Search for:

Am 5. Juli 2017 wurde das neue Bundesdatenschutzgesetz im Bundesgesetzblatt veröffentlicht. Es soll das deutsche Datenschutzrecht an die Datenschutzgrundverordnung anpassen. Es macht außerdem Gebrauch von den zahlreichen Öffnungsklauseln der Datenschutzgrundverordnung. Wir haben die für Unternehmen relevanten Aspekte des neuen Bundesdatenschutzgesetzes für Sie  zusammengestellt.

Ab wann gilt das neue Bundesdatenschutzgesetz?

Das neue Bundesdatenschutzgesetz tritt am 25. Mai 2018 in Kraft, es gilt also zeitgleich mit der Datenschutzgrundverordnung. An diesem Tag wird auch das derzeit geltende Bundesdatenschutzgesetz außer Kraft treten.

Wo gilt das neue Bundesdatenschutzgesetz?

Das neue Gesetz gilt für Unternehmen, wenn (1) sie personenbezogene Daten in Deutschland verarbeiten, (2) die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer deutschen Niederlassung erfolgt, oder (3) das Unternehmen keine Niederlassung in der EU/im EWR hat, für dieses aber die Datenschutzgrundverordnung gilt.

Wann muss ein Unternehmen einen Datenschutzbeauftragten benennen?

Der deutsche Gesetzgeber hat von der Öffnungsklausel hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten Gebrauch gemacht. Demnach muss – zusätzlich zu den in der Datenschutzgrundverordnung geregelten Fällen – ein Datenschutzbeauftragter benannt werden, soweit regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.

Das gilt, unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen auch, wenn Verarbeitungen vorgenommen werden, für die eine Datenschutz-Folgenabschätzung erforderlich ist. Ebenso gilt das, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden.

Was gilt für die Datenverarbeitung im Arbeitsverhältnis?

Im Wesentlichen behält das neue Bundesdatenschutzgesetz die Regelungen des alten Bundesdatenschutzgesetzes bei. So dürfen personenbezogene Daten von Beschäftigten, unter anderem, für Zwecke des Beschäftigungsverhältnisses verarbeitet werden. Das gilt, zum Beispiel, wenn die Verarbeitung für die Entscheidung über die Begründung des Beschäftigungsverhältnisses oder danach für dessen Durchführung oder Beendigung erforderlich ist.

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten nicht überwiegt.

Vorausgesetzt sie wurde freiwillig erteilt, so kann auch im Beschäftigungsverhältnis die Datenverarbeitung wirksam auf eine Einwilligung gestützt werden. Für die Beurteilung der Freiwilligkeit sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit des Beschäftigten sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.

Freiwilligkeit kann vor allem dann vorliegen, wenn für den Beschäftigen ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Zudem erlaubt das neue Bundesdatenschutzgesetz in bestimmten Fällen auch die Verarbeitung von sensiblen Daten für Zwecke des Beschäftigungsverhältnisses.

Welche Aufsichtsbehörde ist zuständig?

Hat ein Unternehmen Niederlassungen in mehr als einem Bundesland in Deutschland, ist federführende Aufsichtsbehörde innerhalb Deutschlands die Aufsichtsbehörde des Landes, in dem das Unternehmen seine Hauptniederlassung hat, d.h. am Ort der Hauptverwaltung.

Hat ein Mitgliedstaat mehr als eine Aufsichtsbehörde, so muss der Mitgliedstaat gemäß der Datenschutzgrundverordnung bestimmen, welche der Aufsichtsbehörden die Behörden im Europäischen Datenschutzausschuss vertritt. Das neue Bundesdatenschutzgesetz bestimmt, dass der Bundesbeauftragte für den Datenschutz der gemeinsame Vertreter im Europäischen Datenschutzausschuss ist.

Was gilt für die Verarbeitung von sensiblen Daten?

Die Datenschutzgrundverordnung enthält Öffnungsklauseln für die Verarbeitung von sensiblen Daten. Vor diesem Hintergrund erlaubt das neue Bundesdatenschutzgesetz die Verarbeitung von sensiblen Daten in bestimmten Fällen. Etwa, wenn sie erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben oder diesbezüglichen Pflichten nachzukommen.

Dies gilt unter anderem auch zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik und die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich.

Gibt es weitere Rechtsgrundlagen?

Ja, das neue Bundesdatenschutzgesetz sieht zum Beispiel für Scoring, d.h. die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person, und Bonitätsauskünfte sowie für die Videoüberwachung öffentlich zugänglicher Räume spezielle Rechtsgrundlagen vor.

Sanktionen

Zusätzlich zu den Bußgeldvorschriften in der Datenschutzgrundverordnung enthält das neue Bundesdatenschutzgesetz Bußgeldvorschriften für Verstöße gegen die Regelungen zu Verbraucherkrediten. Außerdem enthält das neue Bundesdatenschutzgesetz für bestimmte Verarbeitungen Strafvorschriften.

Spätestens seit der endgültigen Verabschiedung, müssen Unternehmen neben der Umsetzung der Datenschutzgrundverordnung auch die Umsetzung des neuen Bundesdatenschutzgesetzes berücksichtigen.

Author

Michaela Nebel ist Partner bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern