Kapitel
Bild: MEV-Verlag, Germany

Um das deutsche Recht an die Verordnung anzupassen und insbesondere Wahlmöglichkeiten in der EU-DSGVO zu regeln, wurde am 30 Juni 2017 das Datenschutz-Anpassungs- und Umsetzungsgesetz EU beschlossen (BDSG neu), das am 25. Mai 2018 in Kraft tritt.

BDSG 2018: Wahlmöglichkeiten in der EU-DSGVO müssen gesetzlich geregelt werden

Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (EU-DSGVO) 2016/679 unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Ziel der Verordnung ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten.

Das Datenschutz-Anpassungs- und Umsetzungsgesetz EU, im folgenden BDSG neu, wird angewendet auf öffentliche Stellen sowie natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, im Gesetz nichtöffentliche Stellen genannt (§ 1 BDSG neu). Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Teil 2 des neuen BDSG bezieht sich auf die EU-DSGVO. Teil 3 (§§ 45 bis 84 BDSG neu) wurde der „EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten  oder  der Strafvollstreckung sowie zum freien Datenverkehr und  zur  Aufhebung des  Rahmenbeschlusses 2008/977/JI des Rates“ angepasst. Einige Vorschriften von Teil 3 des BDSG, siehe Ziffern 4.3 und 4.6. entsprechen aber nicht nur der Richtlinie 2016/680, sondern auch der EU-DSGVO. Deswegen ist auch privaten Unternehmen zu empfehlen, die betreffenden Artikel von Teil 3 anzuwenden, soweit sie die Vorschriften der EU-DSGVO umsetzen und es in Teil 2 für Privatunternehmen keine speziellen Vorschriften gibt.  Wie die Gerichte die Anwendbarkeit von Teil 3 BDSG neu beurteilen, wird sich zeigen.

Bundesdatenschutzgesetz 2018: Rechte der Betroffenen fest

Die betroffene Person muss über die Datenverarbeitung informiert werden, gem. Art. 13 EU-DSGVO (§§ 32, 33 BDSG neu). Das gilt auch, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Die Verarbeitung von sensiblen Daten gem. Art. 9 EU-DSGVO, z.B. politische Meinungen, Gewerkschaftszugehörigkeit oder genetischen Daten, durch öffentliche und nichtöffentliche Stellen ist erlaubt, unter anderem wenn sie erforderlich ist, um die aus dem Recht der sozialen Sicherheit erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen (§ 22 BDSG neu). In diesen Fällen sind angemessene technisch organisatorische Maßnahmen zu ergreifen, um die Interessen der betroffenen Person wahrzunehmen, z.B. Möglichkeiten um die Daten nachträglich zu überprüfen, Verschlüsselung, Einsatz eines Datenschutzbeauftragten, Beschränkung des Zugangs zu den personenbezogenen Daten.

Auftragsverarbeitung: Vertrag notwendig

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen (EU-DSGVO Artikel 28, § 62 BDSG neu). Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel der Verarbeitung fest, gelten sie als gemeinsam Verantwortliche. Sie müssen ihre jeweiligen Aufgaben und datenschutzrechtlichen Verantwortlichkeiten in transparenter Form in einer Vereinbarung festlegen (§ 63 BDSG neu).

Ein Verantwortlicher darf nur Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragen, die mit geeigneten technischen und organisatorischen Maßnahmen sicherstellen, dass die Verarbeitung im Einklang mit den gesetzlichen Anforderungen erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird (§ 62 BDSG neu). Betroffene Personen können ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Schadensersatz gegenüber dem Verantwortlichen geltend machen.

Der Verantwortliche hat mit dem Auftragsverarbeiter einen, grundsätzlich schriftlichen, Vertrag abzuschließen. Darin festzulegen sind, der Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen.

Vorschriften für Scoring und Bonitätsauskünfte

Die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person (Scoring) ist zulässig (§ 31 BSDG neu), wenn

  • die Vorschriften des Datenschutzrechts eingehalten wurden
  • die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind

Für Scoring dürfen die Anschriftendaten verwendet werden. Werden diese genutzt, muss die betroffene Person über die vorgesehene Nutzung dieser Daten informiert und dies dokumentiert werden.

Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat die Auskunftsanträge von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union genauso zu behandeln wie die von inländischen Darlehensgebern (§ 30 BSDG neu).

Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer solchen Stelle ablehnt, hat den Verbraucher unverzüglich über die erhaltene Auskunft zu unterrichten.

Für Scoring gilt folgendes: Die Verwendung eines von Auskunfteien ermittelten Wahrscheinlichkeitswerts über die Zahlungsfähigkeit- und Zahlungswilligkeit einer natürlichen Person ist, darf nur bestimmte Schulden berücksichtigen, z.B. solche die von der Person selber anerkannt oder von einem Gericht bestätigt wurden.

Videoüberwachung erkennbar vornehmen

Videoüberwachung öffentlich zugänglicher Räume ist gemäß § 4 BSDG nur zulässig, zur 

  • Aufgabenerfüllung öffentlicher Stellen
  • Wahrnehmung des Hausrechts oder
  • Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke, wenn keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Der Umstand der Beobachtung, sowie der Name und die Kontaktdaten des Verantwortlichen sind durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen. Die Speicherung oder Verwendung der erhobenen Daten ist zulässig, wenn sie für den verfolgten Zweck erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung.

§ 64 BDSG neu: technische Anforderungen an die Datenverarbeitung

Dies steht in Teil 3 des BDSG neu und gilt nach § 45 im Prinzip für öffentliche Stellen, die für Straftatbestände zuständig sind. Da aber Artikel 25 der EU-DSGVO technische Anforderungen an die Datenverarbeitung vorschreibt, ist auch privaten Unternehmen zu empfehlen, die folgenden Vorschriften zu beachten.

Verantwortliche und Auftragsverarbeiter haben die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten (§ 64, 71 BDSG neu). Das gilt vor allem für sensible Daten. Dabei ist auch die Datensparsamkeit zu berücksichtigen, d.h. Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.

Der Verantwortliche hat angemessene Maßnahmen zu ergreifen, um zu gewährleisten, dass personenbezogene Daten, die unrichtig oder nicht mehr aktuell sind, nicht übermittelt oder sonst zur Verfügung gestellt werden (§ 74 und 75 BDSG neu). Die Qualität der Daten muss vor ihrer Übermittlung oder Bereitstellung überprüft werden. Bei jeder Übermittlung personenbezogener Daten müssen, soweit dies möglich und angemessen ist, Informationen beigefügt werden, die es dem Empfänger ermöglichen, die Richtigkeit, die Vollständigkeit und die Zuverlässigkeit der Daten sowie deren Aktualität zu beurteilen. Weiter muss der Verantwortliche personenbezogene Daten 

  • berichtigen, wenn sie falsch sind. Eine Berichtigung hat er der Stelle, die die Daten zuvor an ihn übermittelt hat, mitzuteilen.
  • unverzüglich löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für seine Aufgabenerfüllung nicht mehr erforderlich ist.

Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen gem. § 70 BDSDG neu. Das gilt auch für Datenverarbeitung, die im Auftrag eines Verantwortlichen durchgeführt wird. Dieses Verzeichnis hat unter anderem die folgenden Angaben zu enthalten, die Zwecke der Verarbeitung, die Kategorien von Empfängern der Daten, die Kategorien betroffener Personen.

In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren gem. § 76 BDSG neu: Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung.

Geldbuße für Verstöße

Gem. § 43 BDSG neu wird eine Geldbuße von bis zu 50.000 Euro für Verstöße angedroht; dies auch bei Fahrlässigkeit. Ordnungswidrig handelt, wer Auskunftsbegehren nicht richtig behandelt oder einen Verbraucher gar nicht, unvollständig oder nicht rechtzeitig unterrichtet.

Klagen von betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen können bei dem Gericht des Ortes erhoben werden, an dem sich eine Niederlassung des Verantwortlichen oder Auftragsverarbeiters befindet oder bei dem Gericht des Ortes, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat gem. § 44 BDSG neu.

Schlagworte zum Thema:  Bundesdatenschutzgesetz, EU-Datenschutzverordnung, Deutsches Recht, Datenschutz-Grundverordnung

Aktuell
Meistgelesen