Newsletter

Melden Sie sich für unseren Newsletter an!

So bekommen Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und Compliance zugeschickt.

Der König ist tot, es lebe der König – das neue Bundesdatenschutzgesetz

Datenschutz

von Jan Holling

Der König ist tot, es lebe der König – das neue Bundesdatenschutzgesetz

Unter dem Eindruck der anstehenden EU-weiten Datenschutzreform hat die Bundesregierung mit heißer Nadel ein Anpassungsgesetz zur Datenschutz-Grundverordnung gestrickt. Nach der Verabschiedung im Bundestag hat im Mai auch der Bundesrat dem Gesetzesentwurf zugestimmt, welcher am 5. Juli im Bundesgesetzblatt nunmehr veröffentlicht wurde. Möglicherweise von dem Wunsch geleitet das Gesetz noch vor der anstehenden Bundestagswahl durchzudrücken, wurde hier leider eine aussichtsreiche Chance vertan das Datenschutzrecht für Laien sowie Rechtsanwender lesbarer zu machen. Dem zuständigen Referatsleiter Herrn Eickelpasch zufolge, aus dem Bundesministerium des Innern, ließ sich für eine 1:1 Orientierung des Gesetzestextes an den entsprechenden Artikeln der Datenschutz-Grundverordnung in der Arbeitsgruppe keine Mehrheit finden. Dies ist unverständlich und insbesondere für betriebliche (interne) Datenschutzbeauftragte, welche möglicherweise nur für einen Teil ihrer Arbeitszeit für den Datenschutz freigestellt werden, eine höchst unbefriedigende Lösung, insbesondere da das Anpassungsgesetz ab Mai 2018 stets in Verbindung mit der Datenschutz-Grundverordnung „gelesen“ werden muss. Folglich wird die Einarbeitungszeit für Rechtsanwender ohne juristische Ausbildung in das neue Gesetzkonvolut noch nachträglich durch den Bundesgesetzgeber erschwert. Auf der Habenseite ist die Bundesrepublik hier Vorreiterin, denn bis dato hat noch kein anderer EU-Mitgliedstaat ein Einführungsgesetz verabschiedet.

Ausgewählte Neuerungen

Durch das Anpassungsgesetz wird gemäß Artikel 8 mit Wirkung zum 25. Mai 2018 das bisherige Bundesdatenschutzgesetz außer Kraft gesetzt. Eine Plethora von Obergerichtsurteilen und ganze Bibliotheksbereiche mit Kommentierungen und Fachliteratur zum Bundesdatenschutzgesetz werden an diesem Tag nicht länger vollumfänglich Geltung beanspruchen können.

Sind die ersten Paragraphen des neuen Gesetzes noch für Rechtsanwender interessant, so werden die unmittelbar darauffolgenden Abschnitte „nebelkerzenartig“ mit einem seitenlangen Zuständigkeits- und Befugniskatalog des Bundesbeauftragten für den Datenschutz versehen. Gleich im Anschluss daran wechseln sich „stakkatoartig“ Vorschriften für Privatunternehmen und Körperschaften des öffentlichen Rechts ab. Der geneigte Leser ertappt sich beim ständigen Blättern à la: „Gilt diese Vorschrift jetzt für uns als Privatunternehmung oder betrifft sie ausschließlich die öffentliche Hand?" Das wird insbesondere daran deutlich, dass erst im dritten Kapitel die am häufigsten gestellte Frage des Datenschutzes beantwortet wird (nämlich: Wann muss mein Unternehmen einen Datenschutzbeauftragten bestellen?). Das neue Gesetz bleibt bei der bisherigen Regelung, welche besagt, dass ein Datenschutzbeauftragter zu bestellen ist, wenn in der Regel mindestens zehn Personen ständig mit digitaler Datenverarbeitung beschäftigt sind. Hiermit weicht der Bundesgesetzgeber ganz eindeutig von den kleinen und mittelständischen Unternehmen begünstigenden Regelungen der Datenschutz-Grundverordnung ab. Nach dem Wortlaut des EU-Gesetzgebers hätte es für zahlreiche Unternehmen gereicht einen Datenschutzbeauftragten erst ab 250 in Vollzeit angestellten Personen zu bestellen. Dies mag eine erfreuliche Nachricht für Beratungsunternehmen sein, wird jedoch potentiell zu Wettbewerbsverzerrungen im Bereich der EU-weit operierenden KMUs führen.

Sanktionen

Auch in diesem Feld war der bundesdeutsche Gesetzgeber fleißig und geht über das von der Datenschutz-Grundverordnung geforderte Maß hinaus. Zusätzlich zu den „happigen“ Bußgeldern der DSGVO, mit bis zu 20 Millionen Euro beziehungsweise 4 % vom Vorjahresumsatz, je nachdem welcher Betrag höher ist, sind flankierend Freiheitsstrafen vorgesehen. Gemäß § 42 kann bei vorsätzlicher und gewerbsmäßiger illegaler Datenübermittlung eine dreijährige Freiheitstrafe im Maximum aufgerufen werden. Wer sich für eine unbefugte Datenverbreitung bezahlen lässt oder diese in Schädigungsabsicht vornimmt, kann immerhin noch mit bis zu zwei Jahren Freiheitsstrafe bestraft werden. Die Delikte werden allerdings lediglich auf Antrag hin verfolgt. Antragsberechtigt sind die betroffene Person, die/der Verantwortliche, der/die Bundesbeauftragte für den Datenschutz oder die Aufsichtsbehörde. Klargestellt wird zudem in § 43, dass gegen Behörden oder sonstige öffentliche Stellen weiterhin keine Geldbußen verhängt werden können. Eine Gerichtsstandsregelung ist zudem in § 44 enthalten. Demnach können betroffene Person bei dem Gericht gegen Verantwortliche oder Auftrags(daten)verarbeiter klagen, an welchem sie ihren gewöhnlichen Aufenthaltsort haben.

Fazit und Geheimtipp

Die Datenschutz-Grundverordnung muss zukünftig stets im Kontext des Einführungsgesetzes gelesen werden. Viele Paragraphen des BDSG n.F. sind jedoch für Privatunternehmen irrelevant. So können Rechtsanwender häufig die Paragraphen des dritten Teils, § 45 bis § 84 und damit fast die Hälfte des ganzen Gesetzes ignorieren.

 

Link zum BDSG n.F.:

Bundesgesetzblatt Teil I Nr. 44 im Bundesanzeiger

 

Haben Sie Fragen oder benötigen Sie Unterstützung im Bereich Datenschutz oder Informationssicherheit? Wir freuen uns über Ihre Kontaktaufnahme!

Zurück