Allgemeines Bundesdatenschutzgesetz (ABDSG) – Erster Entwurf

gesetz 09
Fachbeitrag

Ein erster Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) ist im Internet aufgetaucht. Teil davon ist das Allgemeine Bundesdatenschutzgesetz (ABDSG). Dieses soll das BDSG in weniger als zwei Jahren ablösen. Höchste Zeit sich also mit dem kompletten, ersten Entwurf des Allgemeinen Bundesdatenschutzgesetz (ABDSG) zu beschäftigen.

Regelungsspielräume der Datenschutz-Grundverordnung

Am 27. April 2016 wurde die Datenschutz-Grundverordnung (DSGVO) vom europäischen Parlament verabschiedet. Die DSGVO wirkt als Verordnung nach Ablauf der Übergangsfrist von knapp zwei Jahren direkt und unmittelbar in allen Mitgliedstaaten der EU.

Der europäische Gesetzgeber hat den Nationalstaaten aber an zahlreichen Stellen Regelungsspielräume zugestanden, in deren Rahmen sie eigene Regelungen erlassen können. Diese Spielräume nutzt das Bundesinnenministerium (BMI) in seinem ersten Gesetzesvorschlag.

Die erste Version des Datenschutz-Anpassungs- und Umsetzungsgesetz besteht aus

  • dem Allgemeinen Bundesdatenschutzgesetz (ABDSG) mit entsprechenden Erwägungsgründen
  • sowie Änderungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes, des BND-Gesetzes und des Sicherheitsüberprüfungsgesetzes.

Was ist das Allgemeine Bundesdatenschutzgesetz (ABDSG)?

Das Allgemeine Bundesdatenschutzgesetz (ABDSG) ist eindeutig Kernstück des Entwurfs. Dieses soll am 25. Mai 2018 das BDSG ablösen und das reibungslose Zusammenspiel zwischen DSGVO, der Richtlinie zum Datenschutz bei der Verfolgung von Straftaten und den aktuellen Ausprägungen des deutschen Datenschutzrechts sicherstellen.

Genau wie sein Vorgänger gilt es sowohl für nicht-öffentliche als auch für öffentliche Stellen. Wie sich bereits aus § 2 Zweck des Gesetzes entnehmen lässt, wird die Wirtschaft dennoch bis auf einige Ausnahmen in Zukunft mit der DSGVO arbeiten. Diese umfassen z.B. die

  • Pflicht der Bestellung eines Datenschutzbeauftragten,
  • den Beschäftigtendatenschutz,
  • die Zuständigkeit der Aufsichtsbehörden,
  • die Verhängung von Bußgeldern
  • sowie die Betroffenenrechte.

Beschäftigtendatenschutz

Der Beschäftigtendatenschutz wird in § 33 ABDSG geregelt. Den Erwägungsgründen nach orientiert sich der Paragraph am Inhalt der §§ 32 und 3 Abs. 11 BDSG und führt diese fort. Der § 32 BDSG war bei seiner Einführung zunächst nur als rudimentäre Übergangslösung gedacht und regelt den Beschäftigtendatenschutz daher nur abstrakt. Er wurde aber von den Gerichten durch die Rechtsprechung in den folgenden Jahren konkretisiert. Die dabei entwickelten Maßstäbe würden also auch weiterhin unter der DSGVO Anwendung finden. Damit wäre die Debatte um ein eigenes Gesetz zum Beschäftigtendatenschutz endgültig vom Tisch. Diese hatte man zuletzt 2013 auf Eis gelegt, um auf etwaige Vorgaben durch die DSGVO zu warten. Da die Verordnung nun keine spezifischen, rechtsgestaltenden Regelungen zum Beschäftigtendatenschutz enthält, übernimmt man nun die alte Übergangslösung. Weiterhin sieht der Entwurf vor, auch die nichtautomatisierte Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis den Anforderungen des Datenschutzes zu unterwerfen.

Bußgelder

Für Unternehmen gelten bei der Höhe der Bußgelder weiterhin die Vorgaben der DSGVO. Zukünftig können aber auch natürlichen Personen, die sich bei einem vom Unternehmen begangenen Datenschutzverstoß beteiligt haben für eben diesen mit ihrem Vermögen haften. Näheres dazu finden Sie in unserem Beitrag: Entwurf konkretisiert persönliche Haftung bei Datenschutzverstößen.

Datenschutzbeauftragter

Die Bestellung des Datenschutzbeauftragten ist in § 14 ABDSG geregelt. Abs. 1 Satz 2 sieht vor, dass abweichend zur Regelung der DSGVO, ein Datenschutzbeauftragter bestellt werden muss, wenn sich “in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.” Zudem müssen Unternehmen gem. Abs. 4 Angaben zur Erreichbarkeit ihres Datenschutzbeauftragten veröffentlichen und diese der Bundesbeauftragten für Datenschutz und Informationsfreiheit mitteilen. Neu ist auch, dass diese von jeder Neubestellung eines Datenschutzbeauftragten unterrichtet werden muss. Schlussendlich findet der verschärfte Kündigungsschutz (nur aus wichtigem Grund, bis ein Jahr nach der Abberufung) des Datenschutzbeauftragten seinen Einzug in § 14 Abs. 5.

Betroffenenrechte

Mit der DSGVO stehen den Betroffenen eine Vielzahl von Rechten zu, darunter ein Informationsrecht, ein Auskunfts- und Widerspruchsrecht, ein Recht auf Berichtigung, Löschung und Einschränkung sowie das Recht auf Datenübertragbarkeit. Das ABDSG konkretisiert die Betroffenenrechte in den §§ 7 – 13 ABDSG. So entfällt die Informationspflicht bei einer Datenerhebung gem. § 7 Abs. 2 ABDSG, wenn sie einen unverhältnismäßig hohen Aufwand erfordert. Der Verantwortliche muss aber geeignete Maßnahmen zum Schutz der Rechte des Betroffenen ergreifen. Darunter fällt insbesondere die Bereitstellung der Information für die Öffentlichkeit.

Außerdem wird die Informationspflicht bei der Videoüberwachung von öffentlich zugänglichen Räumen gem. § 7 Abs. 3 ABDSG eingeschränkt. In einem solchen Fall muss die Videoüberwachung nur durch geeignete Maßnahmen erkennbar gemacht und der Verantwortliche ausgewiesen werden.

Das Auskunftsrecht des Betroffenen wird in § 9 ABDSG eingeschränkt. In diesem findet sich eine Auflistung von Ausnahmetatbeständen bei welchen kein Anspruch auf Auskunft und Erhalt einer Kopie besteht.

Paragraph 10 Abs. 2 ABDSG schränkt das Recht auf Löschung des Betroffenen ein, wenn

„eine Löschung aufgrund der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. In diesem Fall tritt an die Stelle einer Löschung eine Einschränkung der Verarbeitung gemäß Artikel 18 DSGVO.“

Zweckbindung

Mit dem § 6 ABDSG weicht das BMI die Zweckbindung auf. Demnach ist die Verarbeitung personenbezogene Daten zu einem anderen Zweck als dem, für die sie erhoben wurden, in einer Reihe von Ausnahmefällen erlaubt. Diese ist der Fall bei Angelegenheiten der nationalen Sicherheit, aber auch bei der Durchsetzung zivilrechtlicher Ansprüche und zu guter Letzt auch, wenn kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an einem Ausschluss der Verarbeitung überwiegt.

Fazit zum Allgemeinen Bundesdatenschutzgesetz (ABDSG)

Bitte beachten Sie, dass es sich hierbei nur um eine vorläufige Version handelt. Die Diskussion um das Datenschutz-Anpassungs- und Umsetzungsgesetz steht noch ganz am Anfang. Auch andere Ministerien (z.B. Justiz oder Wirtschaft) werden bei diesem mitreden wollen. Somit wird sich der Text wahrscheinlich noch ändern.

Update 31.08: Stellungnahme des BMJV und der BfDI

Wie erwartet veröffentlichten das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), kurz nach dem Bekanntwerden des ABDSG Entwurfs, ihre Stellungnahmen zu diesem.

Dabei geht aus dem Dokument des BMJV hervor, dass dieses, aus verfassungsrechtlichen und handwerklichen Gründen, die offizielle Versendung des ABDSG-Referentenentwurfs per Versendungswiderspruch gestoppt hatte. Denn zum einen hält das Ministerium den Gesetzesvorschlag

„aus Sicht der Normanwender – also Behörden, Unternehmen und Bürgerinnen und Bürger – nicht für verständlich.“

Zum anderem bewerte man den Umstand, dass im ABDSG Regelungen der DSGVO zum Teil sehr umfangreich wiederholt werden, als europarechtlich problematisch.

Auch die Bundesbeauftragte für den Datenschutz (BfDI) äußert sich sehr kritisch zu dem Entwurf des ABDSG. Neben strukturellen Mängeln kritisiert sie, dass das Ziel, die Regelungsspielräume der DSGVO und die Datenschutzrichtlinie für Polizei und Justiz umzusetzen sowie Regeln für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes zu schaffen, welche nicht vom Unionsrechts erfasst werden (z.B. Nachrichtendienste), verfehlt worden sei.

Etwas deutlichere Worte fanden Ex-Bundesdatenschutzbeauftragter Peter Schaar in seinem Blog und Anna Biselli in ihrem Artikel auf netzpolitik.org. Beide sehen in dem Entwurf einen deutlichen Rückschritt bei der Kontrolle und Sanktion von Geheimdiensten sowie der Wahrung eines hohen Datenschutzniveaus.

Update 11.11.2016: Eckpunktepapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder

Auch die Datenschutzbehörden des Bundes und der Länder haben zwischenzeitlich in einem Eckpunktepapier zu dem Allgemeinen Bundesdatenschutzgesetz Stellung bezogen. In diesem äußert man sich gezielt nicht materiell-rechtlich zu dem ersten Entwurf, da dieser nochmal geändert wird. Viel mehr kommentieren die Behörden generell einzelne Probleme im ABDSG, die bei der Erstellung des nächsten Gesetzesentwurfs berücksichtigt werden sollten.

Die Datenschutzbehörden des Bundes und der Länder vertreten die Auffassung, dass die Bezeichnung „Allgemeines Bundesdatenschutzgesetz“ nicht geeignet ist. Es gäbe nach erfolgreicher Verabschiedung des Entwurfs kein besonderes Bundesdatenschutzgesetz, sondern lediglich, wie bisher auch, bereichsspezifische Regelungen. Daher sei es logisch, den Begriff Bundesdatenschutzgesetz weiterhin zu verwenden.

Zudem bemängle man eine fehlende Trennung zwischen Paragraphen für den öffentlichen und den nicht öffentlichen Bereich. Dies erschwere die Anwendung des Gesetzes. Vielfach könne die Frage nach der konkreten Anwendung einer Norm erst durch die Gesetzesbegründung beantwortet werden.

Die Behörden sehen die Umsetzung der Richtlinie (EU) 2016/680 (JI-Richtlinie) sowie die Umsetzung der Regelungsaufträge und -optionen der DSGVO, in einem einzigen Gesetz als schwer vereinbar an. Daher empfehle man, die beiden Bereiche zu trennen.

Außerdem sollte das Gesetz einheitlich die Begriffe der DSGVO verwenden. Zurzeit weichen einige, wie z.B. die „Benennung einer oder eines Beauftragten für den Datenschutz“, von den gewählten Formulierungen in der DSGVO ab.

Des Weiteren weist man die Verfasser des Entwurfs darauf hin, dass die Öffnungsklauseln nicht dadurch ausgefüllt werden könne, indem die Formulierungen aus der DSGVO im Wesentlichen wiederholt werden. Weitere grundgesetzliche Bedenken ergäben sich aus dem Umstand, dass die Reglungen oftmals sehr unbestimmt seien und in einzelnen Fällen die Länderkompetenzen tangieren könnten.

Die Datenschutzbehörden des Bundes und der Länder sehen in zahlreichen Vorschriften des ABDSG, eine Senkung des deutschen, datenschutzrechtlichen Standards. So begünstigten die Einschnitte in das Betroffenenrecht lediglich Daten verarbeitenden Stellen. Dies stünde aber dem Schutzcharakter der Vorschriften zur Auskunft, Information und Löschung der DSGVO diametral entgegen. Auch die im Gesetzesentwurf getroffenen Entscheidungen zur Ausweitung der Befugnisse zur Verarbeitung besonderer Kategorien personenbezogener Daten seien kritisch zu sehen. So seien die Anwendungsbereiche und das Verhältnis der Normen, welche sich auf Gesundheitsdaten beziehen, zueinander unklar. Im Arbeitsrecht führe die Erlaubnis besondere, personenbezogene Daten zur Wahrnehmung von Rechten und Pflichten ohne Einwilligung des Arbeitnehmers zu verarbeiten, quasi zu dessen Schutzlosigkeit, etwa bei Datentransfers im Konzern. Generell kritisiere man die häufige Fokussierung auf wirtschaftliche Interessen im ABDSG. Diese gehe zu Lasten des Persönlichkeitsschutzes und stehe der Harmonisierung des Datenschutzrechts in Europa entgegen.

Update 23.11.2016 Zweiter Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU)

Nachdem das BMJV den ersten Referentenentwurf gestoppt hatte, hat das Innenministerium inzwischen einen zweiten Referentenentwurf für ein Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) vorgelegt. Dieses ist zwar handwerklich besser gelungen als sein Vorgänger, die Kritikpunkte oder Leitlinien der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder wurde aber kaum beachtet. Immerhin sprechen wir nun wieder von einem BDSG und nicht mehr von einem ABDSG. Den neuen Referentenentwurf und eine ausführlichere Betrachtung finden Sie in unserem Beitrag: DSAnpUG-EU: Auch 2. Entwurf des Ausführungsgesetzes wird kritisiert.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.