Mit den Änderungen des Bundesdatenschutzgesetzes soll das bestehende Datenschutzniveau gestärkt werden. Wir besprechen die vorgeschlagenen Änderungen und weisen auf ihre Auswirkungen auf Unternehmen hin.
Seit dem 28. Mai 2018 ist in den Ländern der Europäischen Union die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie der Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachfolgend: DSGVO) in Kraft, die für eine Harmonisierung der Vorschriften für die Verarbeitung personenbezogener Daten von natürlichen Personen gesorgt hat. In Deutschland wird das EU-Niveau des Schutzes personenbezogener Daten noch durch das Bundesdatenschutzgesetz (nachfolgend: BDSG) ergänzt.
Das BDSG wird mit dem Ziel geändert, den Datenschutz zu vereinheitlichen und zu stärken.
Geplante Änderungen:
Datenschutzkonferenz (DSK)
Die Datenschutzaufsicht soll durch die rechtliche Normierung in § 16a BDSG in ihrer Rolle als Koordinierungsorgan der Datenschutzbehörden gestärkt werden.
Die geplante Änderung sieht vor, dass die Aufsichtsbehörden des Bundes und der Länder die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz bilden. In § 16a wird durch die Nennung aller Aufsichtsbehörden des Bundes und der Länder ohne Differenzierung nach öffentlichen und nicht-öffentlichen Stellen u. a. dem Umstand Rechnung getragen, dass es in einem Land unterschiedliche Aufsichtsbehörden für öffentliche und nicht-öffentliche Stellen geben kann.
Eine Regelung zur Rechtsverbindlichkeit von Entscheidungen der DSK wird in diesem Gesetz nicht getroffen, da dies wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berühren würde.
Rechtliche Grundlage für Kreditscoring
In unserem Artikel mit dem Titel ,,Strengere Regeln für Kreditscoring‘‘ haben wir Sie informiert, dass der EuGH einen Verstoß gegen DSGVO durch das aktuelle Schufa-Scoring festgestellt hat. Mit der Einführung des § 37a BDSG soll demnach eine Rechtsgrundlage für das Kreditscoring geschaffen und damit für mehr Transparenz gesorgt und Diskriminierung vermieden werden.
Da Scoringverfahren weitreichende Auswirkungen darauf haben können, ob und zu welchen Bedingungen der Betroffene Zugang zu bestimmten Vertragsverhältnissen und Leistungen erhält, ist es wichtig, dass die in § 37a BDSG geregelten Anforderungen an die statistische Qualität und die Erheblichkeit der verwendeten Daten sorgfältig geprüft werden.
Daten müssen sorgfältig geprüft werden. Diese Prüfung sollte, wie für KI-Systeme mit hohem Risiko vorgesehen, durch eine externe, unabhängige Stelle erfolgen.
Stärkung des Auskunftsrechts
Durch die Änderung des § 34 BDSG soll das Auskunftsrecht nach Art. 15 DSGVO gestärkt werden. In § 34 BDSG soll klargestellt werden, dass das Auskunftsrecht nach Artikel 15 DSGVO nicht durch privatrechtliche, sondern nur durch öffentlich-rechtliche Satzungen eingeschränkt werden kann.
Klarstellung der Erforderlichkeit des Inlandsbezugs
Der Gesetzentwurf, der den Änderungsbedarf in § 1 enthält, weist darauf hin, dass das BDSG nur dann gilt, wenn die Datenverarbeitung einen Inlandsbezug hat. Die geplante Änderung betrifft auch die Umformulierung des bisherigen Wortlauts der Vorschrift dahingehend, dass sich § 1 BDSG nur an nicht-öffentliche Stellen richtet;
Eine Anlaufstelle für Unternehmen
Zur besseren Durchsetzung und Kohärenz soll es Unternehmen und Forschungseinrichtungen mit grenzüberschreitenden Projekten ermöglicht werden, nur einer nationalen Datenschutzaufsichtsbehörde zu unterstehen.
Videoüberwachung
Die Möglichkeit der Videoüberwachung öffentlicher Plätze auf der Grundlage von § 4 Abs. 1 BDSG soll nun auf öffentliche Stellen beschränkt werden. Private Einrichtungen können sich dagegen nur noch auf Art. 6 Abs.1 Buchstabe f) DSGVO als Rechtsgrundlage für den Einsatz der Überwachung berufen.
Nach der vorgeschlagenen Änderung ist die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen nur zulässig, soweit sie zu ihrer Aufgabenerfüllung, einschließlich der Wahrnehmung ihres Hausrechts, erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.
Betrieblicher Datenschutzbeauftragter
Der Innenausschuss des Bundesrates hat vorgeschlagen, die Pflicht zur Bestellung von Datenschutzbeauftragten in Unternehmen abzuschaffen. Die Befürworter der Abschaffung der oben genannten Anforderung begründen ihren Standpunkt mit dem Gesamtziel der verabschiedeten EU-Verordnung, wonach kleine und mittlere Unternehmen nicht durch Bürokratie überlastet werden sollten. Außerdem sollte für den Schutz personenbezogener Daten ein risikobasierter Ansatz gewählt werden, während die gesetzliche Verpflichtung von 20 Beschäftigten eine von jeglichem Risiko völlig unabhängige Grenze darstellt. Dieser Vorschlag wurde allerdings nicht angenommen. Folglich bleibt es bei den bisherigen Regelungen des § 37 BDSG.
Grau Rechtsanwälte PartGmbB berät Unternehmen im Bereich des Datenschutzes, auch als externer Datenschutzbeauftragter.
W przypadku dalszych pytań prosimy o kontakt z naszą kancelarią pod numerem +49 (0) 40 180 364 020 lub office@graulaw.eu.