Das BDSG-Update: ein kleines Paket zur Reform der Strukturen im nationalen Datenschutzrecht
Das Bundesinnenministerium plant die Überarbeitung des Bundesdatenschutzgesetzes (BDSG), wie aus einem nun veröffentlichten Referentenentwurf zu ersehen ist. Die geplante Reform des nationalen Datenschutzrechts plant Änderungen an einzelnen Normen des BDSG. Die geplanten Neuregelungen zielen hauptsächlich auf eine Neuausrichtung der Rolle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (Bundesdatenschutzbeauftragter), die Etablierung einer festen Struktur für die Datenschutzkonferenz, die Anpassung der Vorschriften zur Videoüberwachung sowie die Bündelung der Datenschutzaufsicht bei mehreren Verantwortlichen ab. Ziel der geplanten Novelle ist es also, die Koordination in Angelegenheiten des Datenschutzes zu optimieren und die Durchsetzung und Kohärenz der Datenschutzbestimmungen zu stärken. Demgegenüber sollen materiell-rechtliche Regelungen, etwa beim Beschäftigtendatenschutz, nicht geändert werden.
Wir stellen den Gesetzesentwurf im Beitrag näher vor und ordnen die Bedeutung ein.
Stärkung der Rolle des Bundesbeauftragten im Europäischen Kontext
Der Entwurf enthält die Regelung, dass der Bundesdatenschutzbeauftragte die 18 deutschen Datenschutzaufsichtsbehörden als gemeinsamer Vertreter im Europäischen Datenschutzausschuss (EDSA gem. Art. 68 DSGVO) vertritt und damit für Fragen, die den EDSA betreffen, die zentrale Anlaufstelle ist. Durch die Stärkung der Rolle des Bundesdatenschutzbeauftragten soll eine kohärente und effiziente Vertretung Deutschlands auf europäischer Ebene gefördert und die Koordinierung bei datenschutzrechtlichen Angelegenheiten erleichtert werden. Bislang ist es möglich, dass auch die Datenschutzaufsichtsbehörden der Bundesländer einen Vertreter in den EDSA entsenden. Künftig sollen die Länder einen Stellvertreter des gemeinsamen Vertreters für fünf Jahre wählen dürfen.
Effizienz durch Einheitlichkeit: Anlaufstellen für Verantwortliche
In der Zukunft soll es zudem möglich sein, dass Unternehmen und Forschungseinrichtungen statt mehrerer Aufsichtsbehörden nur einer einzigen Landesdatenschutzaufsichtsbehörde zugeordnet werden. Derzeit stellt sich die Herausforderung, dass Projekte mit mehreren Verantwortlichen oft einer großen Anzahl von Aufsichtsbehörden unterliegen. So fällt beispielsweise ein Forschungsprojekt mit 20 Kooperationspartnern an verschiedenen Standorten, die über mehrere Bundesländer verteilt sind, in die Zuständigkeitsbereiche von bis zu 17 Aufsichtsbehörden und für deren entsprechende Datenschutzüberprüfungen bereitstehen oder sich sogar mit divergierenden Entscheidungen auseinandersetzen. Um dies zu vermeiden, soll es Verantwortlichen künftig ermöglicht werden, bei Projekten, deren Zuständigkeiten mehrerer Landesdatenschutzbehörden berühren, ausschließlich mit einer Aufsichtsinstanz in Verbindung zu treten. Bei mehreren gemeinsam verantwortlichen Unternehmen soll die Aufsichtsbehörde des jeweiligen Unternehmens zuständig sein, das im vorangegangenen Geschäftsjahr den größten Umsatz erzielt hat (§ 40a BDSG-E). Bei länderübergreifenden Forschungsprojekten von Verantwortlichen, die nicht oder nicht ausschließlich Unternehmen sind, ist die Aufsichtsbehörde desjenigen Verantwortlichen zuständig, der die meisten Personen beschäftigt, welche fortlaufend personenbezogene Daten automatisiert verarbeiten (§ 27 Abs. 5 BDSG-E). Diese Maßnahme beabsichtigt, potenzielle Rechtsunsicherheiten zu beseitigen, welche aufgrund divergierender juristischer Auslegungen der jeweils zuständigen Aufsichtsbehörden in länderübergreifenden Vorhaben auftreten könnten. So können Projekte künftig effizienter und transparenter abgewickelt werden.
Datenschutzkonferenz (DSK): Institutionelle Stärkung und rechtliche Implikationen
In ihrem Koalitionsvertrag hatte die Ampelkoalition vereinbart, den Datenschutz in einer kohärenteren und praktikableren Form neu zu gestalten. Ein Maßnahmenschritt in diese Richtung soll darin bestehen, die Datenschutzkonferenz von Bund und Ländern (DSK) im BDSG zu verankern. Zudem strebt die Koalition an, innerhalb des rechtlich möglichen den Beschlüssen der DSK Rechtsverbindlichkeit zu verleihen.
Die DSK war ursprünglich lediglich ein regelmäßiges Zusammentreffen der Datenschutzbeauftragten des Bundes und der Länder. Die Veröffentlichungen hatten eine Signalwirkung, da sie in der Regel eine gemeinsame Position aller deutschen Datenschutz-Aufsichtsbehörden darstellten. Heute ist sie mehr als eine Konferenz im wörtlichen Sinn und vielmehr eine Plattform, auf der die unabhängigen Datenschutzbehörden des Bundes und der Länder in verschiedenen Arbeitskreisen zusammenarbeiten, um einheitliche Datenschutzstandards zu entwickeln, rechtliche Positionen abzustimmen und Ressourcen zu bündeln. Dennoch verbleibt es dabei, dass die Beschlüsse und Veröffentlichungen der DSK keine rechtliche Bindungswirkung haben.
Durch § 16a BDSG-E wird gemäß den Vorgaben im Koalitionsvertrag die Datenschutzkonferenz von Bund und Ländern (DSK) institutionell etabliert. Allerdings bleibt die Frage der rechtlichen Verbindlichkeit von DSK-Beschlüssen im Referentenentwurf unbehandelt. Dies ist darauf zurückzuführen, dass eine solche Regelung die Befugnisse sowohl der Bundes- als auch der Länderbehörden beträfe und somit verfassungsrechtliche Grenzen überschreiten könnte. Entsprechend der Rechtsprechung des Bundesverfassungsgerichts ist die sogenannte Mischverwaltung von Bund und Ländern nur in den Fällen gestattet, die explizit im Grundgesetz vorgesehen sind. Im Bereich des Datenschutzes gibt es eine solche Ausnahmeregelung nicht. Dies impliziert, dass nach wie vor keine klaren Richtlinien existieren, die die Zusammenarbeit und einheitliche Entscheidungsfindung der verschiedenen Aufsichtsbehörden innerhalb der DSK regeln würden.
Selbst § 16a BDSG-E wirft Fragen auf, da unklar ist, welche rechtliche Signifikanz ihm tatsächlich zukommt, wenn zwar die Einrichtung ‚DSK‘ an sich gesetzlich festgeschrieben ist, ihre Handlungsoptionen aber ohne rechtliche Einordnung bleiben. Für die Praxis dürfte § 16a BDSG-E gegenüber dem Status quo keine Veränderung bedeuten.
Weiterhin: Änderung der Norm zur Videoüberwachung
Der Referentenentwurf streicht die Regelung über Videoüberwachung durch nichtöffentliche, also privatwirtschaftliche Stellen, in § 4 Abs. 1 BDSG. Damit würde die Norm ausschließlich als Rechtsgrundlage für Videoüberwachung öffentlich zugänglicher Räume durch öffentliche Stellen dienen, während private Verantwortliche allein den Vorschriften der DSGVO unterliegen würden. Bereits 2019 stellte das Bundesverwaltungsgericht fest (Urt. v. 27.3.2019 – 6 C 2.18), dass die Regelungen für private, nichtöffentliche Verantwortliche gegen Unionsrecht verstoßen (darauf hatten wir bereits 2017 hingewiesen, siehe Lachenmann, ZD 2017, 407, S. 410). Auch aus Sicht des EuGH (Urt. v. 11.12.2019 – C-708/118) ist für die Videoüberwachung durch private Stellen Art. 6 Abs. 1 S. 1 lit. f DSGVO der relevante Maßstab, der durch nationale Regelungen nicht verändert werden darf. Der nationale Gesetzgeber kann lediglich, wie in dem Referentenentwurf umgesetzt, abweichende Vorschriften für den Bereich der öffentlich-rechtlichen Aufgabenerfüllung nach Art. 6 Abs. 1 S. 1 lit. e DSGVO erlassen. Da die Wahrnehmung des Hausrechts als integraler Bestandteil der Aufgabenerfüllung öffentlicher Stellen gilt, wird sie zudem nicht länger separat behandelt, sondern als Unterfall der Aufgabenerfüllung öffentlicher Stellen aufgeführt.
Der Beschäftigtendatenschutz, der derzeit in § 26 BDSG normiert ist, wird hingegen – trotz eines weiteren EuGH-Urteils (v. 30.3.2023 – C-34/21), welches die nahezu deckungsgleichen nationalen Regelungen im Beamtenrecht für europarechtswidrig erklärt – im Referentenentwurf noch nicht angepasst. Es ist jedoch nicht unwahrscheinlich, dass der EuGH, soweit dies Gegenstand eines Verfahrens wird, den bestehenden § 26 BDSG ebenfalls für europarechtswidrig erklärt, da die weitreichende Generalklausel des § 26 Abs. 1 S. 1 BDSG keine „spezifischere Vorschrift“ im Sinne der Öffnungsklausel des § 88 Abs. 1 DSGVO darstellen dürfte. Da die Bundesregierung derzeit an einem neuen Beschäftigtendatenschutzgesetz arbeitet ist die Anpassung möglicherweise auf einen späteren Zeitpunkt verschoben. Wir werden Sie hierzu auf dem Laufenden halten,
Ausblick auf die Datenschutzreform
Während mit dem BDSG-E neue Vorschriften für eine einheitlichere Umsetzung des Datenschutzrechts diskutiert werden, zeigt sich eine Parallele auf Unionsebene. Die EU-Kommission präsentierte im Juli 2023 eine entsprechende Verordnung, die ähnliche Ziele wie der BDSG-E verfolgt. Diese Entwicklungen verdeutlichen, dass eine Angleichung der Praxis der Datenschutzaufsichtsbehörden und eine verbesserte Koordination zwischen den verschiedenen Stellen sowohl auf europäischer als auch auf nationaler Ebene als notwendig erachtet wird. Dabei könnten die vorgeschlagenen Änderungen im BDSG-E potenzielle Erleichterungen mit sich bringen. Allerdings bleibt der Inhalt von § 16a BDSG-E in seiner aktuellen Form vage und es ist unsicher, welche konkreten praktischen Auswirkungen dadurch erzielt werden können.
Die endgültige Überarbeitung des BDSG steht noch aus, wobei insbesondere Kommentare und Stellungnahmen von Interessenverbänden Änderungen am derzeitigen Entwurf bewirken könnten. Bisher wurde der Referentenentwurf noch nicht offiziell vorgestellt. Die Bundesregierung hat auch noch keinen Beschluss bezüglich des Entwurfs gefasst. Insgesamt signalisiert der vorgestellte Referentenentwurf eine bevorstehende Stärkung und Modernisierung des Datenschutzrechts und es bleibt abzuwarten, wie sich die finale Ausgestaltung entwickeln wird. § 40a BDSG-E geht aus unserer Sicht in die richtige Richtung, da insbesondere Forschungsprojekte und Unternehmenskooperationen nicht an den Grenzen einzelner Bundesländer Halt machen. Zwar erwarten wir, dass sich die Datenschutzbehörden der Länder bei länderübergreifenden Sachverhalten auch in Zukunft abstimmen werden. Die vereinfachte Kommunikation eines Projektbeteiligten mit einer Datenschutzbehörde kann jedoch dazu beitragen, Rechtssicherheit zu erhalten und gleichzeitig Aufwände, die heute im Rahmen der Koordinierung anfallen, zu reduzieren.
Ihr Experte für Datenschutzrecht
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com