Neben der Datenschutz-Grundverordnung (DSGVO), die seit 2018 in aller Munde ist und die das Datenschutzrecht europaweit vereinheitlicht und regelt, haben viele Länder noch eigene, nationale Datenschutzgesetze. So auch Deutschland mit dem BDSG (Bundesdatenschutzgesetz), das es bereits seit 1977 gibt. Nach dem damaligen Inkrafttreten wurde das BDSG aller-dings einige Male „novelliert“, was in diesem Zusammenhang so viel wie aktualisiert, ergänzt bzw. konkretisiert bedeutet.
Aktuell läuft eine weitere Reform des BDSG, die von der Bundesinnenministerin Nancy Faeser als Reaktion auf das „Schufa-Urteil“ im Dezember 2023 (wir berichteten!) angeregt wurde. Frau Faeser ist die Leiterin des BMI (Bundesministerium des Innern und für Heimat).
Am 07.02.2024 verabschiedete das Bundeskabinett in der laufenden BDSG-Reform einen Gesetzentwurf. Damit startet der Gesetzgebungsprozess, in dessen weiteren Verlauf der Gesetzesentwurf nun weiter an den Bundestag und Bundesrat geht. Der Gesetzesentwurf umfasst viele Änderungen am BDSG, wie u.a. die Korrektur von redaktionellen Fehlern, die Verbesserung der institutionellen Zusammenarbeit der Behörden sowie Änderungen des Rechts auf Auskunft und zum Scoring. Grundsätzlich soll die Novelle die Rechtsdurchsetzung im Datenschutz verbessern. Nachfolgend gehen wir in den einzelnen Bereichen auf die geplanten Aktualisierungen ein.
Institutionalisierung der DSK:
Eine wichtige Änderung ist die Verankerung der Datenschutzkonferenz (DSK) im BDSG. Bei dieser handelt es sich um einen Zusammenschluss der unabhängigen deutschen Datenschutzbehörden. Die DSK wirkt auf die Einhaltung der Datenschutzgrundrechte hin und veröffentlicht in regelmäßigen Abständen Orientierungshilfen, Stellungnahmen und Beschlüsse zu aktuellen datenschutzrelevanten Themen und Fragestellungen. Mit der Verankerung der DSK im BDSG soll laut Faeser eine „effektivere Zusammenarbeit der Datenschutzaufsichtsbehörden und eine einheitlichere Praxis erreicht werden“. Durch den Föderalismus besteht in Deutschland noch immer die Besonderheit, dass die einzelnen Datenschutzbehörden auf Landesebene gerne „ihr eigenes Süppchen kochen“. Durch diese Änderung wird die DSK kein Exekutivorgan, allerdings bekommen die Empfehlungen der Datenschutzkonferenz noch einmal ein anderes Gewicht für Unternehmen und Landesbehörden.
Vereinheitlichung der Aufsicht bei länderübergreifenden Vorhaben:
Insofern mehrere Unternehmen aus verschiedenen Bundesländern gemeinsame Verantwortliche für eine Verarbeitung sind, soll für die Überwachung künftig lediglich die Behörde zuständig sein, in deren Zuständigkeitsbereich das Unternehmen fällt, das im vergangenen Jahr den größten Jahresumsatz erzielte. Damit sollen die Prozesse und auch die Kommunikation deutlich einfacher werden, als wenn z.B. eine Unternehmensgruppe den (teilweise sehr unterschiedlichen) Anforderungen mehrerer Landesbehörden gerecht werden muss. Datenschützer diskutieren bereits über Praxisfälle, in denen der Umsatz nicht der ausschlaggebende Parameter ist.
Recht auf Auskunft:
Eine geplante Änderung im Sinne einer Konkretisierung ist die des § 34 BDSG, in dem die Ausnahmen zum Recht auf Auskunft nach Art. 15 DSGVO geregelt sind. Nach dem aktuellen Novellen-Entwurf sollte das Recht auf Auskunft nicht gelten, wenn durch die Bereitstellung von Informationen Betriebs- oder Geschäftsgeheimnisse des Verantwortlichen oder eines Dritten offenbart würden und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.
Scoring:
Die Aktualisierung in diesem Bereich erfolgen aufgrund des Urteils des EuGHs, laut dem das Schufa-Scoring in seiner aktuellen Form gegen die DSGVO verstößt (Art. 22 DSGVO). Der EuGH bewertete das Schufa-Scoring als eine automatische Einzelfallentscheidung, die mitunter ausschlaggebend für das Zustandekommen eines Rechtsverhältnisses und damit unzulässig ist. Mit der von der Bundesregierung geplanten Aktualisierung des § 37a BDSG will der Gesetzgeber eine Ausnahme von dem normierten Verbot machen. Dadurch wird versucht wieder eine rechtliche Grundlage für das Kreditscoring zu schaffen.
Darüber hinaus sollen auch einige verfahrensrechtliche Änderungen ergänzt werden, wie z.B. wer der Stellvertreter des BfDI im Europäischen Datenschutzausschuss ist, falls der Bundesrat keine Einigung erzielen kann. Auch dies rührt aus dem aktuellen Datenschutz-Geschehen (siehe Artikel auf der Titelseite) her.
Wir sind gespannt, wie der Gesetzgebungsprozess weiter vonstatten geht und wie das BDSG in seiner aktuellsten Form aussehen wird.
Quellenangaben:
- Artikel „Bundesregierung beschließt BDSG-Reform“: abgerufen am 23.04.2024 unter https://www.datenschutzticker.de/2024/02/bundesregierung-beschliesst-bdsg-reform/