Das Bundesministerium des Innern und für Heimat (BMI) plant eine Novellierung des Bundesdatenschutzgesetzes (BDSG). Der entsprechende Referentenentwurf wurde im Rahmen einer Anfrage nach dem Informationsfreiheitsgesetz öffentlich bekannt. In diesem Artikel erläutern wir die geplanten Änderungen und deren Auswirkungen auf Unternehmen.
Wieso sollte das BDSG novelliert werden?
Das BDSG soll ausweislich der Gesetzesbegründung spätestens drei Jahre nach Inkrafttreten evaluiert werden. Das Ziel besteht darin, etwaige Schwachstellen des Gesetzes zu identifizieren und nach Möglichkeit zu beheben. Das BMI kam dieser Verpflichtung im Jahr 2021 nach und identifizierte einige Mängel im bestehenden BDSG, die nun behoben werden sollen.
Außerdem setzte sich die aktuelle Koalition schon im Koalitionsvertrag zum Ziel, die Datenschutzkonferenz (DSK) zu institutionalisieren und eine bessere Durchsetzung und Kohärenz des Datenschutzrechts sicherzustellen.
Welche Änderungen sieht die Novelle des BDSG vor?
Die Novelle beinhaltet zahlreiche Änderungen am BDSG, von der Korrektur redaktioneller Fehler, über die Verbesserung der institutionellen Zusammenarbeit der Behörden, bis hin zur Änderung des Rechts auf Auskunft.
Im Folgenden stellen wir die wichtigsten Änderungen dar:
Institutionalisierung der Datenschutzkonferenz
Die DSK ist ein Gremium, in dem die Aufsichtsbehörden der Bundesländer und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit vertreten sind. Deren Beschlüsse, Orientierungshilfen und andere Dokumente sind von großer Bedeutung für den Datenschutz in Deutschland, denn sie tragen zur Vereinheitlichung der Auslegung des Datenschutzrechts erheblich bei. Von der dadurch entstehenden Rechtssicherheit profitieren insbesondere Unternehmen, die in mehreren Bundesländern tätig sind und unterschiedlichen Aufsichtsbehörden unterstehen.
Bisher war die DSK ein informelles Gremium. Nach dem Referentenentwurf soll sie nun im BDSG verankert werden. Dabei ändert sich nicht viel: Die DSK erhält keine Geschäftsstelle oder Sekretariat. Zudem erklärt der Entwurf die Beschlüsse der DSK aus verfassungsrechtlichen Gründen (Verbot der Mischverwaltung) nicht für rechtlich bindend. Damit wird sie kein Exekutivorgan. Unternehmen sind dennoch gut beraten, sich weiterhin an den Empfehlungen der DSK zu orientieren.
Vereinheitlichung der Aufsicht bei länderübergreifenden Vorhaben
Als einziges Land in der EU hat Deutschland mehr als eine Aufsichtsbehörde. Dieser Zustand wird oft bemängelt, denn er wirkt sich (vermeintlich) nachteilig auf Unternehmen bzw. Unternehmensgruppen aus, die in mehreren Bundesländern tätig sind und daher mehreren Behörden unterstellt sind, die teilweise unterschiedliche Ansichten haben. Oft wurde daher gefordert, eine einzige Behörde für ganz Deutschland zu schaffen.
Auch wenn der Entwurf der BDSG-Novelle nicht so weit geht, sieht er diesbezüglich eine Erleichterung vor. Diese soll denjenigen Unternehmen zugutekommen, welche nach Art. 26 DSGVO für eine Verarbeitung gemeinsam verantwortlich sind, für die jedoch mehrere Aufsichtsbehörden zuständig sind. Solche Unternehmen sollen die Möglichkeit bekommen, anzuzeigen, dass sie gemeinsame Verantwortliche sind. In solchen Fällen soll für die Überwachung der gemeinsamen Verarbeitungen allein die Behörde zuständig sein, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem vergangenen Jahr den größten Jahresumsatz erzielte.
Diese Möglichkeit soll auch für gemeinsam Verantwortliche eingeführt werden, die nicht oder nicht ausschließlich Unternehmen sind, wie etwa Forschungseinrichtungen. In diesem Fall richtet sich die Zuständigkeit nicht nach dem Jahresumsatz; vielmehr ist diejenige Aufsichtsbehörde zuständig, die den Verantwortlichen beaufsichtigt, der die meisten Personen beschäftigt, welche ständig personenbezogene Daten automatisiert verarbeiten.
Diese Regelung dürfte besonders für Forschungseinrichtungen von großer Bedeutung sein. Führen bspw. mehrere Verantwortliche gemeinsam ein Forschungsprojekt durch, bei welchem in der Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen festgestellt wurde, muss nach der aktuellen Rechtslage jeder Verantwortliche bei der jeweiligen eigenen Aufsichtsbehörde eine vorherige Konsultation nach Art. 36 DSGVO durchführen. Dies ist zeitaufwendig und ressourcenintensiv und kann zu Problemen bei der Durchführung des Forschungsvorhabens führen, etwa wenn die beteiligten Behörden unterschiedliche Rechtsauffassungen vertreten oder inkompatible Anforderungen stellen. Diesbezüglich stellt die beabsichtigte Änderung des BDSG eine willkommene Verbesserung dar.
Das Gleiche gilt für Projekte, für welche mehrere Unternehmen gemeinsam verantwortlich sind. Inwiefern die beabsichtigte Änderung bei Konzernen eine wesentliche Entlastung nach sich ziehen will, ist jedoch fraglich. Auch wenn verschiedene Unternehmen einer Unternehmensgruppe oft für bestimmte Verarbeitungen gemeinsam verantwortlich sind, bestehen in den meisten Fällen andere Verarbeitungen, die in alleiniger Verantwortlichkeit durchgeführt werden. Für diese wird weiterhin die Behörde des Bundeslandes der jeweiligen Gesellschaft zuständig sein. Dies bedeutet, dass Unternehmen in solchen Fällen nach wie vor mit mehreren Aufsichtsbehörden Vorlieb nehmen müssen.
Auch ist es fraglich, ob Unternehmen von dieser Option tatsächlich Gebrauch machen werden. Sie setzt nämlich eine Meldung bei sämtlichen relevanten Behörden voraus. Es ist anzunehmen, dass viele Unternehmen dies aus Unkenntnis oder aus Angst vor erhöhter Aufmerksamkeit seitens der Behörden nicht tun werden.
Schließlich hilft diese geplante Änderung in denjenigen Fällen nicht, in denen das Unternehmen, das die Verarbeitung am meisten beeinflusst, nicht das umsatzstärkste Unternehmen ist. Ein Beispiel wäre ein Start-up, das ein datengetriebenes Produkt vertreibt, für welches es gemeinsam mit seinen Kunden verantwortlich ist, wobei die Kunden wesentlich größer und umsatzstärker sind. In einem solchen Fall wäre es sinnvoll, dass die Aufsichtsbehörde, die für das Start-up zuständig ist, die Aufsicht über diese Verarbeitung führt, und nicht die Aufsichtsbehörde des umsatzstärksten Kunden.
Verfahrensrechtliche Änderungen
Die Novelle beinhaltet auch einige verfahrensrechtliche Änderungen. Sie regelt beispielsweise, wer der Stellvertreter des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Europäischen Datenschutzausschuss ist, falls der Bundesrat keine Einigung erzielen kann. In Bezug auf die Zusammenarbeit auf europäischer Ebene wird im Entwurf festgelegt, dass die deutschen Behörden sowohl im Kooperations- als auch im Kohärenzverfahren koordiniert agieren und Einvernehmen über einen gemeinsamen Standpunkt erzielen sollen, bevor sie diesen an die Aufsichtsbehörden der anderen Mitgliedstaaten, die Europäische Kommission oder den Europäischen Datenschutzausschuss übermitteln.
Recht auf Auskunft
Eine der wenigen materiellrechtlichen Änderungen betrifft die geplante Änderung von § 34 BDSG, in dem die Ausnahmen zum Recht auf Auskunft nach Art. 15 DSGVO geregelt sind. Danach sollte das Recht auf Auskunft nicht gelten, soweit durch die Bereitstellung von Informationen Betriebs- oder Geschäftsgeheimnisse des Verantwortlichen oder eines Dritten offenbart würden und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt. Dies kann jedoch eher als eine Klarstellung angesehen werden, da zu demselben Ergebnis auch bei einer Auslegung von Art. 15 Abs. 4 DSGVO gelangt werden dürfte.
Fazit
Wie der vorliegende Artikel zeigt, wird die geplante Novellierung des BDSG für Unternehmen keine wesentlichen Änderungen und keinen zusätzlichen Aufwand mit sich bringen. Eine Erleichterung ist nur bei bestimmten gemeinsamen Verantwortlichen, wie etwa länderübergreifenden Forschungs- oder Projektgruppen, zu erwarten.
§ 26 Abs. 1 BDSG, der unlängst von dem Europäischen Gerichtshof für ungültig erklärt wurde, wird ausweislich des Referentenentwurfs (noch) nicht gestrichen. Es ist zu erwarten, dass sich das angekündigte Beschäftigtendatenschutzgesetz damit befassen wird.
Es ist wichtig zu betonen, dass es sich hierbei zunächst um einen Referentenentwurf des zuständigen Ministeriums handelt. Es bleibt daher abzuwarten, in welcher Form die Novelle durch den Bundestag verabschiedet wird. Abonnieren Sie unseren Newsletter, um diesbezüglich auf dem Laufenden zu bleiben.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!