Das Bundesdatenschutzgesetz (BDSG neu)
Das neue BDSG trat am 25. Mai 2018 mit der Datenschutz-Grundverordnung in Kraft
Was ist das BDSG neu?
Das Bundesdatenschutzgesetz regelt den Umgang mit personenbezogenen Daten, die manuell oder in Informations- und Kommunikationssystemen verarbeitet werden, in Deutschland.
Bereits die Pioniere des Datenschutzes stammten aus Deutschland. Das erste allgemeine Datenschutzgesetz der Welt wurde 1970 in Hessen erlassen, 1977 folgte die erste Fassung des Bundesdatenschutzgesetzes. Das heutige Bundesdatenschutzgesetz setzt die Datenschutzrichtlinie 95/46/EG um. Diese wird allerdings durch die EU-Datenschutz-Grundverordnung 2016/679 (abgekürzt DS-GVO) aufgehoben. Am 25. Mai 2018 wurde die Datenschutz-Grundverordnung unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Ziel der Verordnung ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten. Die DS-GVO enthält ca. 50 bis 60 Öffnungsklauseln, die fordern, dass bestimmte Datenschutzthemen auf nationaler Ebene geregelt werden müssen bzw. dürfen. Um das deutsche Recht an die DS-GVO anzupassen, d.h. diese zu ergänzen und zu konkretisieren, sowie an die EU Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, wurde am 27. April 2017 das Datenschutz-Anpassungs- und Umsetzungsgesetz EU erlassen. Die dort enthaltene neue Fassung des BDSG (abgekürzt: BDSG neu) trat ebenfalls am 25. Mai 2018 in Kraft.
Die Vorschriften des BDSG neu finden allerdings keine Anwendung, soweit das Recht der Europäischen Union unmittelbar gilt (§ 1 Abs. 5 BDSG neu). Auch kommt es nur zur Anwendung des BDSG neu, soweit nicht bereichsspezifische Gesetze speziellere Regelungen treffen, sofern es um den geleichen Sachverhalt geht (§ 1 Abs. 2 BDSG neu).
Was ist das Ziel des BDSG neu?
Das Bundesdatenschutzgesetz soll den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Denn Datenschutz soll jedem Menschen das Recht geben grundsätzlich selber darüber zu entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Somit dient das BDSG als Schutz des Einzelnen vor einem zweckwidrigen und missbräuchlichen Umgang mit seinen personenbezogenen Daten. Dieser Schutz erstreckt sich auf natürliche Personen.[
An wen richtet sich das BDSG neu?
Das neugefasste BDSG wird angewendet auf öffentliche Stellen des Bundes und der Länder, sowie auf nicht-öffentliche Stellen (§ 1 Abs. 1 Satz 1 BDSG neu).
Öffentliche Stellen
Öffentliche Stellen des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform (§ 2 Abs. 1 BDSG neu). Dazu zählt folglich die Datenverarbeitung durch das Bundesamt für Verfassungsschutz, den Bundesnachrichtendienst, den Militärischen Abschirmdienst oder im Bereich des Sicherheitsüberprüfungsgesetzes.
Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform (§ 2 Abs. 2 BDSG neu).
Nicht-öffentliche Stellen
Nicht-öffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 1 Satz 1 BDSG neu). Für nichtöffentliche Stellen gilt das Gesetz für die ganz oder teilautomatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (§ 1 Abs. 1 Satz 2 BDSG neu).
In räumlicher Hinsicht gilt das BDSG neu für Verantwortliche und Auftragsverarbeiter nicht-öffentlicher Stellen, die personenbezogene Daten in Deutschland verarbeiten (§ 1 Abs. 4 Nr. 1 BDSG neu), die personenbezogene Daten im Rahmen der Tätigkeiten einer deutschen Niederlassung verarbeiten (§ 1 Abs. 4 Nr. 2 BDSG neu) oder die zwar keine Niederlassung in der EU bzw. im Europäischen Wirtschaftsraum haben, aber in den Geltungsbereich der DS-GVO fallen (§ 1 Abs. 1 Nr. 3 BDSG neu).
Was sind die wichtigsten Regelungen des BDSG neu?
Das neue BDSG ist in folgende vier Teile aufgeteilt:
Teil 1: Gemeinsame Bestimmungen, §§ 1- 21 BDSG neu
In Teil 1 werden Bestimmungen für jegliche Form der Datenverarbeitung festgesetzt.
§ 3 und § 4 BDSG neu regeln die allgemeine Rechtsgrundlagen für die Datenverarbeitung durch öffentliche Stellen und für die Videoüberwachung.
So ist die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.
Eine Videoüberwachung ist nur möglich, wenn diese zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
Weiter werden in §§ 5 bis 7 BDSG neu Regelungen zu Datenschutzbeauftragten öffentlicher Stellen genannt. Dieser wird von der öffentlichen Stelle benannt und in alle Fragen, die von dem Schutz personenbezogener Daten handeln, eingebunden. Der Datenschutzbeauftragte unterrichtet und berät die öffentliche Stelle und deren Beschäftigte, sorgt für eine gesetzeskonforme Umsetzung der Datenschutz-Grundverordnung und überwacht die Einhaltung des Datenschutzes. Dabei muss dieser völlig unabhängig handeln. Eine Ausgestaltung der unabhängigen Datenschutzaufsichtsbehörden findet sich in §§ 8 bis 16 BDSG neu.
Teil 2: Durchführungsbestimmungen für Verarbeitungen nach der DS-GVO, §§ 22- 44 BDSG neu
Die Regelungen aus Teil 2 beziehen sich allein auf den Anwendungsbereich der EU-Datenschutz-Grundverordnung 2016/679.
In § 22 BDSG neu wird eine Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten geschaffen. Es werden über die DS-GVO hinaus weitere Zulässigkeitstatbestände genannt. So ist z.B. eine Datenverarbeitung gestattet, soweit dies erforderlich ist, um die aus dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte auszuüben und den diesbezüglichen Pflichten nachzukommen, zum Zweck der Gesundheitsvorsorge und aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit.
Des Weiteren werden weitere Rechtgrundlagen für die Verarbeitungen zu anderen Zwecken (§§ 23, 24 BDSG neu) sowie für Datenübermittlungen durch öffentliche Stellen (§ 25 BDSG neu) festgelegt.
Auch werden Regelung über die Datenverarbeitung im Beschäftigungsverhältnis getroffen (§§ 26 bis 31 BDSG neu). So dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist.
Regelungen zur Einschränkung der Betroffenenrechte (Recht auf Informierung, Auskunft, Löschung, Widerspruch und das Recht, keiner automatisierten Entscheidung unterworfen zu werden) aus der DS-GVO finden sich in §§ 32 bis 37 BDSG neu. So besteht das Auskunftsrecht nach § 34 Abs. 1 BDSG neu nicht, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften oder zu Zwecken der Datensicherung oder Datenschutzkontrolle nicht gelöscht werden dürfen. Nach § 35 BDSG neu ist das Recht auf Löschung eingeschränkt, wenn die Löschung nur mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse an der Löschung als gering anzusehen ist.
Gemäß § 38 Abs. 1 BDSG neu besteht für Unternehmen die Pflicht einen Datenschutzbeauftragten zu bestellen. Dies kann entweder ein Beschäftigter („interner Datenschutzbeauftragter“) oder ein Dienstleister („externer Datenschutzbeauftragter“) sein. Der Verantwortliche und Auftragsverarbeiter müssen einen betrieblichen Datenschutzbeauftragten bestellen, wenn mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder die Datenverarbeitung besonders risikoreich ist und daher einer Datenschutz-Folgenabschätzung unterliegt oder Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
In § 41 bis § 43 BDSG neu werden de Straf- und Bußgeldvorschriften geregelt. Nach § 42 Abs. 1 BDSG neu kann eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe gegen eine Person verhängt werden, die gewerbsmäßig nicht allgemein zugängliche personenbezogene Daten unberechtigt an Dritte übermittelt oder auf andere Art und Weise zugänglich macht.
In § 43 BDSG neu wird die Verhängung von Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung gesetzlich geregelt. Die Bußgeldhöhen ergeben sich zukünftig direkt aus der DS-GVO (Art. 83 DS-GVO).
Teil 3: Bestimmungen für Verarbeitungen nach der EU Richtlinie 2016/680, §§ 45- 84 BDSG neu
Diese Regelungen dienen der Umsetzung der EU Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr.
Sie treffen Aussagen zu Rechtsgrundlagen der Datenverarbeitung (§§ 47 bis 51 BDSG neu), formen die Betroffenenrechte (§§ 55 bis 61 BDSG neu) aus und legen Pflichten der Verantwortlichen und Auftragsverarbeiter fest (§§ 62 bis 77 BDSG neu). Insbesondere haben der Verantwortlichen und Auftragsverarbeiter die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten (§ 64 BDSG neu).
Die §§ 45-84 BDSG neu gelten nur für die Datenverarbeitung von Ermittlungsbehörden und betreffen Bürger und Unternehmen nicht unmittelbar.
Teil 4: Bestimmungen für Verarbeitungen von nicht unter den Anwendungsbereich der DS-GVO und der EU Richtlinie 2016/680 fallenden Tätigkeiten, § 85 BDSG neu
Teil 4 enthält besondere Bestimmungen für Verarbeitungen von nicht unter den Anwendungsbereich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten. Der Schwerpunkt ist dabei darauf gesetzt, spezifischere Regelungen für die Behörden des Bundesministeriums der Verteidigung zu schaffen.
Fazit
Um einen sicheren unionsweiten Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren sowie natürlichen Personen, Vereinigungen und Unternehmen zu gewährleisten, wurde mit dem 25. Mai 2018 die Datenschutz-Grundverordnung unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Das BDSG neu ergänzt diese auf nationaler Ebene. Unternehmen sollten daher ihre Datenverarbeitungsvorgänge an die Vorgaben der DS-GVO und des BDSG neu anpassen. Dies gilt insbesondere für die Bereiche des Mitarbeiterdatenschutzes und der Videoüberwachung, sowie der verpflichtenden Bestellung eines Datenschutzbeauftragten.
Welche gesetzeskonforme Umsetzung bieten wir?
Informationstechnologie-Produkte wie Computer, Notebooks, Drucker, Faxgeräte oder Kopierer enthalten regelmäßig Datenträger. Während der Nutzung der Gerätschaften werden auf solchen Datenträgern – also auf Festplatten, SSD-, USB- oder Flash-Speichern – personenbezogene Daten gespeichert, welche dem Schutz des BDSG und der DS-GVO unterliegen.
Werden personenbezogene Daten vor einer Entäußerung eines ausgemusterten Informationstechnologie-Produkts unsachgemäß gelöscht oder entsprechende Datenträger einfach formatiert, können die gespeicherten personenbezogenen Daten mit aktuellen Softwaretechnologien der Computer-Forensik wiederhergestellt werden. Eine unzureichende Datenvernichtung kann daher als Verstoß gegen das BDSG neu und die DS-GVO gesehen werden.
Rechtsdogmatisch ist zu folgern, dass stets eine datenschutzrechtskonforme Löschung von personenbezogenen Daten auf allen ausgemusterten gewerblich genutzten IT-Altgeräten, insbesondere auf gebrauchten Computern und Handys, zu erfolgen hat. Die Remarketing Company nimmt eine solche revisionssichere Datenlöschung auf den Datenträgern der von Ihnen ausgemusterten Informationstechnologie-Produkte vor, um eine Beeinträchtigung der Datenschutzrechte anderer zu verhindern und Vertrauen zu Ihrem Unternehmen zu schaffen.
Lesen Sie hier mehr zur EU-Datenschutz-Grundverordnung:
Zur DS-GVO