vorgelegten Gesetzestext. Es wird befürchtet, dass das geplante neue Datenschutzgesetz das maßgebliche Ziel der DS-GVO – nämlich die Schaffung eines einheitlichen Datenschutzniveaus –  untergräbt.

So soll § 24 BDSG-E zukünftig den Beschäftigtendatenschutz regeln und dabei weitestgehend den bisherigen Wortlaut des § 32 BDSG übernehmen. Es ist allerdings bisher nicht klar, ob diese Regelung den Ansprüchen der DS-GVO insbesondere in Hinblick auf das Transparenzgebot und das Gebot der Vorhersehbarkeit genügt. So soll es zwar sowohl nach der DS-GVO als auch nach § 24 BDSG-E möglich sein, Datenschutz durch Betriebsvereinbarungen zu regeln. Jedoch legt die geplante deutsche Vorschrift nicht fest, was mit bereits abgeschlossenen Betriebsvereinbarungen passiert. Unter Umständen müssen diese sogar neu verhandelt werden.

Weiterhin sollen die in Art. 13, 14 DS-GVO vorgesehenen Informationsrechte von Betroffenen eingeschränkt werden. So sollen insbesondere Unterrichtungspflichten entfallen, wenn es

„einen unverhältnismäßigen Aufwand erfordern würde“

oder

„voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss“.

Weitere Einschränkungen sind aufgrund von Art. 23 DS-GVO möglich, wenn bestimmte Zwecke damit verfolgt werden. Welchen Anforderungen diese Zwecke genügen müssen, muss erst noch in der Praxis herausgefunden werden.

Bußgelder

Auch bezüglich der Bußgeldvorschriften des Entwurfs ergeben sich Fragen.

Die DS-GVO sieht drastische Strafen bei Verstößen vor. So werden zwischen 2% und 4% des globalen Konzern- oder Unternehmensumsatzes bei der Verwirklichung eines Bußgeldtatbestandes als Strafe fällig. Verstöße durch natürliche Personen werden mit Bußgeldern von bis zu 20 Millionen EUR geahndet.

Der Referentenentwurf beschränkt diese Regelungen für Personen, die

„in Ausübung ihrer Tätigkeit“

gegen die DS-GVO verstoßen, auf eine Summe von 300.000,00 EUR. Diese Einschränkung könnte mit Art. 83 DS-GVO nicht vereinbar sein und stößt daher auf Kritik. Die DS-GVO will sicherstellen, dass Bußgelder wirksam, verhältnismäßig und abschreckend sind. Dieses Ziel könnte durch die Senkung der Strafen vereitelt werden.

Datenschutzbeauftragter bleibt

Während Unternehmen nach der DS-GVO nur bei Vorliegen bestimmter und sehr enger Voraussetzungen einen Datenschutzbeauftragten bestellen müssen, behält der Entwurf des deutschen Gesetzes den Datenschutzbeauftragten als Kontrollorgan bei wie bisher.

Konkret sieht § 36 BDSG-E vor, dass Unternehmen, die mindesten 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen, einen Datenschutzbeauftragten bestellen müssen. So wird nicht nur die Einhaltung datenschutzrechtlicher Vorschriften gefördert, sondern es werden auch bestehende Arbeitsplätze gesichert.

Bis die Datenschutzgrundverordnung beachtet werden muss, wird es wohl noch einige Überarbeitungen des neuen deutschen Gesetzes geben. Spätestens jedoch im Mai 2018 sollte es verabschiedet und gültig sein. Im Zweifel sollten jedenfalls die europarechtlichen Vorgaben eingehalten werden, so können Bußgelder und andere Risiken vermieden werden.