Header graphic for print

Datenschutz

News & Trends

Rubrik: Datenschutz Allgemein

COVID-19 – Herausforderungen für den Datenschutz

Datenschutzbestimmungen (wie die DSGVO) hindern nicht, dass geeignete und erforderliche Maßnahmen im Kampf gegen die COVID-19 Pandemie ergriffen werden. Jedoch muss der Verantwortliche auch in diesen außergewöhnlichen Zeiten den Schutz der personenbezogenen Daten der betroffenen Personen gewährleisten.

Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) haben in ihrer Stellungnahme vom 13. März 2020 betont, dass für verschiedene Maßnahmen zur Eindämmung der COVID-19 Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern datenschutzkonform (Gesundheits-) Daten erhoben und verarbeitet werden dürfen, soweit die gesetzlichen Bestimmungen beachtet werden.

 

 

  1. Darf der Arbeitgeber personenbezogene Daten von Mitarbeitern im Zusammenhang mit COVID-19 erheben (z.B. sog. Corona-Fragebögen)?

Kurz zusammengefasst: Unter bestimmten Voraussetzungen können solche „Corona-Fragebögen“ gegenüber Mitarbeitern datenschutzrechtlich rechtmäßig durchgeführt werden.

Die Einwilligung der betroffenen Personen ist als Rechtsgrundlage eher ungeeignet, da die Freiwilligkeit der Einwilligung im Arbeitsverhältnis besonders zweifelhaft ist.

Arbeitgeber sind verpflichtet, die erforderlichen Maßnahmen zu treffen, um die betriebliche Sicherheit und Gesundheit der Mitarbeiterinnen und Mitarbeiter zu gewährleisten. Der Arbeitgeber kann die erforderlichen personenbezogenen Daten zum Zweck der arbeitsmedizinischen Vorsorge verarbeiten, soweit eine solche Verarbeitung erforderlich ist.

  1. Darf der Arbeitgeber personenbezogene Daten von externen Besuchern im Zusammenhang mit COVID-19 erheben (z.B. sog. Corona-Fragebögen)?

Kurz zusammengefasst: Unter bestimmten Voraussetzungen können solche „Corona-Fragebögen“ gegenüber externen Besuchern datenschutzrechtlich rechtmäßig durchgeführt werden.

Auch hier ist fraglich, ob die Einwilligung freiwillig erteilt werden kann. Dies ist nur der Fall, wenn der Besucher eine echte Wahl hat. Dies kann angenommen werden, wenn dem Besucher gangbare Alternativen zur Verfügung stehen und das Formularerfordernis schon vor Reiseantritt kommuniziert wird.

Für eine Verarbeitung kann auch der Schutz der öffentlichen Gesundheit als Rechtsgrundlage herangezogen werden.

  1. Darf ein Arbeitgeber eigenständig Gesundheitschecks (z.B. Fiebermessung) durchführen?

Kurz zusammengefasst: Unter bestimmten Voraussetzungen können solche Gesundheitschecks datenschutzrechtlich rechtmäßig durchgeführt werden.

Da es sich um Gesundheitsdaten handelt, gelten besondere Bestimmungen. Die Maßnahme muss jedoch insgesamt auch in arbeitsrechtlichen Bereichen verhältnismäßig und erforderlich sein. Solche Gesundheitschecks sind in der Regel wohl kritisch zu beurteilen, da eine Geeignetheit der Maßnahme nicht mit Sicherheit angenommen werden kann, weil erhöhte Temperatur nur ein mögliches Symptom des COVID-19 ist, aber abhängig von der Beurteilung des Einzelfalles und der weiteren Entwicklung der Pandemie, können diese datenschutzkonform durchgeführt werden.

  1. Kann der Arbeitgeber bei einer Krankschreibung danach fragen, ob eine Infektion mit dem COVID-19 die Ursache ist oder ein Verdachtsfall besteht?

Die allgemeine Fürsorgepflicht des Arbeitgebers kann grundsätzlich die Erhebung von Gesundheitsdaten im Zusammenhang mit COVID-19 rechtfertigen, da der Arbeitgeber sicherstellen muss, dass sich die anderen Arbeitnehmer seines Betriebes nicht mit COVID-19 angesteckt haben könnten. Allerdings muss die Frage zum Schutz der anderen Arbeitnehmer auch erforderlich sein. Dies ist wohl nur der Fall, wenn die Krankschreibung des Mitarbeiters Anlass zur Annahme gibt, er habe sich wegen der Infizierung mit COVID-19 krankschreiben lassen.

  1. Darf der Arbeitgeber die Identität von nachweislich infizierten oder unter Infektionsverdacht stehenden Personen offenlegen?

Die Offenlegung der Namen von nachweislich mit COVID-19 infizierten oder unter Infektionsverdacht stehenden Personen sollen der Information und gleichzeitig dem Schutz potentieller Kontaktpersonen der betroffenen Person dienen.

Die Weitergabe dieser Daten kann zu einer Stigmatisierung der betroffenen Person führen. Auch wenn die allgemeine Fürsorgepflicht des Arbeitgebers nicht nur gegenüber der jeweils betroffenen Person, sondern auch gegenüber allen anderen Mitarbeitern besteht, ist jede Verarbeitung personenbezogener Daten am Verhältnismäßigkeitsgrundsatz zu messen. Eine namentliche Nennung kann daher nur ausnahmsweise zulässig sein, wenn die Kenntnis der Identität der betroffenen Person für Vorsorgemaßnahmen zwingend erforderlich ist.

  1. Darf der Arbeitgeber von infizierten Mitarbeitern Informationen über deren Kontaktpersonen erheben/verarbeiten?

Ein infizierter Mitarbeiter muss seinen Arbeitgeber grundsätzlich über das Vorliegen einer Infektion zu informieren, wenn dies zum Schutz hochrangiger Rechtsgüter von Dritten erforderlich ist. Zur Wahrung berechtigter Interessen potentieller Kontaktpersonen eines infizierten Mitarbeiters kann daher auch die Offenlegung personenbezogener Daten von Dritten gerechtfertigt sein.

  1. Darf der Arbeitgeber Daten über erkrankte Beschäftigte, über Beschäftigte mit Aufenthalt in Risikogebieten oder Kontakte zu Infizierten an die Behörden übermitteln?

Für eine Übermittlung personenbezogener Daten von Beschäftigten, die sich in Risikogebieten einer Infektion mit COVID-19 aufgehalten haben oder Kontakt zu Infizierten hatten, an Behörden besteht ohne eine entsprechende Aufforderung der jeweiligen Behörde wohl in aller Regel keine Rechtsgrundlage. Entsprechende behördliche Anordnungen sind aber auf Grundlage des Infektionsschutzgesetzes (IfSG) sowie länderspezifischer Regelungen denkbar.

  1. Darf der Arbeitgeber private Kontaktdaten von Beschäftigten für Notfälle erheben und speichern?

Eine temporäre Speicherung privater Kontaktdaten zur kurzfristigen Warnung/Kontaktaufnahme ist mit Einverständnis des Beschäftigten wohl zulässig. Die Angabe der Daten wird regelmäßig auch im eigenen Interesse der Mitarbeiter liegen.

Allerdings wird man daraus wohl keine Pflicht der Beschäftigten ableiten können, ihre Kontaktdaten auch tatsächlich anzugeben. Im Hinblick auf die Rechtmäßigkeit der Datenverarbeitung ist besonders das „Recht auf Vergessenwerden“ zu beachten, da diese Daten eindeutig zweckgebunden – nämlich zur Verringerung der Infektionsgefährdung – erhoben werden.

 

 

 

Links zu offiziellen Mitteilungen der Datenschutzbehörden:

Datenschutzkonferenz (DSK): Datenschutzrechtliche Informationen zur Verarbeitung von personenbezogenen Daten durch Arbeitgeber und Dienstherren im Zusammenhang mit der Corona-Pandemie, 13. März 2020

European Data Protection Board, Statement by the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, 16 March 2020

 

 

 

 

Rubrik: Datenschutz Allgemein, Datensicherheit, DSGVO

LfDI Baden-Württemberg verhängt erstes Bußgeld nach der DS-GVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat am 21. November 2018 gegen den Betreiber einer Chat Community („Unternehmen“) eine Geldbuße in Höhe von 20.000 Euro wegen einer Verletzung der Pflichten bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Datenschutz-Grundverordnung („DS-GVO“) verhängt. Ein höheres Bußgeld konnte vor allem durch eine sehr gute Zusammenarbeit des Unternehmens mit dem LfDI vermieden werden. Lesen Sie mehr »

Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Datenübermittlungen, DSGVO, EU-Datenschutz-Grundverordnung, EU-Standardvertragsklauseln

Beschäftigtendatenschutzrechtliche Anforderungen an Matrix-Strukturen im Konzern

Matrix-Strukturen sind ein in der Praxis häufig genutztes Organisationsmodell für erfolgreiche und effiziente personelle Zusammenarbeit in Unternehmensgruppen und Konzernen. Um diese Strukturen effektiv nutzen zu können, ist der Austausch von personenbezogenen Daten zwischen einzelnen Gesellschaften des Konzerns erforderlich. Hierbei müssen Unternehmen im Konzern die Anforderungen des Beschäftigtendatenschutzes beachten. Der vorliegende dritte Beitrag aus unserer Reihe zu rechtlichen Besonderheiten bei Matrix-Strukturen in Konzernen gibt einen Überblick über wesentliche datenschutzrechtliche Fragen zu diesem Thema. Lesen Sie mehr »

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet, DSGVO, Kundendatenschutz

Website Compliance: Haftung für Social Plugins – Vorlagefragen an EuGH

Das von der Verbraucherzentrale NRW gegen die direkte Einbindung des Facebook „Like-Buttons“ geführte Klageverfahren geht in die nächste Runde: Mittlerweile beschäftigt sich das Oberlandesgericht (OLG) Düsseldorf im Berufungsverfahren mit der Rechtmäßigkeit der direkten Einbindung von Social Plugins wie des „Like-Buttons“. Durch Beschluss vom 19. Januar 2017 (Az. I-20 U 40/16) hat das Gericht das Verfahren jedoch ausgesetzt und sich mit mehreren Vorlagefragen an den Europäischen Gerichtshof gewendet. Dieser muss nun grundsätzlich klären, ob Website-Betreiber für die Einbindung des „Like-Buttons“ rechtlich verantwortlich sind. Lesen Sie mehr »

Rubrik: Datenschutz Allgemein, Datenschutz International, DSGVO, EU-Standardvertragsklauseln

Hebelt US-Präsident Trump’s Executive Order den EU-US Privacy Shield aus?

Die jüngsten Amtshandlungen von US-Präsident Trump bestimmen momentan nicht nur die täglichen Nachrichten, sondern sind auch Gegenstand aktueller Diskussionen der Europäischen Datenschützer: Konkret geht es um eine von US-Präsident Trump am 25. Januar 2017 unterzeichnete präsidiale Anordnung „zur Verbesserung der öffentlichen Sicherheit“. Einigen Stimmen zufolge unterlaufe diese Anordnung die Zusicherungen der Obama-Administration, auf denen der EU-US Privacy Shield beruht, wodurch der EU-US Privacy Shield keine ausreichende rechtliche Absicherung für Datentransfers in die USA mehr darstelle. Tatsächlich stellt sich dies nach der gegenwärtigen Sach- und Rechtslage jedoch nicht so dar, so dass sich betroffene Unternehmen durch den Fluss der aktuellen Diskussion nicht zu übereilten Entscheidungen hinreißen lassen sollten. Lesen Sie mehr »

Rubrik: Compliance, Datenschutz Allgemein, Datenschutz im Internet, Datenschutz International, Datensicherheit

Umsetzung der NIS-Richtlinie: Neue Pflichten für Anbieter digitaler Dienste

Cyberangriffe stellen eine zunehmende Bedrohung für eine Vielzahl von Unternehmen und die Allgemeinheit dar, wie zuletzt das BSI wieder festgestellt hat. Nun hat die Bundesregierung am 25. Januar 2017 einen ersten Gesetzesentwurf zur Umsetzung der NIS-Richtlinie auf den Weg gebracht, der insbesondere Anbietern von Online Markplätzen, Online-Suchmaschinen und Cloud-Computing-Services neue – bußgeldbewährte – Pflichten zur Wahrung der Sicherheit ihrer IT-Systeme auferlegt. Bundesweit sollen zwischen 500 und 1500 Unternehmen betroffen sein. Wir geben einen ersten Überblick über den Entwurf.

Lesen Sie mehr »

Rubrik: Datenübermittlungen, Datenschutz Allgemein, Datenschutz im Internet

Digitaler Binnenmarkt: EU Kommission veröffentlicht Paket zum digitalen Datenverkehr

Am 10. Januar 2017 hat die Europäische Kommission ihr lang ersehntes Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes auch im Bereich des elektronischen Datenverkehrs der Öffentlichkeit vorgestellt (Pressemitteilung). Die aktuelle Initiative umfasst erneut ein ambitioniertes Paket an Verordnungsentwürfen, Kommissionsmitteilungen und begleitenden Dokumenten. Man kann mit Fug und Recht von einem weiteren „Meilenstein“ in der Umsetzung der grundlegenden Binnenmarktstrategie (Digital Single Market – DSM) der Kommission vom Mai 2015 sprechen. Dem jetzigen Paket vorausgegangen ist eine Reihe von Konsultationen, die der breiten Öffentlichkeit 2016 die Möglichkeit zur Stellungnahme gegebenen haben, wie auch ein vertieftes Impact Assessment durch die Kommission. Lesen Sie mehr »

Rubrik: Arbeitsrecht, Beschäftigtendatenschutz, Compliance, Datenschutz Allgemein

Beschäftigtendatenschutz: BAG zur Verwertbarkeit von Zufallsfunden aus heimlicher Überwachung

Tim Wybitul & Dr. Wolf-Tassilo Böhm

Das BAG präzisiert in einer aktuellen Entscheidung, welche Vorgaben Unternehmen bei der Aufklärung von Straftaten, Compliance-Verstößen und sonstigen schwerwiegenden Pflichtverletzungen beachten müssen

Das Bundesarbeitsgericht (BAG) hat am 22. September 2016 ein wichtiges Urteil gefällt und kürzlich die Entscheidungsgründe veröffentlicht. Darin geben die Richter Antworten auf wesentliche Fragen des Beschäftigtendatenschutzes. Die Entscheidung (Az.: 2 AZR 848/15) können Sie hier abrufen. Sie zeigt, unter welchen Voraussetzungen Ermittlungs- oder Kontrollmaßnahmen des Arbeitgebers ohne Kenntnis der davon betroffenen Arbeitnehmer  zulässig sind. Ebenso zeigt die Entscheidung, dass und unter welchen Voraussetzungen Arbeitsgerichte sogar unstreitige Tatsachen unbeachtet lassen, wenn der Arbeitgeber diese datenschutzrechtswidrig erhoben hat. Damit hat sie auch  erhebliche Bedeutung für interne Ermittlungen und Compliance-Kontrollen. Viele der vom BAG aufgestellten Anforderungen lassen sich  beispielsweise auch auf die Auswertung von Email-Korrespondenz zur Aufdeckung konkret vermuteter Pflichtverletzungen oder ähnliche Aufklärungsmaßnahmen übertragen. Der vorliegende Überblick zeigt die Anforderungen des BAG und gibt Arbeitgebern Empfehlungen, wie sie diese effektiv und rechtssicher umsetzen können. Lesen Sie mehr »

Rubrik: Beschäftigtendatenschutz, DSGVO, EU-Datenschutz-Grundverordnung

EU-Datenschutz-Grundverordnung: Überblick über den neuen Gesetzentwurf zur DSGVO

Gesetzentwurf zum neuen Bundesdatenschutzgesetz (BDSG) abrufbar – Erster Überblick über geplante Regelungen

Ab Mai 2018 gilt die neue EU-Datenschutz-Grundverordnung (DSGVO). Das Bundesministerium des Inneren (BMI) hatte bereits im August einen Referentenentwurf für ein Ausführungsgesetz vorgelegt. Das Gesetz soll „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ (DSAnpUG-EU) heißen. Kernstück des ersten vorgelegten Entwurfs war ein „Allgemeines Bundesdatenschutzgesetz“ (ABDSG). Das ABDSG sollte eine Anpassung des deutschen Rechts an die Vorgaben der DSGVO sicherstellen. Zudem soll es die in der DSGVO vorgesehenen Öffnungsklauseln möglichst weitgehend nutzen. Dieser Entwurf war Gegenstand teilweise massiver Kritik, etwa durch die Bundesdatenschutzbeauftragte und das Bundesministerium für Justiz und Verbraucherschutz (BMJV). Nähere Einzelheiten hierzu sowie ausführliche Stellungnahmen finden Sie hier.

Ein entsprechendes Interview aus der Zeitschrift für Datenschutz (ZD) mit dem Berichterstatter der DSGVO im Europaparlament und Hogan Lovells-Partner Tim Wybitul können Sie hier mit freundlicher Genehmigung des Verlag C.H. Beck abrufen.HL Data Protection

Ein erster Überblick über den  neuen BDSG-Entwurf

Nun hat die Deutsche Vereinigung für Datenschutz e.V. (DVD) eine neue Entwurfsfassung vom 11.11.2016 geleakt. Die wichtigsten Änderungen sollen nun in einem neu gefassten Bundesdatenschutzgesetz geregelt werden. Dessen Entwurf können sie hier online abrufen. Bereits beim ersten Durchlesen fällt auf, dass der Entwurf viele Kritikpunkte nicht berücksichtigt. Nachstehend finden Sie einige für Unternehmen besonders relevante erste Eckdaten des Referentenentwurfs für ein BDSG:

  • Struktur und Klarheit: Die vom BMI vorgeschlagenen Regelungen sind komplex, wenig übersichtlich und selbst für Experten schwer verständlich. Erwägungsgrund 8 der DSGVO stellt hierzu allerdings recht hohe Anforderungen auf: „Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.“ Insgesamt dürfte zweifelhaft sein, ob der BDSG-E die Kohärenz wahrt. Noch mehr Zweifel dürften bestehen, ob das geplante deutsche Gesetz „die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher“ macht.
  • Begriffsbestimmungen: In § 2 BDSG-E sind eine Reihe gesetzlicher Begriffsbestimmungen aus Art. 4 DSGVO wiedergegeben. Diese Regelung dürfte im Hinblick auf das vom EuGH aufgestellte Wiederholungsgebot problematisch sein.
  • Datenschutz am Arbeitsplatz: § 24 BDSG-E regelt den künftigen Beschäftigendatenschutz. Die Vorschrift entspricht weitgehend dem bisherigen § 32 BDSG. Hier stellt sich die Frage, ob diese Regelung den Anforderungen des Art. 88 Abs. 2 DSGVO entspricht. Einen ausgesprochen gelungenen Überblick zu dieser Frage gibt Kort, Die Zukunft des deutschen Beschäftigtendatenschutzes, ZD 2016, 555 ff. Zudem enthält § 24 Abs. 3 DSGVO eine gesetzliche Definition des Begriffs des Beschäftigten.
  • Sonderregelungen: Der Entwurf sieht Spezialregelungen für Datenverarbeitungen zu wissenschaftlichen oder historischen Forschungszwecken vor (§ 25 BDSG-E), für Geheimhaltungspflichten unterliegenden Daten (§ 26 BDSG-E), für Übermittlungen an Auskunfteien (§ 27 BDSG-E), für Scorings (§ 28 BDSG-E), für Verbraucherkredite (§ 29 BDSG-E)
  • Informationspflichten: § 30 und § 31 BDSG-E sollen die Informationsrechte nach Art. 13. und 14 DSGVO einschränken. Insbesondere sollen Untersichtungspflichten nach Art. 13 DSGVO entfallen, sofern dies „einen unverhältnismäßigen Aufwand erfordern würde“ oder „voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und deswegen das Interesse der betroffenen Person an der Informationserteilung zurücktreten muss„. Ausweislich der Entwurfsbegründung soll diese Ausnahme auf Art. 23 DSGVO gestützt werden. Es dürfte ausgesprochen interessant werden, ob Fachliteratur (und später ggf. einmal die Gerichte) dies als EU-rechtlich zulässig bewerten werden.
  • Einschränkung sonstiger Betroffenenrechte: Auch §§ 32 bis 35 BDSG-E schränken die Betroffenenrechte nach Art. 14 ff. DSGVO weiter ein.
  • Datenschutzbeauftragte: § 36 BDSG-E sieht vor, dass Unternehmen einen Datenschutzbeauftragten (DSB) benennen müssen, falls sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Unternehmen müssen auch dann einen DSB benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Bestellpflicht gilt auch, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Diese Regelung ist zweckmäßig und schafft Rechtssicherheit für DSB und Unternehmen mit Niederlassungen in Deutschland.
  • Bußgelder: § 40 BDSG-E  sieht eine Obergrenze von EUR 300.000 vor, wenn jemand „in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter“ einen der in Art. 83 Abs. 4, 5 oder Abs. 6 DSGVO genannten Verstöße begeht. Auch hier dürfte fraglich sein, ob diese Regelung mit der in Art. 83 Abs. 1 DSGVO angeordneten Vorgabe vereinbar ist, dass Bußgelder „wirksam und abschreckend“ sein müssen. Zudem hilft die Regelung Vorständen oder Geschäftsführern nur bedingt, wenn Datenschutzverstöße in ihren Verantwortungsbereich fallen. Denn dann sehen sie sich Regressansprüchen des Unternehmens ausgesetzt, für das ja die hohen, am Umsatz orientierten Bußgelder Anwendung finden können. Da es hier in der Regel um vorsätzliche Handlungen geht, treten D&O-Versicherungen normalerweise nicht ein, da diese Versicherungen vorsätzliche Taten zumeist nicht abdecken.
  • Datenschutz-Straftaten: § 41 BDSG-E regelt die Strafbarkeit von Datenschutzverstößen. Die Vorschrift entspricht im Wesentlichen dem bisherigen § 44 BDSG. Begeht jemand eine Handlung nach Art. 83 Abs. 5 DSGVO „vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen„, so macht er sich strafbar. Verstöße gegen § 41 BDSG-E sollen mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe geahndet werden. Verstößt jemand in gleicher Weise „nur“ gegen die mit Bußgeldern von bis zu EUR 10 Millionen (bzw. Bis zu 2 Prozent des Umsatzes) bewehrten Vorgaben von Art. 83 Abs. 4 BDSG, so drohen keine Strafbarkeitsrisiken.
  • Sonstige Pflichten der Verantwortlichen und Auftragsverarbeiter: Die §§ 57 bis 72 BDSG-E regeln sonstige Pflichten für Unternehmen, die Daten in eigener Verantwortung oder im Auftrag verarbeiten. Sie regeln Themen von der Auftragsverarbeitung bis hin zur vertraulichen Meldung von Verstößen und enhalten teilweise für die Praxis durchaus relevante Abweichungen von den Vorgaben der DSGVO. Bereits bei einer ersten kursorischen Durchsicht stellt sich hier die Frage, wie eine Reihe der Vorschriften mit dem vom EuGH aufgestellten Wiederholungsverbot in Einklang zu bringen sein sollen.
  • Übermittlungen in Drittstaaten: §§ 73 bis 76 BDSG-E enthalten Sonderregeln für die Übermittlung personenbezogener Daten an Verantwortliche in Drittstaaten.

 

Fazit und Handlungsempfehlungen

Natürlich sollte man in einem ersten Überblick mit Bewertungen vorsichtig sein. Der erste Eindruck von dem geplanten BDSG-E verheißt allerdings aus Unternehmenssicht wenig Gutes. Zwar versucht das BMI erkennbar, der Wirtschaft Gutes zu tun. Der Referentenentwurf sieht viele Ausnahmen vor, die die Pflichten von Unternehmen bei der Datenverarbeitung einschränken sollen. Allerdings ist er so schwer verständlich, dass er für Laien kaum anwendbar sein dürfte – gerade im Zusammenspiel mit der auch nicht eben einfach strukturierten DSGVO. Für Datenschutzexperten sind Gesetze wie das geplante BDSG-E zwar eine stete Einnahmequelle – für Unternehmen und Bürger wären aber klare und verständliche Vorschriften nötig.

Vor allem aber sind viele Regelungen europarechtlich durchaus nicht unproblematisch. Auch einige wesentliche Kritikpunkte der Bundesdatenschutzbeuaftragten und des BMJV sind nicht ausgeräumt. Damit bleibt auch völlig offen, ob der Gesetzentwurf eine Mehrheit im Bundestag findet. Und gerade diese Unsicherheit stellt deutsche Unternehmen vor hohe Hürden. Denn sie müssen nun entscheiden, ob sie sich in laufenden Umsetzungsprojekten an den Vorgaben der DSGVO oder mehr an denen des BDSG-E orientieren. Bauen sie auf den Referentenentwurf des BMI, stehen sie vor großen Problemen, wenn der Entwurf den deutschen Bundestag nicht passiert oder bereits in der Ressortabstimung scheitert. Zudem erschwert das geplante BDSG-E es Unternehmen, EU-weite Konzepte zur Umsetzung der DSGVO zu entwickeln und umzusetzen. Daher werden gerade größere Unternehmen voraussichtlich zunächst eher an die Anforderungen der DSGVO als die des BDSG-E in ihre Planung bei DSGVO-Implementierungsprojekten einbeziehen.

Zudem empfiehlt es sich für in Deutschland tätige Unternehmen, die weitere Entwicklung in Bezug auf den geplanten BDSG-E genau zu beobachten. Hierzu können Sie auch unseren rechts auf dieser Seite angebrachten Newsfeed nutzen. Gerne halten wir Sie zur DSGVO, zum BDSG-E und zu weiteren wirtschaftsrechtlichen Fragen auf dem Laufenden.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu