Die Bundesregierung hat heute ihren Entwurf für ein Gesetz zur Änderung des Bundesdatenschutzgesetzes (BDSG) verabschiedet (Gesetzentwurf, PDF). Nachfolgend möchte ich einen ganz kurzen Überblick zu einigen vorgeschlagenen Änderungen geben.
Die DSK wird im BDSG verankert
In einem neuen § 16a BDSG soll die Datenschutzkonferenz (DSK) im BDSG institutionalisiert werden. Es wird jedoch keine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK getroffen, da, so die Begründung, „damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden“.
Die Anpassung ist am Ende aus meiner Sicht nicht besonders praxisrelevant. Denn die DSK existiert bereits jetzt schon und hat auch eine Geschäftsordnung. Es wird als gesetzlich festgeschrieben, was bereits existiert.
Wegfall der Regelung zur Videoüberwachung für private Stellen
§ 4 Abs. 1 BDSG soll neu wie folgt gefasst werden:
„Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig,…“.
Hierdurch wird die Regelung zur Videoüberwachung öffentlich zugänglicher Räume durch nichtöffentliche Stellen, also insbesondere Unternehmen, aus dem Bundesrecht genommen. Die Zulässigkeit dieser Videoüberwachung ergibt sich unmittelbar aus Art. 6 Abs. 1 lit. f DSGVO.
Mögliche Auswirkung: sollte die Regelung so in Kraft treten, wäre bei Hinweisschildern zur Videoüberwachung an eine Anpassung hinsichtlich der Rechtsgrundlage zu denken, wenn dort noch auf § 4 Abs. 1 BDSG verwiesen wird.
Wichtig für die Praxis: Einschränkung des Auskunftsrechts bei Geschäftsgeheimnissen
Eine praxisrelevante Anpassung wird in § 34 Abs. 1 BDSG vorgeschlagen. Es soll folgender Satz neu angefügt werden:
„Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“
Laut der Gesetzesbegründung soll klargestellt werden, dass im Rahmen der Ausnahmen von dem Recht auf Auskunft (Art. 15 Abs. 4 DSGVO) unter den Schutz „anderer Personen“ auch der Verantwortliche fällt und gewisse herauszugebende Daten einen rechtlichen Schutz genießen. „Betriebs- und Geschäftsgeheimnisse genießen einen solchen Schutz“.
Die Ausnahme greift dann, wenn das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Interesse der betroffenen Person an der Information überwiegt.
Diese Klarstellung ist zu begrüßen, jedoch wohl nicht zwingend erforderlich, da bereits ErwG 63 DSGVO „Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse“ ausdrücklich erwähnt.
Zuständige Aufsichtsbehörde bei gemeinsam Verantwortlichen
Zudem soll ein neuer § 40a BDSG mit dem Titel „Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen“ eingefügt werden.
Die Regelung soll in Situationen gelten, in denen mehrere Unternehmen gemeinsam Verantwortliche (Art. 26 DSGVO) sind und mehrere Aufsichtsbehörden für sie zuständig wären. Dann sollen diese Verantwortlichen gemeinsam anzeigen können,
„dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat“.
Die Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss etwa die Vereinbarung gem. Art. 26 DSGVO enthalten.
Wichtige Folge dieser Anzeige: ab dem Zeitpunkt, zu dem die Anzeige bei der zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.
Vorgaben zum Scoring
Neu eingefügt (wenn auch angelehnt an den bisherigen § 31) wird ein § 37a BDSG, der Anforderungen an die Erstellung und auch Verwendung von „Wahrscheinlichkeitswerten“ regeln soll.
Nach § 37a Abs. 1 Nr. 1 BDSG dürfen etwa folgende Daten nicht für die Erstellung der Wahrscheinlichkeitswerte genutzt werden: besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) und Anschriftendaten.