kontakt

Actualités

Bundesrat stimmt für angepasstes BDSG

Es war eines der letzten großen Projekte der aktuellen Bundesregierung: Das 40 Jahre alte deutsche Bundesdatenschutzgesetz (BDSG) musste an die nahende EU-Datenschutzgrundverordnung (EU-DSGVO) angepasst werden. Als BDSG-neu enthält es nun Regelungen, für die in der DSGVO sogenannte Öffnungsklauseln bestehen. Diese bieten Spielraum in der Auslegung und werden durch die jeweiligen nationalen Gesetzgeber konkretisiert.

Neben vielen wichtigen Neuerungen ergeben sich auch in Bezug auf den Einsatz von Hinweisgebersystemen neue Vorzeichen im Umgang mit personenbezogenen Daten:

Im Kontext eines Beschäftigungsverhältnisses müssen die Datenverarbeitenden bei der Verwendung besonderer Kategorien von personenbezogenen Daten prüfen, ob eine Verarbeitung erforderlich ist. Die Verantwortlichen müssen weiterhin abwägen, ob die Interessen des Mitarbeiters oder des Unternehmens überwiegen. Laut Gesetzestext darf kein Grund zur Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Deshalb sind bei der Verarbeitung von personenbezogenen Daten umfassende Schutzmaßnahmen zu treffen: Je umfassender die sensiblen Daten technisch geschützt werden, desto eher wird die gebotene Interessensabwägung hinsichtlich der beabsichtigten Datenverarbeitung positiv entschieden. Dies ist der Fall, wenn Compliance-Anwendungen den Schutz der Daten durch umfangreiche technische und organisatorische Maßnahmen sicherstellen. Hierzu zählen beispielsweise komplexe Verschlüsselungsmethoden, Pseudonymisierung oder definierte Berechtigungsstrukturen.

Die Compliance-Anwendungen vieler Anbieter dürften den strengen Anforderungen allerdings nicht genügen. Externe Zertifizierungen geben Aufschluss über die getroffenen Vorkehrungen.

Das Gesetz wird kontrovers diskutiert. Experten kritisieren es als zu komplex, um von Unternehmen fristgerecht umgesetzt zu werden. Zudem sei eine klare Abgrenzung zwischen BDSG-neu und DSGVO für Unternehmen und Verbraucher gleichermaßen schwer zu verstehen. Diese Rechtsunsicherheit dürfte die Unternehmen zusätzlich belasten.

Ab dem 25. Mai 2018 gilt die DSGVO in allen EU-Mitgliedsstaaten als unmittelbar geltendes Recht. Auch das BDSG-neu tritt dann in Kraft. Bis dahin müssen die Vorgaben beider Gesetzestexte umgesetzt sein. Bei Verstößen gegen die Vorschriften nähert sich das Datenschutzrecht dem Kartellrecht an: Den Unternehmen drohen empfindliche Strafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes (je nachdem welcher Wert höher ist). Unternehmen wird geraten, sich intensiv mit den neuen Datenschutz-Anforderungen auseinanderzusetzen.