Europarechtswidrige Normen des neuen Bundesdatenschutzgesetzes

Da die Europäische Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 endgültig und für den gesamten Rechtsverkehr in Kraft tritt, stehen die Mitgliedsstaaten in der Pflicht, dass Rahmenbedingungen dafür geschaffen wurden, damit die neuen Regeln auch bestimmungsgemäß angewendet werden können. Dazu müssen die nationalen Rechtsrahmen an die Vorgaben der europäischen Grundverordnung angepasst werden.

Ab dem 25. Mai 2018 werden die Regelungen in der EU-DSGVO durch die EU-Datenschutzaufsichtsbehörden und Gerichte überprüfbar sein. Das heißt, bis zu diesem Stichtag müssen alle Betroffenen, seien es Unternehmen, öffentliche Einrichtungen oder sonstige Institutionen, die personenbezogene Daten verarbeiten, speichern oder nutzen die entsprechenden Vorkehrungen abgeschlossen haben. Die EU-DSGVO schreibt einheitliche Regeln für die Verarbeitung, Speicherung und Weitergabe personenbezogener Daten durch private Unternehmen und öffentliche Stellen vor. Für die Unternehmen ist etwa vorgesehen, bereits bei der Herstellung von Produkten Fragen des Datenschutzes zu berücksichtigen.

Aber auch die nationalen Gesetzgeber sahen sich der Aufgabe gegenüber, die nationalen Gesetze der zukünftigen Rechtslage anzupassen. Allein in Deutschland mussten dazu dutzende Gesetze geändert werden. Dies wurde mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU, auch BDSG-neu genannt) umgesetzt, das gemeinsam mit der EU-DSGVO am 25. Mai in Kraft tritt. Allerdings gibt es bezüglich einzelner Regelungen des neuen Bundesdatenschutzgesetztes Zweifel über deren Übereinstimmung mit dem europäischen Recht der Grundverordnung.

Fehlende Übereinstimmung des BDSG-neu mit der Grundverordnung

Für die Umsetzung von §§ 30 und 31 BDSG-neu fehlt es an der Implementierung einer sogenannten Öffnungsklausel innerhalb der Grundverordnung. Eine solche würde es erst ermöglichen, dass auf der Ebene des nationalen Rechts im Verhältnis zur DSGVO weitergehende Verpflichtungen definiert werden können. Es ist demnach der Wille des europäischen Gesetzgebers, dass die Vorgaben der Verordnung in der Form eingehalten werden, die sie dafür vorsieht. Ein nationaler Gesetzgebungsspielraum besteht folglich nicht.

§ 26 BDSG-neu regelt das Schriftformerfordernis bei Einwilligung im Beschäftigungsverhältnis und übernimmt damit weitgehend die Erlaubnistatbestände von § 32 des bisherigen BDSG. Der deutsche Gesetzgeber nimmt die Option des Art. 88 DSGVO wahr, für den Beschäftigungsbereich spezifischere Vorschriften zu erlassen. § 26 Abs. 2 S. 3 BDSG-neu lautet „Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.“ Eine andere Form kommt dabei nur in Betracht, soweit diese wegen besonderer Umstände angemessen ist, was zum Beispiel bei einer reinen Online-Bewerbung der Fall sein kann.

Diese Vorgaben des neuen BDSG stehen allerdings im Widerspruch zur Regelung des Art. 7 DSGVO, in welchem die Bedingungen für die Einwilligung geregelt sind und eine „unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ gefordert wird. Ein eindeutiges Schriftformerfordernis, wie es das BDSG-neu vorsieht, ist darin nicht gegeben. Die Verordnung als neue europäische Rechtssetzung fordert folglich niedrigere Voraussetzungen für die Einwilligung ein.

Rechtswidrige Einschränkungen im neuen Datenschutzgesetz

Im Rahmen von § 43 Abs. 4 BDSG-neu wird der nemo tenetur-Grundsatz wiedereingeführt, der besagt, dass die Selbstanzeige im Verfahren gegen den Meldepflichtigen nur mit seiner Zustimmung gegen ihn verwendet werden darf und er somit weitestgehend keine weiteren Sanktionen fürchten muss. Das europarechtliche Äquivalent zu dieser Norm, Art. 33 DSGVO, enthält eine solche Regelung nicht. Vielmehr stellt der Erwägungsgrund Nummer 87 unmissverständlich klar: „Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen“.

Nichtsdestotrotz hat der Bundesgesetzgeber diesen Grundsatz der Selbstbelastungsfreiheit des Verantwortlichen, die dem Recht auf ein faires Verfahren zugeordnet ist, in § 43 Abs. 4 BDSG-neu wieder eingeführt. Dadurch entsteht ein Widerspruch zwischen nationaler Gesetzeslage, dass eine Straffreiheit explizit vorsieht und dem zukünftigem europäischen Recht, in welchem die Aufsichtsbehörden, auch gegen-über dem Meldenden tätig werden können.

Das neue Datenschutzgesetz regelt in § 29 aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten. Absatz 3 der Norm besagt: „Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuches genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde.“ Dies schließt die gesamte Datenverarbeitung von Berufsgeheimnisträgern, wie Rechtsanwälten oder Steuerberatern, von der Kontrolle durch die Aufsichtsbehörden aus.

Gegenteilig äußert sich allerdings die DSGVO in Art. 90, in welchem den Nationalstaaten vorgeschrieben wird den zuständigen nationalen Stellen die Kontrolle von Datenverarbeitung, die einem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, zu regeln, soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Die deutsche Lösung schränkt diese Kontrollmöglichkeit vollständig ein, ist somit schlechthin unverhältnismäßig und als eine unrechtmäßige Einschränkung der DSGVO nicht vorgesehen.

Tags: , , , , , , , , ,

Comments are closed.
Kontaktieren Sie uns

1. Unternehmensangaben

Name Firma *
Name Ansprechpartner
Straße, Hausnummer
PLZ
Ort *
Telefonnummer
E-Mail *
Branche AutomotiveBanken / FinanzdienstleistungenBildungseinrichtungenDienstleisterEnergieGemeinnützige OrganisationenGesundheits- und SozialwesenHandelHotelsIngenieurbürosIT-DienstleisterKirchliche EinrichtungenKommunale Unternehmen (privatrechtliche GmbH)Körperschaften des öffentlichen RechtsMarketingagenturenMaschinen- / AnlagenbauPharmaforschungRechtsanwaltskanzleienSteuerkanzleienTextilindustrieVereineVerlageVersicherungsmakler
Tätigkeitsbereich B2BB2C

2. Standorte und Mitarbeiter

Anzahl Beschäftigte
Anzahl der Standorte

3. Allgemeine Fragen

Betriebsrat JaNein
Konzernzugehörigkeit JaNein
Videoüberwachung JaNein
Datenübermittlung in Drittstaaten JaNein
ISO 9001 Zertifikat JaNein
Datenschutzkonzept JaNein
Anzahl der Applikationen
Anzahl der Verträge zur Auftragsverarbeitung

4. Leistungsauswahl

Leistungen * externer DatenschutzbeauftragterDatenschutz AuditRechtsberatungSonstiges:
* Pflichtfeld
X
Angebotsanfrage