Gesetz zu Beschäftigtendatenschutz

Verarbeitung personenbezogener Daten - Anwendbarkeit der Datenschutz-Grundverordnung
Das europäische Datenschutzrecht ist nunmehr auch eindeutig auf Anbieter von Waren und Dienstleistern ohne Niederlassung in der EU anwendbar

Die Deutsche Bundesregierung will die Schaffung eines eigenständigen Gesetzes zum Beschäftigtendatenschutz prüfen. In ihrer Antwort (19/2653) auf eine Kleine Anfrage der FPD-Fraktion (19/2278) schreibt die Bundesregierung, sie werde diese im Koalitionsvertrag vereinbarte Prüfung vornehmen. Inhalte oder Zeitpläne hierzu stünden noch nicht fest.

Vorbemerkung der Fragesteller
Ab 25. Mai 2018 wird die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung (DSGVO)) anwendbar sein. Damit beginnt ein neues Kapitel in der Geschichte des Datenschutzes. Ziel der DSGVO ist es, einheitliche Datenschutzregelungen in der EU zu schaffen, was den Bürgerinnen und Bürgern aber auch grenzüberschreitend tätigen Unternehmen zugute kommt. Ferner ist das europäische Datenschutzrecht nunmehr auch eindeutig auf Anbieter von Waren und Dienstleistern ohne Niederlassung in der EU anwendbar.

Schließlich sieht die DSGVO im Vergleich zur bisherigen Rechtslage drastisch erhöhte Sanktionen vor (bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes). Auch angesichts dieser hohen Bußgelder ist die Unsicherheit in der deutschen Wirtschaft groß. So sahen sich noch im April 2018 lediglich 13 Prozent aller Unternehmen nach einer Umfrage im Auftrag des Verbands der Internetwirtschaft eco auf die DSGVO rechtlich gut vorbereitet.

Dies wirft die Frage auf, welche Maßnahmen die Bundesregierung ergriffen hat, um die deutsche Wirtschaft auf die DSGVO vorzubereiten, zumal die Unruhe in der deutschen Wirtschaft nicht zur Akzeptanz der Bedeutung des Datenschutzes für die Bürgerinnen und Bürger sowie eine demokratische Gesellschaft beitragen dürfte. In einigen Punkten ist der deutsche Gesetzgeber zudem über die Verpflichtungen der DSGVO hinausgegangen. Dies betrifft insbesondere die Verpflichtung zur Stellung eines Datenschutzbeauftragten, sobald zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Absatz 1 Satz 1 des Bundesdatenschutzgesetzes (BDSG) n. F.).

Da praktisch jeder Arbeitnehmer heute mit der automatisierten Verarbeitung von personenbezogenen Daten betraut ist (z. B. Kundendaten oder Beschäftigtendaten), bedeutet dies faktisch, dass nahezu jeder Betrieb mit zehn Arbeitnehmern einen Datenschutzbeauftragten stellen muss. Die Anzahl der Beschäftigten hat jedoch nichts mit dem Risiko der Datenverarbeitung zu tun und ist daher schon früher als sachfremd kritisiert worden (vgl. zur Kritik bereits Simitis in Simitis, Bundesdatenschutzgesetz, 8. Auflage 2014, § 4f Rn. 16).

Eine weitere Quelle der Unruhe in der deutschen Wirtschaft ist die Rechtsunsicherheit. Eine Ursache hierfür ist, dass der deutsche Gesetzgeber viele praxisrelevante Regelungen z. B. im Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) oder Kunsturhebergesetz (KUG), welches die Veröffentlichung von Bildern regelt, vor dem 25. Mai 2018 nicht an die DSGVO angepasst haben wird und die Auswirkungen auf andere Bereiche (wie z. B. die Verwendung von Cookies, welche für das Webtracking und personalisierte Werbung im Internet erforderlich sind) unklar sind.

Viele Fragen werden erst in mehreren Jahren durch den Europäischen Gerichtshof geklärt werden können. Bis dahin werden die Leitlinien des Europäischen Datenschutzausschusses von großer Bedeutung sein. Dort werden die deutschen Aufsichtsbehörden von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vertreten.
(Deutscher Bundesregfierung: ra)

eingetragen: 07.07.18
Newsletterlauf: 26.07.18

Meldungen: Bundestag, Bundesregierung, Bundesrat