Der Entwurf zur Änderung des BDSG
Am 07.02.2024 hat das Bundeskabinett einen Entwurf zur Änderung des Bundesdatenschutzgesetzes beschlossen. Durch den Änderungsentwurf soll laut Bundesregierung auch klargestellt werden, dass das BDSG nur anwendbar ist, wenn die Datenverarbeitung einen Inlandsbezug aufweist. Die wichtigsten Änderungen für Unternehmen und betroffene Personen werden im folgenden Beitrag behandelt:
1. Videoüberwachung durch nichtöffentliche Stellen
§ 4 Abs1 soll nach dem Entwurf auf folgenden Wortlaut geändert werden:
„(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) durch öffentliche Stellen ist nur zulässig, soweit sie zu ihrer Aufgabenerfüllung, einschließlich der Wahrnehmung ihres Hausrechts, erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.“
Folge dieser Änderung ist es, dass nichtöffentliche Stellen von dieser Regelung nicht mehr umfasst sind. Als Rechtsgrundlage für eine Videoüberwachung durch Unternehmen in öffentlich zugänglichen Räumen kommt damit nur noch Art. 6 f) DSGVO in Betracht.
2. Neue Regelung zur DSK
Im neuen Gesetzesentwurf wird hierzu ausgeführt:
„Mit § 16a wird die Datenschutzkonferenz (DSK), wie im Koalitionsvertrag vereinbart, im BDSG institutionalisiert. Die DSK hat nach ihrer Geschäftsordnung das Ziel, die Datenschutzgrundrechte zu wahren und zu schützen sowie eine einheitliche Anwendung des europäischen und des nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Eine Regelung zur rechtlichen Verbindlichkeit von Beschlüssen der DSK wird in diesem Gesetz nicht getroffen, da damit wegen des Verbots der Mischverwaltung verfassungsrechtliche Grenzen berührt würden.“
Hierdurch werden bisherige Zweifel an der Stellung der DSK endgültig beseitigt. Da aber weiterhin die Beschlüsse der DSK keine rechtliche Verbindlichkeit entfalten, ändert sich hierdurch für die Praxis nicht viel. Denn die Beschlüsse sollten bereits jetzt schon als Anhaltspunkte für datenschutzrechtliche Entscheidungen herangezogen werden.
3. Einschränkung des Auskunftsrechts
§ 34 Abs.1 BDSG soll durch folgenden Satz ergänzt werden:
„Das Recht auf Auskunft besteht auch insoweit nicht, als der betroffenen Person durch die Information ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen oder eines Dritten offenbart würde und das Interesse an der Geheimhaltung das Interesse der betroffenen Person an der Information überwiegt.“
Daraus folgt, dass in Fällen, in denen Betriebs- oder Geschäftsgeheimnisses des Verantwortlichen oder eines Dritten durch die Erfüllung des Auskunftsanspruchs offenbart werden würden, eine Auskunft verweigert werden könnte, wenn das Interesse an der Geheimhaltung dem Interesse der betroffenen Person an Information überwiegt. Durch die Änderung soll klargestellt werden, dass auch die Interessen des Verantwortlichen unter den Schutz anderer Personen nach Art. 15 Abs.4 DSGVO fallen. Dies wurde zwar bereits vor der Ergänzung so gehandhabt, wird aber durch die Änderung nochmals verdeutlicht und hervorgehoben.
4. Neue Regelung zum Scoring
Hierzu soll § 37a BDSG-E ergänzt werden.
„§ 37a Scoring
(1) Das Recht gemäß Artikel 22 Absatz 1 der Verordnung (EU) 2016/679, keiner aus-
schließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, besteht über die in Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 genannten Ausnahmen hinaus nicht, wenn zu einer natürlichen Person Wahrscheinlichkeitswerte erstellt oder verwendet werden über
1. ein bestimmtes zukünftiges Verhalten der Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person oder
2. ihre Zahlungsfähig- und -willigkeit durch Auskunfteien und unter Einbeziehung von Informationen über Forderungen.
(2) Wahrscheinlichkeitswerte im Sinne des Absatzes 1 dürfen nur erstellt oder ver-
wendet werden, wenn
1. für die Erstellung folgende Daten nicht genutzt werden:
a) besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679,
b) der Name der betroffenen Person oder personenbezogene Daten aus ihrer Nutzung sozialer Netzwerke,
c) Informationen über Zahlungseingänge und -ausgänge auf und von Bankkonten und
d) Anschriftendaten,
2. sie keine minderjährige Person betreffen und
3. die genutzten personenbezogenen Daten
a) unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind und
b) für keine anderen Zwecke verarbeitet werden.
(3) In den Fällen des Absatzes 1 Nummer 2 dürfen nur solche Forderungen über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht worden ist, berücksichtigt werden,
1. die durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden sind oder für die ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
2. die nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden sind,
3. die der Schuldner ausdrücklich anerkannt hat,
4. bei denen
a) der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,
b) die erste Mahnung mindestens vier Wochen zurückliegt,
c) der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist und
d) der Schuldner die Forderung nicht bestritten hat, oder
5. deren zugrunde liegendes Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und bei denen der Schuldner zuvor über eine mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden ist.
(4) Verantwortliche, die Wahrscheinlichkeitswerte im Sinne des Absatzes 1 erstellen,
haben auf Antrag der betroffenen Person in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache Folgendes mitzuteilen:
1. die für die Erstellung genutzten personenbezogenen Daten der betroffenen Person und Kriterien,
2. die Gewichtung von Kategorien von Kriterien und der einzelnen Kriterien zueinander, die den Wahrscheinlichkeitswert am stärksten beeinflussen,
3. die Aussagekraft des konkreten Wahrscheinlichkeitswerts und
4. die erstellten Wahrscheinlichkeitswerte und ihre Empfänger.
Die hierfür erforderlichen Informationen sind für ein Jahr zu speichern.
(5) Auf Verantwortliche, die Wahrscheinlichkeitswerte nach Absatz 1 erstellen oder verwenden, findet § 34 Absatz 1 Satz 2 keine Anwendung.
(6) Gegenüber einem Verantwortlichen hat die betroffene Person hinsichtlich der jeweiligen auf Wahrscheinlichkeitswerten nach Absatz 1 beruhenden Entscheidung das Recht auf Anfechtung, Darlegung des eigenen Standpunkts und Entscheidung einer natürlichen Person.“
Hiermit reagiert der Gesetzgeber auf das Urteil des Europäischen Gerichtshofs vom 07.12.2023 – C-634/21 in Bezug auf das Schufa Scoring (das Urteil haben wir hier bereits näher besprochen), das in dem Urteil als unzulässige automatisierte Entscheidung bewertet wurde, soweit hiervon der Abschluss eines Vertragsverhältnisses abhängig gemacht wird. Durch den neuen § 37a BDSG -E soll zum einen der als bedenklich bewertete § 31 BDSG aufgehoben werden und zum anderen eine Rechtsgrundlage für Scoring -Verfahren wie die der Schufa geschaffen werden. Zusätzlich soll das Recht der betroffenen Person nach Art. 22 DSGVO dahingehend erweitert und gestärkt werden, dass betroffenen Personen sich nicht mit ausschließlich auf automatisierte Verarbeitungen beruhende Entscheidungen zufriedengeben müssen. Dies spiegelt sich vor allem in Abs. 6 des Entwurfs wieder. Demnach soll es betroffenen Personen möglich sein, dem Verantwortlichen gegenüber, die Entscheidung, die auf einem Wahrscheinlichkeitswert beruht, anzufechten und einen eigenen Standpunkt darzulegen. Auch haben betroffenen Personen das Recht, eine Entscheidung einer natürlichen Person zu verlangen. Zusätzlich sollen gewisse Datenkategorien vom Scoring ausgeschlossen werden. Hierunter fallen insbesondre Kategorien im Sinne des Art. 9 DSGVO. Hierdurch würden sich die Regelungen zum Scoring deutlich zum vorherigen Zustand verschärfen und ein Diskriminierungspotential wäre verringert.
5. Gemeinsame Verantwortliche
§ 40 a BDSG-E soll hierbei ebenfalls komplett neu eingefügt werden:
„§ 40a Aufsichtsbehörde gemeinsam verantwortlicher Unternehmen
(1) Sind Unternehmen gemeinsam Verantwortliche gemäß Artikel 26 der Verordnung (EU) 2016/679 und mehrere Aufsichtsbehörden für sie zuständig, können die Unternehmen gemeinsam anzeigen, dass sie gemeinsam verantwortliche Unternehmen sind und deshalb für die von ihnen gemeinsam verantwortete Datenverarbeitung allein die Aufsichtsbehörde zuständig sein soll, in deren Zuständigkeitsbereich das Unternehmen fällt, das in dem der Anzeige vorangegangenen Geschäftsjahr den größten Jahresumsatz erzielt hat. Hat ein Unternehmen weltweit Umsatz erzielt, ist dieser maßgeblich. Die gemeinsame Anzeige ist an alle Aufsichtsbehörden zu richten, die für die gemeinsam verantwortlichen Unternehmen zuständig sind. Sie muss die Vereinbarung gemäß Artikel 26 der Verordnung (EU) 2016/679 und die das umsatzstärkste Unternehmen nachweisenden Unterlagen enthalten. Ab dem Zeitpunkt, zu dem die Anzeige im Sinne der Sätze 1 und 2 bei der für das umsatzstärkste Unternehmen zuständigen Behörde eingegangen ist, wird diese die allein zuständige Aufsichtsbehörde.
(2) Die Rücknahme einer Anzeige kann nur gemeinsam erfolgen. Sie ist an alle Aufsichtsbehörden im Sinne des Absatzes 1 Satz 3 zu richten. Ab dem Zeitpunkt, zu dem die Rücknahme bei der allein zuständigen Behörde eingegangen ist, entfällt ihre alleinige Zuständigkeit.
(3) § 3 Absatz 3 und 4 des Verwaltungsverfahrensgesetzes findet entsprechende Anwendung.“
Demnach würde die Zuständigkeit bei länderübergreifenden Projekten nur noch auf eine einzige Aufsichtsbehörde fallen. Hierdurch sollen Unsicherheiten und Verwirrungen bei differenzierenden Meinungen der Aufsichtsbehörden vermieden werden. Dies soll durch eine Anzeige an alle Aufsichtsbehörden, die für die gemeinsam Verantwortlichen Unternehmen zuständig sind, der Unternehmen als gemeinsame Verantwortliche möglich sein. Enthalten soll eine solche Anzeige dabei insbesondere eine Vereinbarung gem. Art. 26 DSGVO. Die Zuständigkeit richtet sich dann nach dem Unternehmen, das im vorangegangenen Geschäftsjahr den größten Jahresumsatz verzeichnen konnte. Ob dies eine Erleichterung für die Unternehmen bedeuten wird oder nur einen erhöhten Bürokratischen Aufwand wird sich wohl in der Zukunft zeigen.
Durch die Änderungen am BDSG sollen die Versprechen aus dem Koalitionsvertrag umgesetzt werden und eine bessere Durchsetzung und Kohärenz des Datenschutzes geschaffen werden. Die Änderungen im BDSG sollen am ersten Tag des auf seine Verkündung folgenden Quartals in Kraft treten. Dies könnte dabei bereits schon dieses Jahr der Fall sein. Deshalb ist es insbesondere Unternehmen zu empfehlen, sich bereits jetzt mit den Änderungen auseinanderzusetzen.