Der Bundestag beschloss letzte Woche wesentliche Änderungen des Bundesdatenschutzgesetzes (BDSG) – auch aufgrund der neuen EU-Datenschutzgrundverordnung (DSGVO). Es ist eine der grundlegendsten Reformen seit Jahrzehnten. Wir stellen die wichtigsten Änderungen für Unternehmen vor.

Die Datenschutzgrundverordnung wird ab dem 25. Mai 2018 unmittelbar gelten. An vielen Stellen eröffnen sich allerdings Spielräume für nationale Sonderregelungen. Dies will der deutsche Gesetzgeber im neuen BDSG nutzen. Unter dem Namen „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DsAnpUG-EU)“ haben zahlreiche gesetzliche Neuregelungen den Bundestag passiert:

  • Verarbeitung besonderer Kategorien personenbezogener Daten
    Besondere Kategorien personenbezogener Daten wie Gesundheitsdaten unterfallen einem strengen Schutzregime. Das neue BDSG soll neben den in Artikel 9 DSGVO genannten Gründen weitere gesetzliche Grundlagen für die Verarbeitung enthalten.
  • Verarbeitung zu anderen Zwecken
    Die Verarbeitung personenbezogener Daten soll auch ermöglicht werden, wenn dies zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist. Dabei dürfen aber die Interessen des Betroffenen am Ausschluss der Verarbeitung nicht überwiegen.
  • Betrieblicher Datenschutzbeauftragter
    Weiterhin müssen Unternehmen, bei denen mindestens 10 Beschäftigte mit der Verarbeitung personenbezogener Daten betraut sind, einen betrieblichen Datenschutzbeauftragten benennen. Dies soll zukünftig auch für die Unternehmen gelten, die eine Datenschutz-Folgenabschätzung durchführen müssen. Diese Pflichten treffen auch Unternehmen, die Daten nur im Auftrag verarbeiten. Externe Datenschutzbeauftragte sind weiterhin zulässig.
  • Beschäftigtendatenschutz
    Die bestehende Regelung zum Beschäftigtendatenschutz soll beibehalten werden. Ferner legt das Gesetz näher fest, unter welchen Umständen eine Einwilligung von Beschäftigten wirksam sein kann, nämlich insbesondere, wenn sie für den Beschäftigten mit einem Vorteil verbunden ist. In formaler Hinsicht empfiehlt sich eine schriftliche Einwilligungserklärung. Zuvor muss der Arbeitgeber den Beschäftigten aber umfänglich informiert haben. Auch legt das Gesetz fest, dass Arbeitgeber bestimmte technische und organisatorische Maßnahmen treffen müssen. Diese Regelungen gelten bereits für das Bewerbermanagement.
  • Scoring und Bonitätsauskünfte
    Die bisherigen Regelungen im BDSG sollen erhalten bleiben. Der Gesetzgeber hält die Nutzung dieser Daten weiterhin grundlegend für den Wirtschaftsverkehr.
  • Pflichten gegenüber Betroffenen
    Das neue BDSG soll ferner die Rechte von Betroffenen an einigen Stellen einschränken. Auch werden die Informationspflichten von datenverarbeitenden Unternehmen an verschiedenen Stellen abgemildert. Gleichwohl bestehen im Vergleich zum aktuellen BDSG zahlreiche neue Informationspflichten und Betroffenenrechte aufgrund der DSGVO.
  • Compliance
    Für Verstöße gegen datenschutzrechtliche Bestimmungen regelt das neue BDSG Bußgelder, die sowohl Unternehmen als auch verantwortliche Einzelpersonen treffen können. Diese können unter Anwendung der DSGVO bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen. Auch strafrechtliche Konsequenzen sind geregelt. Die Verbesserung der datenschutzrechtlichen Compliance ist vor diesem Hintergrund dringend anzuraten.

Wie geht es nun weiter?
Das neue BDSG soll ab dem 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutzgrundverordnung, gelten. Zunächst muss aber noch der Bundesrat zustimmen.
Bereits seit Beginn des Gesetzgebungsverfahrens begleitet Kritik von Datenschutzexperten und der Opposition im Bundestag das neue BDSG. Insbesondere die Vereinbarkeit mit der DSGVO könnte auch die Gerichte in Zukunft noch beschäftigen. Unternehmen müssen deshalb nicht nur das BDSG, sondern auch stets die DSGVO und ihre rechtliche Entwicklung verfolgen. Wir haben dazu ein ausführliches Whitepaper veröffentlicht.


Verfasser: Dr. Malte Kröger (juristischer Mitarbeiter der Datenschutzkanzlei)