Bundestag beschließt Neufassung des Bundesdatenschutzgesetzes – Praxisrelevante Neuerungen zum Beschäftigtendatenschutz

10.05.2017

Der Bundestag hat am 27. April 2017 den von der Bundesregierung eingebrachten Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) in der Fassung der Beschlussempfehlung des Innenausschusses angenommen. Mit der Neufassung soll das BDSG an die neue EU-Datenschutzgrundverordnung (DS-GVO) angepasst werden. Das Gesetz bedarf noch der Zustimmung des Bundesrats, der sich planmäßig am 12. Mai mit der Sache befassen wird.

Öffnungsklauseln

Die DS-GVO wird ab dem 25. Mai 2018 unmittelbar in allen Mitgliedsstaaten der EU gelten und soll im Grundsatz eine Harmonisierung des Datenschutzes innerhalb der Union realisieren. Doch überlässt sie den Mitgliedsstaaten in Form von rund 50 Öffnungsklauseln Handlungsspielräume, die weiterhin nationale Regelungen erlauben. Das neue BDSG bildet die Basis der Anpassung deutscher Gesetze an die DS-GVO. Änderungen der sektorspezifischen Spezialgesetze sollen folgen.

Wichtige Neuregelungen für Unternehmen

Viele allgemeine Regelungen der DS-GVO gelten neben dem neuen BDSG.

So bestehen etwa umfassende Informationspflichten bezüglich der Verwendung erhobener Daten. Auch können Kunden, Arbeitnehmer und andere Verbraucher fortan Schadensersatzansprüche auch wegen Nichtvermögensschäden geltend machen. Das ist neu im deutschen Recht. Verbrauchern und Verbänden werden zudem Verbandsklagerechte eingeräumt, die ihnen die Geltendmachung von Ansprüchen erleichtern sollen.

Auch gilt eine Beweislastumkehr: Unternehmen müssen zukünftig in Streitfällen beweisen, dass datenschutzrechtliche Vorgaben eingehalten wurden. Es gelten für sie umfassende Dokumentationspflichten nach der DS-GVO.

Insbesondere: Neuregelungen zum Arbeitnehmerdatenschutz

Höchst praxisrelevant ist der neue Beschäftigtendatenschutz. Der neu gefasste § 26 BDSG ist deutlich umfangreicher als die bisherige Regelung in § 32 BDSG a.F. Viele von der Rechtsprechung zu der Vorgängervorschrift entwickelte Grundsätze wurden legislativ festgeschrieben. Dies betrifft etwa die Erforderlichkeit einer Interessenabwägung zwischen den vom Arbeitgeber angestrebten Zielen und den schutzwürdigen Belangen des Arbeitnehmers zur Ermittlung der Zulässigkeit der Datenvereinbarung.

Weiterhin finden sich spezielle Regelungen zur Einwilligung von Beschäftigten in die Verarbeitung ihrer Daten, zur Datenverarbeitung durch Betriebsräte und zu den inhaltlichen Anforderungen an Betriebsvereinbarungen. So muss auch die Datenverarbeitung durch Betriebsräte sich künftig an den Maßstäben des BDSG und der DS-GVO messen lassen. Kollektivvereinbarungen bleiben zwar ein zulässiges Mittel zur Regelung erlaubter Datenverarbeitung; diese müssen jedoch den Anforderungen von Art. 88 Abs. 2 DS- GVO und § 26 BDSG genügen. Vor diesem Hintergrund müssen geltende Betriebsvereinbarungen, ggf. auch durch den Abschluss entsprechender Rahmenbetriebsvereinbarungen, angepasst werden.

Sonderregelungen

Das neue BDSG enthält darüber hinaus in einigen Punkten auch Abweichungen und Sonderregelungen. Sie betreffen Spezialgebiete, wie etwa Videoüberwachung oder Profiling. Im Kern geht es dabei um die Unterrichtung von Personen, deren Daten verarbeitet werden, sowie um deren Auskunftsrechte.

Teils heftige Kritik

Der deutsche Gesetzesentwurf ist Vorreiter in der Umsetzung der Verordnung, sieht sich jedoch auch einiger Kritik ausgesetzt. Insbesondere würde das Zusammenspiel der DS-GVO und dem BDSG nicht klar, monieren Kritiker. Statt eine Erleichterung bei der Auslegung der DS-GVO für Unternehmen und Verbraucher zu bieten, würde es nur für mehr Verwirrung sorgen.

Auch steht der Vorwurf im Raum, der Entwurf würde den nach der DS-GVO zulässigen Handlungsspielraum überschreiten. Deutsche Datenschutzbehörden äußerten, er sei insofern europarechtswidrig. Die EU- Kommission begrüßte die schnelle Initiative zur Umsetzung der DS-GVO zwar grundsätzlich, der Entwurf geht ihr in einigen Punkten jedoch ebenfalls zu weit.

Zügige Umsetzung

Nichtsdestotrotz müssen die Regeln der DS-GVO und des neuen BDSG von Unternehmen bis zum 25. Mai 2018 umgesetzt werden. Eine Aufgabe, die nicht unterschätzt werden sollte, zumal bei Verstößen empfindliche Bußgelder drohen – von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens.

Haben Sie Fragen? Kontaktieren Sie gerne: Dr. Charlotte SanderPascal Schumacher
Practice Group: ArbeitsrechtIT, Outsourcing & Datenschutz