IT/Datenschutz
Das zweite Datenschutzanpassungs- und Umsetzungsgesetz – Änderungen und Auswirkungen
Am 28.06.2019 verabschiedete der Bundestag das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG). Durch die Zustimmung des Bundesrats vom 20.09.2019 trat das Gesetz am 26.11.2019 in Kraft.
Welche Änderungen wurden getroffen?
Das Gesetz nahm in 154 Fachgesetzen fast aller Ressorts Änderungen vor.
Viele Änderungen sind aber lediglich Angleichungen der Begriffsbestimmungen der nationalen Gesetze an die der Datenschutz-Grundverordnung (DS-GVO) sowie Anpassungen inkorrekter Verweise.
Dennoch gibt es einige nennenswerte materielle Änderungen. Die wichtigsten Änderungen werden im Folgenden überblicksartig dargestellt.
Änderungen im Bundesdatenschutzgesetz (BDSG)
In § 9 BDSG wurde die Zuständigkeit des Bundesdatenschutzbeauftragten erweitert. Demnach sind nun Telekommunikationsunternehmen dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) unterstellt.
Diese Änderung hat sich bereits bemerkbar gemacht. So verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bereits kurz nach dem Inkrafttreten des 2. DSAnpUG ein Bußgeld gegen die 1&1 Telecom GmbH in Höhe von 9,55 Millionen Euro. Über die Hintergründe dieses Bußgeldbescheids können Sie sich in folgendem Blogbeitrag informieren.
Zudem wurde in § 22 Abs. 1 lit. d BDSG ein neuer Erlaubnisvorbehalt für die Verarbeitung besonderer Kategorien personenbezogener geschaffen. Demnach ist eine Verarbeitung von sensiblen Daten wie beispielsweise ethnische Herkunft, politische Meinungen, Religions- oder Gewerkschaftszugehörigkeit und Gesundheitsdaten nun auch von Privatunternehmen zulässig, wenn dies „aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich“ ist. Zuvor war dies gemäß § 22 Abs. 1 Nr. 2 lit. a BDSG nur öffentlichen Stellen vorbehalten.
Zudem gibt es eine relevante Änderung im Beschäftigtendatenschutz.
Das bisher geltende Schriftformerfordernis (mit Ausnahmen für besondere Umstände) für die Einwilligung im Beschäftigtenverhältnis wurde gelockert. Nunmehr kann eine Einwilligung gemäß § 26 Abs. 2 S. 3 BDSG „schriftlich oder elektronisch“ erfolgen. Der Arbeitgeber muss lediglich die Einwilligung des Arbeitnehmers nachweisen können.
Die wohl wichtigste Änderung – insbesondere für KMU und Vereine – ist in § 38 BDSG enthalten. Demnach ist die obligatorische Benennung eines betrieblichen Datenschutzbeauftragten erst ab 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, erforderlich. Diese Anhebung des Schwellenwerts von vormals zehn Mitarbeitern soll eine Entlastung der betroffenen Unternehmen und Vereine bewirken. Diese läuft aber faktisch ins Leere, da die Anhebung des Schwellenwertes nicht bedeutet, dass Unternehmen und Vereine, die unter nun keinen betrieblichen Datenschutzbeauftragten mehr benennen müssen, sich nicht an die datenschutzrechtliche Regelungen der DS-GVO und des BDSG halten müssen.
Weitere Änderungen
Wichtige Änderungen befinden sich auch im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz). Hierin findet sich einerseits eine Ausweitung der Verarbeitungsbefugnisse des BSI und andererseits eine Beschränkung der Betroffenenrechte in bestimmten Fällen. In § 3a Abs. 2 BSIG wird eine Durchbrechung des Zweckbindungsgrundsatzes normiert.,
§ 3a Abs. 2 BSIG erlaubt dem Bundesamt für Sicherheit in der Informationstechnik (BSI), personenbezogene Daten unbeschadet der Öffnungsklausel des Art. 6 Abs. 4 der DSGVO und des § 23 BDSG zu anderen Zwecken als dem ursprünglichen Erhebungszweck zu verarbeiten, wenn
1. die Verarbeitung erforderlich ist
a) zur Sammlung, Auswertung oder Untersuchung von Informationen über Sicherheitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik oder
b) zur Unterstützung, Beratung oder Warnung in Fragen der Sicherheit in der Informationstechnik und
2. kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.Hiermit soll das BSI sämtliche ihm zur Verfügung stehenden Daten nutzen dürfen, um präventiv Sicherheitsrisiken zu erkennen und Sicherheitsvorkehrungen treffen zu können.
Weiterhin werden in §§ 6a bis 6f BSIG Ausnahmen bestimmt, in denen die in der DS-GVO dargelegten Betroffenenrechte nicht bestehen.
Auch im Gesetz über die Errichtung einer Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS-Gesetz) wurden materielle Änderungen vorgenommen. In § 19 Abs. 4 BDBOSG wurde normiert, in welchen Fällen Verkehrsdaten nach ihrem Entstehen durch den Digitalfunk der Behörden gespeichert werden können. Hierin wird eine Vorratsdatenspeicherung mit 75 Tagen geschaffen.
Fazit
Trotz der vielen Änderungen, die in den 454 Seiten des 2. DSAnpUG herbeigeführt wurden, sind wenig bedeutsame gesetzgeberische Regelungen getroffen worden.
Für Telekommunikationsunternehmen ist relevant, dass diese nun einer anderen Aufsichtsbehörde zugeordnet sind.
Die Anhebung des Schwellenwertes des § 38 BDSG für die Benennungspflicht eines Datenschutzbeauftragten wird zu keiner großen Entlastung der KMU und Vereine führen, sondern eher für Unklarheiten sorgen und diese in trügerischer Sicherheit wähnen.
Im Gegensatz zum Referentenentwurf wurde das Telekommunikationsgesetz (TKG) nicht angepasst. In diesem Zusammenhang ist insbesondere eine gesetzgeberische Klarstellung des Verhältnisses des Telemediengesetzes (TMG), des Telekommunikationsgesetzes (TKG) und des Kunsturhebergesetzes (KUG) jeweils mit den Regelungen der DS-GVO unterblieben.
Insbesondere eine Reformierung des § 15 Abs. 3 TMG wäre wünschenswert gewesen. § 15 Abs. 3 TMG erlaubt Diensteanbietern zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen, sofern der Nutzer dem nicht widerspricht.
Die Datenschutzkonferenz (DSK), das Abstimmungsgremium der deutschen Datenschutzaufsichtsbehörden, sieht § 15 Abs. 3 TMG kritisch, da laut dieser die in § 15 Abs. 3 TMG genannten Zwecke nicht den Ausnahmetatbeständen des Art. 5 Abs. 3 Satz 2 der ePrivacy-RL entsprechen.
Durch das Urteil des EuGH C-673/17 in Sachen Planet49 GmbH ./. Bundesverband der Verbraucherverbände dürfte aber durch eine richtlinienkonforme Auslegung des § 15 Abs. 3 TMG nun ein Einwilligungserfordernis für nicht erforderliche Cookies anzunehmen sein.
Somit bleibt abzuwarten, inwiefern zukünftige Datenschutzanpassungs- und Umsetzungsgesetze und sonstige Änderungen von Gesetzen diese und weitere Lücken in Angriff nehmen werden.
Ihr zuständiger Ansprechpartner ist Robert Faußner, M.A.