Das Wichtigste zum BDSG-neu in Kürze
- Das neue Bundesdatenschutzgesetz (BDSG-neu) stellt eine Konkretisierung und Ergänzung zur europäischen Datenschutzgrundverordnung (DSGVO) dar.
- Diese enthält nämlich eine Reihe von sogenannten Öffnungsklauseln, die eine nationale Spezifizierung bestimmter Vorschriften ermöglichen.
- Die Sonderregelungen betreffen zum Beispiel den Datenschutz im Beschäftigungsverhältnis und die Fälle, in denen eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht.
Neues BDSG: Was hat es damit auf sich?
Inhaltsverzeichnis
Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union verbindlich anzuwenden. Gleichzeitig trat auch ein neues Bundesdatenschutzgesetz in Kraft, das sogenannte BDSG-neu, das im Bundesgesetzblatt am 5.7.2017 veröffentlicht wurde.
Doch wozu dient ein solches neues Datenschutzgesetz auf nationaler Ebene? Der Hintergrund ist der, dass die DSGVO zwar unmittelbar geltendes Recht ist und keine Umsetzung in nationales Recht benötigt, wie es bei der alten EU-Datenschutzrichtlinie noch der Fall war – auf den ersten Blick scheint das BDSG-neu also überflüssig zu sein.
Allerdings enthält die DSGVO auch zahlreiche Öffnungsklauseln. Das bedeutet, dass an diesen Stellen die Regelungen offengehalten werden, damit sie auf nationaler Ebene konkretisiert werden können. Diese Aufgabe übernimmt das BDSG-neu.
DSGVO und BDSG-neu: In welchem Verhältnis stehen sie?
Alles, was die DSGVO regelt, gilt unmittelbar. Da sie Vorrang vor nationalem Recht hat, kann das BDSG-neu also nur solche Bestimmungen enthalten, welche die DSGVO auslässt oder bewusst offenlässt. Explizit sagt das BDSG-neu in § 1 Abs. 5, dass seine eigenen Regelungen dann keine Anwendung finden, wenn die DSGVO in dem Bereich bereits unmittelbar geltende Vorschriften macht. Hiermit werden Konflikte vermieden, die etwa dann auftreten könnten, wenn Änderungen der DSGVO erfolgen.
Ein Beispiel dafür, dass etwas durch das BDSG-neu geregelt werden muss, weil die DSGVO keine Kompetenz in dem Bereich hat, sind die Strafvorschriften (§ 42 BDSG-neu). Auf europäischer Ebene können nämlich lediglich Bußgeldvorschriften gemacht werden.
Für wen gilt das BDSG-neu? Die Regelungen, die getroffen werden, beziehen sich – wie auch diejenigen der DSGVO – sowohl auf öffentliche als auch nicht-öffentliche Stellen. Zu letzteren zählen zum Beispiel Unternehmen.
BDSG-neu: Welche Änderungen sind enthalten?
Da BDSG-neu und DSGVO in einem vornehmlich ergänzenden Verhältnis stehen, enthält ersteres vor allem punktuelle und spezifische Regelungen. Einige von ihnen wollen wir im Folgenden genauer betrachten. Dazu gehören die Bedingungen, unter denen Unternehmen einen Datenschutzbeauftragten bestellen müssen, den Datenschutz im Beschäftigungsverhältnis sowie besondere Regelungen, die das Scoring und Bonitätsauskünfte betreffen.
Bestellung eines Datenschutzbeauftragten
Wann Unternehmen einen Datenschutzbeauftragten benennen müssen, regelt die DSGVO in Art. 37. Die dort genannten Bedingungen sind so gefasst, dass nur wenige Formen der Datenverarbeitung der Pflicht zur Benennung unterliegen.
So müssen die hauptsächlich verarbeiteten Informationen entweder zu den besonderen Kategorien personenbezogener Daten gehören, also von hoher Schutzwürdigkeit sein, oder aber in der Art ihrer Verarbeitung eine umfangreiche Überwachung der jeweiligen Personen erforderlich machen. Es handelt sich hierbei also nur um Fälle, die sehr weit in die schutzwürdigen Bereiche der betroffenen Personen eingreifen.
Art. 37 Abs. 4 sieht jedoch explizit vor, dass weitere Fälle durch nationale Gesetzgebung vorgeschrieben werden können. Dies wird im deutschen Datenschutzgesetz in seiner neu gefassten Ausführung in § 38 getan. Die dortige Ergänzung nennt zusätzlich folgende Bedingungen:
- Mindestens zehn Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
- Es werden Datenverarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
- Es werden geschäftsmäßig personenbezogene Daten verarbeitet zum Zweck der (anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung.
Im Vergleich zum alten BDSG ergibt sich die Änderung, dass eine Regelung bezüglich nicht-automatisierter Datenverarbeitung (Pflicht zur Bestellung eines Datenschutzbeauftragten ab 20 beschäftigten Personen) nun entfallen ist. Da alles, was mit Computern durchgeführt wird, bereits als automatisierte Verarbeitung gilt, ist davon auszugehen, dass dies heutzutage der Regelfall ist.
Datenschutz im Beschäftigungsverhältnis
Art. 88 DSGVO trägt den Titel „Datenverarbeitung im Beschäftigungskontext“. Er enthält aber keine konkreten Vorschriften zum Thema Beschäftigtendatenschutz, sondern verweist lediglich darauf, dass die EU-Mitgliedstaaten hier selbst spezifische Regelungen erlassen können. Nur die relevanten Aspekte, welche behandelt werden können, werden aufgezählt.
Die Umsetzung dieses Bereiches, der von der DSGVO offengehalten wird, erfolgt durch § 26 BDSG-neu, der den Titel „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ trägt. Hier werden unter anderem Regelungen zur gesetzlichen Grundlage von Datenverarbeitungen sowie zu Einwilligungen im Arbeitskontext getroffen.
So wird die Verarbeitung personenbezogener Daten von Beschäftigten erlaubt, wenn dies erforderlich ist:
- für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses,
- innerhalb des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder
- zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten.
Einwilligung im Beschäftigungsverhältnis
Während es nach der alten Rechtslage noch Zweifel daran gab, wann eine Einwilligung im Arbeitsverhältnis überhaupt wirksam ist, weil nicht klar war, ob tatsächlich eine Freiwilligkeit vorliegen kann, wurde dies nun durch explizite Regelungen geklärt.
§ 26 Abs. 2 BDSG-neu schreibt nämlich vor, dass zur Beurteilung der Freiwilligkeit die Abhängigkeit des Beschäftigungsverhältnisses sowie die besonderen Umstände der Erteilung zu berücksichtigen sind. Demnach kann eine Einwilligung dann freiwillig gegeben werden, wenn
- ein rechtlicher oder wirtschaftlicher Vorteil für den Beschäftigten erreicht wird oder
- Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.
Zudem muss die Einwilligung in Schriftform vorliegen und der Beschäftigte schriftlich zum einen über den Zweck der Datenverarbeitung und zum anderen über sein Widerrufsrecht informiert werden.
Scoring und Bonitätsauskünfte
Eine spezifische Regelung, die das BDSG-neu im Rahmen von besonderen Verarbeitungssituationen trifft, betrifft Scoring-Verfahren und Bonitätsauskünfte. So darf gemäß § 31 BDSG-neu Scoring, also die Verwendung eines Wahrscheinlichkeitswerts bezüglich eines spezifischen zukünftigen Verhaltens, nur dann eingesetzt werden, wenn das Datenschutzrecht eingehalten wird.
Zudem muss die Berechnung der Wahrscheinlichkeitswerte auf der Verwendung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens beruhen und nicht ausschließlich auf Adressdaten zurückgreifen. Wenn aber letzteres der Fall sein sollte, muss die betroffene Person vor der Berechnung über die Nutzung der Adressdaten informiert werden.
Bonitätsauskünfte dürfen nur dann verwendet werden, wenn die oben genannten Bedingungen erfüllt sind. Zudem dürfen nur bestimmte Forderungen darin berücksichtigt sein. Dazu gehören gemäß § 31 Abs. 2 BDSG-neu zum Beispiel Forderungen, für die ein Titel vorliegt oder die der Schuldner ausdrücklich anerkannt hat.
Verbraucherkredite
In engem Zusammenhang mit den Vorschriften zur Bonitätsauskunft stehen die Bestimmungen über Verbraucherkredite, die in § 30 BDSG-neu festgelegt sind. Demnach gilt, wenn ein solcher Kredit aufgrund einer eingeholten Bonitätsauskunft abgelehnt wird, dass die betroffene Person zusammen mit der Information über die Ablehnung auch über die erhaltene Auskunft unterrichtet werden muss.
Straf- und Bußgeldvorschriften
In Ergänzung zu den in Art. 83 DSGVO vorgeschriebenen Sanktionen, welche von den Aufsichtsbehörden bei Verstößen verhängt werden können, werden auch im BDSG-neu Sanktionsvorschriften gemacht. Zum einen macht § 42 Strafvorschriften. Hierzu ist die DSGVO, wie bereits erwähnt, nicht befugt, weshalb dies durch ein nationales Gesetz wie das BDSG-neu erfolgen muss.
Vorgesehen sind zum Beispiel Freiheitsstrafen von bis zu zwei Jahren oder eine Geldstrafe, wenn personenbezogene Daten ohne Berechtigung verarbeitet oder durch unrichtige Angaben erschlichen werden und hierbei die Absicht einer Schädigung oder Bereicherung vorliegt.
Eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe muss befürchten, wer personenbezogene Daten einer großen Zahl von Personen ohne Berechtigung an Dritte übermittelt oder anderweitig zugänglich macht. Ab wann eine solche „große Zahl“ vorliegt, wird allerdings im Gesetzestext nicht konkretisiert, sodass hier Arbeit auf Gerichte zukommt, um eine solche Zahl im Einzelfall festzulegen.
An Bußgeldern, die über diejenigen der DSGVO hinausgehen, werden in § 43 BDSG-neu vor allem diese beiden Fälle reguliert: Bei Verstößen gegen § 30 BDSG-neu, also die Vorschriften zu den Verbraucherkrediten, kann von den Aufsichtsbehörden eine Geldbuße von bis zu 50.000 Euro verhängt werden. Zum anderen wird festgelegt, dass gegen Behörden und andere öffentliche Stellen keine Geldbußen ausgesprochen werden.
Sehr geehrtes Datenschutz.org – Team,
Sehr geehrte Louisa N.,
immer wieder wird in aktuellen Posts auf §37, BDSG als Grundlage zur Benennung eines/einer‘
Datenschutzbeauftragten verwiesen und die Mindestzahl von zehn Mitarbeitern, die mit der automatisierten Verarbeitung von pbD beschäftigt sind, als Grundlage erwähnt.
Diese Zahl stimmt seit Jahren nicht mehr und liegt bei 20 Mitarbeiten 🙁
Hallo, zurzeit ist meines Wissens noch nicht klar, wann das neue BDSG in Kraft treten wird. Ich lese jeweils von „voraussichtlich Ende 2022 / anfangs 2023“. Zeichnet sich schon ein genauerer Zeitraum ab? Als wie hoch beurteilen Sie die Wahrscheinlichkeit, dass das Gesetz vor Ende 2022 in Kraft treten wird? Vielen Dank für Ihre persönliche Einschätzung.
Hallo A.H.,
das BDSG-neu ist bereits seit 2017 in Kraft.
Die Redaktion von datenschutz.org
Hallo, habe als Minijobber die Kündigung mit Kündigungsfrist von 4 Wochen erhalten, obwohl ich offizieller Datenschutzbeauftragter bin. Nach BDSG ist eine Abberufung nicht ohne besonderen Grund möglich und danach 1 Jahr Kündigungssperre. Die Firma reagiert darauf nicht, sitzen das aus, eine Kündigungsschutzklage bringt nichts, Anwaltskosten heben eine mögliche Abfindung auf und auf weitere Beschäftigung zu klagen, macht bei so einer Firma ebenfalls wenig Sinn. Hat dieser krasse Verstoß gegen § 6 Abs. 4 des BDSG eigentlich Folgen für das Unternehmen? Bußgeld o. ä.?
Wir haben Probleme mit Wlan , Abhören , Kameras . Und wir wissen nicht mehr weiter ,weil unsere Privatsphäre verletzt wird .
Grüße Marc
Wie verhält es sich mit personenbezogenen Daten von „Nicht-EU Bürgern“ – muss ein Unternehmen mit Sitz in der EU für diese Personengruppe auch die DSGVO Regeln befolgen?
Das Datenschutzgesetz soll was bringen. Zum Lachen. Da hält sich eine große Firma bzw. Krankenhaus an überhaupt nichts. Ich bin ein Konzern und für mich gelten keine Gesetze.
Habe Anruf auf Mobiltelefon von einer 49er Nummer erhalten, die nach Rückruf nicht vergeben ist.
Heute gleicher Anruf mit dem Inhalt, dass ich in einem Gewinnspiel von Media Markt in die engere Auswahl gekommen bin einen teuren Gewinn zu bekommen.
Media Markt teilt mir mit, dass es sich hier um einen missbräuchliche Nutzung ihrer Firma handeln würde.
Woher hat der Anrufer meine Daten, wie Name, Geburtsdatum, Rufnummer, Anschrift, die ich noch nie vergeben habe?
Habe nie an einem Gewinnspiel teilgenommen!
Eine Daten auch nie in diesem Umfang weitergegeben!
Außer eben Schufa und bei einem Ratenkauf.
Hallo,
ich bekam Post von einem Reisebüro in B., sie schrieben, ich habe an einer Gutscheinaktion im Internet teilgenommen und eine Reise nach …. Gewonnen. 8 Tage und im Wert von ca. 800. €. Ich habe nach Recherche herausgefunden, das andere Leute, die diese Reise angetreten haben, hohe Zusatzkosten hatten und nicht alle versprochenen Leistungen erfüllt wurden. Was geschieht jetzt mit meinen Daten (immerhin Name und komplette Adresse), dürfen die weitergegeben werden? Ich habe an dieser angeblichen Aktion nie teilgenommen u. weiß nicht, woher sie diese haben. Sie haben ja selbst Namen und Adressen von bereits verstorbenen Menschen. Ist es möglich, sie wegen Verletzung des DSGVo anzuzeigen?
Freundliche Grüße
anonym
Die meisten Menschen sagen, sie hätten nie an entsprechenden Preisausschreiben teilgenommen.
Leider kommt bei der Recherche dann häufig heraus, dass sie das eben doch getan haben, indem irgendwo im Internet auf einer Webseite einem Text zugestimmt wurde oder im Rahmen eines Newsletters Daten weitergegeben wurden. Wenn man sich z.B. über die Bundesnetzagentur beschwert, muss der Betreiber (im Fachjargon der Verantwortliche) die DS-rechtliche Einwilligung offenlegen. Dies wäre ein Ansatz , wenn die Kontaktaufnahme mit dem entsprechenden Unternehmen fruchtlos ist.
Ich rate grundsätzlich zunächst die direkte Kommunikation mit den entsprechenden Unternehmen. Häufig können so offenkundige Missverständnisse geklärt werden.
Gerade nach Gültigkeit der DSGVO mit ihren empfindlich hohen Geldbußen möchte kaum eine Firma hier auffallen.
Wie ist es mit „Schufa“ usw. die meine Daten heimlich ohne meine Einwilligung speichert?
Hallo,
ich habe meinen Wohnraum bei einer Genossenschaft gekündigt. Darf mein Vermieter den anderen Mietparteien mitteilen, daß ich den Wohnraum gekündigt habe? Ist das ein Verstoß gegen das persönliche Recht im Datenschutz?
Wenn das nicht rechtens ist, wo wende ich mich hin?
Lg Kathleen
Mein Vorsitzender vom Gartenverein hat eine neue Kassiererin eingesetzt, die die Jahresabrechnung
für die Gartenfreunde erstellen soll. Sie ist nicht im Vereinsregister eigetragen sowie durch eine Sondermitgliederversammlung gewählt. Die ehemalige Schatzmeister gekündigt.
Somit erhält Sie Einsicht zu allen persönlichen Daten des Vereins.
Ist das eine Datenschutzverletzung.
Wenn die Kassiererin nicht im Vereinsregister eingetragen ist, sollte einmal die Satzung überprüft werden ob diese nicht dem geschäftsführendem Vorstand angehört. Denn dann muss sie eingetragen werden. Ohne Vertraulichkeitsverpflichtung darf sie sowieso keine Einblicke in personenbezogene Daten haben bzw. Verarbeiten oder Weiterleiten. Hier ist größte Vorsicht geboten.
Sehr geehrte Damen und Herren,
wie kann es sein, das die Firma G. mit Sitz in H. jegliche Gameranfragen zur Offenlegung von Daten nach dem BDSG vehement ignoriert. Etliche Gamer haben bisher wohl mehrmals darum gebeten Auskunft zu erteilen, aber G. windet sich da wie eine Schlange.
Hallo Klaus,
Sie können mögliche Verstöße gegen den Datenschutz und die Betroffenenrechte gegenüber den zuständigen Aufsichtsbehörden melden.
Die Redaktion von Datenschutz.org
Wann kommt die Pdf kostenfrei auf das neue Bundesdatenschutzgesetz .
Sehr geehrte Damen und Herren,
das BDSG-neu hat ebenfalls ein BDSG n.f. erhalten, welches nur 45 Paragraphen enthält.
Welches BDSG ist denn nun anwendbar? Für den DSB ist das alles mehr als schwierig, zumal die TOMS im §64 enthalten und im BDSG n.f. nicht vorhanden sind.
Wisst ihr, was es mit den verschiedenen Versionen auf sich hat?
Hallo Christian,
die Bezeichnungen „BDSG-neu“ und „BDSG neue Fassung (n. F.)“ beziehen sich beide auf das neue Gesetz, das mit Umsetzung der DSGVO greift. Diese Fassung umfasst aktuell 85 Paragraphen.
Das BDSG alte Fassung (a. F.) umfasste nur 48 Paragraphen.
Die Redaktion von Datenschutz.org
Der ganze Mist ist ein Schwachsinn – nur eine Handvoll „Möchtegern Politiker“ hauen sich mal wieder auf Kosten der Bürger die Taschen voll – Hurra wir sind alle frei! – es weis nur keiner! – wg. Datenschutz