Datenschutz-Anpassungs- und Umsetzungsgesetz EU

Durch die Datenschutz-Grundverordnung DSGVO werden weitere Änderungen im nationalen Recht notwendig. Nachdem Bundestag und Bundesrat dem Gesetz zugestimmt haben, wurde dieses am 25.11.2019 im Bundesgesetzblatt verkündet. Insgesamt werden dadurch Anpassungen in rund 150 Gesetzen erforderlich. 

Datenschutz-Anpassungsgesetz im Bundesgesetzblatt verkündet

Das Gesetz wurde am 25.11.2019 im Bundesgesetzblatt veröffentlicht. Die meisten der geänderten Gesetze traten damit am 26.11.2019 in Kraft. Der Bundesrat hatte am 20.9.2019 die Vorlagen zu zwei Datenschutzanpassungsgesetzen gebilligt. Zum einen ging es um den Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung (DSGVO) und zur Umsetzung der EU-Richtlinie 2016/680. Zum anderen wurde der Gesetzentwurf der Bundesregierung zur Umsetzung der EU-Richtlinie 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die DSGVO angenommen. Der Bundestag hatte die Gesetzesentwürfe bereits am 27.6.2019 verabschiedet.

Die beiden Gesetze sind Artikelgesetze und enthalten Vorgaben zu Änderungen von diversen anderen Gesetzen, teilweise sehr spezifischen Fachgesetzen.

Es wurden bereichsspezifische Datenschutzregelungen des Bundes mit folgenden Schwerpunkten den EU-Vorgaben angepasst:

  • Anpassung von Begriffsbestimmungen und Verweisungen
  • Anpassung von Rechtsgrundlagen für die Datenverarbeitung
  • Regelungen zu den Betroffenenrechten
  • Anpassungen aufgrund unmittelbar geltender Vorgaben der DSGVO zu technischen und organisatorischen Maßnahmen, zur Auftragsverarbeitung, zur Datenübermittlung an Drittländer oder an internationale Organisationen sowie zu Schadenersatz und Geldbußen.

Die meisten Änderungen traten unmittelbar nach der Unterzeichnung durch den Bundespräsidenten und der Veröffentlichung im Bundesgesetzblatt in Kraft.

Änderungen des BDSG: Erleichterungen für Unternehmen

Folgende Änderungen, die für Unternehmen wichtig sind, findet man nicht in dem Gesetzesentwurf der Bundesregierung, sondern in einem Änderungsantrag vom Ausschuss für Inneres und Heimat, der als Ergänzung vom Parlament akzeptiert wurde.

  • In § 38 Abs. 1 Satz 1 BDSG wurde die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von 10 auf 20 angehoben. Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine. Dies wurde von verschiedenen Seiten stark kritisiert, unter anderem mit dem Argument, dass die Verpflichtungen auch ohne Datenschutzbeauftragte bestehen blieben und das den Unternehmen deswegen nicht viel nütze.
  • Geändert wurde § 26 Abs. 2 BDSG über die Voraussetzungen, unter denen im Beschäftigungsverhältnis eine Einwilligung eingeholt werden kann. Nach bisherigem Recht ist für die Einwilligung die Schriftform nötig, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Nach neuem Recht muss die Einwilligung schriftlich oder elektronisch erfolgen, d.h. es werden keine Papierdokumente mehr verlangt. Die Einwilligung kann auch elektronisch, z.B. als E-Mail, gespeichert werden, wobei eine unveränderbare Datei zu empfehlen ist. 

Artikel 82: Änderung des IHKG und der HwO durch das 2. DSAnpUG-EU 

Das Gesetz zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern (IHKG) wurde in verschiedenen Punkten geändert. Wichtige Änderungen und Handlungsbedarf gibt es vor allem in folgenden Punkten:

  • Nach dem alten § 9 Abs. 1 IHKG konnten die Industrie- und Handelskammern zur Erfüllung der ihnen übertragenen Aufgaben Daten bei den Kammerzugehörigen erheben, soweit diese Daten ihnen nicht von der zuständigen Behörde übermittelt wurden. Auskunftspflichtig sind die Inhaber oder Vertreter von kammerzugehörigen juristischen Personen. Nach neuer Fassung von § 9 Abs. 1 IHGK können die Industrie- und Handelskammern Daten auch bei öffentlichen Stellen erheben, soweit sie ihnen nicht von der zuständigen Behörde übermittelt worden sind. Das gilt entsprechend für Daten über angebotene Waren und Dienstleistungen sowie über die Betriebsgrößen. 
  • Nach dem alten § 9 Abs. 4 IHKG durften Industrie- und Handelskammern Name, Firma, Anschrift und Wirtschaftszweig von Kammerzugehörigen zur Förderung von Geschäftsabschlüssen und zu anderen dem Wirtschaftsverkehr dienenden Zwecken an nichtöffentliche Stellen übermitteln, sofern die Betroffenen nicht widersprochen hatten. § 9 Abs. 5 IHKG wurde neu eingefügt und entspricht im wesentlichen dem bisherigen Abs. 4: Die Industrie- und Handelskammern dürfen zur Förderung von Geschäftsabschlüssen und zu anderen dem Wirtschaftsverkehr dienenden Zwecken Daten an nicht-öffentliche Stellen übermitteln. Die Empfänger der Daten müssen sich gegenüber der übermittelnden öffentlichen Stelle verpflichten, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. Die betroffenen Kammerzugehörigen können widersprechen und müssen auf diese Möglichkeit vor der ersten Übermittlung schriftlich oder elektronisch hingewiesen werden. Daten über Mitglieder anderer Kammern hat die Industrie- und Handelskammer nach Übermittlung an die nicht-öffentliche Stelle unverzüglich zu löschen, soweit sie nicht zur Erfüllung der ihr nach diesem Gesetz übertragenen Aufgaben erforderlich sind.
  • Nach dem neuen § 9 Abs. 4 IHKG können Industrie- und Handelskammern die oben genannten Daten an andere Industrie- und Handelskammern auf Ersuchen oder durch automatisiertes Abrufverfahren übermitteln, soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist. Neu sind auch folgende Vorschriften: Die beteiligten Industrie- und Handelskammern haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Schriftlich festzulegen sind der Anlass und Zweck des Abrufverfahrens, die Stelle, an die übermittelt wird und die Art der zu übermittelnden Daten, sowie die erforderlichen technischen und organisatorischen Maßnahmen nach datenschutzrechtlichen Vorschriften. Die Art der Schriftform ist nicht vorgeschrieben, aber eine unveränderbare Datei ist zu empfehlen. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die Stelle, an die übermittelt wird. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Sie hat zu gewährleisten, dass die Übermittlung personenbezogener und sonstiger Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand dieser Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.
  • § 9 Abs. 7 IHKG wird angefügt: Für das Verändern, Einschränken der Verarbeitung oder Löschen der nach den Absätzen 1 und 2 erhobenen Daten sowie die Übermittlung der Daten nach Absatz 1 an öffentliche Stellen gelten trotz der DSGVO die Datenschutzgesetze der Länder.

Von den Änderungen der Handwerksordnung (HwO) sind folgende für Unternehmen wichtig.

  • Nach dem alten § 6 Abs. 4 HwO durfte der Empfänger die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Neu wurde § 6 Abs. 4 folgendermaßen geändert: Die Übermittlung von Daten durch öffentliche Stellen an nicht-öffentliche Stellen ist zulässig, wenn der Empfänger sich verpflichtet hat, die Daten nur für den Zweck zu verarbeiten, zu dessen Erfüllung sie ihm übermittelt werden. In welcher Form ist nicht vorgeschrieben, aber aus Beweisgründen ist zu empfehlen, das schriftlich zu erledigen. Öffentliche Stellen dürfen die ihnen übermittelten Daten nur zu dem Zweck verarbeiten, zu dessen Erfüllung sie ihnen übermittelt wurden.
  • Nach § 6 Abs. 5 HwO gelten für das Verändern und die Einschränkung der Datenverarbeitung in der Handwerksrolle weiterhin die Datenschutzgesetze der Länder.
  • § 13 HwO regelte bisher nur die Löschung der Dateien. Hinzugefügt wurde nun § 13 Abs. 5 Satz 2 HwO: Eine Einzelauskunft aus diesem Dateisystem ist jedem zu erteilen, der ein berechtigtes Interesse glaubhaft darlegt, soweit die betroffene Person kein schutzwürdiges Interesse daran hat, dass die Information nicht weitergegeben wird.  

Änderungen in Zivilprozessordnung und Grundbuchordnung durch 2. DSAnpUG-EU 

Bestimmte Pflichten und Rechte nach DSGVO werden in Bezug auf die von den zentralen Vollstreckungsgerichten verwalteten Vermögensverzeichnisse sowie das Schuldnerverzeichnis in der Zivilprozessordnung (ZPO) geregelt. Die Warn- und Schutzfunktion des Schuldnerverzeichnisses für den Rechtsverkehr sowie die Verfügbarkeit der Vermögensverzeichnisse sollen erhalten bleiben.

§ 802k ZPO regelt die zentrale Verwaltung der Vermögensverzeichnisse. Macht eine betroffene Person das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO geltend, so sind ihr im Hinblick auf die Empfänger der Daten nur die Kategorien berechtigter Empfänger mitzuteilen. Das Widerspruchsrecht gemäß Art. 21 DSGVO wird in Bezug auf die personenbezogenen Daten, die in den von den zentralen Vollstreckungsgerichten verwalteten Vermögensverzeichnissen enthalten sind, nicht angewendet. 

Hinzugefügt wurde ein § 882i ZPO über Rechte der Betroffenen:

  • Das Auskunftsrecht und das Recht auf Erhalt einer Kopie wird dadurch gewährt, dass die betroffene Person Einsicht in das Schuldnerverzeichnis über die zentrale und länderübergreifende Abfrage im Internet nehmen kann. Eine Information der betroffenen Person über konkrete Empfänger erfolgt nur insoweit, als Daten zu diesen Empfängern nach den Vorschriften für Zwecke der Datenschutzkontrolle zu speichern sind.
  • Hinsichtlich der im Schuldnerverzeichnis enthaltenen personenbezogenen Daten kann das Recht auf Berichtigung nach Art. 16 DSGVO nur unter den Voraussetzungen ausgeübt werden, die in § 882e ZPO für Löschungen von Eintragungen oder die Änderung fehlerhafter Eintragungen vorgesehen sind.
  • Das Widerspruchsrecht gemäß Art. 21 DSGVO gilt nicht in Bezug auf die personenbezogenen Daten, die im Schuldnerverzeichnis und in den an das zentrale Vollstreckungsgericht übermittelten Anordnungen der Eintragung in das Schuldnerverzeichnis enthalten sind (§ 882i Abs. 3 ZPO).

Nach § 12 Grundbuchordnung (GBO) ist die Einsicht ins Grundbuch jedem gestattet, der ein berechtigtes Interesse darlegt. Zur Umsetzung der DSGVO wird in der Grundbuchordnung der § 12d GBO eingefügt. Darin werden das Auskunftsrecht nach Artikel 15 Abs. 1 DSGVO und das Recht auf eine Kopie gewährt: Die betroffene Person kann Einsicht nehmen in

  • das Grundbuch, 
  • die Urkunden zur Ergänzung einer Eintragung, 
  • die noch nicht erledigten Eintragungsanträge

sowie eine Abschrift verlangen. Zusätzlich ist Einsicht in weitere Verzeichnisse möglich. Nur die Eigentümer oder Inhaber von grundstückgleichen Rechten erhalten Informationen über Personen, gegenüber denen die im Grundbuch oder in den Grundakten enthaltenen personenbezogenen Daten offengelegt werden.