BDSG-Neu

Das BDSG-Neu – Renovierung nach 40 Jahren BDSG

Der Bundestag hat am 27. April 2017 das so genannte „Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)“ beschlossen. Der Bundesrat hat am 12. Mai zugestimmt.

Mit dem neuen Gesetz soll das 40 Jahre alte deutsche Bundesdatenschutzgesetz (BDSG) an die europäischen Vorgaben der Datenschutzgrundverordnung (DS-GVO) angepasst werden.

Die Novellierung des BDSG wurde notwendig, um ein Zusammenspiel mit den neuen europäischen Vorgaben zum Datenschutz sicherzustellen. Dazu zählt neben der europäischen Datenschutzgrundverordnung (DS-GVO) auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie).

Anders als die Richtlinie, die erst in deutsches Recht umgesetzt werden muss, wird die DS-GVO ab dem 25. Mai 2018 unmittelbar geltendes Recht in allen Mitgliedstaaten. Ziel der Verordnung ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung ihrer Daten in den Mitgliedstaaten.

Die DS-GVO enthält zwar zahlreiche bereichsspezifische Öffnungsklauseln für die nationalen Gesetzgeber, im Grundsatz soll jedoch die Vereinheitlichung des Datenschutzrechts innerhalb der EU sichergestellt werden.

Mit dem neuen BDSG-Gesetzestext wird der wesentliche zukünftige Rechtsrahmen für die Datenverarbeitung in Deutschland gesetzt. Die wirklich bedeutenden Regelungen zur Datenverarbeitung im Unternehmen werden bereits abschließend in der DS-GVO geregelt. Daher gibt für Unternehmen keinen Grund, länger mit der Überprüfung und Anpassung ihrer Verträge und Prozesse an die Datenschutzgrundverordnung beziehungsweise das BDSG-neu zu warten. Denn Die Übergangsfrist endet ab dem 25. Mai 2018 e und es kommt nur noch das neue Datenschutzrecht zur Anwendung. Dies bedeutet auch, dass dann deutlich höhere Strafen für Datenschutzverstöße verhängt werden können, die bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen können.

Eine wichtige Neuerung des BDSG-Neu ist beispielsweise der Schmerzensgeldanspruch für Verbraucher und damit auch Arbeitnehmer in § 83 Abs. 2. Über die DS GVO hinausgehend kann eine betroffene Person auch wegen eines Schadens, der kein Vermögensschaden ist, eine angemessene Entschädigung in Geld verlangen. Dieses Recht des Betroffenen kann für Unternehmen zu erheblichen, wirtschaftlichen Risiken führen, da die neuen Verbandsklagerechte Verbrauchern und Verbänden die gerichtliche Geltendmachung ihrer Ansprüche erleichtern.

Eine weitere Abweichung von der DSGVO findet sich bei den Regelungen zum Datenschutzbeauftragten für in Deutschland ansässige Unternehmen. Das BDSG-Neu übernimmt im Wesentlichen die bisherigen Regelungen des Bundesdatenschutzgesetzes und stärkt damit im Vergleich zu der DS-GVO die Stellung des Datenschutzbeauftragten.

Wie bisher muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Sofern aufgrund eines hohen Risikos für die Rechte und Freiheiten der von der Datenverarbeitung Betroffenen eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO notwendig ist oder geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (vgl. § 38 Abs. 1 BDSG-neu) besteht die Bestellpflicht unabhängig von der vorgenannten Personenzahl.

Wie bisher gilt für den internen Datenschutzbeauftragten der bestellt werden muss, ein umfassender Kündigungsschutz.

Daher ist die Bestellung eines externen Datenschutzbeauftragten auch vor dem Hintergrund des BDSG-Neu eine interessante Alternative – unabhängig von Vorteilen der geringen Kosten und der in der Regel höheren bzw. stets aktuellen Fachkunde des externen Datenschutzbeauftragten.

Sprechen Sie uns an !