Allgemeines Bundesdatenschutzgesetz und das aktuelle Datenschutzniveau

Datenschutzniveau
Das derzeitige Datenschutzniveau und das Allgemeine Bundesdatenschutzgesetz

Bundesdatenschutzgesetz (BDSG) und Allgemeines Bundesdatenschutzgesetz (ABDSG)

Das Bundesdatenschutzgesetz (kurz BDSG) soll seinem Zweck den Umgang mit personenbezogenen Daten regeln. Ziel ist der Schutz der personenbezogenen Daten vor einer Beeinträchtigung des Persönlichkeitsrechts eines einzelnen.

Das Bundesdatenschutzgesetz (BDSG) wurde 2009 durch Gesetzesbeschlüsse des Bundestages angepasst und novelliert. Die sechs Abschnitte des BDSG beinhalten die allgemeinen Bestimmungen, für welche Bereiche das Gesetz gilt und Straf- und Bußgeldvorschriften. Der Grundsatz des BDSG beruht auf dem Prinzip des Verbotes. Dem Prinzip entsprechend ist es grundsätzlich zu untersagen, personenbezogen Daten eines einzelnen zu erheben und diese zu verarbeiten. Darunter fallen alle Möglichkeiten der Datenverarbeitung, von der Speicherung bis hin zur Sperrung oder dem Löschen von Daten, durch öffentliche Stellen des Bundes.

Für die Privatwirtschaft greift das BDSG nur dann, wenn die Daten für gewerbliche oder berufliche Zwecke genutzt werden. Die Verarbeitung von Daten zu nichtkommerziellen Zwecken ist hingegen nicht im BDSG geregelt.

Das Verbotsprinzip im deutschen Datenschutzrecht
Das Verbotsprinzip als Grundsatz des Gesetzes gilt nur dann nicht, wenn es für die Verarbeitung der Daten eine schriftliche Erlaubnis gibt oder eine Rechtsvorschrift die Bearbeitung vorsieht. Neue Aktivitäten innerhalb des Internets sollen auf den Datenschutz hin überprüft werden, und ob diese dem BDSG entsprechen.

Dabei ist darauf zu achten, ob die Datenverarbeitung von einem EU- oder nicht EU -Land ausgeht. Die entsprechende Norm dafür ist § 1 Abs.1 BDSG. In der Praxis bedeutet dies, dass das BDSG nur dann angewendet werden kann, wenn das jeweilige Unternehmen über eine deutsche Niederlassung innerhalb der EU verfügt und jedwede Art der Datenverarbeitung von genau dieser Niederlassung ausgeht. Im Fall einer Überschneidung von Rechtsordnungen ist § 1 Abs.5 BDSG anzuwenden. Für die Überschneidungsnorm des § 1 Abs.5 BDSG gelten die EU-Datenschutzrichtlinien. Im Sinne der Harmonisierung der Richtlinien bedeutet dies, dass jeder EU Mitgliedsstaat über eine solche Überschneidungsnorm verfügen- und die Norm nach den Vorgaben der EU umsetzen muss. Hintergrund der „Kollisionsnorm“ ist, eine reibungslose Anwendung der EU-Datenschutzrichtlinien zu erzielen, indem eine Überschneidung unterschiedlicher nationaler Datenschutzgesetze vermieden wird.

Was kommt mit der EU-Datenschutzgrundverordnung?

Nahezu vier Jahre lang wurde verhandelt… vor knapp einem Jahr haben sich der Europäische Rat, das EU Parlament und die EU Kommission auf einen inhaltlichen Konsenz der EU Datenschutzgrundverordnung einigen können.

Datenschutzniveau bleibt erhalten
Weitestgehend bleibt das derzeitige Datenschutzniveau in Deutschland erhalten. Es gelten weiterhin die Grundsätze des Bundesdatenschutzgesetzes.

Das Verbot mit Erlaubnisvorbehalt bei der Datenverwendung, die Datensparsamkeit, die Zweckbindung bei der Datenverarbeitung und das Transparenzgebot bleiben bestehen. Dennoch ändert sich auch für deutsche Unternehmen einiges. Bis Mai 2018 haben Unternehmen noch Zeit, die Maßgaben der EU DSGVO umzusetzen. Ein echter Kraftakt für die Datenschutzbeauftragten im Unternehmen…

Das Allgemeine Bundesdatenschutzgesetz (ABDSG)

Was Unternehmen bei der Umstellung unweigerlich hilft, ist der Blick in den ersten Entwurf des – seit September 2016 im Internet kursierenden – Datenschutz Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU). Der Referentenentwurf des Bundesministeriums des Innern zum Gesetz zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung lässt Änderungen des neuen „Allgemeinen Bundesdatenschutzgesetzes“ (ABDSG) bereits erahnen. Allerdings darf auch nicht vergessen werden, dass es sich um den ersten Entwurf handelt. Hier kann sich noch eine Menge ändern, bis das Datenschutz-Anpassungs- und Umsetzungsgesetz sowie das ABDSG in Kraft treten.

Stellung des Datenschutzbeauftragten im ABDSG

Getreu § 14 des Referentenentwurfs zum ABDSG wird gemäß Artikel 37 Absatz 1 der Verordnung (EU) 2016/679 und des Artikels 32 Absatz 1 der Richtlinie (EU) 2016/680 Verantwortlichen und Auftragsverarbeitern aufgegeben, Beauftragte für den Datenschutz zu bestellen. Das Gleiche gilt für Verantwortliche und Auftragsverarbeiter, soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Soweit nicht-öffentliche Stellen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Beauftrage oder einen Beauftragten für den Datenschutz zu bestellen.

Damit scheint sich abzuzeichnen, dass in Deutschland von der Öffnungsklausel in der EU DSGVO Gebrauch gemacht wird und an der Pflicht zur Bestellung eines im Unternehmen aktiven Beauftragten für den Datenschutz festgehalten wird.

Unternehmen muss Angaben zum Datenschutzbeauftragten veröffentlichen
Von gesteigertem Interesse ist Abs. 4 der Bestimmung, nach der der Verantwortliche oder der Auftragsverarbeiter Angaben zur Erreichbarkeit der oder des Beauftragten für den Datenschutz veröffentlichen muss und diese der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit mitzuteilen hat.
Der Verantwortliche muss ferner den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit über jede Neubestellung der oder des Beauftragten für den Datenschutz informieren.

UPDATE 30.11.2016: Nach § 36 Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) regelt für nicht-öffentliche Stellen folgendes:
Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgeabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegt oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutz beauftragte oder einen Datenschutzbeauftragten zu bestellen.

Beschäftigtenschutz nach dem Allgemeinen Bundesdatenschutzgesetz

Getreu § 33 ABDSG dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung erforderlich ist. Dies gilt auch dann, wenn personenbezogene Daten verarbeitet werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet oder für die Verarbeitung in einer solchen Datei erhoben werden.
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Betroffenenrechte im Allgemeinen Bundesdatenschutzgesetz

In den §§ 7 bis 13 des Referentenentwurfs zum Allgemeinen Bundesdatenschutzgesetz stehen die Rechte Betroffener. Hier geregelt sind Auskunftsrecht, Widerspruchsrecht, Löschungsrecht sowie die Informationspflichten des Unternehmens gegenüber einem Betroffenen.