In diesem Artikel erklären wir euch das Verhältnis zwischen dem Bundesdatenschutzgesetz neu (BDSG-neu) und der Datenschutzgrundverordnung (DSGVO). Vor allem: wenn die DSGVO doch europaweit den Datenschutz regelt, wieso braucht es dann noch ein nationales Gesetz zum Datenschutz, das BDSG-neu? Wichtig ist: die DSGVO und das BDSG gelten in Deutschland beide. In welchem Rahmen erklären wir dir hier genauer.
Die DSGVO gilt als eine Verordnung, die von allen EU-Mitgliedstaaten umgesetzt werden muss. Sinn und Ziel dessen ist u.a., dass durch die DSGVO ein einheitliches Datenschutzrecht innerhalb der Europäischen Union geltend gemacht werden soll. Aber: damit die Veränderungen auf EU-Ebene die nationalen Gegebenheiten in Bezug auf Datenschutz nicht zu drastisch beeinflussen, gibt es sogenannte Öffnungsklauseln. Das sind Ausnahme und Konkretisierungen. Das heißt, EU-Ländern wird damit freigestellt bestimmte Begebenheiten durch nationale Gesetze selbst zu definieren. Manche Länder haben dies genutzt. Überraschung: Deutschland gehört dazu und hat sich nicht nehmen lassen, noch mehr Gesetze in die Welt zu setzen. Manche Länder haben nur wenige Dinge angepasst. Österreich zum Beispiel.
Dabei gilt natürlich: Das BDSG als nationales Gesetz darf sich nicht maßgeblich von der DSGVO unterscheiden. Merke: Europarecht gilt in diesem Fall immer vor nationalem Recht.
Reminder: DSGVO
Wir ihr wisst, findet die DSGVO offiziell seit dem 25.05.2018 Anwendung. Die Datenschutzvorschriften der DSGVO gelten für alle EU-Mitgliedstaaten unmittelbar. Das ist besonders für international agierende Unternehmen von großer Bedeutung. Geschützt werden durch die DSGVO personenbezogene Daten, die erhoben oder verarbeitet werden.
Exkurs BDSG-neu
Durch das Bundesgesetzblatt wurde am 05.07.2017 das BDSG-neu (Bundesdatenschutzgesetz-neu) veröffentlicht. Das Inkrafttreten dessen beläuft sich jedoch zeitgleich mit der der DSGVO am 25.05.2018. Ziel des BDSG-neu ist es, die Regularien der DSGVO zu konkretisieren (da in der DSGVO einige Öffnungsklauseln zu finden).
Wie oben erwähnt, haben die jeweiligen EU-Mitgliedstaaten die Möglichkeit die einzelnen Vorgaben durch nationale Gesetze zu konkretisieren. Wichtig ist hierbei jedoch: Die Regeln dürfen denen der DSGVO nicht widersprechen.
Das BDSG-neu teilt sich in 4 Teile auf:
- Teil 1: allgemeine Bestimmungen des deutschen Datenschutzrechts.
- Teil 2: Hier werden die Öffnungsklauseln geregelt, die praxisrelevant sind für den öffentlichen und nichtöffentlichen Bereich.
- Teil 3: Strafverfolgung und Vollstreckung. Dieser Teil ist für alle nichtöffentlichen Stellen und einen Großteil der öffentlichen Stellen eigentlich gar nicht relevant.
- Teil 4: Hier geht es vor allem um die nationale Sicherheit. Also auch wieder öffentlichen Stellen.
Wie man sieht, sind eigentlich nur Teil 1 und Teil 2 relevant für Unternehmen, wie ihr es höchst wahrscheinlich seid. Daher schauen wir uns vor allem in diesem Bereich die Unterschiede an.
Wo genau hat das BDSG-neu die DSGVO nun konkretisiert?
- Datenschutzbeauftragte – Art. 37 Abs. 4 DSGVO vs. Art. 6 und 38 BDSG-neu
Die DSGVO gibt vor, dass es eine interne oder externe Datenschutzbeauftragte bei der Behörde offiziell benannt werden muss, wenn das Unternehmen:
- mit besonders sensiblen Daten arbeitet, wie z.B. bei einer Firma in der Medizinbranche,
- die Kerntätigkeit darin besteht, dass im großen Umfang regelmäßige und systematische Überwachung von betroffenen Personen betrieben wird,
- eine Behörde oder öffentlichen Stelle ist (mit Ausnahme von Gerichten).
Deutschland hat noch folgende Kriterien hinzugefügt:
- Wenn ihr ein Unternehmen mit mehr als 20 Mitarbeitern seid, die personenbezogene Daten verarbeiten. „Personenbezogene Daten“ sind Daten von Individuen, also Kunden, Interessenten oder Mitarbeitenden. Zu dieser Zahl zählen auch externe Dienstleister (z.B. ein Lohnbüro). Diese Daten umfassen auch IP-Adresse, Log-files, etc. Damit sollte klar sein, dass fast jeder Mitarbeiter im Unternehmen mit personenbezogenen Daten arbeitet und somit in die Aufstellung zählt. Personen, die keinen regelmäßigen
- Wenn ihr Verarbeitungen vornehmt, die einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
- Wenn ein Datenschutzbeauftragter gemäß den Kriterien oben benannt werden muss, dann ist die interne Datenschutzbeauftragte nicht ordentlich kündbar. Bis zu 1 Jahr nach Beendigung der Datenschutzbeauftragung.
- Begriffsbestimmungen und Videoüberwachung: Art. 9 DSGVO vs. Art. 22 BDSG-neu
Wir überfliegen beide Themen, da es vor allem im Bereich der Videoüberwachung bereits europarechtswidrig erklärt wurde, da es keine Öffnungsklauseln dafür in der DSGVO gibt.
- Verarbeitung von besonderen Kategorien personenbezogener Daten
In Artikel 22 BDSG-neu werden die Ausnahmen, mit denen Art. 9 Daten verarbeitet werden dürfen, erweitert. Da dies von der Öffnungsklausel her erlaubt ist, ist dies eine valide und gute Konkretisierung der DSGVO. Siehe Art. 9 Absatz 4 DSGVO: „Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.“
Außerdem findet man in Art. 22 noch geeignete technische und organisatorische Maßnahmen, die eine gute Orientierung für die Verwendung von Art. 9, also besonders sensiblen Daten, bieten.
- Beschäftigtendatenschutz Art. 88 DSGVO vs. Art. 26 BDSG
Wenn man mal international gearbeitet hat, merkt man wie unterschiedlich das Thema Arbeitsrecht in der EU ist. Im Vergleich zu anderen Ländern in Europa bzw. der EU hat Deutschland einen sehr hohen arbeitsrechtlichen Standard. Daher gibt es in der DSGVO eine Öffnungsklauseln für den Bereich Beschäftigtendatenschutz, was sehr viel Sinn macht.
Das BDSG-neu hat sich bei den meisten Regelungen an das alte Bundesdatenschutzgesetz orientiert. Hier hat sich also nicht allzu viel verändert. Veränderungen gab es in dem Bereich:
- Personenbezogene Daten können aufgrund von Gesetzen oder ähnlicher Vereinbarungen verarbeitet werden, sind aber am Maßstab der Erforderlichkeit zu messen.
- Die Einwilligung von Mitarbeitenden muss die Kriterien der Freiwilligkeit erfüllen. Es darf also kein rechtlicher oder wirtschaftlicher Nachteil entstehen und die Interessen von Arbeitgeber und Arbeitnehmenden muss gleichgelagert sein. Damit greift das BDSG-neu die bekannte Problematik mit einer wirklich freiwilligen Einwilligung im Rahmen einer Anstellung auf. In der Theorie klingt das also gut, in der Praxis bleibt das Problem dennoch weiter bestehen.. Wichtig ist auch noch: Die Einwilligung muss in Textform erfolgen und es muss immer über das Widerrufsrecht aufgeklärt werden.
- Kollektivvereinbarung: Die Möglichkeit zur Verarbeitung personenbezogener Daten auf der Grundlage einer Kollektivvereinbarung ergibt sich im Grunde auch schon aus dem oben genannten Art. 88 der Datenschutz-Grundverordnung und dem dazugehörigen Erwägungsgrund 155.