BVD-NEWS DAS FACHMAGAZIN FÜR DEN DATENSCHUTZ - (BVD) EV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Ausgabe 01/2021
BvD-NEWS
ISSN: 2194-1025
Das Fachmagazin für den Datenschutz
Berufsverband der
Datenschutzbeauftragten
Deutschlands (BvD) e.V.
LOTSE DURCH DIE BÜROKRATIE
DATENSCHUTZBEAUFTRAGTE UND DIE EVALUIERUNG DES BDSG
DOKUMENTATION: EVALUIERUNG DES BDSG – S. 8
PRIVACY LITIGATION – S. 16
NEUE EDSA-EMPFEHLUNGEN UND SCC-ENTWÜRFE
IM LICHTE VON „SCHREMS II“ – S. 34
DAS GESCHÄFTSGEHEIMNISGESETZ – S. 46
Anzeige
www.bvdnet.de
2021 BvD-Verbandstage
& Behördentag | 19.05. - 21.05.2021 LIVE AUS DEM ELLINGTON HOTEL BERLIN.
Next Level Datenschutz.
Der Datenschutzbeauftragte
als Lotse in der Digitalisierung
Berufsverband der
Datenschutzbeauftragten
AKTUELLE UND PRAXISNAHE Deutschlands (BvD) e.V.
VORTRÄGE UND DISKUSSIONEN
ZU DEN FOKUS-THEMEN:
Datenschutz-To-dos digital & virtuell
Datenschutz in der Praxis
Bußgelder – Schadensersatzforderungen
TEILNAHMEGEBÜHREN:
Digitale Welten
Next Level Datenschutzbeauftragter BvD-Verbandstage 19.05.-20.05.2021
»
BvD-Mitglieder: 695,00 €
Nichtmitglieder: 895,00 €
Im Anschluss an die BvD-Verbandstage findet der Behördentag statt.
BvD-Verbandstage 2021 – Tages-Ticket
Hier informieren Vertreter aus Behörden und Kommunen über aktuelle
BvD-Mitglieder: 450,00 €
Themen zum Datenschutz und der Digitalisierung in Verwaltung und Ämtern. Nichtmitglieder: 550,00 €
Behördentag 21.05.2021
BvD-Mitglieder und öffentliche Einrichtungen/Behörden: 295,00 €
Nichtmitglieder: 450,00 €
BvD-Verbandstage & Behördentag 19.05.-21.05.2021
BvD-Mitglieder, öffentliche Einrichtungen/Behörden: 895,00 €
Nichtmitglieder: 1.150,00 €
JETZT ANMELDEN: Alle Preise zzgl. gesetz. MwSt.
https://www.bvdnet.de/termin/save-the-date-bvd-verbandstag-2021/
BERUFSVERBAND DER DATENSCHUTZBEAUFTRAGTEN DEUTSCHLANDS (BVD) E.V. | BUDAPESTER STRASSE 31, 10787 BERLIN
Editorial
EDITORIAL
Liebe Leserinnen und Leser,
diese Ausgabe der BvD-News soll mit einem großen Dankeschön Empfehlungen des Europäischen Daten-
beginnen, das sich an Frau Helga Block (LDI NRW) und Herrn schutzausschusses und die Standard-
Prof. Dr. Michael Ronellenfitsch (HBDI) richtet, die den BvD datenschutzklauseln im Zusam-
während ihrer Amtszeiten wohlwollend und partnerschaftlich menhang mit “Schrems II”. Zu
begleitet haben. Für die vertrauensvolle Zusammenarbeit be- den ESDA-Empfehlungen hat
danken wir uns und wünschen beiden alles Gute für die neue Le- übrigens auch unser europä-
bensphase, den Ruhestand. Frau Block ist offiziell bereits im Juli ischer Dachverband EFDPO
2020 in den Ruhestand gegangen, aber noch ohne Nachfolge, Stellung genommen, nach-
und in Hessen wurde Prof. Dr. Ronellenfitsch am 25. Februar zulesen unter www.efdpo.eu.
2021 in den Ruhestand verabschiedet. Mit welchen Problematiken
man sich bei der Nutzung
Am 25. Mai 2018 trat das neue Bundesdatenschutzgesetz in
von Standarddatenschutzklauseln
Kraft. Spätestens drei Jahre später – also in diesem Frühjahr
auseinandersetzen muss, erläutert
– ist eine Evaluierung vorgesehen. Wie schon bei der Evaluie-
Prof. Dr. Tobias Straub ab Seite 40.
rung der DSGVO im vergangenen Frühjahr, bringt sich der BvD
natürlich auch in diesen vom Bundesministerium des Innern, Nicht nur mit diesen und den vielen weiteren Artikeln des vor-
für Bau und Heimat (BMI) koordinierten Prozess aktiv ein. Da- liegenden Hefts können Sie als DSB Ihr Know-How auf den ak-
bei ist es unser Ziel, mit unseren aus Praxiserfahrungen gespeis- tuellen Stand bringen, auch die BvD-Verbandstage mit dem an-
ten Vorschlägen insbesondere zur Entlastung des Mittelstands schließenden Behördentag warten wieder mit einer geballten
beizutragen. Es geht aber auch darum, der in diesem Kontext Ladung an Fachwissen auf. Sie sind herzlich eingeladen sich den
immer wieder drohenden Täuschung vorzubeugen, der DSB sei 19. bis 21. Mai frei zu halten. Aufgrund der derzeitigen Lage
quasi die Personifizierung der bestehenden datenschutzrechtli- können wir leider noch immer nicht alle gemeinsam in Berlin
chen Pflichten und „weniger DSB“ bedeute daher „weniger Da- zusammenkommen, daher bauen wir im Ellington Hotel pro-
tenschutzbürokratie“. Das Gegenteil ist der Fall: Der DSB hilft, fessionelle Livestream-Studios auf, aus denen die Referenten zu
die unabhängig von ihm bestehende Bürokratie zu meistern; er Ihnen auf die heimischen Bildschirme kommen werden. Trotz
ist der versierte „Lotse durch die Bürokratie“, wie es der Titel der räumlichen Entfernung werden wir alle Hebel in Bewegung
unserer BvD-News so treffend formuliert. Und: Wenn die Politik setzen, um bei Ihnen ein echtes Kongressfeeling aufkommen
die gesetzlichen Voraussetzungen dafür schaffen würde, könnte zu lassen – zum Beispiel dadurch, dass Sie dieses Jahr nicht auf
er diese Aufgabe sogar noch viel besser erfüllen, als es ihm auf- die Gala zur Preisverleihung unseres Datenschutz Medienprei-
grund der geltenden Regelungen derzeit möglich ist. Was sich ses DAME verzichten müssen. Welche Beiträge die Jury für den
ändern müsste, das haben der BvD-Vorstand und unser Aus- vierten Jahrgang nominiert hat, lesen Sie auf Seite 80.
schuss Recht & Politik anhand ganz konkreter Vorschläge erar-
Spätestens zur Herbstkonferenz wollen wir dann wieder ein
beitet, die Sie in den Artikeln zu unserem Themenschwerpunkt
„echtes Treffen“ möglich machen. Damit dies selbst bei gege-
nachlesen können.
benenfalls noch bestehenden Hygienevorschriften möglich ist,
Wer als DSB-„Lotse“ Unternehmen dabei begleitet datenschutz- haben wir uns bereits eine ausreichend große Location in Nürn-
rechtliche Klippen zu umschiffen, der muss über diese Klip- berg gesichert.
pen natürlich bestens Bescheid wissen. Eine davon, die gera-
de aufgrund aktueller Urteile an Bedeutung gewinnt, ist die Bis dahin wünsche ich Ihnen gutes Durchhalten, Gesundheit
Gefahr von Schadensersatzklagen nach Art. 82 DSGVO. Der und natürlich eine anregende Lektüre.
Artikel von Tim Wybitul (s. Seite 22) bringt Sie hierzu auf
Ihr
den neuesten Stand. Schon lange in der Diskussion ist hin-
gegen das Thema Drittlandtranfers, es scheint sich zu einem
Dauerbrenner zu entwickeln, der uns Datenschutzbeauftrag-
te noch eine ganze Weile beschäftigen wird. In der vorliegen-
den Ausgabe schreiben Dr. Tilman Dralle, Jonathan Schröer und Thomas Spaeing
Dipl.-Wi.-Ing. Dominik Smasal ab Seite 34 über die neuen BvD-Vorstandsvorsitzender
BvD-NEWS Ausgabe 1/2021 3
Impressum | Inhaltsverzeichnis
EDITORIAL
Thomas Spaeing3
LOTSE DURCH DIE BÜROKRATIE
Die Stellung und Tätigkeit des DSB in der politischen Diskussion. Drei Positionen des BvD –
Von den Mitgliedern des BvD-Ausschusses Recht & Politik5
Dokumentation: Evaluierung des BDSG. Eckpunkte aus der Stellungnahme des BvD 8
DSGVO
Privacy Ligitation. Von Betroffenenrechten über Unterlassungsansprüche bis hin zum
Schadensersatzanspruch nach DS-GVO – Thomas Kahl 16
DSGVO-Schadensersatzklagen nach dem Paukenschlag des Bundesverfassungsgerichts – Tim Wybitul 22
Die Strafbarkeit juristischer Personen nach Art. 83 DSGVO. Ein Stolperstein für die einheitliche
Anwendung der DSGVO – Dr. Matthias Schmidl26
IMPRESSUM: §§ 30, 130 OWiG vor der Herausforderung einer europaweit harmonisierten Bebußung nach
BvD-News Art. 83 DS-GVO – Maria Christina Rost30
Das Fachmagazin des Berufsverbandes
der Datenschutzbeauftragten GESETZ UND RECHTSPRECHUNG
Deutschlands (BvD) e.V.
Neue EDSA-Empfehlungen und SCC-Entwürfe im Lichte von „Schrems II”: Entwicklungen und
Herausgeber: Perspektiven – Dr. Tilman Dralle, LL.M., Jonathan Schröer, LL.M. und Dipl.-Wi.-Ing. Dominik Smasal 34
Berufsverband der Datenschutz Privacy Shield – der Vorhang zu und alle Fragen offen? – Prof. Dr. Tobias Straub 40
beauftragten Deutschlands (BvD) e.V.
Budapester Straße 31 Das Geschäftsgeheimnisgesetz. Von Compliance und konkreten Maßnahmen bis zur Durchsetzung
10787 Berlin von Ansprüchen – Regina Mühlich, Dr. Jens Eckhardt 46
Tel: 030 26 36 77 60
Fax: 030 26 36 77 63 DATENSCHUTZPRAXIS
E-Mail: bvd-gs@bvdnet.de Umgang mit Datenschutzpannen – Stefan Sander 50
Internet: www.bvdnet.de
www.xing.com/companies/
Consent Tools für Webseiten im Praxistest – Dr.-Ing. Klaus Meffert56
berufsverbandderdatenschutz Datenschutzbeauftragte im Gesundheitswesen – eine spezielle Herausforderung – Bernd Schütze61
beauftragtendeutschlands Mittelstand-Digital. Kompetenzzentren unterstützen den Mittelstand bei der
www.twitter.com/bvd_datenschutz
Digitalisierung – Christian Munk71
www.bvdnet.de/feed/
Redaktion: AUFSICHTSBEHÖRDEN
Christina Denz (chd)
100. Datenschutzkonferenz – Die wichtigsten Ergebnisse und Entscheidungen im Überblick –
V.i.S.d.P.: Thomas Spaeing
Andreas Schurig74
bvd-news@bvdnet.de
Fotos: GESELLSCHAFT
www.123rf.com
Vertraulichkeit und Verschwiegenheit. Wie weit geht die gesetzliche Verschwiegenheitspflicht des
Lektorat: Datenschutzbeauftragten? – Regina Mühlich, Dr. Jens Eckhardt77
Frank Spaeing, Regina Mühlich
AUS DEM VERBAND
Anzeigen:
Christina Denz
Datenschutz Medienpreis 2020: Jury gibt drei Finalisten bekannt – Karsten Füllhaase80
Kooperationen: Karsten Füllhaase Wo DSgzS-Dozenten noch was lernen – Der Dozententag der BvD-Initiative „Datenschutz geht zur
(bvd-gs@bvdnet.de) Schule“ fand 2020 online statt – David Heimburger82
Satz, Layout & Produktion:
Trend Point Marketing GmbH, REZENSIONEN
Breitenbachstraße 24-29, 13509 Berlin Die datenschutzrechtliche Einwilligung – Marlene Voigt84
www.tpmarketing.de Datenschutzbeauftragte - Einsteigerlektüre für Anfänger – Stephan Hansen-Oest86
ISSN: 2194-1025
DSGVO im Praxistest - Ermittlungen Bußgelder Verfahren – Niko Härting, Lasse Konrad88
Erscheinungsweise: 3 x jährlich, Druckauflage 4.000 Datenverarbeitung in Drittstaaten. Komplexe Regelungen einfach erklärt. – Dr. Jens Eckhardt, Bernd
Exemplare (Unsere Mediadaten erhalten Sie unter
bvdnet.de/Publikationen oder von unserer Geschäftsstelle Fuhlert90
per E-Mail an bvd-gs@bvdnet.de) Die Redaktion behält
sich vor, Beiträge redaktionell zu überarbeiten und zu
kürzen. Namentlich gekennzeichnete Beiträge müssen
nicht die Meinung des BvD e.V. wiedergeben
TERMINE UND KONTAKTE
Termine der Regionalgruppen und Arbeitskreise des BvD 91
4 BvD-NEWS Ausgabe 1/2021
LOTSE DURCH DIE BÜROKRATIE
DIE STELLUNG UND TÄTIGKEIT DES DSB
IN DER POLITISCHEN DISKUSSION
Drei Positionen des BvD
Von den Mitgliedern des BvD-Ausschusses Recht & Politik
Die Stellung und Tätigkeit des Datenschutzbeauf- nen einzelne Aufgaben des Unternehmens nach der
tragten (DSB) ist immer wieder Gegenstand (rechts-) DSGVO zu übernehmen. Denn vor allem dort, wo
politischer Diskussionen. Typischerweise geht es da- der DSB nicht beratend und begleitend von Anfang
bei darum seine Stellung oder seine Tätigkeit einzu- an eingebunden ist, muss er ggf. im Nachgang im
grenzen. Entweder wird ihm vorgeworfen, dass der Rahmen seiner Beratung auf die Versäumnisse hin-
Datenschutzbeauftragte die mit der DSGVO verbun- weisen und Handlungsempfehlungen geben.
dene Bürokratie verursacht oder – wenn er seine
Eine nachträgliche Justierung und/oder gar umfas-
Aufgabe ausfüllt – dass er unerlaubte Rechtsbera-
sende Prozessmodulation ist kosten- und zeitin-
tung erbringt. Beides ist falsch, bietet aber den Vor-
tensiv und führt zu unnötigen Verzögerungen. Mit
teil einer einfachen Sicht auf die Dinge. Um diese
einer frühzeitigen Einbindung, z.B. bereits in der
oberflächlich einleuchtende Kritik zu entkräften, ist
Konzeptionsphase, kann durch den DSB eine effek-
hingegen eine Bereitschaft zu einer tiefergehenden
tive Entlastung der Unternehmensleitung und eine
Betrachtung mit der Thematik erforderlich.
Nutzung des Know-hows zur Gestaltung der Nut-
Der Ausschuss Recht & Politik des BvD hat als Ant- zung personenbezogener Daten erreicht werden.
wort auf diese oberflächliche Sichtweise drei klare
politische Positionen zum Selbstverständnis und zur
Die Erfüllung der durch Art. 39 DSGVO
Stellung des DSB formuliert:
vorgegebenen Aufgabe verstößt nicht
gegen das Rechtsdienstleistungsgesetz
Die Datenschutzbeauftragten: (RDG).
Wir gestalten Datenschutz Dem DSB ist durch die DSGVO eindeutig die Auf-
Die DSGVO bietet dem deutschen Gesetzgeber die gabe der Beratung zugewiesen. Das schließt nach
Möglichkeit die Rolle des Datenschutzbeauftrag- dem Selbstverständnis der DSGVO zwingend die
ten stärker als proaktiven Gestalter für das Unter- Beratung zu allen Aspekten des Datenschutzes ein,
nehmen, weniger als reaktiven Überwacher zu for- natürlich ggf. auch zu datenschutzrechtlichen The-
mulieren. Ein DSB unterstützt Unternehmen (und men. Die in Deutschland geführte Diskussion, dass
insbesondere KMU) bei der Gestaltung ihrer Ver- dies vermeintlich gegen das Rechtsdienstleistungs-
arbeitungsprozesse. DSB liefern den Unternehmen gesetz (RDG) verstößt, berücksichtigt nicht die kla-
die dringend benötigten Informationen für eine den ren europarechtlichen Vorgaben. Eine Einschrän-
Vorgaben des Datenschutzes genügende und da- kung der Tätigkeit des DSB bei der Beratung auch in
bei zugleich den Geschäftsprozessen entsprechende datenschutzrechtlichen Fragen durch eine Vorschrift
Modellierung ihrer Prozesse. Der DSB ist Gestalter, eines Mitgliedsstaates verstößt gegen die höher-
kein Bedenkenträger. rangige Vorgabe zur Beratung durch eine europäi-
sche Verordnung. Zudem ist festzustellen, dass die
Unsere Forderung an die Politik ist daher, die Rol-
DSGVO nicht zwischen externen und internen Da-
le des Datenschutzbeauftragten im BDSG dement-
tenschutzbeauftragten unterscheidet, für beide gel-
sprechend stärker als Unterstützer auszugestalten.
ten dieselben europarechtlichen Regelungen.
Seine Einbindung in die Gestaltung der Verarbei-
tung personenbezogener Daten zu stärken und dem Weiterhin sprechen Umfang und Inhalt der nicht als
Datenschutzbeauftragten die Möglichkeit zu eröff- Rechtsdienstleistung zu qualifizierenden Aufgaben
BvD-NEWS Ausgabe 1/2021 5
LOTSE DURCH DIE BÜROKRATIE
sowie der enge sachliche Zusammenhang zwischen Datenschutzes mehr damit beschäftigt, Dokumen-
den rechtsberatenden und den nicht-rechtsbera- tationen stets aktuell zu halten, als sich mit der ei-
tenden in der DSGVO genannten Aufgaben dafür, gentlichen Frage der Zulässigkeit der Verarbeitung
dass die durch einen Datenschutzbeauftragten zu zu befassen.
erbringenden Leistungen dem deutschen Begriff
Der BvD erkennt und anerkennt den Zweck dieser
der Rechtsdienstleistung nicht entsprechen. Aber
Dokumentationspflichten als Absicherung der Ein-
selbst nach deutschen Recht ist eine rechtsberaten-
haltung der DSGVO, fordert aber anstatt vieler un-
de Tätigkeit, welche “im Zusammenhang mit einer
differenzierter Regelungen eine Fokussierung durch
anderen Tätigkeit, wenn sie als Nebenleistung zum
das BDSG. Eine effiziente Zielerreichung und grö-
Berufs- oder Tätigkeitsbild” erfolgt, entsprechend
ßere Akzeptanz sind besser durch eine fokussierte
§5 Abs. 1 RDG zulässig.
Vorgabe realisierbar.
Diese von einer Minderheit geführte Diskussion bin-
Der BvD fordert den Gesetzgeber auf, von seinen
det jedoch Ressourcen, führt gerade in kleinen und
Gestaltungsmöglichkeiten Gebrauch zu machen, um
mittelständischen Unternehmen, denen eine eigene
unnötige Bürokratie abzuschaffen, zugunsten von
juristische Abteilung nicht die rechtlichen Vorgaben
Hinweisen in klarer und einfacher Sprache.
erklären kann, zu einer Unsicherheit und verhindert
so die Nutzung der Potentiale beim frühzeitiger Ein- Die DSGVO ist von detailverliebter Bürokra-
beziehung eines Datenschutzbeauftragten: Die tie im Klein-Klein geprägt, da:
proaktiv unterstützende Funktion des DSB im Un-
• zu viele Informationen gegeben werden, die dann
ternehmen wird durch diese unnötige Diskussion be-
dazu führen, dass betroffene Personen die wesent-
hindert, wenn nicht gar verhindert.
lichen Informationen nicht mehr wahrnehmen (In-
Der BvD fordert den Bundesgesetzgeber daher auf, formation-Overkill),
anlässlich der Evaluierung des BDSG und der Überar-
• Selbstverständlichkeiten endlos wiederholt werden,
beitung des RDG klarzustellen, dass bei der Erfüllung
ihrer gesetzlichen Aufgaben erfolgende Beratungs- • rechtliche Formalia gegenüber den inhaltlich we-
leistung auch für externe Datenschutzbeauftragte sentlichen Aussagen dominieren,
keine Kollisionen zum RDG entsteht.
• die Zeitpunkte und Situationen nicht dazu beitra-
gen, dass Inhalte ernsthaft wahrgenommen werden
Eine Entlastung ist nur durch Entflechtung können,
und Harmonisierung des Datenschutz-
• Informationspflicht und Informationsrecht sich in
rechts möglich.
einem Spannungsfeld befinden,
Der BvD fordert den Gesetzgeber auf, auf eine
• die Rechenschaftspflicht zu einer der Einwilligung
fokussierte, anstatt bürokratisierte Dokumentati-
gleichenden Verfahrensweise mit immensem Auf-
onspflicht hinzuwirken.
wand führt,
Die Hauptbelastung für Unternehmen unter der
• die hohen Aufwände von Unternehmen nur einen
DSGVO und dem BDSG ist nicht die Einhaltung der
geringen Beitrag zur Verbesserung der Transparenz
Zulässigkeit der Verarbeitung. Die als unnötige Bü-
leisten.
rokratie empfundenen Anforderungen der DSGVO
und des BDSG liegen vielmehr in der Vielzahl unter- Ein Musterbeispiel für unnötige Bürokratie ist die
schiedlicher Dokumentationspflichten, die sich in- Pflicht zur proaktiven Mitteilung der Rechtsgrund-
haltlich auch noch überschneiden, aber eben nicht lagen in jedem Hinweis an die betroffene Person.
deckungsgleich sind. Um nur einen Ausschnitt zu Für die durchschnittliche betroffene Person bedeu-
nennen, treffen das Unternehmen Dokumentations- tet die Angabe des Gesetzestextes „Art. 6 Abs. 1
pflichten nach Artt. 5 Abs. 2, 13, 14, 30, 32 DSGVO. S. 1 lit. f DSGVO“, „Art. 6 Abs. 1 S. 1 lit. a DSGVO“
Diese überschneiden sich, sind aber nicht deckungs- oder „Art. 6 Abs. 1 S. 1 lit. b DSGVO“ keinen Infor-
gleich. Dennoch ist jede dieser Dokumentations- mationsmehrwert. Gerade diese Pflicht ist aus Sicht
pflichten für sich mit einem Bußgeld bewehrt. Die der KMU ein Paradebeispiel für die beklagte Bürokra-
Unternehmensleitung ist damit im Rahmen des tisierung des Datenschutzes.
6 BvD-NEWS Ausgabe 1/2021
LOTSE DURCH DIE BÜROKRATIE
Der BvD fordert den Gesetzgeber auf, von seinen in Entsprechend dieser strategischen Ziele hat sich der
der DSGVO enthaltenen Gestaltungsmöglichkeiten BvD in der aktuellen Befragung des Bundesministeri-
hinsichtlich der nationalen Bundes- und Landesge- ums des Innern, für Bau und Heimat (BMI) zur Evalua-
setzgebung Gebrauch zu machen, um Bürokratie in tion des BDSG in Bezug auf den DSB nichtöffentlicher
der Breite durch eine Vielzahl sich überschneidender Stellen eingebracht. Die Position dokumentieren wir
Regelungen einerseits und detailverliebte Einzelrege- in Auszügen nachfolgend. Insbesondere verweisen
lungen ohne Informationsmehrwert für den Betrof- wir auf die Stellungnahme zur Einschätzung von
fenen andererseits abzuschaffen. In dieser Hinsicht § 38 BDSG auf Seite 11.
sollte das BDSG überarbeitet werden. Desgleichen
sollten die deutschen Bundes- und Landesgesetze
zum Datenschutz besser aufeinander abgestimmt
werden. Durch wenige, klare Regelungen wird für die
betroffenen Personen der Zweck der DSGVO erreicht,
jedoch mit signifikant weniger Aufwand für Verant-
wortliche.
Die BvD-Position auf den Punkt gebracht:
• Die Rolle des DSB ist stärker als proaktiver Gestal-
ter für das Unternehmen und weniger als reaktiver
Überwacher auszugestalten.
• Es ist klarzustellen, dass durch die Beratungsleis-
tung (auch externer) Datenschutzbeauftragter bei
der Wahrnehmung ihrer aus der DSGVO resultieren- Über die Autoren:
den gesetzlichen Aufgaben keine Kollisionen zum Der Ausschuss Recht & Politik im BvD begleitet die Evaluie-
RDG entsteht. rungsprozesse von BDSG und DSGVO und bezieht darüber
hinaus Stellung zu weiteren aktuellen Gesetzesvorhaben.
• Bürokratie ist abzuschaffen – sowohl in der Breite Er unterstützt den Vorstand dabei, Positionspapiere und
(verursacht durch eine Vielzahl sich überschneiden- Kommentare zur Rolle der Datenschutzbeauftragten zu
erstellen. Der Ausschuss wird von BvD-Justiziar Dr. Jens
der Regelungen) als auch in der Tiefe (verursacht Eckhardt geleitet, weitere Mitglieder sind Regina Mühlich,
durch zu detaillierte Einzelregelungen). Rudi Kramer, Bernd Schütze und Andrea Backer-Heuveldop.
Anzeige
Datenschutz-Kontrolle für die Websites Ihrer Kunden
Wir schützen Unternehmen vor
Abmahnungen und Bußgeldern durch
automaasierte Datenschutz-Prüfung ihrer
Websites.
Schwachstellen schnell entdecken
Unsere Lösung entdeckt Cookies und Tracker, die ohne Einwilligung
geladen werden, warnt bei Datenübermiilung in unsichere
Driistaaten, entdeckt Lücken in der Datenschutzerklärung, und vieles
mehr. In Echtzeit und für beliebig viele Websites gleichzeiig.
Jetzt Sie sparen Zeit und verbessern Ihren Service
30a%für
Das decareto-Dashboard zeigt den Risiko-Score aller Ihrer Kunden auf
einen Blick, mit detaillierten Reports in Ihrem eigenen Branding
Raba glieder beschleunigen Sie die Erstellung von Audits und
Mit
BvD- careto.de/bv
d Schwachstellen-Bewertungen.
.de
www
decareto GmbH Hochfeld 1b 22607 Hamburg info@decareto.de
LOTSE DURCH DIE BÜROKRATIE
DOKUMENTATION: EVALUIERUNG DES BDSG
Eckpunkte aus der Stellungnahme des BvD
Für das am 25. Mai 2018 in Kraft getretene neue Bundesdatenschutzgesetz ist eine Evaluierung spätestens drei Jahre nach In-
krafttreten vorgesehen. Diese Evaluierung führt das Bundesministerium des Innern, für Bau und Heimat (BMI) durch und hat
dazu in einem ersten Schritt im November 2020 einen Fragebogen versendet, den der BvD am 15.01.2021 beantwortet einge-
reicht hat. Ein Auszug der Antworten werden in diesem Artikel vorgestellt.
praktikabel. Es gibt öffentliche Stellen, die nur teil-
Teil 1
weise am Wettbewerb teilnehmen und bei denen
I. Anwendungsbereich und
sich die Frage stellt, ob sie als nichtöffentliche Stelle
Begriffsbestimmungen
gelten. Eine Klarstellung könnte durch die Formu-
Frage des BMI im Rahmen der Evaluation: „1. Ist der An- lierung “ganz oder teilweise” in Absatz 5 Satz 1 er-
wendungsbereich in § 1 BDSG aus Ihrer Sicht sach- reicht werden.
gerecht, praktikabel und normenklar geregelt?
Stellungnahme des BvD: Nein. Es ist problema- II. Rechtsgrundlagen für
tisch, dass durch das BDSG sowohl die Anpassun- die Datenverarbeitung
gen an die DSGVO vorgenommen werden als auch
Frage des BMI im Rahmen der Evaluation: „1. Sind die
die Umsetzung der JR-Richtlinie erfolgt. Dies führt
Rechtsgrundlagen für die Datenverarbeitung in den
zu einer unnötigen Verkomplizierung des Anwen-
§§ 3, 4, 22, 23 und 24 BDSG aus Ihrer Sicht sachge-
dungsbereichs des BDSG und zieht sich wie ein ro-
recht, praktikabel und normenklar?
ter Faden durch die „Gemeinsamen Bestimmungen“
und zwingt dann zu einer weiteren Festlegung des Stellungnahme des BvD:
jeweiligen Anwendungsbereichs der Teile 2 und 3.
• Die Rechtsgrundlagen für die Datenverarbeitung in
Eine Ausgliederung der Umsetzung der JR-Richtlinie
§ 3 BDSG sind nur dann sachgerecht, praktikabel
in ein eigenständiges Gesetz dient der Rechtsklar-
und normenklar geregelt, wenn die Aufgaben der
heit (siehe Definitionskatalog) und der Anwendungs-
öffentlichen Stellen in den jeweiligen Fachgesetzen
klarheit (Entbehrlichkeit der Abgrenzung von Teil 2
so geregelt sind, dass die Aufgaben in den Fach-
und 3).
gesetzen hinreichend genau beschrieben sind und
Frage des BMI im Rahmen der Evaluation: „2. Ist der somit die Erforderlichkeit beurteilbar ist.
Anwendungsbereich in § 45 BDSG aus Ihrer Sicht
• Mit Blick auf das Urteils des BVerwG vom 7. März
sachgerecht, praktikabel und normenklar geregelt?
2019 (AZ. 6 C 2.18 ) ist klargestellt, dass § 4 BDSG
Stellungnahme des BvD: In unserem Verband im Anwendungsbereich der DSGVO nicht mehr an-
sind keine Auftragsverarbeiter i. S. d. der Richtlinie gewendet werden darf. Dies muss gesetzlich durch
(EU) 2016/680 vertreten, daher verzichten wir auf die Streichung des § 4 BDSG im Teil „Gemeinsame
eine entsprechende Kommentierung. Bestimmungen“ klargestellt werden. Hier manifes-
tiert sich die eingangs geäußerte Kritik an der ge-
Frage des BMI im Rahmen der Evaluation: „3. Sind die
meinsamen Anpassung an DSGVO und Umsetzung
Begriffsbestimmungen in § 2 BDSG aus Ihrer Sicht
der JR-Richtlinie in einem Gesetz. Es sollte eine An-
sachgerecht, praktikabel und normenklar?
passung an die DSGVO einerseits und Umsetzung
Stellungnahme des BvD: Die Begriffsbestimmun- der JR-Richtlinie in verschiedenen Gesetzen erfolgen
gen in § 2 BDSG sind aus unserer Sicht – jedenfalls und § 4 BDSG – wenn überhaupt – in dem Gesetz
teilweise – nicht normenklar und damit auch nicht zur Umsetzung der JR-Richtlinie genannt werden.
8 BvD-NEWS Ausgabe 1/2021
LOTSE DURCH DIE BÜROKRATIE
Die Rechtsgrundlagen für die Datenverar- b. § 22 Abs. 2 Ziff. 1 beinhaltet die Vorgabe, die
beitung in § 22 BDSG sind nicht sachge- Verarbeitung besonderer Kategorien personenbezo-
recht, praktikabel und normenklar geregelt. gener Daten so durchzuführen, dass die Verarbei-
tung gemäß der Verordnung (EU) 2016/679 erfolgt.
a. Die Vorgaben in § 22 Abs. 2 BDSG enthalten teil-
Jede Verarbeitung personenbezogener Daten, wel-
weise dieselben Anforderungen wie Art. 32 DSGVO:
che nicht den Anforderungen der Verordnung (EU)
• Pseudonymisierung 2016/679 genügt, erfolgt rechtswidrig. Eine Auffor-
Art. 32 Abs. 1 Buchst. a DSGVO: Pseudonymisie- derung, sich an europäisches Recht zu halten, er-
rung und Verschlüsselung personenbezogener Daten scheint nicht zielführend. Daher wird empfohlen,
§ 22 Abs. 2 Ziff. 1 BDSG zu entfernen
§ 22 Abs. 2 Ziff. 6 BDSG: Pseudonymisierung perso-
nenbezogener Daten; • Die Erfordernis, ob die Vorgaben in § 22 Abs. 2
BDSG verpflichtend bei der Verarbeitung besonde-
§ 22 Abs. 2 Ziff. 7 BDSG: Verschlüsselung personen-
rer Kategorien personenbezogener Daten zu beach-
bezogener Daten ten sind, wird unterschiedlich ausgelegt. Einerseits
• Vertraulichkeit, Integrität, Verfügbarkeit und Be- ist der Wortlaut „können dazu insbesondere gehö-
lastbarkeit ren“, was nahelegt, dass der Verantwortliche selbst
entscheidet, ob er die Maßnahmen berücksichtigt.
Art. 32 Abs. 1 Buchst. b, c DSGVO: die Fähigkeit,
Andere Autoren leiten eine Pflicht zur Beachtung
die Vertraulichkeit, Integrität, Verfügbarkeit und Be-
aus der Formulierung ab, d.h. der Verantwortliche
lastbarkeit der Systeme und Dienste im Zusammen-
muss ihrer Ansicht nach begründen, wenn er die-
hang mit der Verarbeitung auf Dauer sicherzustellen;
se Vorgaben nicht berücksichtigt. Hier wäre vor-
die Fähigkeit, die Verfügbarkeit der personenbezoge-
teilhaft, den Wortlaut bzgl. der Berücksichtigung
nen Daten und den Zugang zu ihnen bei einem phy-
der Aufzählung an den Wortlaut der DSGVO anzu-
sischen oder technischen Zwischenfall rasch wieder-
gleichen, so dass hier die Kommentarliteratur zur
herzustellen;
DSGVO analog herangezogen werden kann.
§ 22 Abs. 2 Ziff. 8 BDSG: Sicherstellung der Fä-
• Die Rechtsgrundlagen für die Datenverarbeitung
higkeit, Vertraulichkeit, Integrität, Verfügbarkeit und
in § 23 BDSG sind nur zum Teil sachgerecht,
Belastbarkeit der Systeme und Dienste im Zusam-
praktikabel und normenklar geregelt.
menhang mit der Verarbeitung personenbezogener
Daten, einschließlich der Fähigkeit, die Verfügbarkeit
a. Die Regelung in Ziffer 5 ist nicht normenklar, da
und den Zugang bei einem physischen oder techni-
„schwerwiegenden Beeinträchtigung der Rechte ei-
schen Zwischenfall rasch wiederherzustellen
ner anderen Person“ unklar ist. Daher wird vorge-
• Verfahren zur regelmäßigen Überprüfung, Bewer- schlagen, hier stattdessen auf die Erforderlichkeit
tung und Evaluierung zum Schutz lebenswichtiger Interessen einer ande-
ren natürlichen Person abzustellen.
Art. 32 Abs. 1 Buchst. d DSGVO: ein Verfahren
zur regelmäßigen Überprüfung, Bewertung und Eva- b. In Ziffer 6 werden die Verarbeitungen „Wahrneh-
luierung der Wirksamkeit der technischen und orga- mung von Aufsichts- und Kontrollbefugnissen, der
nisatorischen Maßnahmen zur Gewährleistung der Rechnungsprüfung oder der Durchführung von Or-
Sicherheit der Verarbeitung. ganisationsuntersuchungen“ genannt, die jedoch
alle zu den Aufgaben der öffentlichen Stelle ge-
§ 22 Abs. 2 Ziff. 9 BDSG: zur Gewährleistung der Si-
hören, deren Erlaubnistatbestand in § 3 BDSG ge-
cherheit der Verarbeitung die Einrichtung eines Ver-
regelt ist. Dies gilt auch „für die Verarbeitung zu
fahrens zur regelmäßigen Überprüfung, Bewertung
Ausbildungs- und Prüfungszwecken durch den Ver-
und Evaluierung der Wirksamkeit der technischen
antwortlichen“; handelt es sich nicht um einen
und organisatorischen Maßnahmen
Ausbildungs- oder Schulungsbetrieb, erscheint eine
Daher wird zur Erhöhung der Rechtssicherheit vor- Zweckänderung der Verarbeitung nicht angebracht,
geschlagen, auf die Wiederholung der Vorgaben der handelt es sich um einen Ausbildungs- oder Schu-
DSGVO zu verzichten, d.h. § 22 Abs. 2 Ziff. 6, 7, 8, 9 lungsbetrieb, gehört die Verarbeitung zu den in § 3
BDSG zu entfernen. BDSG geregelten Aufgaben der öffentlichen Stelle.
BvD-NEWS Ausgabe 1/2021 9
LOTSE DURCH DIE BÜROKRATIE
• Die Rechtsgrundlagen für die Datenverarbei- als ungelöst kritisierten Fragen zum Beschäftigten-
tung in § 24 BDSG sind nicht sachgerecht, datenschutz wie beispielsweise die Grenzen des Fra-
praktikabel und normenklar geregelt. gerechts des Arbeitgebers, die Datenerhebung über
Bewerber im Internet oder auch die Speicherdau-
Eine Erforderlichkeit für die Regelung in § 24 Abs. 1
er von Bewerberdaten bleiben weiterhin ungelöst.
BDSG ist neben Art. 6 DSGVO nicht erkennbar. Ein
Neue Ansätze wie Predictive Analytics oder auch
Anwendungsbereich über die DSGVO hinaus kann
Big Data Szenarien können mit den vorhandenen
sich im Regelungsgehalt des § 24 Abs. 2 BDSG erge-
Regelungen nicht rechtssicher begleitet werden.
ben, sodass die Regelung in § 24 BDSG in diesem Fall
insgesamt hierauf beschränkt sein sollte. Sofern nicht jedenfalls in der nächsten Legislaturpe-
riode ein eigenes Beschäftigungsdatenschutzgesetz
Frage des BMI im Rahmen der Evaluation: „2. Sind die
verabschiedet wird, sollten die beschriebenen Klar-
Rechtsgrundlagen für die Datenübermittlung in § 25
stellungen bereits im BDSG berücksichtigt werden.
BDSG aus Ihrer Sicht sachgerecht, praktikabel und
normenklar? • Die Regelungen in Bezug auf besondere Verarbei-
tungssituationen in § 27 BDSG sind aus unserer
Stellungnahme des BvD: Die Rechtsgrundla-
Sicht nicht normenklar, sachgerecht und
gen für die Datenübermittlung in § 25 BDSG
praktikabel.
sind aus unserer Sicht nicht sachgerecht, prak-
tikabel und normenklar.
a. Die Öffnungsklausel in Art. 9 Abs. 4 DSGVO für
a. Eine Übermittlung stellt lediglich eine Form der nationale Gesetzgeber erfasst ausschließlich die Ver-
Verarbeitung dar. Laut § 3 BDSG ist die „Verarbei- arbeitung von genetischen, biometrischen oder Ge-
tung personenbezogener Daten durch eine öffentli- sundheitsdaten, die Regelung in § 27 Abs. 1 BDSG
che Stelle zulässig, wenn sie zur Erfüllung der in der betrifft aber alle in Art. 9 Abs. 1 DSGVO genannten
Zuständigkeit des Verantwortlichen liegenden Auf- besonderer Kategorien personenbezogener Daten
gabe“ erforderlich ist. Somit ist die Regelung von und dürfte somit nicht europarechtskonform sein.
§ 25 Abs. 1 BDSG bereits in § 3 BDSG enthalten. Die Wir schlagen daher vor, zur Erhöhung der Rechtssi-
Regelung in Absatz 1 sollte daher entfernt werden. cherheit für den Rechtsanwender den Erlaubnistat-
bestand auf die in Art. 9 Abs. 4 DSGVO genannten
b. Auch § 25 Abs. 2 Ziff. 1 BDSG wird durch § 3 BDSG
Datenkategorien zu beschränken.
bereits geregelt und sollte daher entfernt werden.
b. Beschränkungen der Betroffenenrechte können
c. Die in § 25 Abs. 2 Ziff. 3 BDSG geregelte Übermitt-
nur entsprechend den in Art. 23 Abs. 1 DSGVO
lung zur „Geltendmachung, Ausübung oder Verteidi-
enthaltenen Vorgaben erfolgen, die Regelung in
gung rechtlicher Ansprüche“ der öffentlichen Stel-
§ 27 Abs. 2 BDSG erfüllt in der Allgemeinheit jedoch
le gegenüber einer nichtöffentlichen Stelle gehört
nicht die Anforderungen von Art. 23 Abs. 1 DSGVO.
ebenfalls regelhaft zu den Aufgaben einer öffentli-
Zudem fehlt in § 27 Abs. 2 BDSG die Berücksichti-
chen Stelle und wird somit bereits durch § 3 BDSG
gung von Art. 23 Abs. 2 DSGVO. Die Anwendung
adressiert. Auch § 25 Abs. 2 Ziff. 3 BDSG sollte daher
von § 27 Abs. 2 BDSG stellt daher eine Rechtsunsi-
entfernt werden.
cherheit dar.
Frage des BMI im Rahmen der Evaluation: „3. Sind die
Eine Beschränkung wäre – unter Berücksichtigung,
Regelungen in Bezug auf besondere Verarbeitungs-
dass Art. 9. Abs. 4 DSGVO bzgl. § 27 Abs. 1 BDSG
situationen in den §§ 26 bis 31 BDSG aus Ihrer Sicht
nur Regelungen hinsichtlich der Verarbeitung von
sachgerecht, praktikabel und normenklar?
genetischen, biometrischen oder Gesundheitsda-
Stellungnahme des BvD: ten erlaubt – aus unserer Sicht nur unter Nutzung
von Art. 23 Abs. 1 Buchst. e DSGVO im Sinne von
• Die Regelungen in Bezug auf besondere Verarbei-
„Forschungs- oder Statistikzwecke des allgemeinen
tungssituationen in § 26 BDSG sind aus unserer
öffentlichen Interesses Deutschlands“ sowie von
Sicht normenklar, aber nicht sachgerecht und
„Forschungs- oder Statistikzwecke im Bereich der
praktikabel.
öffentlichen Gesundheit“ möglich, begleitet von
§ 26 BDSG stellt lediglich die Fortschreibung der Art. 23 Abs. 2 DSGVO adressierenden spezifischen
§ 32 BDSG a.F. dar. Alle bereits zu § 32 BDSG a.F. Vorschriften.
10 BvD-NEWS Ausgabe 1/2021LOTSE DURCH DIE BÜROKRATIE
c. Auch in § 27 Abs. 3 BDSG ist die Regelung auf die III. Datenschutzbeauftragte öffentlicher
in Art. 9 Abs. 4 DSGVO genannten Datenkategorien und nichtöffentlicher Stellen
anzupassen.
Frage des BMI im Rahmen der Evaluation: „1. Sind die
• Die Rechtsgrundlagen für die Datenübermitt- Regelungen zu Datenschutzbeauftragten öffentli-
lung in § 28 BDSG sind aus unserer Sicht nicht cher Stellen in den §§ 5 bis 7 BDSG aus Ihrer Sicht
sachgerecht, praktikabel und normenklar. sachgerecht, praktikabel und normenklar?
Die Begründung ist analog dem Kommentar zu § 27 Stellungnahme des BvD: Ja.
BDSG, dass der in Art. 9 Abs. 4 DSGVO enthaltene
Frage des BMI im Rahmen der Evaluation: „2. Sind die
Erlaubnistatbestand für nationale Regelungen nicht
Regelungen zu Datenschutzbeauftragten nichtöf-
alle in Art. 9 Abs. 1 DSGVO genannten Datenkate-
fentlicher Stellen in § 38 BDSG aus Ihrer Sicht sach-
gorien umfasst. Auch § 28 Abs. 1 BDSG muss daher
gerecht, praktikabel und normenklar?
angepasst werden.
Stellungnahme des BvD:
• Die Regelungen in § 29 Abs. 1 BDSG sind aus
unserer Sicht nicht sachgerecht, praktikabel Die Regelungen zu Datenschutzbeauftragten
und normenklar. nichtöffentlicher Stellen in § 38 BDSG sind
aus unserer Sicht praktikabel und normenklar, aber
Eine Beschränkung der in Kapitel II DSGVO genann-
nicht sachgerecht.
ten Betroffenenrechte können nur entsprechend
den in Art. 23 Abs. 1 DSGVO enthaltenen Vorgaben a. Die Gestaltung in §38 Abs. 1 Satz 1 BDSG erscheint
erfolgen, die Regelung in § 29 Abs. 1 BDSG der Ein- aufgrund der geübten Praxis zu dieser Regelung
schränkung aufgrund der „überwiegenden berech- tragfähig. Gleichwohl ist die Anhebung des Quorums
tigten Interessen eines Dritten“ genügt nicht den von 10 auf 20 grundlegender Kritik ausgesetzt (sie-
Anforderungen von Art. 23 Abs. 1 DSGVO. Aus unse- he Antwort zu Frage III.3). Entscheidend hierfür ist
rer Sicht ist eine Einschränkung der Rechte für Drit- neben der sachlichen Kritik auch, dass diese An-
te nur unter Nutzung von Art. 23 Abs. 1 Buchst. j hebung untauglich war und ist, das damit verbun-
DSGVO möglich. dene Ziel der “Entbürokratisierung” zu erreichen.
Art. 34 DSGVO kennt keine Öffnungsklausel, so-
Im Interesse der Normenklarheit wird angeregt, die
dass eine Einschränkung wohl nicht europarechts-
Sätze 1 und 2 des Abs. 1 auf zwei Absätze zu verteilen.
konform erfolgen kann. Daher sollte auf diesen Ab-
schnitt verzichtet werden.
b. Wenngleich die Anzahl der mit der Verarbeitung
• Die Regelung für die Datenübermittlung in § 30 befassten Personen ein Indiz für die Erforderlichkeit
Abs. 1 BDSG sollte so formuliert sein, das deutlicher eines DSB ist, darf dies kein Ausschlusskriterium für
hervortritt, dass es sich hierbei nicht um eine Rechts- die Erforderlichkeit darstellen, weshalb auch Kriteri-
grundlage für eine Datenverarbeitung handelt. en definiert und vorgesehen sein müssen, dass un-
terhalb dieses Quorums ein DSB verpflichtend zu be-
• Die Rechtsgrundlagen für die Datenübermittlung stellen ist.
in § 31 BDSG sind aus unserer Sicht sachgerecht,
Über die bereits in §38 Abs. 1 Satz 2 BDSG enthalte-
praktikabel und normenklar. Gleichwohl bestehen
nen Aspekte hinaus sollte eine Erweiterung der Be-
Zweifel daran, dass diese Regelung von einer Öff-
nennungspflicht vor allem unter folgenden Aspekten
nungsklausel umfasst ist.
erfolgen:
Frage des BMI im Rahmen der Evaluation: „4. Sind die
• Die feste Zuordnung von mindestens 20 Personen
Rechtsgrundlagen für die Datenverarbeitung in den
für eine Benennungspflicht berücksichtigt nicht
§§ 48 bis 51 BDSG aus Ihrer Sicht sachgerecht, prak-
die Anzahl betroffener Personen und/oder verar-
tikabel und normenklar?
beiteter Datensätze. Gerade bei der digitalen Ver-
Stellungnahme des BvD: In unserem Berufs- arbeitung personenbezogener Daten kann z.B. ein
verband sind keine Auftragsverarbeiter i. S. d. der Startup, welches nur 3 bis 5 Personen beschäftigt,
Richtlinie (EU) 2016/680 vertreten, daher nehmen eine sehr große Menge personenbezogener Daten
wir von Ausführungen Abstand. von einer größeren Anzahl Personen verarbeiten,
BvD-NEWS Ausgabe 1/2021 11LOTSE DURCH DIE BÜROKRATIE
wohingegen in einer Schreinerei vielleicht 20 Be- kleiner und mittlerer Unternehmen sowie ehrenamt-
schäftigte die Daten von deutlich weniger Kunden lich tätiger Vereine.
und/oder Datensätze als das Startup verarbeiten.
Frage des BMI im Rahmen der Evaluation: „a) Welche
• Um der Zielsetzung des Art. 25 Abs. 1 DSGVO Wirkungen hat die Änderung des § 38 Absatz 1 Satz
(“Privacy by design”) effektiv Rechnung tragen zu 1 BDSG nach Ihrer Kenntnis erzielt?
können, erscheint es geboten, nicht nur die Ver-
Stellungnahme des BvD: Durch die Anhebung
antwortlichen, sondern auch die durch Art. 25
des Benennpflicht-Quorums ist für kleinere und
DSGVO mittelbar adressierten Hersteller der Pro-
mittlere Unternehmen im Ergebnis statt einer Ent-
dukte, Dienste und Anwendungen (z.B. Videoüber-
lastung ein zusätzliches Risiko für unternehmerische
wachung mit Gesichtserkennung, medizinische
Fehlbewertung der Anforderungen entstanden, die
Informationssysteme) zur Benennung eines DSB
gegebenenfalls erhebliche Nachteile mit sich bringt.
zu verpflichten. Denn Art. 25 Abs. 1 DSGVO nimmt
formal die Verantwortlichen in die Pflicht, obgleich Durch den Wegfall des Datenschutzbeauftragten
deren Erfüllung auch die vorgenannten Hersteller sind nicht die Aufwände für die Erfüllung der daten-
adressiert. Diese Pflicht sollte jedenfalls dann be- schutzrechtlichen Anforderungen durch den Verant-
stehen, wenn die Produkte, Dienste und Anwen- wortlichen reduziert worden, hingegen fehlt jetzt
dungen ihren bestimmungsgemäßen Einsatz nach die Kenntnis, wie man fachkundig und ressourcen-
einer Datenschutz-Folgenabschätzung unterliegen. schonend mit diesen Anforderungen umgeht. Die
Dies würde dazu führen, dass die datenschutzrecht- Anhebung des Quorums führt somit zu einer zusätz-
lichen Pflichten bereits bei Herstellung und nicht lichen Belastung der Unternehmensleitung.
erst später (evtl. ohne Änderungsmöglichkeiten)
Frage des BMI im Rahmen der Evaluation: „b) Hat die
Berücksichtigung finden werden. Dies könnte ins-
Änderung der Norm nach Ihrer Kenntnis zu einer Er-
besondere einen Beitrag zur bürokratischen Entlas-
leichterung für Unternehmen und Vereine geführt?
tung von KMU bei der Durchführung einer Daten-
schutz-Folgenabschätzung leisten. Stellungnahme des BvD: Nein. Es haben sich kei-
ne Bürokratieerleichterungen durch die Anhebung
c. Die aus dem Datenschutzrecht resultierenden
ergeben, da alle Erfordernisse aus der DSGVO wei-
Pflichten bestehen für Verantwortliche unabhän-
terhin bestehen bleiben und beachtet werden müs-
gig von der Tatsache, ob ein Datenschutzbeauftrag-
sen. Der DSB trägt aufgrund seiner Fachkompetenz
ter benannt wurde oder nicht. Hingegen kennt ein
zu einer Erleichterung in der Umsetzung bei.
Datenschutzbeauftragter die gesetzlichen Anforde-
rungen und kann den Verantwortlichen bzgl. der
Erfüllung der gesetzlichen Anforderungen beraten IV. Zusammenarbeit, Zuständigkeiten und
und unterstützen. Ehrlicherweise muss man davon Befugnisse der Aufsichtsbehörden
ausgehen, dass eine hohe Anzahl von Unternehmen
Frage des BMI im Rahmen der Evaluation: „1. Ist die Zu-
ohne benannten Datenschutzbeauftragten die ge-
sammenarbeit der Aufsichtsbehörden im BDSG aus
setzlichen Anforderungen nicht kennen, folglich die-
Ihrer Sicht sachgerecht, praktikabel und normenklar
se nicht umsetzten können und aus Unwissen gegen
geregelt?
datenschutzrechtliche Bestimmungen verstoßen.
Daher sollte auch aus dieser Sichtweise die Benen- Stellungnahme des BvD: Die Zusammenarbeit
nung eines Datenschutzbeauftragten auch an der der Aufsichtsbehörden ist im BDSG aus unserer
Menge der von der Verarbeitung betroffenen Perso- Sicht normenklar, aber nicht sachgerecht und
nen/Datensätze abhängig gemacht werden. praktikabel geregelt.
Frage des BMI im Rahmen der Evaluation: „3. Mit dem Dem Föderalismus folgend, ist die Zuständigkeits-
Zweiten Datenschutz-Anpassungs- und Umset- verteilung zwischen Bundesländern und Bund gebo-
zungsgesetz EU (2. DSAnpUG- EU) wurde in § 38 ten. Damit einher gehen auch – wenngleich nicht
Absatz 1 Satz 1 BDSG die maßgebliche Zahl der Per- stets und zu jedem Aspekt - unterschiedliche Aus-
sonen, ab der ein betrieblicher Datenschutzbeauf- legungen der DSGVO und des BDSG durch die Auf-
tragter zu benennen ist, von 10 auf 20 angehoben. sichtsbehörden der Länder und des Bundes. Dies
Angestrebt wurde damit vor allem eine Entlastung kann für Verantwortliche und Auftragsverarbeiter
12 BvD-NEWS Ausgabe 1/2021LOTSE DURCH DIE BÜROKRATIE
zur Folge haben, dass in einem Bundesland eine Stellungnahme des BvD: Nein, siehe Antworten
Verarbeitung nach Ansicht der dortigen Aufsichts- zu den Fragen IV.1 und IV.2
behörde rechtskonform erfolgt, während sie in ei-
Frage des BMI im Rahmen der Evaluation: „5. Gibt es
nem anderen Bundesland durch die dort zuständige
aus Ihrer Sicht neben den in den Fragen 1 bis 3 ange-
Aufsichtsbehörde als rechtswidrig angesehen wird.
sprochenen Aspekten Änderungsbedarf bei der Re-
Vor allem für Auftragsverarbeiter, die für Verant- gelung der Datenschutzaufsicht im BDSG und wenn
wortliche in unterschiedlichen Bundesländern tä- ja, worin besteht er?
tig sind und somit indirekt mit verschiedenen Auf-
Stellungnahme des BvD: Die Kernanliegen wur-
sichtsbehörden zusammenarbeiten müssen, hat dies
den vorstehend adressiert.
Auswirkungen. Wir fordern den Gesetzgeber auf, in
Abstimmung mit den zuständigen Aufsichtsbehör-
den eine Gestaltung zu finden, welche diese Unsi- V. Betroffenenrechte
cherheit in der Rechtsanwendung ausschließt oder
Frage des BMI im Rahmen der Evaluation: „1. Sind die
die Abweichung hinreichend transparent macht.
Regelungen zu den Betroffenenrechten in den §§ 32
Frage des BMI im Rahmen der Evaluation: „2. Sind die bis 37 BDSG aus Ihrer Sicht sachgerecht, praktikabel
Zuständigkeiten der Aufsichtsbehörden im BDSG aus und normenklar?
Ihrer Sicht sachgerecht, praktikabel und normenklar
Stellungnahme des BvD: Die Regelungen zu
geregelt?
den Betroffenenrechten in den §§ 32 bis 37
Stellungnahme des BvD: Die Zuständigkei- BDSG sind aus unserer Sicht nicht uneinge-
ten der Aufsichtsbehörden im BDSG sind aus schränkt sachgerecht, praktikabel und nor-
unserer Sicht nicht sachgerecht, praktikabel menklar.
und normenklar geregelt. Die Zuständigkeit der
Beschränkungen der Betroffenenrechte können nur
Aufsichtsbehörden ist bei bundeslandübergreifender
entsprechend den in Art. 23 Abs. 1 DSGVO festge-
Verarbeitung nicht geregelt. Eine Abstimmung zu
legten Grenzen unter Beachtung der Maßgaben des
einer einheitlichen Rechtsauslegung im konkreten
Art. 23 Abs. 2 DSGVO. Der BvD regt eine Ausrich-
Einzelfall für beteiligte Aufsichtsbehörden ist nicht
tung der Ausnahmen an diesen Regelungen an, um
vorgeschrieben. In § 17 BDSG wird zudem die Tatsa-
ein Mehr an Rechtssicherheit zu erreichen.
che, dass der Bundesrat keinen Stellvertreter wählt,
nicht berücksichtigt. Frage des BMI im Rahmen der Evaluation: „2. Sind
die Regelungen zu den Betroffenenrechten in den
Lösungsvorschlag: Die Schaffung einer Regelung
§§ 55 bis 61 BDSG aus Ihrer Sicht normenklar? Sind
für eine federführende deutschen Aufsichtsbehörde
sie aus Ihrer Sicht sachgerecht und praktikabel, so-
ähnlich dem europäischen Recht für bundesland-
weit sie über eine 1:1-Umsetzung der Richtlinie (EU)
übergreifende Verarbeitungen, damit Verantwortli-
2016/680 hinausgehen?
che und Auftragsverarbeiter eine Aufsichtsbehörde
als verbindlichen Ansprechpartner haben. Stellungnahme des BvD: In unserem Berufs-
verband sind keine Auftragsverarbeiter i. S. d. der
Frage des BMI im Rahmen der Evaluation: „3. Hat sich
Richtlinie (EU) 2016/680 vertreten, daher nehmen
aus Ihrer Sicht die Regelung in § 40 Absatz 2 BDSG
wir von Ausführungen Abstand.
bewährt, wonach sich, wenn der Verantwortliche
oder Auftragsverarbeiter mehrere inländische Nie-
derlassungen hat, die zuständige Aufsichtsbehörde
entsprechend Artikel 4 Nummer 16 DSGVO nach der
Hauptniederlassung bestimmt? HINWEIS Auf Antworten zu den Fragenkomplexen
VI. (Pflichten der Verantwortlichen und Auftrags-
Stellungnahme des BvD: Nein, siehe Antworten
verarbeiter) und VII. (Datenübermittlungen an Dritt-
zu den Fragen IV.1 und IV.2
staaten und an internationale Organisationen) hat
Frage des BMI im Rahmen der Evaluation: „Sind die Befug- der BvD mit der Begründung verzichtet, dass in unse-
nisse der Aufsichtsbehörden im BDSG aus Ihrer Sicht rem Berufsverband keine Auftragsverarbeiter i. S. d.
sachgerecht, praktikabel und normenklar geregelt? der Richtlinie (EU) 2016/680 vertreten sind.]
BvD-NEWS Ausgabe 1/2021 13LOTSE DURCH DIE BÜROKRATIE
VIII. Haftung und Sanktionen IX. Allgemein zu den Regelungen
des BDSG
Frage des BMI im Rahmen der Evaluation: „1. Sind die
Regelungen zu Sanktionen in den §§ 41 bis 43 BDSG Frage des BMI im Rahmen der Evaluation: „1. Wie be-
aus Ihrer Sicht sachgerecht und normenklar? werten Sie das BDSG insgesamt in Bezug auf die
Sachgerechtigkeit, Praktikabilität und Normenklar-
Stellungnahme des BvD: Die Regelungen zu
heit der Bestimmungen?
Sanktionen in den §§ 41 bis 43 BDSG sind
aus unserer Sicht nicht uneingeschränkt sach- Stellungnahme des BvD: Die DSGVO wird auf-
gerecht und normenklar. grund ihre Bürokratie-Aufwände und der damit ver-
bundenen Kosten für die Verantwortlichen kritisiert.
Nach § 41 Abs. 1 BDSG sind die Vorschriften des Ge-
Diese Bürokratie und diese Kosten bestehen unab-
setzes über Ordnungswidrigkeiten sinngemäß anzu-
hängig von der Benennung eines DSB. Denn die
wenden. Die Bezugnahme auf insbesondere §§ 30,
umfassenden Dokumentations-, Informations- und
130 OWiG ergibt Friktionen zu dem Art. 83 DSGVO
Prüfungspflichten der DSGVO bestehen unabhängig
zugrunde liegenden Unternehmensbegriff. Der BvD
von der Benennung eines DSB. Mit anderen Worten:
regt im Interesse der Rechtsklarheit eine klarstellen-
Der Verzicht auf die Benennung eines DSB bringt
de Überprüfung an.
für die Verantwortlichen keine Entbürokratisierung.
Frage des BMI im Rahmen der Evaluation: „2. In wie vie- Eine hierauf ausgerichtete Ausgestaltung der Tätig-
len Fällen haben nach Ihrer Kenntnis Landgerichte keit des DSB entlastet hingegen die Unternehmens-
gemäß § 41 Absatz 1 Satz 3 BDSG über einen Ein- leitung in KMU:
spruch gegen einen Bescheid über ein Bußgeld von
Die DSGVO bietet dem BDSG anders als im alten Da-
mehr als 100.000 (einhunderttausend) Euro we-
tenschutzrecht besser die Möglichkeit, die Rolle des
gen eines Verstoßes nach Artikel 83 Absatz 4 bis 6
Datenschutzbeauftragten stärker als proaktiven Ge-
DSGVO entschieden? (Bitte nach Jahren und Landge-
stalter für das Unternehmen, weniger als reaktiven
richten aufschlüsseln)
Überwacher auszugestalten.
Stellungnahme des BvD: Der BvD führt entspre-
chend seinen Verbandsaufgaben keine solche Auf-
Der BvD regt daher an, die Einbindung des Da-
stellung. Aufgrund der beruflichen Geheimhaltungs-
tenschutzbeauftragten in die Gestaltung der
pflichten sind die Mitglieder des BvD auch nicht
Verarbeitung personenbezogener Daten zu
ohne Weiteres berechtigt hierzu zu kommunizieren.
stärken und dem Datenschutzbeauftragten
Der BvD regt an, dass eine Veröffentlichung der ver-
die Möglichkeit zu eröffnen, die Unterneh-
hängten Bußgelder und Entscheidungen eingerich-
mensleitung bei einzelnen Aufgaben nach der
tet wird. Zu berücksichtigen ist jedoch, wie auch die
DSGVO zu entlasten.
aktuelle Rechtsprechung zeigt, dass hierdurch kein
„Pranger-Effekt“ entsteht. Eine bundesweit gemein- Davon würden vor allem kleine und mittlere Un-
same, anonyme Veröffentlichung könnte diesen ternehmen profitieren und es würde eine effektive
Effekt vermeiden, aber gleichwohl der erforderliche Nutzung des Know-hows zur Gestaltung der Nut-
Erkenntnisgewinn aus den Entscheidungen zur Ein- zung personenbezogener Daten erreicht werden.
heitlichkeit der Rechtsanwendung beitragen.
Konkrete Ansätze zur effektiveren Einbindung von
Frage des BMI im Rahmen der Evaluation: „3. Sind die Datenschutzbeauftragten sieht der BvD in folgen-
Regelungen zu Haftung und Sanktionen in den den Maßnahmen:
§§ 83 und 84 BDSG aus Ihrer Sicht sachgerecht und
• Anpassung der Meldepflicht bei Datenpannen: Mel-
normenklar?
dungen von (Verdacht auf) Datenpannen an die
Stellungnahme des BvD: In unserem Berufsver- Aufsichtsbehörden erst bei einem hohen Risiko.
band sind nicht in signifikantem Umfang Verarbeiter Meldung aller Vorgänge an den DSB, der zudem ein
im Sinne des Teils des BDSG vertreten, daher neh- Register aller Vorfälle führt und die Abhilfemaßnah-
men wir von Ausführungen Abstand. men überwacht.
14 BvD-NEWS Ausgabe 1/2021LOTSE DURCH DIE BÜROKRATIE
• Anpassung der Zuständigkeit bei der Daten- Schließlich fordert der BvD den Gesetzgeber
schutz-Folgenabschätzung (DSFA): Die Erstellung auf, von seinen Gestaltungsmöglichkeiten,
der DSFA und die Beurteilung der Risiken sollte insbesondere nach Art. 23 DSGVO Gebrauch
in den Händen des DSB liegen. Das Ergebnis wird zu machen, auf eine fokussierte anstatt bü-
dann von der Unternehmensleitung verbindlich rokratisierte Dokumentationspflicht hinzu-
festgestellt und die vorgesehenen Maßnahmen wirken. Die Hauptbelastung für die Unternehmen
werden umgesetzt. unter der DSGVO und BDSG ist nicht die Einhal-
tung der Zulässigkeit der Verarbeitung. Die als un-
• Führen des Verzeichnisses der Verarbeitungstätig-
nötige Bürokratie empfundenen Anforderungen der
keiten durch den DSB anstatt der ansonsten hierfür
DSGVO und des BDSG liegen vielmehr in der Viel-
verantwortlichen Leitung des Verantwortlichen.
zahl unterschiedlicher Dokumentationspflichten,
Der BvD fordert den Bundesgesetzgeber zu- die sich inhaltlich auch noch überschneiden, aber
dem auf, anlässlich der Evaluierung des BDSG nicht deckungsgleich sind. Dennoch ist jede dieser
klarzustellen, dass durch die Beratungsleis- Dokumentationspflichten für sich mit einem Buß-
tung externer Datenschutzbeauftragter bei geld bewehrt. Die Unternehmensleitung ist damit
der Wahrnehmung ihrer gesetzlichen Auf- im Rahmen des Datenschutzes mehr damit beschäf-
gaben gem. Art. 39 DSGVO im Rahmen ihrer tigt, Dokumentationen stets aktuell zu halten, als
Benennung keine Kollisionen zum RDG ent- sich mit der eigentlichen Frage der Zulässigkeit zu
steht. Dem DSB ist durch die DSGVO eindeutig befassen.
die Aufgabe der Beratung zugewiesen. Das schließt
Frage des BMI im Rahmen der Evaluation: „2. Bestehen
nach dem Selbstverständnis der DSGVO zwangswei-
in Ihrer datenschutzrechtlichen Praxis Schwierigkei-
se die Beratung zu allen Aspekten des Datenschutz-
ten mit der Auslegung und Anwendung des BDSG?
rechts ein, die datenschutzrechtliche Thematiken
Wenn ja, welche Schwierigkeiten sind das und auf
tangieren. Die in Deutschland geführte Diskussion,
welche Regelungen des BDSG beziehen sie sich?
dass dies vermeintlich gegen das RDG verstößt, ver-
hindert die proaktiv unterstützende Funktion des Stellungnahme des BvD: Die Schwierigkeiten
DSB im Unternehmen, obgleich diese in der DSGVO wurden in den Fragen I. bis VIII. dargestellt.
so vorgesehen ist. Eine Einschränkung der Tätigkeit
Auf Antworten zum Fragenkomplex X. (Schutz- und
des DSB bei der (datenschutz-)rechtlichen Beratung
Dokumentationspflichten bei Unterbleiben einer In-
durch eine Vorschrift eines Mitgliedsstaates ver-
formation der betroffenen Person) hat der BvD mit
stößt gegen die höherrangige Vorgabe zur Beratung
der Begründung verzichtet, dass uns hierzu als BvD
durch eine europäische Verordnung.
keine Informationen im signifikanten Umfang vor-
liegen.
Der vollständige Fragebogen ist nachzulesen unter:
https://www.bvdnet.de/presse/fragebogen-des-bmi-
Über den QR-Code kommen
zur-evaluation-des-bdsg/
Sie direkt zum Fragebogen.
BvD-NEWS Ausgabe 1/2021 15Sie können auch lesen
