20 / 2019

Dr. Martin Schirmbacher

Anpassung des bereichsspezifischen Datenschutzes an EU-Recht – ein notwendiger, aber nicht hinreichender Schritt

Die Datenschutzgrundverordnung, die am 25.5.2018 EU-weit wirksam wurde, bezweckt einen einheitlichen Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten in allen Mitgliedstaaten. Als EU-Verordnung ist sie in Deutschland unmittelbar geltendes Recht. Daneben gibt es aber traditionell bereichsspezifisches Datenschutzrecht auf Bundes-, Landes- und auch kommunaler Ebene, das jeweils an die Bestimmungen der DSGVO anzupassen ist. Dementsprechend hatte der Bundesgesetzgeber im Zuge der Einführung der DSGVO das BDSG runderneuert und auch viele andere Vorschriften angepasst. Allerdings sind dabei bei weitem nicht alle Regelungen in Einklang mit den europäischen Vorgaben gebracht worden. Dies holt der Gesetzgeber mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) nun nach.

1. Überblick

Der Deutsche Bundestag hat am 27.6.2019 den von der Bundesregierung eingebrachten Entwurf eines 2. DSAnpUG-EU angenommen. Der Bundesrat hat das Gesetz am 20.9.2019 passieren lassen, so dass das Gesetz alsbald in Kraft treten wird. Das Gesetz ist ein Mammutgesetz und ändert mehr als 150 verschiedene Bundesgesetze und ist schon deshalb nicht nur für Datenschutzspezialisten relevant. Vom Abfallverbringungsgesetz über das Gentechnik- und Hilfetelefongesetz bis zum Zivildienstgesetz, nahezu alle Bereiche des Verwaltungsrechts werden datenschutzrechtlich erneuert.

2. Die wesentlichen Änderungen des Bundesdatenschutzgesetzes

Auch das gerade erst vollständig neu gefasste BDSG wird durch das 2. DSAnpUG-EU geändert. Überwiegend handelt es sich dabei um Neuerungen rein redaktioneller Natur. Erwähnenswert sind folgende Einzelpunkte:

Neu gefasst wird § 9 BDSG. Dieser befasst sich mit der Zuständigkeit des Bundesdatenschutzbeauftragten. Mit der Änderung soll vor allem für eine saubere Abgrenzung zum TKG gesorgt werden und Telekommunikationsunternehmen grundsätzlich dem BfDI unterstellt werden. Die hierfür erforderlichen Änderungen des Telekommunikationsgesetzes sollen in einem separaten Gesetz vorgenommen werden.

In § 22 BDSG wird ein neuer Erlaubnistatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten für nicht-öffentliche Stellen geschaffen. So sollen in Zukunft auch Privatunternehmen besonders sensible Daten wie z.B. politische Meinungen, Religions- oder Gewerkschaftszugehörigkeit oder Gesundheitsdaten verarbeiten dürfen, sofern Gründe eines erheblichen öffentlichen Interesses dies zwingend erforderlich machen.

Dabei ist die Verarbeitung der von Art. 9 DSGVO besonders geschützten Daten nur in engen Ausnahmefällen ohne eine Einwilligung zulässig. So greift die neue Ausnahme etwa bei der Verarbeitung von Gesundheitsdaten durch Private im Bereich der Pandemiebekämpfung. Abzuwarten bleibt, in welchem Umfang von der neuen Vorschrift gebraucht gemacht wird. Denkbar ist bei weiter Auslegung auch die Verarbeitung durch Journalisten, NGOs und private Forschungseinrichtungen.

Immer wieder wurden Vereinfachungen für kleine und mittlere Unternehmen gefordert. Dem politischen Druck ist der Gesetzgeber an einer Stelle nachgekommen und hat die Grenze für die Bestellung eines betrieblichen Datenschutzbeauftragten angehoben. Nach § 38 Abs. 1 Satz 1 BDSG ist über die Vorgaben der DSGVO hinaus nunmehr ein Datenschutzbeauftragter erst dann zwingend zu bestellen, wenn der Verantwortliche in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Für viele kleine Unternehmen dürfte dies die gravierendste Änderung durch das neue Gesetz sein. Entfällt die Pflicht, einen Datenschutzbeauftragten zu bestellen, ändert dies allerdings nichts an den sonstigen Pflichten nach der DSGVO. Insbesondere muss im Zweifel ein Verzeichnis über die Verarbeitungstätigkeiten geführt und gegebenenfalls Datenschutzfolgeabschätzungen vorgenommen werden. Auch ein Betroffenenrechtemanagement und Datenschutzinformationen brauchen auch kleinere Unternehmen. Die Vorschrift darf daher nicht zu einer laxeren Handhabe in den Unternehmen führen. Der Aufbau von internem Datenschutz-Knowhow bleibt auch dann empfehlenswert, wenn Unternehmen nun unter der Grenze liegen sollten.

In § 86 BDSG findet sich nun eine neue Vorschrift für die Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen. Für diese Zwecke dürfen danach sowohl öffentliche als auch nicht-öffentliche Stellen personenbezogene Daten möglicher Kandidaten für den Erhalt besonderer (staatlicher) Ehrungen verarbeiten, soweit dies erforderlich ist. Dabei müssen die Betroffenen weder informiert, noch um eine Einwilligung gebeten werden. Dies dient der Ermöglichung einer sinnvollen Arbeit von Institutionen, die Orden und andere Auszeichnungen vergeben.

Die Vorschrift wirft indes ein Licht auf die allgemeinen Schwierigkeiten in der Praxis bei dem Umgang mit den weitgehend ausnahmslos geltenden Pflichten zur Information der Betroffenen. Auch bei Ehrungen ist eine Information der Betroffenen kontraproduktiv (und die Nicht-Information unschädlich). Dies gilt aber für unzählige andere Umstände auch, bei denen DSGVO bzw. BDSG keine Ausnahmen zulassen.

3. Änderungen an 153 weiteren Bundesgesetzen

Über die Eingriffe in das BDSG hinaus nimmt das 2. DSAnpUG-EU Änderungen an 153 weiteren Bundesgesetzen vor. Unter die Änderungsbestimmungen fallen dabei auch solche Gesetze, an die man beim Thema DSGVO nicht sofort denkt. Geändert werden etwa das Rindfleischetikettierungsgesetz, das Dopingopfer-Hilfegesetz und das Strahlenschutzgesetz. In allen betroffenen Gesetzen werden die darin jeweils enthaltenen Vorschriften zum bereichsspezifischen Datenschutz im Einzelnen an die Vorgaben der DSGVO angepasst.

Die Änderungen bedienen sich dabei jeweils u.a. folgender Maßnahmen:

• Anpassungen von Begrifflichkeiten an die Terminologie der DSGVO;

• Anpassung und zum Teil auch Schaffung von bereichsspezifischen Rechtsgrundlagen für die Datenverarbeitung;

• Neue und angepasste Regelungen zu den Betroffenenrechten;

• Anpassungen zu technischen und organisatorischen Maßnahmen;

• Anpassung von Vorschriften zur Datenverarbeitung im Auftrag oder zur Datenübermittlung an Drittländer und

• Regelungen zu Schadensersatz und Geldbußen.

4. Weiterhin offene Konfliktfelder

Auch wenn das 2. DSAnpUG-EU sehr mächtig wirkt und 154 deutsche Gesetze ändert, bleiben wichtige Konfliktfelder, die die Praxis seit Mai 2018 sehr beschäftigen, unangetastet. Wer auf einen großen datenschutzrechtlichen Wurf gehofft hatte, wird vom 2. DSAnpUG-EU enttäuscht.

Im Bereich der Personenfotografie bleibt das Verhältnis der §§ 22, 23 KUG zu Art. 6 DSGVO ungeregelt (vgl. dazu OLG Köln v. 18.6.2018 – 15 W 27/18, CR 2018, 782; Benedikt/Kranig, ZD 2019, 4; Lauber-Rönsberg/Hartlaub, NJW 2017, 1057, 1059 ff.; Tinnefeld/Conrad, ZD 2018, 391, 397; Ziebarth/Elsaß, ZUM 2018, 578). Es bleibt damit weiterhin offen, inwieweit das KUG neben der DSGVO anwendbar bleibt.

In der Praxis sollte man beide Regelungskomplexe nebeneinander anwenden und dabei Art. 6 Abs. 1 Satz 1 lit. f DSGVO vergleichsweise großzügig auslegen (vgl. Benedikt/Kranig, ZD 2019, 4, 7; Ziebarth/Elsaß, ZUM 2018, 578, 584). So kann beispielsweise eine wirksame – etwa durch Teilnahme an einer Veranstaltung konkludent erklärte – Einwilligung nach KUG mit einer datenschutzrechtlichen Rechtfertigung mit berechtigten Unternehmensinteressen zusammentreffen und so die Fertigung und Veröffentlichung von Bildaufnahmen rechtfertigen.

Auch das Verhältnis von TMG und DSGVO wird nicht neu geregelt. Insbesondere werden die §§ 11 ff. TMG weder überarbeitet noch gestrichen. In der Online-Marketing-Praxis führt dies zu großen Problemen und nicht wenige Berater raten insbesondere dazu, eine Bildung von Nutzerprofilen nicht auf § 15 Abs. 3 TMG zu stützen. Offenbar möchte der Gesetzgeber zunächst den Ausgang der langwierigen Diskussionen um eine neue ePrivacy-Verordnung abwarten. Allerdings scheint mehr denn je ausgeschlossen, dass es hier kurzfristig zu abschließenden Beratungen kommen wird.

Ferner lässt der Gesetzesentwurf auch die Frage nach dem Verhältnis zwischen UWG und DSGVO unbeantwortet. Es stellt sich daher weiterhin die Frage der Abmahnfähigkeit von Datenschutzverstößen (bejahend: OLG Hamburg v. 25.10.2018 – 3 U 66/17, WRP 2018, 1510; Laoutoumai/Hoppe, K&R 2018, 533; Schreiber, GRUR-Prax. 2018, 371, 372; Wolff, ZD 2018, 248; verneinend Barth, WRP 2018, 790; Köhler, WRP 2018, 1269).

Auch die Frage, ob Direktmarketingmaßnahmen, die mangels Einwilligung des Betroffenen gegen § 7 Abs. 2 UWG verstoßen, stets zugleich DSGVO-widrig sind (so unzutreffend: Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung (DS-GVO), S. 5), wird nicht adressiert. Dagegen spricht vor allem das Gebot der einheitlichen Anwendung der DSGVO innerhalb der gesamten Union.

Schließlich enthält der Entwurf keine Regelung zur Meinungsfreiheit und deren Verhältnis zur DSGVO. Art. 85 Abs. 1 DSGVO gibt den Mitgliedstaaten auf, das Datenschutzrecht mit dem Recht auf freie Meinungsäußerung in Einklang zu bringen. Dies hat der deutsche Gesetzgeber bislang nicht getan, was zu Recht kritisiert wird (vgl. nur Veil, NVwZ 2018, 686, 689). Eine Anpassung wird gebraucht, um jenseits der journalistischen Tätigkeit im engeren Sinne für einen Ausgleich zu Gunsten der Kommunikationsfreiheit zu sorgen (vgl. insofern den begrüßenswerten Vorschlag der SPD-Fraktion des Bundestages zur Einfügung eines § 27a BDSG vom 12.12.2018, abrufbar unter https://blogs.spdfraktion.de/netzpolitik/2018/12/12/datenschutz-und-meinungsfreiheit-2/).

5. Fazit

Zwar ändert das 2. DSAnpUG-EU eine Vielzahl an Bestimmungen. Vieles davon sind aber notwendige Formalien. Wichtige Themen, insbesondere das Verhältnis der DSGVO zur Meinungsäußerungsfreiheit geht der Entwurf aber nicht an. Insofern bleibt nur, auf ein schnelles 3. DSAnpUG-EU zu hoffen.