Immer Up To Date –
der zvoove Newsletter
der zvoove Newsletter
2023 © zvoove Group. All rights reserved.
Sie finden unsere Artikel spannend?
Dann melden Sie sich zu unserem Newsletter an und erhalten Neuigkeiten direkt in Ihre Inbox.
Das Bundesdatenschutzgesetz regelt den Umgang mit personenbezogenen Daten in Deutschland. Vor Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) sollte das BDSG die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) von 1995 umsetzen. Die in der Richtlinie beschriebenen Mindeststandards zum Datenschutz wurden von den EU-Mitgliedstaaten national implementiert. Die im Frühjahr 2016 in Kraft getretene EU-DSGVO soll das Datenschutzrecht für alle EU-Mitgliedstaaten vereinheitlichen: Die Grundverordnung dient dem Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten (Art. 1 DSGVO). Anwendbar ist die DSGVO ab dem 25. Mai 2018. In der Übergangsfrist haben datenverarbeitende Unternehmen Zeit, sich auf die neuen Vorschriften einzustellen. Die DSGVO sieht Öffnungsklauseln vor (z. B. zur Einschränkung von Betroffenenrechten, zur Ausgestaltung von Sanktionen), die nationale Regelungen zulassen. Dadurch verfügen die Mitgliedstaaten über einen gewissen Regelungsspielraum. In Deutschland wurde das Bundesdatenschutzgesetz überarbeitet, um von den Öffnungsklauseln Gebrauch zu machen: Die Neufassung des Bundesdatenschutzgesetzes (BDSG (neu)) konkretisiert und ergänzt die Datenschutz-Grundverordnung. Ein Großteil der bisherigen Regelungen wird durch die DSGVO ersetzt. Ebenfalls eine Rolle spielt die EU-Richtlinie für den Datenschutz bei Polizei und Justiz (JI-Richtlinie), die sich mit der behördlichen Datenverarbeitung zur Prävention und Aufdeckung von Straftaten befasst. Die Richtlinie ist bis zum 06. Mai 2018 in nationales Recht umzusetzen. Mit der Neufassung des BDSG soll ein reibungsloses Zusammenspiel zwischen Datenschutz-Grundverordnung und JI-Richtlinie mit dem deutschen Recht ermöglicht werden. Beschlossen wurde die Neufassung des BDSG als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU). Das BDSG (alt) wird mit Anwendbarkeit der EU-DSGVO im Mai 2018 durch das neue Bundesdatenschutzgesetz abgelöst. Das alte Gesetz wird komplett durch das BDSG (neu) ersetzt.
Das Bundesdatenschutzgesetz richtet sich nach § 1 BDSG (neu) an öffentliche und nicht-öffentliche Stellen. Zu den nicht-öffentlichen Stellen gehören Unternehmen, die personenbezogene Daten:
In den räumlichen Anwendungsbereich fallen Unternehmen, die:
Nach dem Marktortprinzip sind von der Datenschutz-Grundverordnung auch außereuropäische Unternehmen betroffen, die ihre Waren und Dienstleistungen auf dem europäischen Markt anbieten oder Daten von EU-Bürgern verarbeiten.
Das Bundesdatenschutzgesetz umfasst Regelungen zur Ergänzung, Konkretisierung und Beschränkung der Datenschutz-Grundverordnung. Es lässt sich in vier Teile unterteilen:
Die Datenschutz-Grundverordnung regelt in Art. 13 DSGVO die Informationspflicht datenverarbeitender Unternehmen bei der Erhebung personenbezogener Daten: Personen sind auf bestimmte Aspekte der Datenverarbeitung hinzuweisen, zum Beispiel die Verarbeitungszwecke und die Speicherungsdauer der Daten. Wurden die Daten nicht bei der betroffenen Person erhoben, gelten die Informationspflichten in Art. 14 DSGVO. Die Auskunftsrechte der Person (z. B. über die Datenempfänger, Verarbeitungszwecke) werden in Art. 15 DSGVO geregelt. Personen haben unter bestimmten Umständen das „Recht auf Vergessenwerden“, also auf die Löschung ihrer Daten (Art. 17 DSGVO). Gegen die Verarbeitung ihrer Daten können sie gemäß Art. 21 DSGVO Widerspruch einlegen. Einschränkungen zu den genannten Betroffenenrechten werden im BDSG (neu) in § 32 bis § 36 thematisiert.
Mitgliedstaaten haben nach Art. 88 Abs. 1 DSGVO die Möglichkeit, spezifische Vorschriften bzgl. der Verarbeitung von Beschäftigtendaten zu treffen. Die Regelungen zur Datenverarbeitung im Beschäftigungskontext sind in § 26 BDSG (neu) verankert. In Absatz 8 ist der Beschäftigtenbegriff genauer definiert: Hierunter fallen beispielsweise Arbeitnehmer, Leiharbeiter und Auszubildende. Wie im BDSG (alt) finden sich Vorschriften darüber, unter welchen Voraussetzungen die Verarbeitung personenbezogener Daten erlaubt ist: Die Daten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies erforderlich ist:
Erfolgt eine schriftliche Einwilligung der Beschäftigten bzgl. der Verarbeitung ihrer Daten, muss diese freiwillig sein: Zu berücksichtigen sind die im Beschäftigungsverhältnis bestehenden Abhängigkeiten und Umstände der Einwilligung. Von Freiwilligkeit ist nach Art. 26 Abs. 2 vor allem dann auszugehen, wenn der Beschäftigte einen wirtschaftlichen oder rechtlichen Vorteil erlangt oder die Interessen von Arbeitgeber und Mitarbeiter gleichgelagert sind. Art. 7 DSGVO regelt die genaueren Bedingungen der Einwilligung. Datenverarbeiter müssen nachweisen können, dass die Einwilligung erfolgt ist. Der Beschäftigte hat das Recht seine Einwilligung zu widerrufen und ist über dieses Recht sowie die Datenverarbeitungszwecke aufzuklären. Sensible personenbezogene Daten dürfen nur unter bestimmten Umständen verarbeitet werden, z. B. wenn dies zur Erfüllung arbeitsrechtlicher Pflichten erforderlich ist und das schutzwürdige Interesse der Person nicht überwiegt. In welchen Fällen besondere Kategorien personenbezogener Daten verarbeitet werden dürfen, wird in § 22 BDSG (neu) konkretisiert. Die Neufassung des BDSG nimmt explizit Bezug auf Kollektivvereinbarungen (z. B. Tarifvereinbarungen, Betriebsvereinbarungen): Nach § 26 Abs. 4 BDSG (neu) ist die Verarbeitung personenbezogener Daten „für Zwecke des Beschäftigungsverhältnisses“ auf Grundlage von Kollektivvereinbarungen erlaubt. Zu berücksichtigen sind dabei die Anforderungen in Art. 88 DSGVO. Datenverarbeitende Unternehmen müssen außerdem sicherstellen, dass sie die Grundsätze aus Art. 5 DSGVO einhalten.
Unternehmen müssen unter bestimmten Umständen einen betrieblichen Datenschutzbeauftragten bestellen (§ 38 BDSG (neu)). Betroffen sind:
In der Datenschutz-Grundverordnung wird das Thema Datenschutzbeauftragter in Art. 37 DSGVO behandelt.
EU-Mitgliedstaaten können nach Art. 84 Abs. 1 DSGVO andere Sanktionen bei Verstößen gegen die Grundverordnung verhängen. In § 42 BDSG (neu) werden die Strafvorschriften definiert: Die unbefugte, gewerbsmäßige und wissentliche Übermittlung personenbezogener Daten kann mit einer Freiheitsstrafe von bis zu 3 Jahren oder mit einer Geldstrafe sanktioniert werden. Werden personenbezogene Daten unberechtigterweise zu Bereicherungszwecken verarbeitet oder erschlichen, kann eine Freiheitsstrafe von bis zu 2 Jahren oder eine Geldstrafe verhängt werden.
Im Mai 2018 löst die Neufassung des Bundesdatenschutzgesetzes (BDSG (neu)) das alte Gesetz zur Regelung des Datenschutzes ab. Das BDSG regelt die Verarbeitung personenbezogener Daten in Deutschland. Die neue Fassung konkretisiert und ergänzt die EU-Datenschutz-Grundverordnung, die das Datenschutzrecht für alle EU-Mitgliedstaaten vereinheitlicht. Die DSGVO enthält Öffnungsklauseln, die nationale Regelungen zulassen. Die Bundesregierung macht im neuen BDSG von diesen Klauseln Gebrauch. Mit der Neufassung soll ein reibungsloses Zusammenspiel zwischen der DSGVO und JI-Richtlinie mit dem deutschen Recht ermöglicht werden.
Diesen Beitrag teilen