Das neue Datenschutzgesetz – umfangreiche Änderungen unvermeidbar

Bereits am 27.04.2017 wurde das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 unter Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und-Umsetzungsgesetz EU – DSAnpUG-EU) vom Bundestag verabschiedet. Als sogenanntes zustimmungspflichtiges Gesetz war das DSAnpUG-EU von der Zustimmung des Bundesrates abhängig. Diese Zustimmung hat der Bundesrat nunmehr in seiner 957. Sitzung erteilt. 

Mit dieser Zustimmung ist der Weg frei gemacht worden für eine weitreichende und umwälzende Reform des Deutschen Datenschutzrechts. Auf Initiative der Bundesregierung verfolgt dieses Gesetz die Anpassung des nationalen Datenschutzrechts an die neuen Gegebenheiten auf europäischer Ebene in Folge der EU-Datenschutzgrundverordnung. 

Hintergrund der Neuregelung

Ab dem 25.05.2018 wird die Datenschutz-Grundverordnung (DSGVO) die nationalen Datenschutzgesetze der Mitgliedstaaten der EU mittelbar verdrängen. Gegenüber dem nationalen Recht genießt die DSGVO als sog. „Grundverordnung“ ab diesem Zeitpunkt Anwendungsvorrang. Allerdings sind in der DSGVO selbst zahlreiche sog. „Öffnungsklauseln“ enthalten, die nationalen Regelungen gewisse Spielräume eröffnen. Auch die Bundesregierung hat hiervon durch das DSAnpUG-EU umfangreich Gebrauch gemacht.

Wesentliche Kritikpunkte

Die Kritik an dem vorgenannten Gesetz ist umfangreich und weitgehend. So werden vor allen Dingen die Neuregelung in Bezug auf Videoüberwachung, Beschränkung der Kontrollmöglichkeiten der Aufsichtsbehörde und dem Beschäftigtendatenschutz scharf kritisiert.

Eine Vielzahl an Experten sagen ein regelrechtes Chaos bei der Umsetzung dieses Gesetzes voraus, da sie die Unternehmen alleingelassen sehen, obwohl dieses Gesetz selbst für Experten nur schwer zu verstehen ist. 

Darüber hinaus haben selbst die Datenschutzbehörden angekündigt, dass sie dieses Gesetz teils für unzulässig halten und dieser Rechtsauffassung entsprechend nicht anwenden wollen. 

Ob sich diese Befürchtungen bewahrheiten, bleibt abzuwarten. 

Was bedeutet das neue Datenschutzgesetz konkret für Unternehmen?

Zunächst einmal haben Unternehmen weitergehende hohe finanzielle Risiken bei Fehlern zu beachten. Insoweit sieht das neue Gesetz Bußgelder von bis zu € 20.000.000,00 oder von 4 % des globalen Umsatzes bei Verstößen gegen das Datenschutzgesetz vor. Welche der beiden Versionen eingreift, ist abhängig davon, welcher Betrag jeweils höher ist.

Eine Neuregelung gibt es auch in Bezug auf den immateriellen Schaden. Soweit haben Arbeitnehmer nunmehr die Möglichkeit, Schadensersatzansprüche auch wegen Nichtvermögensschäden geltend zu machen, sprich Schmerzensgeld. Dies ist eine vollkommen neue Anspruchsmöglichkeit für die Betroffenen und ein erhebliches Risiko für die Unternehmen. 

Darüber hinaus haben nunmehr Verbraucher in Verbänden auch Verbandsklagerechte, welche die Geltendmachung von etwaigen Ansprüchen deutlich erleichtern.

Fernerhin sieht das Gesetz eine Umkehr der Beweislast vor. Die Arbeitgeber müssen zukünftig nachweisen können, dass die geltenden datenschutzrechtlichen Vorgaben eingehalten werden. Abgestellt wird insoweit auf die weitreichenden Dokumentationspflichten der Datenschutzgrundverordnung. 

Die bereits oben genannten Kritikpunkte aufführend sieht das neue Gesetz Sonderregeln in Bezug auf Datenschutz am Arbeitsplatz und Videoüberwachung vor. 

Abschließend müssen nunmehr auch Datenverarbeitungen durch die Betriebsräte bzw. bestehende Betriebsvereinbarungen an den Maßstäben des Bundesdatenschutzgesetzes und der Datenschutzgrundverordnung gemessen werden. 

Datenschutzbeauftragter bleibt beibehalten

Erfreulicherweise kann festgestellt werden, dass im neuen Gesetz die bislang geltende Verpflichtung, wonach verarbeitende Stellen auch im nicht öffentlichen Sektor einen Datenschutzbeauftragten zu benennen haben, beibehalten wird, soweit sie in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Im Falle von Datenschutz- Folgenabschätzung nach Art. 35 DSGVO sowie der Datenverarbeitung zwecks Übermittlung, anonymisierter Übermittlung oder für Zwecke der Markt- oder Meinungsforschung ist sogar unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen. 

Diese Möglichkeit der Schaffung eines eigenen Datenschutzbeauftragten ist daher begrüßenswert. 

Fazit

Ob sich die Kritik an dem neuen Gesetz bestätigen wird, die Befürchtungen nach weitreichenden finanziellen Gefahren für Unternehmen sich bewahrheiten und die Datenschutzbehörden das vorgenannte Gesetz tatsächlich nicht anwenden werden, wird sich noch zeigen müssen. 

Festzuhalten bleibt jedenfalls, dass die Unternehmen nunmehr einmal mehr dazu angehalten sind, ihre datenschutzrechtlichen Verfahren der neuen Gesetzeslage zeitnah anzupassen.

Marc E. Evers

Rechtsanwalt

Zertifizierter Datenschutzbeauftragter