Zum Inhalt springen Zur Navigation springen
DSAnpUG-EU: Auch 2. Entwurf des Ausführungsgesetzes wird kritisiert

DSAnpUG-EU: Auch 2. Entwurf des Ausführungsgesetzes wird kritisiert

Gestern wurde der aktuelle Referentenentwurf für das deutsche Ausführungsgesetz zur Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Nach scharfer Kritik an der Erstversion im September 2016, wagt das Bundesinnenministerium mit diesem Entwurf einen neuen Versuch. Wir haben uns diesen für Sie einmal angesehen.

Datenschutz-Grundverordnung und Öffnungsklauseln

Seit Verabschiedung der DSGVO am 27. April 2016 halten wir unsere Leser stets in unserer Reihe „EU-Datenschutz-Grundverordnung: Das müssen Sie wissen“ auf dem Laufenden. Die DSGVO gilt ab dem 25. Mai 2018 und harmonisiert den Datenschutz europaweit. Als Verordnung findet die Datenschutz-Grundverordnung direkte Anwendung in allen EU-Mitgliedstaaten und bedarf keiner Umsetzung in nationales Recht. Sie lässt jedoch durch sog. Öffnungsklauseln einen gewissen Spielraum für nationale Regelungen.

Deutschland kündigte bereits während der Verhandlungen zur DSGVO an, von etwaigen Öffnungsklauseln Gebrauch machen zu wollen. Im September 2016 wurde daher der erste Entwurf des sog. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) veröffentlicht. Teil davon war das Allgemeine Bundesdatenschutzgesetz (ABDSG). Der erste Entwurf wurde als „nicht verständlich“ und „misslungen“ kritisiert und umgehend zurückgezogen.

Neuer Referentenentwurf vom 11.11.2016

Gestern wurde nunmehr ein neuer Referentenentwurf des Bundesministeriums des Inneren (BMI) zur Umsetzung der DSGVO durch die Deutsche Vereinigung für Datenschutz e.V. (DVD) geleakt und die Kritik lässt nicht lange auf sich warten. Der DVD hält auch diesen Entwurf für

„massiv verbesserungsbedürftig“.

Bei genauerem Hinsehen fällt auf, dass viele Kritikpunkte am ersten Entwurf nicht nachgebessert wurden. Grundsätzlich kann man sagen, dass die neue Version zwar gesetzestechnisch etwas besser gelungen ist, was dem DVD zu Folge insbesondere der Aufteilung zwischen Datenschutz im öffentlichen und nicht-öffentlichen Bereich zu verdanken sei, jedoch sei der Entwurf weiterhin von hoher Komplexität und Unübersichtlichkeit geprägt. Selbst Experten dürfte es schwer fallen hier durchzublicken. Wie soll es da erst den Personen gehen, für die sie gelten soll?

Beschränkung der Informationspflichten der DSGVO

Auffällig ist unter anderem die Einschränkung der zahlreichen Informationspflichten nach Art. 13, 14 DSGVO durch § 30, 31 BDSG-E. Demnach sollen die Informationspflichten nach Art. 13 DSGVO entfallen,

„wenn die Erteilung der Information

1. sich als unmöglich erweist
2. einen unverhältnismäßigen Aufwand erfordern würde, oder
3. voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss.“

Diese Beschränkung wird ausweislich des Entwurfs auf Art. 23 DSGVO gestützt. Betrachtet man jedoch den zugehörigen Erwägungsgrund 73, könnte man an der europarechtlichen Zulässigkeit der generellen Beschränkung durch den Entwurf zweifeln. Weitere Beschränkungen sind nach §§ 32-35 BDSG-E auch für Art. 14 ff. DSGVO vorgesehen.

Umstrittene Regelung zur Videoüberwachung auf EU-Ebene

Außerdem fällt auf, dass die angedachte Regelung zur Videoüberwachung in § 4 BDSG-E eine klare Einschränkung für Unternehmen bedeuten könnte. Hingegen würden sich im Rahmen einer öffentlichen Überwachung wesentlich mehr Möglichkeiten ergeben. Es scheint fast, so der DVD, als ob hiermit auch auf EU-Ebene die vom BMI vorgeschlagene und als „verfassungsrechtlich bedenklich“ kritisierte Vorschrift zur erweiterten Videoüberwachung eingeführt werden soll.

Datenschutzbeauftragter, Beschäftigtendatenschutz, Bußgelder etc.

Natürlich dürfen im Entwurf auch Regelungen zum Datenschutzbeauftragten, Beschäftigtendatenschutz, Auftragsverarbeiter sowie den Bußgeldern nicht fehlen. Wenn „in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten“ beschäftigt sind, sollen demnach Unternehmen auch zukünftig verpflichtet sein, einen Datenschutzbeauftragten zu bestellen (§ 36 BDSG-E).

Darüber hinaus beinhaltet der Entwurf Regelungen über die Pflichten der verantwortlichen Auftragsverarbeiter in § 57 – 72 BDSG-E, die bereits in der Datenschutz-Grundverordnung Eingang gefunden haben. Es wird sich zeigen, ob diese Reglungen gegen das vom EuGH aufgestellte Wiederholungsverbot verstoßen könnten. Der Beschäftigtendatenschutz findet sich in § 23 BDSG-E, wobei die Vereinbarkeit mit den Anforderungen von Art. 88 Abs. 2 DSGVO fraglich erscheint.

BDSG um jeden Preis auf Kosten der Rechtssicherheit?

Die Strategie des deutschen Gesetzgebers scheint es, möglichst viel im BDSG-E zu regeln und im Zweifel den EuGH entscheiden zu lassen, ob es mit der Datenschutz-Grundverordnung vereinbar ist – auf Kosten der Rechtssicherheit. Der neue Entwurf bietet viel Stoff für Diskussionen und wirft erhebliche europarechtliche Fragen auf, weswegen es nicht verwunderlich ist, dass bereits Kritik von renommierter Seite geäußert wird.

Thilo Weichert, ehem. Datenschutzbeauftragter von Schleswig-Holstein und DVD-Vorstand, wertet den Entwurf als weiteren Beleg dafür, dass

„Datenschutz bei der Bundesregierung derzeit nicht relevant wahrgenommen wird“.

Dies wird von Frank Spaeing, seinerseits DVD-Vorsitzender, durch den Aufruf zur Intervention anderer beteiligter Ressorts unterstützt. „Verfassungsrechtliche Notwendigkeiten“ sowie die Belange anderer Interessengruppen – Unternehmen, Verbraucher und Forschung – dürfen seiner Ansicht nach nicht länger ignoriert werden.

Handlungsempfehlungen

Unternehmen sollten nun nicht gleich in Panik verfallen und mit der Bewertung des Entwurfs vorsichtig sein, da fraglich ist, ob der Gesetzesentwurf eine Mehrheit im Bundestag finden wird. Der Referentenentwurf befindet sich noch in einem frühen Stadium und weitere inhaltliche Änderungen sind zu erwarten. Grundsätzlich empfiehlt es sich für deutsche Unternehmen die Entwicklungen im Auge zu behalten. Wir unterstützen Sie dabei.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.