Reform des deutschen Datenschutzrechts: 2. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU verabschiedet
Der Bundesrat hat am 20. September 2019 das 2. Datenschutz- Anpassungsgesetz- und -Umsetzungsgesetz EU (2. DSAnpUG-EU) bestätigt, welches vom Bundestag am 27. Juni 2019 mit den Stimmen der Großen Koalition beschlossen wurde. Insgesamt 154 Gesetze werden durch das 454 Seiten umfassende Gesetzespaket im sogenannten Omnibusverfahren geändert, um das nationale Datenschutzrecht an die Datenschutz-Grundverordnung (DSGVO) anzugleichen. Zum Teil geht es dabei lediglich um die Anpassung von Terminologie und Verweisungen, zum Teil werden aber auch Änderungen unterschiedlicher Tragweite umgesetzt. Im folgenden Beitrag stellen wir Ihnen die für Unternehmen bedeutsame Änderungen sowie fortbestehende Rechtsunsicherheiten vor.
1. Änderungen der Terminologie und von Verweisen
Ganz überwiegend handelt es sich bei den mit dem Omnibusgesetz einhergehenden Änderungen um Anpassungen der Terminologie der Bundesgesetze an die in der DSGVO verwendeten Begrifflichkeiten. Zudem wurden Verweise aktualisiert, die auf Normen des alten Bundesdatenschutzgesetzes (BDSG) verwiesen und nunmehr ins Leere gingen. Aber auch aus Unternehmenssicht haben sich einige relevante Änderungen ergeben. Die augenscheinlich gravierendste Änderung für kleine und mittlere Unternehmen ist die Reduzierung der Anforderungen an das Erfordernis einer Bestellung eines betrieblichen Datenschutzbeauftragten verringert.
2. Änderungen des Bundesdatenschutzgesetzes
Gemäß § 38 BDSG, der durch Art. 16 des 2. DSAnpUG-EU geändert wird, ist zukünftig die Bestellung eines Datenschutzbeauftragten – statt bisher ab zehn Mitarbeitern – erst ab mindestens 20 Mitarbeitern erforderlich, die fortwährend mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Mit der Anhebung des Schwellenwerts beabsichtigt der deutsche Gesetzgeber eine Entlastung von kleinen und mittleren Unternehmen sowie von Vereinen.
Im Rahmen der Änderungen des BDSG wird durch § 22 BDSG auch ein neuer Erlaubnistatbestand für die Verarbeitung besonderer Arten personenbezogener Daten durch Unternehmen geschaffen. So sollen zum Beispiel politische Meinungen, Religions- oder Gewerkschaftszugehörigkeit sowie Gesundheitsdaten zukünftig auch von Privatunternehmen verarbeitet werden dürfen, sofern erhebliche öffentliche Interessen bestehen und die Verarbeitung zwingend erforderlich ist.
Weiterhin hat der deutsche Gesetzgeber in § 26 BDSG eine Neuregelung zur Datenverarbeitung im Beschäftigungsverhältnis getroffen. Bislang sah § 26 Abs. 2 S. 3 BDSG vor, dass die Einwilligung der Schriftform bedurfte, soweit nicht wegen besonderer Umstände eine andere Form angemessen war. Derartige besondere Umstände waren etwa gegeben, wenn sich ein Bewerber ausschließlich online bewarb oder ein Arbeitnehmer überwiegend im Homeoffice tätig war. Ob die Nichteinhaltung der Schriftform in übrigen Fällen zur Nichtigkeit der Einwilligung führte, war bislang umstritten. Nunmehr sieht die Neuregelung ausdrücklich vor, dass die Einwilligung „schriftlich oder elektronisch“ zu erfolgen hat. Der Arbeitgeber muss deshalb lediglich die Einwilligung nachweisen können; besondere Formerfordernisse bestehen nicht.
3. Fortbestehende Problemfelder im Telekommunikations- und Telemedienrecht
Anders als es der Referentenentwurf noch vorsah, hat das Telekommunikationsgesetz (TKG) keine Anpassung erfahren. Folglich bleibt das Verhältnis des TKG zur DSGVO in Grenzbereichen weiterhin unklar. Insbesondere besteht für Anbieter von Telekommunikationsdiensten das Problem, dass die Einhaltung von datenschutzrechtlichen Vorschriften durch zwei Aufsichtsbehörden kontrolliert wird: Während § 115 TKG die Zuständigkeit der Bundesnetzagentur für die Kontrolle und Einhaltung der TKG-Datenschutzvorschriften normiert, greift im Übrigen die Zuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
Noch komplexer ist die Rechtslage im Bereich des Anbietens von Telemedien: Obgleich die deutschen Datenschutzaufsichtsbehörden kürzlich erklärten, die datenschutzrechtlichen Vorschriften in §§ 11 ff. des Telemediengesetzes (TMG) seien für private Diensteanbieter nicht anwendbar, wurden diese weder überarbeitet noch aufgehoben. Dies erweist sich für Unternehmenswebsites, die Nutzungsprofile zum Zwecke der Werbung, Marktforschung oder zur Verbesserung des Angebots erstellen, als bedeutsam. Nach § 15 Abs. 3 TMG können derartige Technologien, insbesondere Marketingcookies, auch ohne Einwilligung des Nutzers erstellt werden. Damit stellt die Norm geringere Anforderungen an die Zulässigkeit des Setzens von Cookies als das europäische Datenschutzrecht. Für Unternehmen stellt sich damit weiterhin die Frage, inwieweit sie für den Einsatz von Cookies und Tracking-Technologien eine Einwilligung benötigen.
Bis zur Klärung der Rechtslage auf europäischer Ebene dürfte es noch einige Jahre dauern: Die ePrivacy-Verordnung, die unter Aufhebung der bisher geltenden ePrivacy-Richtlinie konkrete und einheitliche Anforderungen normieren soll, befindet sich weiterhin im Gesetzgebungsprozess.
4. Keine Umsetzung von Art. 85 DSGVO
Ferner enthält das 2. DSAnpUG-EU kein allgemeines Bundesgesetz, das das Verhältnis zwischen Meinungsfreiheit und DSGVO regelt. Gemäß Art. 85 Abs. 1 DSGVO sollen aber die Mitgliedsstaaten entsprechende Vorschriften erlassen, um ihr Datenschutzrecht mit dem Recht auf freie Meinungsäußerung in Einklang zu bringen.
Zum Teil werden auch die §§ 22, 23 des Kunsturhebergesetzes (KUG) als Umsetzung des Regelungsauftrags in Art. 85 DSGVO betrachtet. Dies ist relevant, wenn es um die Veröffentlichung von Lichtbildnissen, zum Beispiel Fotos von Mitarbeitern auf der Website oder in Werbematerialien des Unternehmens, geht. So normiert § 23 KUG mehrere Fallgruppen, bei denen sich eine Verbreitung eines Bildes auch ohne etwaige Einwilligung des Betroffenen als zulässig erweist, beispielsweise wenn es sich um Bildnisse der Zeitgeschichte handelt oder die Personen bloßes Beiwerk sind. Allerdings erfasst das KUG lediglich die Veröffentlichung von Lichtbildnissen; eine Regelung zur Aufnahme und Speicherung findet sich hier nicht. Auch Angaben zu entsprechenden Informationspflichten enthält das KUG bislang nicht, sodass diese sich nach Art. 13 und 14 DSGVO richten. Unternehmen sehen sich daher weiterhin mit dem Problem der schwierigen Identifikation der richtigen Rechtsgrundlage und der aufwendigen Erfüllung von Informationspflichten konfrontiert.
5. Fazit und Ausblick
Das 2. DSAnpUG-EU ändert mithin eine Vielzahl an derzeit noch geltenden Bestimmungen. Für die Unternehmen selbst gibt es jedoch keine wesentlichen Neuerungen. Zwar mag der Eindruck erweckt werden, die höheren Schwellenwerte für die Bestellung eines betrieblichen Datenschutzbeauftragten würden eine Erleichterung für kleine Unternehmen darstellen; de facto tritt dadurch jedoch keine signifikante Entlastung ein. Denn die Unternehmen sind – unabhängig von der Anzahl der Mitarbeiter –weiterhin an die jeweils anwendbaren Datenschutzvorschriften, insbesondere an die DSGVO, gebunden. Daher empfiehlt es sich auch für kleinere Unternehmen, die nur zwischen zehn und 20 Mitarbeiter in der Datenverarbeitung beschäftigen, Fragen des Datenschutzes an eine oder mehrere mit Datenschutzkenntnissen erfahrenen Personen zu übertragen.
Vor dem Hintergrund, dass mehrere praktische Probleme weiterhin ungelöst bleiben, erweisen sich die zahlreichen kritischen Stellungnahmen zu diesem Gesetz von Behörden, Wirtschaft und Experten durchaus als berechtigt. Insbesondere bei der Datenverarbeitung im Zusammenhang mit Unternehmenswebsites, etwa die Setzung von Cookies und ähnlichen Tracking-Mechanismen, aber auch im Rahmen der Öffentlichkeitsarbeit bestehen zahlreiche Rechtsunsicherheiten. Unternehmen sind gefordert, sich der derzeitigen Rechtslage durch Schaffung einer unternehmensinternen Datenschutzstrategie anzunehmen. Angesichts der Ankündigung der Aufsichtsbehörden, zukünftig anlasslose Unternehmensprüfungen durchzuführen, sollten die getroffenen Maßnahmen und die dahinterstehenden Erwägungen sorgfältig dokumentiert werden.