Michael Will

Das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz - alles im Einklang mit der DS-GVO?


Michael Will ist Ministerialrat im Bayerischen Staatsministerium des Innern, für Sport und Integration und Mitglied des Wissenschaftsbeirats der ZD.

ZD 2019, 429   Mit der Beschlussfassung des Bundesrats v. 20.9.2019 zum 2. Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG) gelangt der Prozess der Anpassung des Datenschutzrechts des Bundes im dritten Anlauf zu seinem vorläufigen Endpunkt. Schließt der gesetzgeberische Herkules-Akt der Änderung von mehr als 150 Fachgesetzen rd. 16 Monate nach Geltungsbeginn der DS-GVO die unvermeidbaren Aufgaben der Rechtsbereinigung aber tatsächlich ab?

Restaufgaben des Bundesgesetzgebers?

Allein ein Blick in die Materialien der parlamentarischen Beratungen offenbart jedenfalls zumindest vier zentrale Desiderate: das Telemedien- und TK-Datenschutzrecht, das Kunsturhebergesetz (KUG) und schließlich das Medienprivileg: so hatte der Bundesrat bereits mit seinem Beschluss v. 19.10.2018 (BR-Drs. 430/18) gefordert, jedenfalls im Zuge der im Jahre 2020 ohnehin anstehenden Evaluationsverfahren den Anpassungsbedarf im KUG sowie im Telemediengesetz (TMG) in besonderer Weise zu analysieren (teils übereinstimmend auch ein nicht angenommener Entschließungsantrag der Fraktion Bündnis 90/DIE GRÜNEN, BT-Drs. 19/11197). Zusätzlich hatte der Innenausschuss des Bundestags (vgl. BT-Drs. 19/11181, Ziff. III. 2.) bei der Bundesregierung angemahnt, „einen Regelungsvorschlag zur Umsetzung von Art. 85 Abs. 1 DS-GVO in Abstimmung mit den Ländern und unter Berücksichtigung der dem Bund zustehenden Gesetzgebungskompetenzen vorzulegen ...“

 

Beschäftigtendatenschutz und betrieblicher Datenschutzbeauftragter auf dem Prüfstand

Angesichts solch bedeutender Restaufgaben mag es verwundern, dass das Gesetzgebungsverfahren gleichwohl genutzt werden konnte, in zwei weiteren Bereichen erneut datenschutzrechtlichen „Besitzstand“ auf den Prüfstand zu stellen: die Schriftform der Einwilligung im Beschäftigtendatenschutz und die Regelungen zur Benennungspflicht für betriebliche Datenschutzbeauftragte (vgl. BR-Drs. 380/19, Nr. 1 b) zu §§ 26 und 38 BDSG). Beide Regelungen gehen auf das vor dem 25.5.2018 geltende BDSG zurück und wurden im 1. DSAnpUG zunächst entsprechend dem Leitmotiv der Bewahrung nationalen Datenschutzniveaus und der Ausschöpfung nationaler Regelungsspielräume „1:1“ auf Grundlage spezifischer Regelungsermächtigungen bzw. „Öffnungsklauseln“ der DS-GVO fortgeführt.

Auf Grund der Änderungsbeschlüsse des Deutschen Bundestags kann damit die Einwilligung im Beschäftigungsverhältnis künftig „schriftlich oder elektronisch erfolgen.“ Bei der Benennungspflicht für betriebliche Datenschutzbeauftragte bedarf es stattdessen - unbeschadet der Anforderung des Art. 37 DS-GVO - künftig statt zehn mindestens 20 „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigter Personen. Während die Änderung des § 26 Abs. 2 Satz 3 BDSG explizit auf die Maßstäbe der DS-GVO für die Form der Einwilligung Bezug nimmt, stützt sich die Anpassung des § 38 Abs. 1 BDSG alleine auf das rechtspolitische Ziel der „Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine“(BR-Drs. 380/19, Ziff. IV, zu Nr. 1 b)).

 

§ 38 BDSG im Spannungsfeld zwischen einheitlichem Wettbewerb und hohem Schutzniveau?

Freilich wird aus europäischer Sicht, wie z.B. die EU-Kommission - wie so oft gleichsam tagesaktuelle Kommentatorin der deutschen Datenschutzpolitik - in ihrer Mitteilung v. 24.7.2019 deutlich macht (COM (2019) 374 final), letztlich jedes über die Fallgruppen des Art. 37 Abs. 1 DS-GVO hinausgehende Benennungserfordernis als Rechtszersplitterung und unnötige Belastung der Verantwortlichen eingeordnet werden (so COM, a.a.O., S. 3). Schon vor solchen Brüsseler Anmerkungen war in den Beratungen des Bundesrats mit den Forderungen des Wirtschafts- und Innenausschusses nach Streichung bzw. wesentlicher Einschränkung des § 38 Abs. 1 Satz 1 BDSG (vgl. Ausschussempfehlungen BR-Drs. 430/1/18, Nr. 2-4) ein Spannungsverhältnis aufgezeigt worden, das noch bei zahlreichen weiteren besonderen Schutzbestimmungen des deutschen Datenschutzrechts, wie etwa bei den Beschränkungen der Auftragsverarbeitung im Sozial-, Abgaben- oder Krankenhausrecht, in den Blick geraten wird: Wie können das politisch unstreitige und auch mit Art. 1 Abs. 3 DS-GVO systematisch fest verankerte Ziel gleicher Wettbewerbsbedingungen und das Festhalten an einem bisher als deutsches Erfolgsmodell wahrgenommenen Instrument gelingen, zumal im Fall des betrieblichen Datenschutzbeauftragten sein Transfer in das System der Verantwortlichkeit der DS-GVO nur nach langem Ringen und nicht ohne Brüche geglückt ist?

Darf damit die geringfügige Korrektur des § 38 BDSG in der Gesamtschau nunmehr als ausdrückliche Bestätigung des Gesetzgebers eines bereits vor Geltung der DS-GVO etablierten Sonderwegs verstanden werden?

Während aus Sicht der DS-GVO die Benennung eines Datenschutzbeauftragten durch Unternehmen im Wesentlichen dann geboten ist, wenn Datenverarbeitungen durchgeführt werden, deren Merkmale zugleich eine Datenschutz-Folgenabschätzung erfordern, weil ihr Umfang mit hohen Risiken für die Rechte und Freiheiten natürlicher Personen verbunden ist (Art. 37 Abs. 1 Nr. 2 und 3, 35 Abs. 1 DS-GVO), wählt das BDSG auch künftig wie schon im System der Vorab-Kontrolle nach Art. 20 Abs. 2 RL 95/46/EG (DS-RL) einen schon in der Grundkonzeption weitergehenden Ansatz.

Vor der Geltung der DS-GVO war das Selbstregulierungsmodell des internen betrieblichen oder behördlichen Datenschutzbeauftragten nach Art. 20 Abs. 2 DS-RL nur unionsrechtlich auf Vorab-Prüfungen bestimmter Verarbeitungen beschränkt, die spezifische Risiken für die Rechte und Freiheiten der betroffenen Person beinhalten konnten (Art. 20 Abs. 1 DS-RL). Bereits mit der Umsetzung dieser Richtlinien-Vorgaben durch die Bestimmungen zur Melde- und Bestellpflicht in §§ 4d Abs. 2, 4f Abs. 1 Satz 4 BDSG a.F. typisierte der Bundesgesetzgeber das Merkmal der „spezifischen Risiken für Rechte und Freiheiten der Person“ im Wesentlich ausschließlich durch die Zahl der mit Datenverarbeitung ständig beschäftigten Personen. Die Ersatzfunktion des internen Datenschutzbeauftragten, mit der Art. 20 Abs. 2 DS-RL und § 4d Abs. 2 BDSG eine Verdrängung der Vorab-Kontrollaufgaben der Datenschutzaufsichtsbehörden erlaubt, prägt bislang auch die Auslegungspraxis der deutschen Aufsichtsbehörden. Sie legt für sämtliche Tatbestandsmerkmale der Benennungspflicht ein weites, tendenziell extensives Verständnis nahe. Besonders deutlich wird das am Merkmal der „ständigen Verarbeitung“, das, wie Einzelentscheidungen und -empfehlungen der Aufsichtsbehörden aufzeigen, schon in weniger kritischen Bereichen der Datenverarbeitung wie Kassiervorgängen, der Termin-Organisation des Ehrenamts oder der webbasierten Abwicklung einer Taxibestellung, mithin jeder „stetigen“, nicht völlig untergeordneten Nutzung allgegenwärtiger und alltäglicher Datenverarbeitungssysteme erfüllt werden kann (zusammenfassend Gola, RDV 2019, 131 ff.).

 

Die künftige Rolle des betrieblichen Datenschutzbeauftragten

Gleichgültig, ob dieses extensive Verständnis einer in ihrer unionsrechtlichen Wurzel als Ausnahmebestimmung konzipierten Regelung systematisch überzeugt und rechtspolitisch als zusätzliche Anforderung unter den Bedingungen nicht mehr wie zur Entstehungszeit der BDSG-Norm in Rechenzentren konzentrierter, sondern ubiquitärer Datenverarbeitung noch als zeitgemäß wahrgenommen wird - mit der Bestätigung des Regelungskonzepts des § 38 Abs. 1 Satz 1 BDSG gibt der Gesetzgeber jetzt der Datenschutzpraxis die Aufgabe, auch im Bereich der internen Datenschutzkontrolle den Anpassungsprozess an die DS-GVO selbst zu Ende zu gehen.

So wichtig und praxisnah in der rechtspolitischen Beratung noch das Argument war, dass allein die Regelung zur Benennungspflicht ein Signal für das Gewicht oder - im Falle ihrer Begrenzung - den Bedeutungsverlust des Datenschutzes angesehen werden mag, so unerlässlich wird es jetzt, schon bei der ersten konkreten Funktionszuweisung für den betrieblichen Datenschutzbeauftragten klar abzugrenzen, dass ihm die DS-GVO nur eine von mehreren Hauptrollen bei der praktischen Umsetzung der DS-GVO zuweist. Gerade die langjährigen Erfahrungen mit dem Modell interner betrieblicher Datenschutzbeauftragter in Deutschland mögen beim Vergleich mit den Umsetzungsprozessen in zahlreichen anderen Mitgliedstaaten als Startvorteil betrachtet werden. Dennoch sollte dieser Traditionsvorsprung nicht dazu verleiten, eingeübte Abläufe und Zuständigkeitsverteilungen ungeprüft fortzuführen. Trotz aller Schnittmengen zwischen den Aufgaben des Beauftragten für den Datenschutz nach § 4g Abs. 1 Satz 1 BDSG a.F., auf die Einhaltung des BDSG und anderer Gesetze über den Datenschutz „hinzuwirken“, und den Kernaufgaben der Unterrichtung, Beratung und Überwachung nach Art. 39 DS-GVO: das Grundkonzept der DS-GVO sieht den Datenschutzbeauftragten nur als Ergänzung der Pflichten und Aufgaben des Verantwortlichen. Es setzt einen Akteur voraus, neben dem - und nicht an dessen Stelle - dem betrieblichen oder behördlichen Datenschutzbeauftragten eine besondere Sicherungsfunktion für die Einhaltung der DS-GVO zukommen sollte.

Angesichts der engen Handlungsspielräume für ergänzende nationale Regelungen bleibt eine Konkretisierung dieser besonderen Rolle des Datenschutzbeauftragten nicht dem Gesetzgeber, sondern der Selbstorganisation des Berufsstands, seiner Verbände und Vereinigungen vorbehalten. Die letztlich erfolgreiche Bestätigung des § 38 BDSG darf nun als Impuls für eine Verfestigung des Berufsbilds des betrieblichen Datenschutzbeauftragten, für seine Abgrenzung zu anderen Beratungsberufen und für übergreifende Empfehlungen zur Definition seiner Aufgaben wie spiegelbildlich auch seiner Qualifikationsanforderungen betrachtet werden, für die das 2. DSAnpUG nicht als Schlusspunkt, sondern als Startschuss betrachtet werden sollte.

Der Beitrag gibt ausschließlich die persönliche Auffassung des Verfassers wieder.