Datenschutz verstehen – DSGVO und BDSG: Neuerungen und Zusammenhänge zum Datenschutz in 2022
DSGVO und BDSG im Vergleich – Was gilt denn nun?
Beide! Die Datenschutz-Grundverordnung ist eine europaweite Verordnung, welche von den einzelnen Mitgliedsstaaten der Europäischen Union umgesetzt werden muss. Durch sogenannte Öffnungsklauseln überlässt der europäische Gesetzgeber den Ländern der EU gewisse Sachverhalte spezifisch durch zusätzliche Gesetze genauer zu definieren.
Selbstverständlich dürfen sich die nationalen Gesetze, wie das Bundesdatenschutzgesetz (BDSG), nicht in den Grundsätzen der Datenschutz-Grundverordnung unterscheiden. Schließlich gilt Europarecht vor nationalem Recht. Dennoch gibt es gewisse Freiheiten für die nationale Gesetzgebung.
Im folgenden Beitrag möchten wir Ihnen aufzeigen, welche Besonderheiten Sie in dem Zusammenspiel zwischen DSGVO und BDSG beachten müssen.
Die neue Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung, abgekürzt auch DSGVO oder EU-DSGVO genannt, wird seit dem 25. Mai 2018 angewendet. Diese neue Datenschutzverordnung aus Mai 2018 trat formell bereits am 25. Mai 2016 in Kraft, damit den verantwortlichen Stellen genügend Zeit für die rechtzeitige Umsetzung bis zum 25. Mai 2018 verbleibt.
Diese neue Verordnung aus dem Jahr 2018, auch gerne als EU-Datenschutz-Grundverordnung oder EU-Datenschutzverordnung bezeichnet, regelt Datenschutzvorschriften, die für alle Mitgliedstaaten der Europäischen Union unmittelbar gelten. Dies bedeutet, dass es keiner weiteren gesetzlichen Umsetzung durch die Mitgliedstaaten bedarf, anders als zum Beispiel bei europäischen Richtlinien.
Durch die neue Datenschutz-Grundverordnung soll ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU etabliert werden. Dies ist sehr wichtig in der EU, da zahlreiche Unternehmen inzwischen zum Großteil international arbeiten. Wenn in den Ländern dabei unterschiedliche Datenschutzbestimmungen gelten, sorgt das für Verwirrung und unnötigen Aufwand. Deshalb ist es wichtig, dass für alle Länder das gleiche Recht gilt. Die EU-Datenschutz-Grundverordnung (DSGVO) regelt u.a. die Rechte und Kontrollmöglichkeiten der Betroffen, welche durch das neue Regelwerk gestärkt werden. Es geht also um den Schutz der Personen, deren personenbezogene Daten erhoben bzw. verarbeitet werden.
Die Ziele der Datenschutz Grundverordnung aus dem Jahr 2018 sind in Art. 1 DSGVO definiert: Zum einen geht es in der neuen europäischen EU-Datenschutz-Grundverordnung um den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und um den Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, Art. 1 Abs.1 und Abs. 2 DSGVO. Art. 1 Abs. 3 DSGVO macht deutlich, dass der freie Verkehr personenbezogener Daten in der Union aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden darf.
Neue Regelungen in der DSGVO lassen sich beispielsweise im Segment der Rechtsgrundlagen, der Rechte der Betroffenen und der Pflichten der Verantwortlichen zu finden.
Antworten zu allgemeinen Fragen zum Datenschutz und der neuen Datenschutz-Grundverordnung (DSGVO) finden Sie hier. Welche Regelungen und welchen Zweck das neue Bundesdatenschutzgesetz (BDSG) bereithält, erfahren Sie im folgenden Absatz.
Das neue Bundesdatenschutzgesetz (BDSG)
Das neue Bundesdatenschutzgesetz, kurz BDSG-neu, wurde am 05.07.2017 im Bundesgesetzblatt veröffentlicht. In Kraft getreten ist das neue BDSG zeitgleich mit der neuen DSGVO an 25.05.2018. Das Bundesdatenschutzgesetz-neu ergänzt die Regelungen der neuen EU-Datenschutz-Grundverordnung bzw. konkretisiert diverse Vorgaben aus der DSGVO. In der DSGVO sind in einigen Vorschriften sog. Öffnungsklauseln bzw. Konkretisierungsklauseln geregelt.
Durch diese Klauseln haben die einzelnen Mitgliedstaaten die Möglichkeit, die Vorgaben aus der DSGVO durch eigene gesetzliche Regelungen zu konkretisieren, spezifizieren bzw. zu modifizieren. Diese Regelungen dürfen allerdings den Vorgaben der DSGVO nicht widersprechen. Klauseln dieser Art finden sich z.B. in Art. 85 DSGVO für die Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit, für die Verarbeitung von personenbezogenen Daten im Beschäftigungskontext in Art. 88 DSGVO und für die Benennung eines Datenschutzbeauftragten in Art. 37 Abs. 4 S.1 2. Hs. DSGVO.
Kurz gesagt sollten Unternehmen im ersten Schritt die Konformität der DSGVO umsetzen und im nächsten Schritt Dokumente, Verträge und Hinweise spezifizieren. Gerade für den Bereich Beschäftigtendatenschutz gelten durch das BDSG spezifische Regelungen, welche im Arbeitsvertrag beachtet werden sollten. Genaueres hierzu erfahren Sie hier.
Das Verhältnis zwischen DSGVO und BDSG
Für die Regelung des Datenschutzes existieren mit der DSGVO und dem BDSG-neu zwei Regelwerke. Um Datenschutzrecht effektiv einhalten zu können, muss das Verhältnis der beiden Gesetze zueinander gekannt werden. Festzuhalten ist zunächst, dass es sich bei der DSGVO um ein europarechtliches Regelwerk handelt, welches für alle Mitgliedstaaten innerhalb der Europäischen Union gilt.
Bemerkenswert ist hierbei, dass die Datenschutz-Grundverordnung keiner weiteren Umsetzung in den jeweiligen Mitgliedstaaten bedarf und somit unmittelbar gilt. Eine nationale Umsetzung für die Entfaltung der unmittelbaren Geltung, wie z.B. bei europarechtlichen Richtlinien, ist nicht erforderlich, vgl. Art. 288 Abs. 2 und Abs. 3 AEUV. Das Bundesdatenschutzgesetz-neu ist dagegen ein deutsches nationales Regelwerk und gilt daher nur innerhalb der Bundesrepublik Deutschland.
Als Teil des Unionsrechts genießt die DSGVO Anwendungsvorrang vor Bundesrecht, d.h. im Fall einer Normenkollision zwischen der DSGVO und dem BDSG-neu hat stets die DSGVO als ranghöheres Recht Anwendungsvorrang. Der Sinn in der Regelung eines weiteren Regelwerks in Form des BDSG-neu liegt darin, dass der europäische Gesetzgeber mit den Öffnungs- bzw. Konkretisierungsklauseln in der DSGVO den Mitgliedstaaten einen Handlungsspielraum eröffnen wollten, damit diese in einigen datenschutzrechtlich relevanten Bereichen eigene Vorschriften erlassen können. Im Grunde ist das BDSG-neu daher eine Ergänzung bzw. Konkretisierung der DSGVO. Im BDSG-neu finden sich somit nur Vorschriften, die in der DSGVO bewusst aus- bzw. offen gelassen sind.
Die wichtigsten Neuregelungen der DSGVO und des BDSG
Die neue Datenschutzverordnung DSGVO und das neue Bundesdatenschutzgesetz beinhalten einige wichtige Neuregelungen. Im Folgenden finden Sie eine Übersicht bezüglich der wichtigsten Änderungen:
Straf- und Bußgeldvorschriften
Die neuen Bußgeldvorschriften in der DSGVO haben für viel Aufmerksamkeit in den Medien gesorgt: Bußgelder von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des globale erzielten Jahresumsatzes, je nachdem, welcher Betrag höher ist, drohen den verantwortlichen Stellen nach der DSGVO, vgl. Art. 83 Abs. 5 DSGVO. Vor Anwendbarkeit der DSGVO bezifferte sich das maximal drohende Bußgeld nach dem alten Bundesdatenschutzgesetz auf 300.000 €.
Verstöße gegen die Sonderbestimmungen des BDSG-neu werden höchstens mit einem Bußgeld von 50.000 € geahndet, § 43 Abs. 2 BDSG-neu.
Wenn Personen wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen übermitteln oder zugänglich machen, ohne hierzu berechtigt zu sein und dabei gewerbsmäßig handeln, können sie sogar eine Freiheitsstrafe von bis zu drei Jahren oder mit einer Geldstrafe bestraft werden, vgl. § 42 Abs. 1 BDSG-neu.
Zudem wird gem. § 42 Abs. 1 BSDG-neu mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
Stellung des Datenschutzbeauftragten (DSB)
Die Stellung des Datenschutzbeauftragten (DSB) wird ähnlich wie im alten BDSG geregelt, vgl. Art. 38 DSGVO. Ab wann genau ein DSB zu bestellen bzw. zu benennen ist, dürfen die Mitgliedstaaten aufgrund der Öffnungsklausel in Art. 37 Abs. 4 S.1 2. Hs. DSGVO im Einzelnen in eigenen Regelungen konkretisieren. Die Pflicht, einen Datenschutzbeauftragten nach der DSGVO zu bestellen bzw. zu benennen, ist in Art. 37 DSGVO nicht sehr präzise definiert.
Deutschland hat von dieser Öffnungsklausel Gebrauch gemacht und die Anforderungen, ab wann genau ein Datenschutzbeauftragter zu benennen ist, präzisiert bzw. verschärft geregelt: Nach dem neuen Datenschutzgesetz BDSG-neu aus dem Jahr 2018 müssen verantwortliche Stelle oder Auftragsverarbeiter einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Hiernach muss ein DSB angestellt werden, sobald sich mindestens 10 Personen mit der Verarbeitung von personenbezogener Daten beschäftigen, § 38 Abs. 1 S.1 2. Hs. BDSG-neu.
Die neue Datenschutzgrundverordnung DSGVO regelt umfassende Überwachungspflichten für den DSB. So muss der Datenschutzbeauftragte gem Art. 39 Abs. 1 lit. b) DSGVO die Einhaltung dieser Verordnung und anderer Datenschutzgesetze der Union bzw. der Mitgliedstaaten überwachen.
Der Aufwand für die Einhaltung von Datenschutzgesetzen wie die DSGVO und das BDSG-neu werden in der Zukunft weiter zunehmen: Datenschutz enthält eine gewisse Dynamik, weshalb die Anforderungen an die Überwachung & Dokumentation laufend steigen.
Informationen zum genauen Vorgehen bei der Bestellung eines Datenschutzbeauftragten erhalten Sie hier.
Transparenz- und Dokumentationspflichten
Das Stichwort “Transparenz” spielt bei der Datenverarbeitung in den neuen Datenschutzbestimmungen aus 2018 eine große Rolle: Gem. Art. 12 Abs.1 S.1 DSGVO müssen Informationen, die betroffenen Personen nach den Art. 13 und 14 DSGVO mitgeteilt werden müssen, präzise, transparent, verständlich und in einer leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.
Nach diesem Transparenzgrundsatz aus der Datenschutz-Grundverordnung müssen die betroffenen Personen noch umfangreicher und verständlicher über die Art und den Umfang der Verarbeitung ihrer personenbezogenen Daten informiert werden.
- Die Auskunftsrechte von betroffenen Personen in Artikel 15 DSGVO
- Die Betroffenenrechte von Personen, deren personenbezogenen Daten verarbeitet werden, wurden signifikant verstärkt. So existiert in Art. 15 DSGVO ein umfassendes Auskunftsrecht gegenüber verantwortlichen Stellen beispielsweise bezüglich der Verarbeitungszwecke oder die geplante der vorgenommen Verarbeitung von personenbezogenen Daten, vgl. Art. 15 Abs. 1 lit. a) und lit. d) DSGVO.
Die Nachweispflichten für die Einhaltung des Datenschutzes haben für verantwortliche Stellen drastisch zugenommen. Aus dieser Pflicht resultieren umfassende Dokumentationspflichten bezüglich der Einhaltung des Datenschutzes, vgl. Art. 5 Abs. 2 DSGVO.
Diese und weitere umfassende Datenschutzbestimmungen aus der neuen Datenschutz-Grundverordnung erfordern ein organisiertes Datenschutz-Management-System der Unternehmen und verantwortlichen Stellen. Diese Datenschutz-Management-Systeme müssen den umfassenden Vorgaben der neuen Datenschutzverordnung genüge und laufend aktualisiert werden.
Auftragsverarbeitung gemäß der DSGVO
Die gesetzlichen Vorgaben für die sog. Auftragsverarbeitung, früher im alten Bundesdatenschutzgesetz noch als Auftragsdatenverarbeitung bezeichnet, ergeben sich unmittelbar aus Art. 28 DSGVO.
In Art. 28 DSGVO ist insbesondere geregelt, welche Elemente ein Vertrag für die Auftragsverarbeitung enthalten muss, der zwischen Auftraggeber und Auftragnehmer geschlossen werden muss.
Darüber hinaus existiert für Auftragsverarbeiter die Pflicht, ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen, Art. 30 Abs. 2 DSGVO.
Arbeitnehmer-Datenschutz
Auch der Arbeitnehmerschutz ist rechtlich in der DSGVO verankert. Daher zeigen wir Ihnen die wichtigsten Änderungen auf, welche Sie als Unternehmen beachten sollten:
- In der DSGVO wurden einige Prinzipien aus dem alten Bundesdatenschutzgesetz implementiert. Durch Rechtsvorschriften bzw. durch Kollektivvereinbarungen dürfen Mitgliedstaaten konkrete Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext erlassen.
- Die Anforderungen an derartige Rechtsvorschriften sind in Art. 88 Abs. 2 DSGVO näher bezeichnet: Diese müssen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen sowie der Grundrechte der betroffenen Personen umfassen.
- Deutschland hat von der Klausel in Art. 88 Abs. 1 DSGVO Gebrauch gemacht und eine Regelung im neuen Bundesdatenschutzgesetz aus 2018 in § 26 BDSG-neu getroffen. Mehr dazu erfahren Sie hier.
Aus diesen neuen Bestimmungen können sich daher Pflichten bezüglich der Anpassung von Betriebsvereinbarungen ergeben.
Fazit
Das BDSG-neu kann nicht als ein eigenständiges und vollständiges Gesetz angesehen werden. Es konkretisiert und ergänzt lediglich das Datenschutzrecht der EU-DSGVO. Es kann also nicht alleine, sondern nur in Verbindung der DSGVO in Betracht gezogen werden. Für eine genaue Bewertung im Einzelfall sollten Sie unbedingt unsere Experten aus Münster oder Köln kontaktieren.
Aktuelle Anpassungen der DSGVO
Nach dem Inkrafttreten der DSGVO im Jahre 2018 gibt es immer wieder neue Anpassungs- und- Umsetzungsrichtlinien hinsichtlich dieser Verordnung.
Erste Änderungen gab es durch das “Zweite Anpassungs- und Umsetzungsgesetz der EU”. Hierbei wurde festgehalten, dass Unternehmen mit weniger als 20 Mitarbeitern nicht dazu verpflichtet sind einen Datenschutzbeauftragten zu bestellen. Sobald 20 Mitarbeiter regelmäßig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, ist der Unternehmer dazu verpflichtet einen betrieblichen Datenschutzbeauftragten zu stellen.
Eine weitere Anpassung ergibt sich aus der Rechtsprechung des EuGH vom 01.10.2019-C–673/17. Das Urteil beschäftigte sich mit dem setzten des Cookie-Banners. Demnach machten die Richter klar, dass der Hinweis “ Wir verwenden Cookies auf dieser Website- wenn sie unsere Website weiterhin nutzen, erklären sie sich mit der Cookie-Nutzung einverstanden”, unzulässig ist. Nach Auffassung der Richter stellt eine Weiternutzung der Website keine klare und zweifelsfreie Einwilligung dar. Eine konkludente Einwilligung ist ebenfalls ausgeschlossen.
Weitere Anpassungen hat das OLG Frankfurt hinsichtlich des Kopplungsverbotes erlassen. Unternehmen bieten den Kunden Anreize, wie z.B. ein E-Book im Austausch ihrer E-Mail- Adresse an. Vor der DSGVO war dies, bis auf wenige Ausnahmen, erlaubt. Nachdem Inkrafttreten der DSGVO gingen viele Juristen davon aus, dass nach Art. 7 Abs. 4 DSGVO nun ein absolutes Kopplungsverbot gilt. Dies lag unter anderem daran, dass sowohl der Wortlaut der Verordnung als auch die Erwägungsgründe nicht eindeutig formuliert waren. Im konkreten Fall ging es um einen Energiekonzern, der Gewinnspiele im Austausch von Telefonnummern, gefordert hat. Das OLG Frankfurt hat gegen den Energiekonzern entschieden, weil die konkrete Einwilligung der Nutzer nicht nachgewiesen werden konnte. Ein Double-Opt-In für E-Mails ist aber grundsätzlich zulässig, weil das Unternehmen somit die Freiwilligkeit zur Abgabe der Einwilligung nachweisen kann.
Alle diese Entwicklungen machen klar, dass die DSGVO und die BDSG für alle Betriebe noch weitere Überraschungen mit sich bringen werden. Als die Restaurants, während der Corona Pandemie wiedereröffnen durften, waren sie verpflichtet die Kontaktdaten jedes Besuchers aufzunehmen, um mögliche Infektionsketten nachverfolgen zu können. Auch bei der Aufnahme dieser Daten wurde nicht datenschutzkonform gehandelt. Große Problem gab es unter anderem bei den Angaben der Rechtsgrundlagen oder der Informationen für die Dauer der Speicherung der personenbezogenen Daten.
Hier finden Sie alle aktuellen Urteile, Änderungen und Bußgelder, sodass Sie immer aktuell gehalten werden.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.