Die Datenschutzgrundverordnung (DSGVO) und das an sie angepasste neue Bundesdatenschutzgesetz (BDSG-NEU) feiern demnächst ihren ersten Geburtstag. Trotz des jungen Alters gibt es nun schon zum wiederholten Mal Bestrebungen zur Änderung des BDSG-NEU. Zuletzt hatten im Oktober 2018 die Bundesratsausschüsse für Inneres und Wirtschaft in einer Empfehlung an die Bundesregierung (letztlich erfolglos) Änderungen im BDSG-NEU vorgeschlagen. Wir berichteten hier.
Nun hat das Land Niedersachsen einen neuen Anlauf im Bundesrat für Änderungen im BDSG-NEU gestartet und beantragt eine Entschließung der Ländervertretung.
Welchen Spielraum für Änderungen gibt es überhaupt?
Die DSGVO gilt in den Mitgliedsstaaten der EU unmittelbar und verbindlich. Sie lässt es jedoch durch sogenannte Öffnungsklauseln zu, dass in kleinen Teilbereichen ergänzende Regelungen in nationalen Gesetzen durch die nationalen Gesetzgeber in den Mitgliedsstaaten erlassen werden. Eine solche ergänzende Regelung zur DSGVO in Deutschland ist das BDSG-NEU. Folge dieser Rahmenbedingungen ist, dass der deutsche Gesetzgeber überhaupt nur in einem von der DSGVO vorgegebenen Spielraum tätig werden kann. Die von ihm erlassenen Regelungen dürfen Vorgaben aus der DSGVO auch nicht unterlaufen, sondern nur ergänzen oder verschärfen.
Welche Änderungen werden konkret angestrebt?
Der Entschließungsantrag aus Niedersachsen beinhaltet im Kern folgende Forderungen:
- Die Grenze ab der ein Datenschutzbeauftragter in kleinen und mittleren Unternehmen zu benennen ist soll in 38 Abs. 1 BDSG-NEU „deutlich“ angehoben werden. Hierzu soll der Bundesrat die Bundesregierung auffordern.
- Der Bundesrat soll die Bundesregierung auffordern zu prüfen, ob eingetragene Vereine, die überwiegend oder ausschließlich mit Ehrenamtlichen arbeiten, von der Anwendung des § 38 Abs. 1 BDSG-NEU ganz ausgenommen werden können. Mindestens jedoch sollten für Vereine weitgehende Ausnahmen in Bezug auf die verpflichtende Benennung einer/eines Datenschutzbeauftragten in das BDSG-NEU aufgenommen werden.
- Der Bundesrat soll die Bundesregierung bitten, zu evaluieren, ob die 72 Stunden Frist aus Art. 33 DSGVO angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, soll der Bundesrat die Bundesregierung bitten, auf eine Verlängerung der Frist hinzuwirken.
- Es soll eine ausdrückliche Ausschlussregelung bezüglich wettbewerbsrechtlicher Abmahnverfahren getroffen werden. Der Bundesrat fordert eine klarstellende gesetzliche Formulierung.
- Der Bundesrat soll die Bundesregierung bitten zu prüfen, ob und wie Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke für Geschäftsmodelle und neue Produkte im Online-Bereich in die datenschutzrechtlichen Bestimmungen implementiert werden können und dies entsprechend umzusetzen.
Der komplette Entwurf des Entschließungsantrages findet sich hier.
Wie sind die Vorschläge zu bewerten?
Zweck der angestrebten Gesetzesänderung ist laut des Antrags „eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen“. „Über die DSGVO hinausgehende zusätzliche Auflagen für Unternehmen in Deutschland sollten mittelstandsfreundlicher und im Sinne ehrenamtlich Tätiger in Vereinen nachgebessert werden.“ Weiter heißt es: „Deutsche Sonderwege, die deutsche Unternehmen und Einrichtungen stärker belasten als Unternehmen und Einrichtungen in anderen EU-Ländern widersprechen auch der Koalitionsvereinbarung auf Bundesebene, die eine 1:1-Umsetzung europarechtlicher Vorgaben in nationales Recht vorsieht.“
Schaut man sich die Forderungen aus dem Entschließungsantrag genauer an, entstehen erhebliche Zweifel daran, dass die genannten Ziele erreicht werden können oder dass überhaupt Handlungsbedarf für den Gesetzgeber besteht.
- Sicherlich bringt die DSGVO eine ganze Reihe von Pflichten mit sich, die Unternehmen und Vereine einhalten müssen. Man denke etwa an die Pflicht ein Verarbeitungsverzeichnis zu führen, an Datenschutzfolgenabschätzungen, an die Meldepflicht bei Datenpannen oder an die Pflicht zur Einhaltung angemessener technischer und organisatorischer Sicherheitsmaßnahmen. Richtig ist auch, dass all diese Pflichten nicht nur für große Unternehmen gelten, sondern auch für kleine und mittlere Unternehmen und ehrenamtliche Vereine. ABER: Wenn nun eine Entlastung dadurch erzielt werden soll, dass seltener als bislang ein Datenschutzbeauftragter ernannt werden muss, dürfte dies eher kontraproduktiv und am falschen Ende gespart sein.
Die Regelungen zum Datenschutzbeauftragten sind im BDSG-NEU zwar in der Tat strenger als in der DSGVO. Der deutsche Gesetzgeber hat hier von einer Öffnungsklausel Gebrauch gemacht. Das BDSG-NEU normiert eine Pflicht zur Ernennung eines Datenschutzbeauftragten, wo rein nach der DSGVO noch keine Pflicht bestünde. Der Datenschutzbeauftragte ist allerdings die Stelle im Unternehmen und im Verein, die als Wissensträger bei der Erfüllung der oben genannten anderen Pflichten behilflich sein kann. All jene Pflichten gelten nämlich völlig unabhängig davon, ob ein Datenschutzbeauftragter ernannt ist oder nicht. Müsste er künftig seltener als bislang ernannt werden, so würden die restlichen Pflichten trotzdem gelten. Ohne eigenen Datenschutzbeauftragten müssten sich Unternehmen und Vereine dann noch häufiger Hilfe von extern holen. Eine Entlastung wird so jedenfalls nicht erreicht!
- Was die Evaluierung der 72 Stunden Frist aus Art. 33 DSGVO betrifft, so ist zunächst festzuhalten, dass die Einhaltung dieser Frist viele Unternehmen im Falle einer Datenpanne tatsächlich vor eine große Herausforderung stellt. Andererseits kann die Herausforderung mit entsprechenden Anstrengungen durchaus auch gemeistert werden. Im Übrigen kann die Bundesregierung vieles evaluieren. Ändern kann die DSGVO (anders als das BDSG-NEU) letztlich nur der europäische Gesetzgeber. Die Bundesregierung könnte dort lediglich versuchen, auf eine Änderung hinzuwirken. Allein kann sie an der Frist nichts ändern.
- Ob eine ausdrückliche Ausschlussregelung bezüglich wettbewerbsrechtlicher Abmahnverfahren erforderlich ist, erscheint fraglich. Zum einen ist die befürchtete Abmahnwelle nach Inkrafttreten der DSGVO ausgeblieben. Zum anderen ist nach Ansicht der Datenschutz Aufsichtsbehörde in Baden-Württemberg die Gefahr von Abmahnungen ohnehin nur bei Nichteinhaltung der Informationspflichten aus Art. 13, 14 DSGVO und beim Fehlen einer SSL-Verschlüsselung bei Webseiten gegeben. Verstöße gegen alle anderen Pflichten aus der DSGVO können aus Sicht der Behörde praktisch mangels Erkennbarkeit von außen ohnehin nicht abgemahnt werden.
Fakt ist allerdings, dass die Zivilgerichte in der Frage, ob Verstöße gegen die DSGVO wettbewerbsrechtlich abgemahnt werden können oder nicht, bislang zu unterschiedlichen Ergebnissen gekommen sind. Das LG Bochum beispielsweise verneinte die Abmahnfähigkeit von Verstößen (Urteil v. 7.8.2018, Az. 12 O 85/18), das LG Würzburg bejahte sie (Beschluss v. 13.9.2018, Az. 11 O 1741/18).
- Genau so fraglich ist, ob Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke für Geschäftsmodelle und neue Produkte im Online-Bereich erforderlich sind. Derartige Datenverarbeitungen können schon bei der derzeit geltenden Rechtslage auf Basis von Art. 6 Abs. 1 lit. f) DSGVO vorgenommen werden, wenn der Verantwortliche ein berechtigtes Interesse an der Datenverarbeitung hat, die Datenverarbeitung tatsächlich erforderlich ist und die Betroffenen der Datenverarbeitung keine überwiegenden schutzwürdigen Interessen am Ausschluss der Datenverarbeitung haben. Es ist also keineswegs so, dass die Verarbeitung von personenbezogenen Daten zu Erprobungs- und Testzwecken aktuell nicht möglich wäre.
Auch der Bundesdatenschutzbeauftragte Ulrich Kelber hat sich kritisch zum Vorstoß aus Niedersachen geäußert.
Wie geht es nun weiter?
Wichtig zu wissen ist zunächst, dass der Antrag des Landes Niedersachsen auf eine sog. Entschließung des Bundesrats gerichtet ist. Darunter versteht man ein Ersuchen, das in der Regel an die Bundesregierung gerichtet ist, um auf Probleme aufmerksam zu machen, die Auffassung des Bundesrates zu einem bestimmten Thema darzulegen oder Gesetzgebungsverfahren durch die Bundesregierung anzustoßen. Rechtlich verbindlich sind Entschließungen jedoch nicht.
Der aktuelle Vorstoß ist folglich nicht auf eine eigene Gesetzesinitiative des Bundesrats gemäß Artikel 76 Abs. 1 Grundgesetz gerichtet! Zunächst entscheiden nun die Bundesländer über ihre Haltung zum Antrag aus Niedersachsen. Selbst wenn sich dann eine Mehrheit im Bundesrat für den Antrag finden sollte, hätte dies aber keine unmittelbaren Folgen.
3. Mai 2019 @ 11:40
Ja, die 72 Stunden können nur auf europäischer Ebene gelöst werden. Aber hier besteht tatsächlich Handlungsbedarf. Kleine Unternehmen die so gerade in den „Topf der vollen Umsetzungsverpflichtung“ fallen tun sich tatsächlich schwer die 72 Stunden in Zusammenhang mit z.B. Betriebsferien oder über den Weihnachts-Sylvester-Marathon abzudecken. Tatsächlich ist bei typischen Fenster-Tagen schon ein Rufbereitschaft nötig, um die 72 Stunden nicht zu reißen.
30. April 2019 @ 16:07
Die niedersächsische Landesregierung versteht also europarechtliche Grundlagen nicht. Da hat sich das Jurastudium ja gelohnt.
2. Mai 2019 @ 9:05
Hallo,
in Deutschland könnte rechtlich tatsächlich das BDSG-NEU im Hinblick auf die Pflicht zur Ernennung eines Datenschutzbeauftragten geändert werden. Insofern verkennt die niedersächsische Landesregierung die europarechtliche Grundlagen nicht. Nur sind eben die Grenzen für Abweichungen von der DSGVO nicht sehr groß.
Mit freundlichen Grüßen
Ihre Blogredaktion
2. Mai 2019 @ 9:28
Wo vereinfacht gesagt „Öffnungsklauseln“ bestehen kann man natürlich nachjustieren, bei der 72h Frist sehe ich das nicht – also höchstens nach unten.