Das Gesetz "Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680" wurde im Mai 2017 vom Bundestag und Bundesrat beschlossen. Es fehlt derzeit nur noch die Unterschrift des Bundespräsidenten, bis das Gesetz im Bundesgesetzblatt veröffentlicht wird.
Somit werden die Öffnungsklauseln der EU Datenschutz-Grundverordnung (siehe hier) durch nationale Regelungen im Zuge eines neuen Bundesdatenschutzgesetzes (siehe hier) geregelt.
Das seit 1977 bestehende Bundesdatenschutzgesetz (siehe hier) wird somit unwirksam.
Einen wirklich "offiziellen" Text dieses Gesetzes gibt es noch nicht; hier findet sich zumindest die Beschlussfassung (die vom Bundesrat wohl nicht mehr verändert wurde). In jenem Dokument befinden sich auch die (rechtlich unverbindliche) Gesetzesbegründung auf den Seiten 69-128. Genau diese Begründungen zeigen wir hier in Ausschnitten; wir beschränken uns auf jene Paragraphen, welche für die Privatwirtschaft gelten (die Begründungen zum öffentlichen Bereich werden also nicht angezeigt).
Sie finden die Begründungen für § 1, § 2, § 4, § 22, § 23, § 24, § 25, § 26, § 27, § 28, § 29, § 30, § 31, § 32, § 33, § 34, § 35, § 36, § 37, § 38, § 39, § 40, § 41, § 42, § 43 und § 44.
Die Vorschrift bestimmt den Anwendungsbereich des Gesetzes. Nach Absatz 1 Satz 1 gilt das Gesetz, wie bisher auch das Bundesdatenschutzgesetz in der bisher geltenden Fassung (BDSG a. F.), für jede Form der Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes sowie durch öffentliche Stellen der Länder. Es hat also, wie bisher auch, einen weiteren Anwendungsbereich als die Verordnung (EU) 2016/679.
Für nichtöffentliche Stellen gilt das BDSG nach Absatz 1 Satz 2 im Rahmen des sachlichen Anwendungsbereichs der Verordnung (EU) 2016/679. Wer öffentliche Stelle des Bundes und der Länder und wer nichtöffentliche Stelle ist, ergibt sich aus § 2 Absatz 1 bis 4 BDSG.
Für die Verarbeitung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken fand das BDSG a. F. nach dem sogenannten Presseprivileg des § 41 Absatz 1 BDSG a. F. nur sehr eingeschränkt Anwendung. Für das Pressewesen
sind nunmehr ausschließlich die Länder zuständig. Aus kompetenzrechtlichen Gründen kann § 41 Absatz 1
BDSG a. F. daher nicht beibehalten werden. Der Bundesgesetzgeber geht aber davon aus, dass die insofern zuständigen Landesgesetzgeber das Presseprivileg wie bisher absichern werden.
Soweit die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten öffentlicher Stellen des Bundes
erfolgt, die weder vom Anwendungsbereich der Verordnung (EU) 2016/679 noch von der Richtlinie (EU)
680/2016 erfasst sind richtet sich das anzuwendende Datenschutzrecht allein nach nationalen Regelungen. So
besitzt die Europäische Union etwa gemäß Artikel 4 Absatz 2 Satz 3 des Vertrages über die Europäischen Union
(EUV) keine Regelungskompetenz für den Bereich der nationalen Sicherheit. Dies betrifft die Datenverarbeitung
durch das Bundesamt für Verfassungsschutz, den Bundesnachrichtendienst, den Militärischen Abschirmdienst
sowie den Bereich des Sicherheitsüberprüfungsgesetzes. Dies ist auch sekundärrechtlich klargestellt, Artikel 2
Absatz 2 Buchstabe a i. V. m. Erwägungsgrund 16 der Verordnung (EU) 2016/679; Artikel 2 Absatz 3 Buchstabe
a i. V. m. Erwägungsgrund 14 der Richtlinie (EU) 2016/680. Das neu gefasste Bundesdatenschutzgesetz (BDSG)
gibt für diese Bereiche außerhalb des Rechts der Europäischen Union allgemeine Regelungen vor. Soweit in bereichsspezifischen Gesetzen, wie etwa im Bundesverfassungsschutzgesetz, im Bundesnachrichtendienstgesetz,
im Gesetz über den Militärischen Abwehrdienst oder im Sicherheitsüberprüfungsgesetz abweichende Regelungen
getroffen werden, gehen sie gemäß § 1 Absatz 2 den Vorschriften des BDSG vor.
Absatz 2 Satz 1 bestimmt das Verhältnis dieses Gesetzes zu spezifischen datenschutzrechtlichen Vorschriften. Dieses Gesetz hat den Charakter eines „Auffanggesetzes“. Spezifische Rechtsvorschriften des Bundes genießen gegenüber den Vorschriften des BDSG grundsätzlich Vorrang. Dies wird durch die Formulierung in Satz 1 ausdrücklich klargestellt. Durch Satz 2 wird zusätzlich klargestellt, dass die jeweilige bereichsspezifische Spezialregelung nur vorrangig ist, wenn eine Tatbestandskongruenz vorliegt. Sie beurteilt sich im Einzelfall nach den Tatbeständen des jeweiligen bereichsspezifischen Gesetzes (für einen Vergleich heranzuziehen sind danach etwa der Sachverhalt „Datenverarbeitung“, ggf. in den jeweiligen Verarbeitungsphasen, oder bezogen auf sog. Individual- oder Betroffenenrechte der Sachverhalt „Informationspflicht“, „Auskunftsrecht“, „Widerspruchsrecht“). Dies gilt unabhängig davon, ob in der tatbestandskongruenten Vorschrift eine im Vergleich zum BDSG weitergehende oder engere gesetzliche Regelung getroffen ist. Liegt allerdings keine bereichsspezifische Datenschutzregelung für einen vergleichbaren Sachverhalt vor, so übernimmt das BDSG seine lückenfüllende Auffangfunktion. Auch eine nicht abschließende (teilweise) Regelung oder das Schweigen eines bereichsspezifischen Gesetzes führt dazu, dass subsidiär auf die Vorschriften des BDSG zurückgegriffen werden kann. Bedeutsam ist dies insbesondere mit Blick auf die in Teil 2 Kapitel 2 des BDSG vorgenommenen Einschränkungen der Betroffenenrechte. Auf diese Regelungen kann als Auffangregelung zurückgegriffen werden, sofern im bereichsspezifischen Recht keine tatbestandskongruente Regelung vorgehalten ist. Dies gilt allerdings nicht, wenn spezifische Regelungen für einen bestimmten Bereich insgesamt umfassend und damit abschließend die Datenverarbeitung regeln und somit für das BDSG kein Anwendungsbereich verbleibt. Das ist z. B. für den im SGB X in Verbindung mit dem SGB I sowie in den übrigen Sozialgesetzbüchern geregelten Schutz von Sozialdaten oder etwa im Bereich der Abgabenordnung der Fall.
Absatz 2 Satz 2 entspricht der bisherigen Regelung des § 1 Absatz 3 Satz 2 BDSG a. F.
Absatz 3 entspricht der bisherigen Regelung des § 1 Absatz 4 BDSG a. F.
Nach Absatz 4 Satz 1 Nummer 1 findet das Gesetz auf Datenverarbeitung im Inland Anwendung. Absatz 4 Satz 1
Nummer 2 bestimmt, dass die Vorschriften des BDSG nur dann zur Anwendung kommen, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt. Dies entspricht dem Harmonisierungsgedanken der Verordnung (EU) 2016/679. Absatz 4 Satz 1 Nummer 3 entspricht § 1 Absatz 5 Satz 2 BDSG a. F.
Absatz 5 berücksichtigt, dass der Verordnung (EU) 2016/679 im Rahmen ihres Anwendungsbereichs unmittelbare Geltung im Sinne des Artikels 288 Absatz 2 AEUV zukommt. Insoweit in diesem Kapitel punktuelle Wiederholungen von sowie Verweise auf Bestimmungen aus der Verordnung (EU) 2016/679 erfolgen, so geschieht
dies aus Gründen der Verständlichkeit und Kohärenz und lässt die unmittelbare Geltung der Verordnung (EU)
2016/679 unberührt. Dies wird hiermit an herausgehobener Stelle klargestellt. Die punktuellen Wiederholungen
und Verweise im BDSG sind außerdem dem komplexen Mehrebenensystem geschuldet, das sich aus dem Zusammenspiel zwischen der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 sowie dem nationalen allgemeinen und fachspezifischen Recht ergibt. In einem solchen hat es der EuGH dem nationalen Gesetzgeber
eingeräumt, im Interesse eines inneren Zusammenhangs und der Verständlichkeit für den Adressaten notwendige
punktuelle Normwiederholungen vorzunehmen (EuGH, Rs. C-272/83, Kommission/Italien, Rn. 27). Für den Bereich der Richtlinie (EU) 2016/680 sind damit einhergehende strengere Vorgaben möglich. Dies stellt ausdrücklich Erwägungsgrund 15 klar, wonach die Mitgliedstaaten nicht daran gehindert werden, zum Schutz der Rechte
und Freiheiten der betroffenen Person bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden Garantien festzulegen, die strenger sind als die Garantien dieser Richtlinie. Durch den integrativen Ansatz,
gemeinsame Bestimmungen „vor die Klammer“ zu ziehen, trägt der Gesetzgeber diesem hier besonderen Umstand Rechnung und mindert die Herausforderungen für den Rechtsanwender soweit europarechtlich vertretbar
unter gleichzeitiger normökonomischer Entlastung des Fachrechts.
Die Absätze 6 und 7 dienen der Klarstellung, welche Staaten den Mitgliedstaaten der Europäischen Union gleichgestellt sind.
Absatz 8 bestimmt, dass für Verarbeitungen personenbezogener Daten im Rahmen von Tätigkeiten, die weder dem Anwendungsbereich der Verordnung (EU) 2016/679 noch der Richtlinie (EU) 2016/680 unterfallen, die Verordnung (EU) 2016/679 und Teil 1 und Teil 2 des BDSG Anwendung finden. Die Regelung gilt nur für öffentliche Stellen, denn nach § 1 Absatz 1 Satz 1 BDSG beschränkt sich der Geltungsbereich dieses Gesetzes nicht nur auf den sachlichen Anwendungsbereich der Verordnung (EU) 2016/679. Absatz 8 stellt sicher, dass auch für die nicht unter die beiden EU-Rechtsakte fallenden Bereiche entsprechend der bisherigen Regelungssystematik des BDSG a. F. ein datenschutzrechtliches Vollregime im Geltungsbereich des Grundgesetzes angeboten wird. Die besondere Erwähnung der Anwendbarkeit des Teils 1 BDSG erfolgt lediglich aus Gründen der Klarstellung, da die Anwendbarkeit sich bereits aus Absatz 1 Satz 1 unmittelbar ergibt.
Die Absätze 1 bis 4 der Regelung entsprechen § 2 BDSG a. F. Sie bestimmen, welche öffentlichen Stellen und nichtöffentlichen Stellen unter den Anwendungsbereich nach § 1 Absatz 1 BDSG fallen. Absatz 5 vollzieht den Regelungsgehalt des § 27 Absatz 1 Satz 1 Nummer 2 BDSG a. F. nach, indem bestimmt wird, dass öffentliche Stellen des Bundes und öffentliche Stellen der Länder dann als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, und – im Fall öffentlicher Stellen der Länder – zudem Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. Er dient damit auch der Klarstellung, auf welche Verarbeitungsbefugnisse bzw. Ausnahmen von Betroffenenrechte abzustellen ist, wenn eine Unterscheidung nach öffentlichen und nichtöffentlichen Stellen vorgenommen wird.
Die Vorschrift enthält eine § 6b BDSG a. F. weitgehend entsprechende Regelung zur Videoüberwachung in öffentlich zugänglichen Räumen unter Beibehaltung des Stufenverhältnisses der Beobachtung (Absatz 1) sowie der Speicherung oder Verwendung (Absatz 3) sowie der Kennzeichnungs-, Informations- und Löschungspflichten (Absatz 2, 4 und 5). Der Gebrauch des Begriffs „Verwendung“ in Absatz 3 statt – wie bisher im BDSG a. F. – „Nutzung“ entspricht einem Unterbegriff des unionsrechtlichen Verarbeitungsbegriffs des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679, ohne dass damit ein Bedeutungsunterschied verbunden ist.
Absatz 1 Satz 2 schreibt die bisherige Regelung des § 6b Absatz 1 Satz 2 BDSG a. F. fort, die mit dem Entwurf eines Videoüberwachungsverbesserungsgesetzes in das BDSG a. F. aufgenommen werden soll. Soweit der Betreiber eine Videoüberwachung einsetzen möchte und die Schutzgüter Leben, Gesundheit oder Freiheit in den dort genannten Anlagen betroffen sein können, wird durch die Formulierung „gilt als…ein besonders wichtiges Interesse“ die Abwägungsentscheidung zugunsten der Zulässigkeit des Einsatzes einer Videoüberwachungsmaßnahme geprägt.
Nach Artikel 9 Absatz 1 Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 sieht jedoch Ausnahmen
von diesem Verbot vor. In den Fällen des Artikels 9 Absatz 2 Buchstaben b, g, h und i der Verordnung (EU)
2016/679 sind die Ausnahmen durch nationale Regelungen auszugestalten. Neben einem Ausnahmetatbestand ist
im Übrigen stets erforderlich, dass eine Rechtsgrundlage für die Verarbeitung nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 vorliegt.
§ 22 Absatz 1 legt fest, unter welchen Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten ausnahmsweise zulässig ist. Durch die Stellung im Teil 2 findet die Regelung nur Anwendung für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht nur auf dieser Rechtsgrundlage zulässig, sondern etwa auch auf der Grundlage der sich unmittelbar aus Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 ergebenden Ausnahmetatbestände einschließlich sonstiger auf der Grundlage der Verordnung (EU) 2016/679 erlassenen bereichsspezifischen Regelungen.
Auf Absatz 1 Nummer 1 kann die Verarbeitung besonderer Kategorien personenbezogener Daten durch öffentliche und nichtöffentliche Stellen gleichermaßen gestützt werden, während Absatz 1 Nummer 2 nur Ausnahmetatbestände für öffentliche Stellen enthält. Im Einzelnen wird mit der Vorschrift von den Öffnungsklauseln
-
des Artikels 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679 (in Bezug auf Absatz 1 Nummer 1 Buchstabe a),
- des Artikels 9 Absatz 2 Buchstabe h i. V. m. Absatz 3 der Verordnung (EU) 2016/679 (in Bezug auf Absatz 1
Nummer 1 Buchstabe b),
- des Artikels 9 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 (in Bezug auf Absatz 1 Nummer 1 Buchstabe c) und
-
des Artikels 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 (in Bezug
auf Absatz 1 Nummer 2 Buchstabe a bis d Gebrauch gemacht.
Der zweite Halbsatz in Absatz 1 Nummer 1 Buchstabe c dient der Klarstellung in Umsetzung des Artikels 9 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679:
Das deutsche Recht sieht bereits umfangreiche angemessene und spezifische Maßnahmen zum Schutz des Berufsgeheimnisses vor, insbesondere durch § 203 StGB und die einschlägigen Berufsordnungen. Daneben können
auch die in § 22 Absatz 2 genannten Maßnahmen der Wahrung des Berufsgeheimnisses dienen.
Die Verarbeitung besonderer Kategorien personenbezogener nach Absatz 1 Nummer 2 [also für öffentliche Stellen] erfordert zusätzlich eine Interessensabwägung, wie dies Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 vorsieht, indem die Verarbeitung in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen und den Wesensgehalt des Rechts auf Datenschutz wahren muss.
Absatz 1 Nummer 1 Buchstabe b entspricht im wesentlichen § 13 Absatz 2 Nummer 7 und § 28 Absatz 7 BDSG a. F. und setzt Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 um. Auf eine explizite Nennung der Arbeitsmedizin wird verzichtet, da der Begriff der Gesundheitsvorsorge auch die arbeitsmedizinische Vorsorge beinhaltet. In Deutschland gibt es im Übrigen keine Verarbeitung besonderer Kategorien personenbezogener Daten zu Zwecken besonderer Facharztrichtungen, zum Beispiel zum Zweck der Arbeitsmedizin. Die Verarbeitung erfolgt jeweils entsprechend den inhaltlichen Zwecken, die sich aus Buchstabe b oder dem bereichsspezifischen Recht ergeben.
Mit der gewählten Formulierung wird klargestellt, dass ein Vertrag zwischen einem Patienten und einem Angehörigen eines Gesundheitsberufs, also der Behandlungsvertrag gemäß §§ 630a ff. BGB, gemeint ist. Daher findet die Regelung im Bereich der Humanmedizin für (Zahn-)Ärzte, Psychologische Psychotherapeuten, Kinder- und Jugendlichenpsychotherapeuten Anwendung. Darüber hinaus werden vom Behandlungsvertrag auch Angehörige anderer Heilberufe, deren Ausbildung nach Artikel 74 Absatz 1 Nummer 19 des Grundgesetzes durch Bundesgesetz (Hebammen, Masseure und medizinische Bademeister, Ergotherapeuten, Logopäden, Physiotherapeuten u. a.) geregelt ist, oder Heilpraktiker erfasst.
Soweit es nach § 22 Absatz 1 Nummer 1 b) zulässig ist, dass „diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt" sind auch die Erfüllungsgehilfen der genannten Gesundheits- und Heilberufe erfasst.
Absatz 1 Nummer 2 Buchstaben a bis d entsprechen im wesentlichen § 13 Absatz 1 Nummern 1, 5, 6 und 9 BDSG a. F. Ein erhebliches öffentliches Interesse nach Absatz 1 Nummer 2 Buchstabe a ist insbesondere in den Fällen anzunehmen, in denen biometrische Daten zu Zwecken der eindeutigen Identifikation Betroffener verarbeitet werden.
Absatz 2 Satz 1 und 2 setzt das Erfordernis aus Artikel 9 Absatz 2 Buchstabe b, g und i der Verordnung (EU) 2016/679 um, „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ bzw. „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ vorzusehen. Die in Absatz 2 Satz 2 aufgeführten Maßnahmen treffen jeden Verantwortlichen und damit auch jeden, der besondere Kategorien personenbezogener Daten verarbeitet.
Die in Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 unter Bezugnahme auf den Artikel 9 Absatz 3 der Verordnung (EU) 2016/679 geforderten besonderen Garantien sind unmittelbar durch Absatz 1 Nummer 1 Buchstabe b umgesetzt und werden daher mit Absatz 2 Satz 3 von Absatz 2 ausgenommen.
Die Vorschrift schafft für öffentliche Stellen im Rahmen der jeweiligen Aufgabenerfüllung eine nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch denselben Verarbeiter zu einem anderen Zweck als zu demjenigen, zu dem er sie ursprünglich erhoben hat (Weiterverarbeitung). Soweit eine der tatbestandlichen Voraussetzungen nach Absatz 1 erfüllt ist, kann die Weiterverarbeitung personenbezogener Daten durch öffentliche Stellen auf diese Vorschrift gestützt werden. Dies gilt unabhängig davon, ob die Zwecke der Weiterverarbeitung mit den Zwecken, für die die Daten ursprünglich erhoben wurden, nach Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 vereinbar sind.
Absatz 2 stellt für die Weiterverarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels
9 Absatz 1 der Verordnung (EU) 2016/679 klar, dass neben dem Vorliegen einer der tatbestandlichen Voraussetzungen des Absatzes 1 auch ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679
oder nach § 22 vorliegen muss.
Mit der Vorschrift wird von dem durch die Verordnung (EU) 2016/679 eröffneten Regelungsspielraum Gebrauch gemacht, wonach die Mitgliedstaaten nationale Regelungen in Fällen, in denen der Zweck der Weiterverarbeitung nicht mit dem ursprünglichen Zweck vereinbar ist, erlassen dürfen, soweit die nationale Regelung eine „in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt“. Die Vorschrift orientiert sich an den Regelungen des § 13 Absatz 2 und des § 14 Absatz 2 bis 5 BDSG a. F.
Die Vorschrift schafft eine nationale Rechtsgrundlage für die Weiterverarbeitung personenbezogener Daten durch nichtöffentliche Stellen. Soweit eine der tatbestandlichen Voraussetzungen nach Absatz 1 erfüllt ist, kann die Weiterverarbeitung personenbezogener Datendurch die nichtöffentliche Stelle auf diese Vorschrift gestützt werden unabhängig davon, ob die Zwecke der Weiterverarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, nach Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 vereinbar sind.
Absatz 2 stellt für die Weiterverarbeitung besonderer Kategorien personenbezogener Daten klar, dass neben dem Vorliegen einer der tatbestandlichen Voraussetzungen des Absatzes 1 auch ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 muss.
Mit der Vorschrift wird von dem [in Erwägungsgrund 50] durch die Verordnung (EU) 2016/679 eröffneten Regelungsspielraum Gebrauch gemacht, wonach die Mitgliedstaaten nationale Regelungen in Fällen, in denen der Zweck der Weiterverarbeitung nicht mit dem ursprünglichen Zweck vereinbar ist, erlassen dürfen, soweit die nationale Regelung eine „ in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele darstellt“.
Die Vorschrift orientiert sich an den Regelungen der § 28 Absatz 2 Nummer 2 Buchstabe b, § 28 Absatz 2 i. V. m. Absatz 1 Nummer 2 sowie § 28 Absatz 8 Satz 1 i. V. m. Absatz 6 Nummern 1 bis 3 und Absatz 7 Satz 2 BDSG a. F.
Die Vorschrift führt den präzisen Ansatz der §§ 15, 16 BDSG a. F. zur Datenübermittlung durch öffentliche Stellen fort und trägt damit dem strengen Gesetzesvorbehalt Rechnung. Die Vorschrift schafft materiell eine nationale Rechtsgrundlage für die Übermittlung personenbezogener Daten durch öffentliche Stellen soweit diese zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, erfolgt. Die Norm findet auch auf den Fall Anwendung, in denen eine öffentliche Stelle Daten, die sie ursprünglich zu Zwecken nach § 45 erhoben hat, an einen Dritten übermittelt, der die Daten zu Zwecken der Verordnung (EU) 2016/679 verarbeiten möchte.
Absatz 1 regelt die tatbestandlichen Voraussetzungen der Datenübermittlung an öffentliche Stellen. Die Regelung erfasst Datenübermittlungen, soweit diese zur Aufgabenerfüllung erforderlich sind. Eine Übermittlung ist gemäß dieser Vorschrift zulässig, wenn die Voraussetzungen für eine Verarbeitung zu einem anderen Zweck nach § 23 vorliegen. Die Regelung entspricht § 15 Absatz 1 und 3 BDSG a. F.
Absatz 2 regelt die tatbestandlichen Voraussetzungen der Datenübermittlung an nichtöffentliche Stellen. Die Regelung entspricht § 16 Absatz 1 und 4 BDSG a. F. Die bisher in § 16 Absatz 3 BDSG a. F. normierten Informationspflichten ergeben sich unmittelbar aus Artikel 13 Absatz 3 bzw. Artikel 14 Absatz 4 der Verordnung (EU) 2016/679.
Absatz 3 stellt für die Übermittlung besonderer Kategorien personenbezogener Daten klar, dass neben dem Vorliegen einer der tatbestandlichen Voraussetzungen der Absätze 1 oder 2 auch ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 Absatz 1 vorliegen muss.
Die Öffnungsklausel des Artikels 88 der Verordnung (EU) 2016/679 lässt nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext zu. Mit § 26 hat der Gesetzgeber hiervon Gebrauch gemacht. § 26 führt die spezialgesetzliche Regelung des § 32 BDSG a. F. fort. Der Wortlaut ist an die Terminologie der Verordnung (EU) 2016/679 angepasst. Der Gesetzgeber behält sich vor, Fragen des Datenschutzes im Beschäftigungsverhältnis innerhalb dieser Vorschrift oder im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln. Dies gilt insbesondere für das Fragerecht bei der Begründung eines Beschäftigungsverhältnisses, den expliziten Ausschluss von heimlichen Kontrollen im Beschäftigungsverhältnis, die Begrenzung der Lokalisierung von Beschäftigten sowie den Ausschluss von umfassenden Bewegungsprofilen, den Ausschluss von Dauerüberwachungen und die Verwendung biometrischer Daten zu Authentifizierungs- und Autorisierungszwecken.
Absatz 1 regelt – wie bisher § 32 Absatz 1 BDSG a. F. –, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen, wenn dies zum Zweck des Beschäftigungsverhältnisses erforderlich ist.
Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.
Absatz 1 Satz 1 in Verbindung mit Absatz 5 setzt auch Artikel 10 der Verordnung (EU) 2016/679 um, der es den Mitgliedsstaaten ermöglicht, die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln im Beschäftigungskontext zuzulassen. Der Arbeitgeber kann auf diese Weise beispielsweise sicherstellen, dass die Beschäftigten keinem Verbot nach § 25 Jugendarbeitsschutzgesetz unterliegen und mit der Beaufsichtigung, Anweisung oder Ausbildung von Jugendlichen beauftragt werden dürfen.
Ebenfalls von Satz 1 umfasst ist die Verarbeitung personenbezogener Daten zum Zweck des Beschäftigungsverhältnisses, wenn dies zur Ausübung oder Erfüllung der sich aus Gesetz oder Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Dies wird durch die Ergänzung am Ende des Satzes 1 gegenüber der bisherigen Fassung des § 32 Absatz 1 BDSG a. F. klargestellt. Unter Kollektivvereinbarungen sind Tarifverträge, Betriebsvereinbarungen und Dienstvereinbarungen zu verstehen (siehe Erwägungsgrund 155 der Verordnung (EU) 2016/679).
Satz 2 benennt die Voraussetzungen für die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sind.
Absatz 2 trägt der Besonderheit des Beschäftigungsverhältnisses als Abhängigkeitsverhältnis und der daraus resultierenden Situation der Beschäftigten Rechnung. Es handelt sich ebenfalls um eine spezifischere Vorschrift im Sinne von Artikel 88 Absatz 1 der Verordnung (EU) 2016/679. Nach Erwägungsgrund 155 der Verordnung (EU) 2016/679 können insbesondere Vorschriften über die Bedingungen erlassen werden, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage einer Einwilligung der Beschäftigten verarbeitet werden dürfen.
Bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, sind insbesondere die im Beschäftigungsverhältnis grundsätzlich bestehende Abhängigkeit der oder des Beschäftigten vom Arbeitgeber und die Umstände des Einzelfalls zu berücksichtigen. Neben der Art des verarbeiteten Datums und der Eingriffstiefe ist zum Beispiel auch der Zeitpunkt der Einwilligungserteilung maßgebend. Vor Abschluss eines (Arbeits-)Vertrages werden Beschäftigte regelmäßig einer größeren Drucksituation ausgesetzt sein, eine Einwilligung in eine Datenverarbeitung zu erteilen. Satz 2 legt fest, dass eine freiwillige Einwilligung insbesondere vorliegen kann, wenn die oder der Beschäftigte infolge der Datenverarbeitung einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder Arbeitgeber und Beschäftigter gleichgerichtete Interessen verfolgen. Die Gewährung eines Vorteils liegt beispielsweise in der Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder der Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen. Auch die Verfolgung gleichgerichteter Interessen spricht für die Freiwilligkeit einer Einwilligung. Hierzu kann etwa die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder die Nutzung von Fotos für das Intranet zählen, bei der Arbeitgeber und Beschäftigter im Sinne eines betrieblichen Miteinanders zusammenwirken.
Als formelle Voraussetzung einer Einwilligung ist grundsätzlich die Schriftform angeordnet, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Damit wird die Nachweispflicht des Arbeitgebers im Sinne von Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 konkretisiert. Hinzu kommt die Pflicht des Arbeitgebers zur Aufklärung in Textform über den Zweck der Datenverarbeitung und den jederzeit möglichen Widerruf durch den Beschäftigten sowie dessen Folgen nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679.
Absatz 3 dient (neben § 22 Absatz 1 Nummer 1 Buchstabe a) der Umsetzung von Artikel 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679. Im Einklang mit der Verordnung ist eine Verarbeitung besonderer Kategorien personenbezogener Daten zu Beschäftigungszwecken zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses kann auch die Verarbeitung von Daten zur Beurteilung der Arbeitsfähigkeit einschließen. Die Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten für andere Zwecke bleibt unberührt; zum Beispiel richtet sich diese im Fall der Verarbeitung zu Zwecken der Gesundheitsvorsorge nach § 22 Absatz 1 Nummer 1 Buchstabe b. Sollte eine Verarbeitung zugleich mehreren Zwecken dienen, gilt für den jeweiligen Zweck die jeweils einschlägige Verarbeitungsgrundlage. Neben der Verhältnismäßigkeitsprüfung im Rahmen der Erforderlichkeit darf wie bisher nach § 28 Absatz 6 BDSG a. F. kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der Betroffenen die Interessen der Verantwortlichen an der Verarbeitung überwiegen. Die Vorschriften des Absatzes 2 gelten auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten, wie z.B. von Gesundheitsdaten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. An die Freiwilligkeit einer Einwilligung in die Datenverarbeitung besonderer Kategorien personenbezogener Daten sind strenge Anforderungen zu stellen. Nach Artikel 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679 muss die nationale Regelung geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsehen. Dem trägt der Verweis auf § 22 Absatz 2 Rechnung.
Absatz 4 bestimmt, dass die Verarbeitung personenbezogener Beschäftigtendaten aufgrund von Kollektivvereinbarungen zulässig ist. Artikel 88 Absatz 1 der Verordnung (EU) 2016/679 ermöglicht es, spezifischere Regelungen zum Datenschutz im Beschäftigungskontext in Kollektivvereinbarungen zu treffen. Hinsichtlich besonderer Kategorien personenbezogener Daten beruht Absatz 4 auf Artikel 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679. Besonders Betriebs- und Dienstvereinbarungen sind nach bisherigem Recht wichtige Regelungsinstrumente im Bereich des Beschäftigtendatenschutzes. Absatz 4 stellt deshalb in Umsetzung des Artikel 88 Absatz 1 der Verordnung (EU) 2016/679 klar, dass Tarifverträge, Betriebsvereinbarungen oder Dienstvereinbarungen weiterhin die Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz bilden können. Sie sollen den Verhandlungsparteien der Kollektivvereinbarungen die Ausgestaltung eines auf die betrieblichen Bedürfnisse zugeschnittenen Beschäftigtendatenschutzes ermöglichen. Dabei steht ihnen ein Ermessensspielraum im Rahmen des geltenden Rechts einschließlich der Verordnung (EU) 2016/679 zu; Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 ist zu beachten. Damit wird auch den Anforderungen des Artikel 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679 bei der Verarbeitung besonderer Kategorien personenbezogener Daten Rechnung getragen.
Nach Absatz 5 muss der Verantwortliche geeignete Maßnahmen zur Wahrung der Grundrechte und Interessen
des Beschäftigten vorsehen. Beispielsweise muss bei der Datenverarbeitung sichergestellt sein, dass sie auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Beschäftigten nachvollziehbaren Weise erfolgt. Die
Daten werden in einer Form gespeichert, die die Identifizierung des Beschäftigten nur so lange ermöglicht, wie
es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Der Verantwortliche stellt sicher, dass die Verarbeitung in einer Weise erfolgt, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet,
einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung. Er trifft sowohl zum Zeitpunkt der
Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Der Verantwortliche unternimmt Schritte um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur aufgrund seiner Anweisung verarbeiten, es sei denn, diese sind rechtlich zur Verarbeitung verpflichtet. Damit wird insbesondere auch
das Erfordernis aus Artikel 10 der Verordnung (EU) 2016/679 umgesetzt, geeignete Garantien für die Rechte und
Freiheiten der Beschäftigten vorzusehen.
Absatz 6 entspricht dem § 32 Absatz 3 BDSG a. F. und stellt klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.
Absatz 7 legt fest, dass die Absätze 1 bis 6 im Beschäftigungsverhältnis auch gelten, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Er geht dabei von der Beschreibung des Anwendungsbereichs in Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 aus und führt § 32 Absatz 2 BDSG a. F. fort.
Absatz 8 übernimmt weitgehend die bisher in § 3 Absatz 11 BDSG a. F. vorgesehenen Begriffsbestimmungen. In Nummer 1 wird klargestellt, dass Leiharbeitnehmer nicht nur im Verhältnis zum Verleiher, sondern auch im Verhältnis zum Entleiher als Beschäftigte gelten. In Nummer 5 wurden die Ausführungen zum Jugendfreiwilligendienstegesetz redaktionell überarbeitet und um das Bundesfreiwilligendienstgesetz ergänzt.
Mit § 27 Absatz 1, der für die öffentliche und private Forschung durch öffentliche und nichtöffentliche Stellen gilt, wird von der Ermächtigung aus Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 Gebrauch gemacht. Nach Artikel 9 Absatz 1 Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Artikel 9 Absatz 2 der Verordnung sieht Ausnahmen von diesem Verbot vor. Die Ausnahmen gelten teilweise unmittelbar aus der Verordnung (z. B. die ausdrückliche Einwilligung nach Artikel 9 Absatz 2 Buchstabe a. Mit § 27 Absatz 1 wird darüber hinaus auf Basis von Artikel 9 Absatz 2 Buchstabe j eine zusätzliche Regelung im nationalen Recht für die Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken geschaffen. Die Verarbeitung nach § 27 Absatz 1 setzt dabei das Vorliegen einer Rechtsgrundlage nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 voraus (z. B. gemäß Artikel 6 Absatz 1 Buchstabe f eines berechtigten Interesses des Verantwortlichen).
Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 erfordert, dass eine Forschungsklausel in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht. Dem trägt der Verweis auf § 22 Absatz 2 Satz 2 Rechnung.
§ 27 Absatz 1 gilt nur für die Verarbeitung von Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679. Die Verarbeitung von nicht unter Artikel 9 fallenden Daten richtet sich entweder unmittelbar nach der Verordnung (EU) 2016/679 (insbesondere Artikel 6 Absatz 1) oder nach im Einklang mit der Verordnung erlassenen Rechtsgrundlagen des Unions- oder nationalen Gesetzgebers. Nationale Vorschriften finden sich in diesem Gesetz oder im bereichsspezifischen Recht.
Für die Weiterverarbeitung personenbezogener Daten durch öffentliche und nichtöffentliche Stellen gilt: Nach Artikel 5 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 gilt eine Weiterverarbeitung für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke nicht als unvereinbar mit den ursprünglichen Zwecken. Da diese Zwecke bei der Weiterverarbeitung kompatibel mit dem Zweck der Erstverarbeitung sind, kann sich der Verantwortliche als Rechtsgrundlage erneut auf die Rechtsgrundlage stützen, die bereits für die Erstverarbeitung galt.
Dies trifft auch auf die Weiterverarbeitung besonderer Kategorien personenbezogener Daten zu, für die § 27 Absatz 1 als Ausnahmetatbestand von dem Verbot des Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 gilt. §§ 23, 24 finden insoweit keine Anwendung. Entsprechendes gilt für die Übermittlung besonderer Kategorien von Daten durch öffentliche Stellen zu wissenschaftlichen oder historischen und statistischen Forschungszwecken; § 25 findet insoweit keine Anwendung.
§ 27 Absatz 2 Satz 1 schränkt unter Ausnutzung der Öffnungsklausel des Artikel 89 Absatz 2 der Verordnung (EU) 2016/679 die Rechte nach den Artikeln 15, 16, 18 und 21 der Verordnung (EU) 2016/679 ein. Im Sinne des Absatzes 2 Satz 1 kann die Verwirklichung des Forschungszwecks in bestimmten Einzelfällen ohne Einschränkungen des Auskunftsrechts aus Artikel 15 der Verordnung (EU) 2016/679 z. B. dann unmöglich sein, wenn die zuständige Ethikkommission zum Schutz der betroffenen Person eine Durchführung des Projekts andernfalls untersagen würde. Darüber hinaus schränkt Absatz 2 Satz 2 in Anlehnung an § 33 Absatz 2 Satz 1 Nummer 5 i. V. m. § 34 Absatz 7 sowie § 19a Absatz 2 Nummer 2 BDSG a. F. das Auskunftsrecht für die Fälle unverhältnismäßigen Aufwands unter Ausnutzung der Öffnungsklausel des Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679 ein. Das kann beispielsweise dann der Fall sein, wenn ein Forschungsvorhaben mit besonders großen Datenmengen arbeitet.. Die Einschränkung der Betroffenenrechte in Absatz 2 gilt für alle Kategorien personenbezogener Daten.
Absätze 3 und 4 sind § 40 Absatz 2 und 3 BDSG a. F. entlehnt.
Soweit spezialgesetzliche Regelungen zur Datenverarbeitung aus dem bereichsspezifischen Recht anzuwenden sind, gehen sie § 27 vor (§ 1 Absatz 2 BDSG). Solche spezialgesetzlichen Regelungen finden sich derzeit etwa in den Sozialgesetzbüchern oder in medizinrechtlichen Gesetzen (z. B. Arzneimittelgesetz, Gendiagnostikgesetz, Transplantationsgesetz).
§ 28 gilt für die Verarbeitung personenbezogener Daten durch öffentliche und nichtöffentliche Stellen. Er bezieht sich sowohl auf öffentliches als auch privates Archivgut. Mit § 28 Absatz 1 wird von der Ermächtigung aus Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 Gebrauch gemacht. Nach Artikel 9 Absatz 1 Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Artikel 9 Absatz 2 der Verordnung sieht Ausnahmen von diesem Verbot vor. Die Ausnahmen gelten teilweise unmittelbar aus der Verordnung (z.B. die ausdrückliche Einwilligung nach Artikel 9 Absatz 2 Buchstabe a).
Mit § 28 Absatz 1 wird darüber hinaus auf Basis von Artikel 9 Absatz 2 Buchstabe j im nationalen Recht ein zusätzlicher Ausnahmetatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten geschaffen. Der Verweis in Absatz 1 auf den Beispielskatalog des § 22 Absatz 2 Satz 2 hat nicht zur Folge, dass die Anwendung mindestens einer genannten Maßnahme bei der Verarbeitung besonderer Kategorien von Daten zu im öffentlichen Interesse liegenden Archivzwecken zwingend ist. Vielmehr können auch andere angemessene und spezifische Maßnahmen getroffen werden.
§ 28 Absatz 1 gilt nur für die Verarbeitung von Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679. Die Verarbeitung von nicht unter Artikel 9 fallenden Daten richtet sich entweder unmittelbar nach der Verordnung (EU) 2016/679 (insbesondere Artikel 6 Ab-satz 1) oder nach im Einklang mit der Verordnung erlassenen Rechtsgrundlagen des Unions- oder nationalen Gesetzgebers. Nationale Vorschriften finden sich in diesem Gesetz oder im bereichsspezifischen Recht.
Für die Weiterverarbeitung gilt: Nach Artikel 5 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 gilt eine Weiterverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken nicht als unvereinbar mit den ursprünglichen Zwecken. Daher kann sich der Verantwortliche hinsichtlich der Rechtsgrundlage für die Weiterverarbeitung erneut auf die Rechtsgrundlage stützen, die bereits für die Erstverarbeitung galt. §§ 23, 24 und 25 finden keine Anwendung. Will der Verantwortliche aber besondere Kategorien von Daten weiterverarbeiten, benötigt er nicht nur eine Rechtsgrundlage, sondern auch einen Ausnahmetatbestand von dem Verbot des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679. Er muss mithin auch bei der Weiterverarbeitung § 28 Absatz 1 beachten.
In den Absätzen 2 bis 4 werden unter Ausnutzung der Öffnungsklausel des Artikels 89 Absatz 3 der Verordnung (EU) 2016/679 die Rechte gemäß der Artikel 15, 16, 18, 20 und 21 der Verordnung (EU) 2016/679 eingeschränkt. Die Ausnahme gemäß Absatz 2 bezieht sich auf sämtliche durch Artikel 15 der Verordnung (EU) 2016/679 gewährten Rechte, insbesondere auch auf das Recht auf Erhalt einer Kopie. Die Absätze 2 bis 4 gelten für die Verarbeitung sämtlicher personenbezogenen Daten, einschließlich besonderer Kategorien personenbezogener Daten.
Auf der Grundlage der Öffnungsklausel des Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679 beschränkt Absatz 1 wie bisher nach dem BDSG a. F. gegenüber Geheimnisträgern das Recht auf Information (§ 19a Absatz 3 i. V. m. § 19 Absatz 4 Nummer 3; § 33 Absatz 2 Satz 1 Nummer 3 BDSG a. F.) und Auskunft § 19 Absatz 4 Nummer 3; § 34 Absatz 7 BDSG a. F. Satz 2 beschränkt die Betroffenenrechte auch für die Fälle, in denen Informationen „nach einer Rechtsvorschrift“ geheim gehalten werden müssen; Satz 1 bezieht sich nicht auf diese nach Rechtsvorschriften bestehenden Geheimhaltungspflichten, da die Informationspflicht hier bereits unmittelbar durch Artikel 14 Absatz 5 Buchstabe d der Verordnung (EU) 2016/679 beschränkt wird. Sätze 3 und 4 beziehen sich auf eine Beschränkung der Benachrichtigungspflicht nach Artikel 34 der Verordnung (EU) 2016/679.
Absatz 2 dient dem Schutz der ungehinderten Kommunikation zwischen Mandant und Berufsgeheimnisträger. Wirtschaftsprüfer und Rechtsanwälte werden oftmals nicht (nur) mit der Verfolgung von Rechtsansprüchen (vgl. hierzu § 32 Absatz 1 Nummer 4), sondern mit vielfältigen Beratungsdienstleistungen (Steuerberatung; Begleitung von Unternehmenstransaktionen; Gutachter- und Sachverständigentätigkeit etc.) beauftragt. Es widerspräche dem besonderen Schutz des Mandatsverhältnisses, wenn der Mandant in jedem Fall sämtliche durch die Datenübermittlung an den Berufsgeheimnisträger betroffenen Personen über die Zwecke der Datenübermittlung, die Identität der beauftragten Berufsgeheimnisträger etc. informieren müsste. Durch die in Absatz 2 letzter Halbsatz eingefügte Abwägungsklausel wird den Rechten der Betroffenen angemessen Rechnung getragen. Die Einschränkung der Informationspflicht beruht auf der Öffnungsklausel des Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679.
Absatz 3 Satz 1 macht von der Öffnungsklausel des Artikels 90 der Verordnung (EU) 2016/679 Gebrauch, ihr entspricht Erwägungsgrund 164 der Verordnung. Nach Artikel 58 Absatz 1 Buchstaben e und f der Verordnung (EU) 2016/679 haben die Aufsichtsbehörden die Befugnis, von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu erhalten zu allen für die Erfüllung ihrer Aufgaben notwendigen personenbezogenen Daten und Informationen sowie zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte. Artikel 90 Absatz 1 Verordnung (EU) 2016/679 eröffnet den Mitgliedstaaten die Möglichkeit, die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber Geheimnisträgern zu regeln. Mit Absatz 3 Satz 1 wird diese Möglichkeit insbesondere dergestalt umgesetzt, dass eine Aufsichtsbehörde entgegen Artikel 58 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 dann keinen Zugang zu Daten und Informationen hat, soweit dadurch die Geheimhaltungspflicht verletzt würde. Ohne eine Einschränkung der Befugnisse der Aufsichtsbehörden käme es zu einer Kollision mit Pflichten des Geheimnisträgers. Gerade bei den freien Berufen schützt die berufsrechtliche Schweigepflicht das Vertrauen des Mandanten und der Öffentlichkeit in den Berufsstand. Nach bundesverfassungsgerichtlicher Rechtsprechung darf das Mandatsverhältnis nicht mit Unsicherheiten hinsichtlich seiner Vertraulichkeit belastet sein (vgl. BVerfG, Urteil vom 12. April 2005 – 2 BvR 1027/02). Absatz 3 Satz 2 verlängert die Geheimhaltungspflicht auf die Aufsichtsbehörde. Berufsgeheimnisträger bedienen sich vermehrt externer IT-Dienstleister und verpflichten diese als Auftragsverarbeiter vertraglich zur Verschwiegenheit. Um zu vermeiden, dass die Auftragsverarbeiter vertragsbrüchig werden, wenn sie die ihnen anvertrauten Daten gegenüber den Aufsichtsbehörden offenlegen müssten, umfasst Absatz 3 auch den Auftragsverarbeiter.
Die Vorschrift entspricht § 29 Absatz 6 und 7 BDSG a. F. Mit diesen Absätzen war Artikel 9 der Verbraucherkreditrichtlinie 2008/48/EG umgesetzt worden. Um der Umsetzungspflicht gemäß dieser Richtlinie weiterhin nachzukommen, ist § 30 erforderlich.
Die Vorschrift erhält den materiellen Schutzstandard der §§ 28a und 28b BDSG a. F. Die in der bisherigen Fassung des BDSG enthaltenen Regelungen zu Auskunfteien und Scoring dienen dem Schutz des Wirtschaftsverkehrs und besitzen für Betroffene wie auch für die Wirtschaft eine überragende Bedeutung. Verbraucher vor Überschuldung zu schützen, liegt sowohl im Interesse der Verbraucher selbst als auch der Wirtschaft. Die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften bilden das Fundament des deutschen Kreditwesens und damit auch der Funktionsfähigkeit der Wirtschaft.
Die Regelung übernimmt die in § 28b BDSG a. F. festgelegten Voraussetzungen und konkretisiert, welche Voraussetzungen ein von einer Auskunftei ermittelter Score-Wert im Hinblick auf sog. Negativ-Merkmale erfüllen muss, damit er im Wirtschaftsverkehr verwendet werden darf. Für die Verwendung des Score-Wertes wird auf die Kriterien der derzeitigen § 28a Absatz 1 und § 28b zurückgegriffen, die die im Wirtschaftsleben bedeutsame Tätigkeit von Auskunfteien sowie die Ermittlung von Score-Werten grundsätzlich ermöglichen. Die Kriterien des § 28a Absatz 1 und des § 28b begrenzen die Zulässigkeit der Ermittlung von Score-Werten in bestimmten Fällen und schaffen so einen angemessenen Ausgleich der widerstreitenden Interessen, beispielsweise dadurch, dass Auskunfteien offene Forderungen nur dann gemeldet werden dürfen und dort verarbeitet werden können, wenn sie unbestritten oder tituliert sind. § 29a Absatz 2 BDSG lässt die Vorschriften des allgemeinen Datenschutzrechts über die Zulässigkeit der Verarbeitung von personenbezogenen Daten unberührt. Dies betrifft etwa unter anderem auch die Übermittlung und Verwendung für die Ermittlung von Wahrscheinlichkeitswerten von personenbezogenen Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses eines Geschäfts mit finanziellem Ausfallrisiko (Positivdaten).
Insoweit wird für alle Beteiligten Sicherheit in der Weise geschaffen, dass Scoringverfahren und Kreditinformationssysteme mit der Einmeldung von Positiv- und Negativdaten, die z. B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder Leasinggesellschaften erfolgt, prinzipiell weiter zulässig bleiben. Sie werden nach wie vor als wichtige Voraussetzungen für das Wirtschaftsleben angesehen.
Artikel 23 der Verordnung (EU) 2016/679 sieht vor, dass die Rechte und Pflichten gemäß den Artikeln 12 bis 22 und Artikel 34 sowie die in Artikel 5 geregelten Grundsätze für die Verarbeitung personenbezogener Daten, sofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, durch Rechtsvorschriften der Union oder der Mitgliedstaaten beschränkt werden können.
Die Beschränkung muss den Wesensgehalt der Grundrechte und Grundfreiheiten achten und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen, um die in Artikel 23 Absatz 1 Buchstaben a bis j aufgezählten Ziele sicherzustellen.
Artikel 23 der Verordnung (EU) 2016/679 verlangt besondere Maßnahmen zum Schutz der Grundrechte und Grundfreiheiten der von der Beschränkung betroffenen Person. Insbesondere muss gemäß Artikel 23 Absatz 2 der Verordnung (EU) 2016/679 jede Gesetzgebungsmaßnahme „insbesondere gegebenenfalls spezifische Vorschriften“ zumindest in Bezug auf die in Artikel 23 Absatz 2 der Verordnung (EU) 2016/670 Buchstaben a bis h aufgezählten Maßnahmen enthalten.
Die in Kapitel 2 vorgenommenen Einschränkungen der Betroffenenrechte und Pflichten des Verantwortlichen und Auftragsverarbeiters ergänzen die in der Verordnung (EU) 2016/679 unmittelbar vorgesehenen Ausnahmen.
Die Beschränkungen der Betroffenenrechte in Kapitel 2 finden auch Anwendung auf die in Artikel 89 der Verordnung (EU) 2016/679 geregelte Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken. Zwar bestimmt Artikel 89 Absatz 2 und 3, dass bei einer Verarbeitung zu den dort genannten Forschungs- und statistischen Zwecken Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18 und 21 sowie bei der Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken zusätzlich Artikel 19 und 20 vorsehen können, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. Eine Beschränkung der Betroffenenrechte muss jedoch nicht nur nach Artikel 89 Absatz 2 und 3, sondern auch nach Artikel 23 der Verordnung (EU) 2016/679 möglich sein, da die Verarbeitung zu den in Artikel 89 genannten Zwecken andernfalls gegenüber sonstigen Verarbeitungen schlechter gestellt wäre, obwohl der Verordnungsgeber die Verarbeitung zu Archiv-, Forschungs- und Statistikzwecken ausweislich der Sonderreglung in Kapitel IX der Verordnung (EU) 2016/679 privilegieren wollte.
(Siehe die allgemeinen Begründungen zum "Kapitel 2" des BDSG-neu, wie sie weiter oben gegeben werden.)
Die in Absatz 1 vorgesehene Beschränkung der Informationspflicht gilt nur für die in Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 vorgesehene Fallgruppe, dass der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die Daten bei der betroffenen Person erhoben wurden. Die Informationspflicht aus Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 wird demgegenüber nicht beschränkt.
Die mit der Verordnung (EU) 2016/679 erstmals eingeführte (Folge-)Informationspflicht des Verantwortlichen bei beabsichtigter Zweckänderung findet im BDSG a. F. bislang keine Entsprechung. In dieser Konstellation besteht im Gegensatz zu der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 vorgesehenen Informationspflicht zum Zeitpunkt der Erhebung der Daten typischerweise kein unmittelbarer Kontakt zwischen dem Verantwortlichen und der betroffenen Person.
In diesen Fällen kann sich die Information der betroffenen Person als unverhältnismäßig erweisen. Absatz 1 Nummer 1 sieht daher eine Ausnahme von der Informationspflicht nach Artikel 13 Absatz 3 der Verordnung (EU) 2016 vor, wenn und soweit die Erteilung der Information einen unverhältnismäßigen Aufwand erfordern würde und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere wegen des Zusammenhangs, in dem die Daten erhoben wurden, als gering anzusehen ist. Ein unverhältnismäßiger Aufwand kann beispielsweise vorliegen, wenn die Kontaktdaten des Betroffenen dem Verantwortlichen nicht bekannt und auch nicht ohne Weiteres zu ermitteln sind. Als Anhaltspunkte für die Beurteilung der Unverhältnismäßigkeit können die Anzahl der betroffenen Personen, das Alter der Daten oder das Bestehen geeigneter Garantien einbezogen werden (Erwägungsgrund 62 der Verordnung (EU) 2016/679). Ebenso ist die Art der zur Verfügung stehenden Kommunikationswege zu berücksichtigen.
Die Nummern 2 und 3 enthalten speziell für öffentliche Stellen geltende Einschränkungen der Informationspflicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben gefährden (Nummer 2) oder die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde (Nummer 3). Einschränkende Voraussetzung ist in beiden Fällen, dass die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen.
Nummer 4 sieht eine Einschränkung zur Sicherstellung der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor (Artikel 23 Absatz 1 Buchstabe j der Verordnung (EU) 2016/679).
Nummer 5 schützt die vertrauliche Übermittlung von Daten an öffentliche Stellen (Artikel 23 Absatz 1 Buchstabe e der Verordnung 2016/679). Erfasst sind beispielsweise Fallgruppen, in denen die Information der betroffenen Person über die Weiterverarbeitung zu einer Vereitelung oder ernsthaften Beeinträchtigung des – legitimen – Verarbeitungszwecks führen würde, etwa wenn die zuständige Strafverfolgungsbehörde über den Verdacht einer Straftat informiert werden soll.
Absatz 2 legt fest, dass der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person zu treffen hat, wenn eine Information der betroffenen Person nach Maßgabe des Absatzes 1 unterbleibt. Hierdurch werden die nach Artikel 23 Absatz 2 der Verordnung (EU) 2016/679 erforderlichen Schutzmaßnahmen beachtet. Zu den geeigneten Maßnahmen zählt die Bereitstellung dieser Informationen für die Öffentlichkeit. Eine Veröffentlichung in allgemein zugänglicher Form kann etwa die Bereitstellung der Information auf einer allgemein zugänglichen Webseite des Verantwortlichen sein (Erwägungsgrund 58 Satz 2 der Verordnung (EU) 2016/679). Die Information hat in Entsprechung zu Artikel 12 Absatz 1 der Verordnung (EU) 2016/679 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen.
Der Verantwortliche hat schriftlich zu fixieren, aus welchen Gründen er von einer Information abgesehen hat. Die Stichhaltigkeit der Gründe unterliegt der Kontrolle durch die zuständige Aufsichtsbehörde, die durch die Dokumentationspflicht ermöglicht wird. Die in Absatz 2 Satz 1 und 2 zum Schutz der berechtigten Interessen der betroffenen Person geforderten Maßnahmen des Verantwortlichen finden im Fall des Absatz 1 Nummer 4 und 5 keine Anwendung. Andernfalls könnten die in Satz 1 und 2 geforderten Maßnahmen zu einer Vereitelung oder ernsthaften Beeinträchtigung des – legitimen – Verarbeitungszwecks führen.
Absatz 3 bestimmt, dass der Verantwortliche die Information der betroffenen Person zeitnah nachzuholen hat, wenn die Ausschlussgründe des Absatzes 1 nur vorübergehend vorliegen.
(Siehe die allgemeinen Begründungen zum "Kapitel 2" des BDSG-neu, wie sie weiter oben gegeben werden.)
§ 33 Absatz 1 enthält in Ergänzung der in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 und § 29 Absatz 1 Satz 1 genannten Ausnahmen Einschränkungen der Informationspflicht des Verantwortlichen aus Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU) 2016/679.
Absatz 1 Nummer 1, der nur für öffentliche Stellen gilt, ist eng angelehnt an die Ausnahmeregelungen des § 19a Absatz 3 i. V. m. § 19 Absatz 4 Nummer 1 und 2 BDSG a. F. Es wird auf die Begründung zu § 31 Absatz 1 Nummer 2 und 3 verwiesen.
Absatz 1 Nummer 2 gilt nur für nichtöffentliche Stellen. Nummer 2 Buchstabe a entspricht im Wesentlichen § 33 Absatz 2 Satz 1 Nummer 7b) BDSG a. F. Der Ausnahmetatbestand ist eng auszulegen; die Möglichkeit des Scheiterns einzelner Geschäfte des Verantwortlichen, etwa das Zustandekommen oder die Abwicklung eines Vertrags mit der betroffenen Person, begründen keine Ausnahme von der Informationspflicht. Notwendig ist vielmehr, dass die allgemein anerkannten Geschäftszwecke des Verantwortlichen insgesamt gefährdet werden. Für den Begriff „Geschäftszweck“ gilt dasselbe Verständnis wie bisher, die neu eingefügte Ergänzung „allgemein anerkannt“ dient der Eingrenzung. Einen Anwendungsfall können Datenverarbeitungen zur Verfolgung zivilrechtlicher Ansprüche darstellen (Artikel 23 Absatz 1 Buchstabe j der Verordnung (EU) 2016/679).
Absatz 1 Nummer 2 Buchstabe b ist an § 33 Absatz 2 Satz 1 Nummer 6 BDSG a. F. angelehnt. Die im konkreten Umfang (Artikel 23 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679) vorgesehene Beschränkung der Informationspflicht dient den Zielen der nationalen Sicherheit (Artikel 23 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679), der Landesverteidigung (Artikel 23 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679), der öffentlichen Sicherheit (Artikel 23 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679), der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Artikel 23 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679) sowie sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder der Bundespublik Deutschland (Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679).
Absatz 2 entspricht § 32 Absatz 2 Satz 1 und 2. Auf die dortige Begründung wird verwiesen.
Absatz 3 betrifft den bislang in § 19a Absatz 3 i. V. m. § 19 Absatz 3 BDSG a. F. geregelten Fall der Informationserteilung bei Datenübermittlung durch öffentliche Stellen an die dort aufgeführten Behörden zu Zwecken der nationalen Sicherheit.
(Siehe die allgemeinen Begründungen zum "Kapitel 2" des BDSG-neu, wie sie weiter oben gegeben werden.)
§ 34 Absatz 1 enthält ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2 und § 29 Absatz 1 Satz 2 genannten Ausnahmen Einschränkungen des Auskunftsrechts der betroffenen Person. Die Absätze 2 und 3 regeln, anknüpfend an die bisherige Regelung des § 19 Absatz 5 und 6 BDSG a. F., Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person und weiten diese im Vergleich zur bisherigen Rechtslage aus.
Absatz 1 Nummer 1 verweist für das Auskunftsrecht auf die Beschränkungen des § 33 Absatz 1 und 3. Durch den Verweis werden die bislang bestehenden Einschränkungen des Auskunftsrechts der betroffenen Person aus § 19 Absatz 3 und 4 Nummer 1 und 2 sowie § 34 Absatz 7 i. V. m. § 33 Absatz 2 Satz 1 Nummer 6 und 7b BDSG a. F. modifiziert übernommen.
Absatz 1 Nummer 2 führt § 19 Absatz 2 und § 33 Absatz 2 Satz 1 Nummer 2 BDSG a. F. im Wesentlichen fort. In Erweiterung der bisherigen Rechtslage hat der Verantwortliche jedoch sicherzustellen, dass durch geeignete technische und organisatorische Maßnahmen eine Verwendung der Daten zu anderen Zwecken ausgeschlossen ist. Bei der Ermittlung des Aufwands hat der Verantwortliche die bestehenden technischen Möglichkeiten, gesperrte und archivierte Daten der betroffenen Person im Rahmen der Auskunftserteilung verfügbar zu machen, zu berücksichtigen. Werden die Daten ausschließlich aufgrund von Aufbewahrungsvorschriften gespeichert, ist die Verarbeitung der Daten einzuschränken (§ 35 Absatz 3).
Die Dokumentationspflicht und die Begründungspflicht nach Absatz 2 sind Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen im Sinne des Artikels 23 Absatz 2 Buchstaben c, d, g und h der Verordnung (EU) 2016/679. Hierdurch wird die betroffene Person in die Lage versetzt, die Ablehnung der Auskunftserteilung nachzuvollziehen und gegebenenfalls durch die zuständige Aufsichtsbehörde prüfen zu lassen. Ergänzend hierzu hat der Verantwortliche nach Artikel 12 Absatz 4 der Verordnung (EU) 2016/679 die betroffene Person auf die Möglichkeit der Beschwerde bei der zuständigen Aufsichtsbehörde und des gerichtlichen Rechtsschutzes hinzuweisen (bislang § 19 Absatz 5 Satz 2 BDSG a. F.). Satz 3 enthält die bisher in § 34 Absatz 5 BDSG a. F. enthaltene strenge Zweckbindung der zum Zweck der Auskunftserteilung und zu deren Vorbereitung gespeicherten Daten.
Absatz 3 entspricht § 19 Absatz 6 BDSG a. F. Die Beschränkung dient dem Schutz der öffentlichen Sicherheit (Artikel 23 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679) und der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten (Artikel 23 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679).
Absatz 4 führt die nach bisherigem Recht (§ 19 Absatz 1 Satz 3 BDSG a. F.) bestehende Einschränkung des Auskunftsrechts für personenbezogene Daten fort, die durch öffentliche Stellen weder automatisiert verarbeitet noch – ohne automatisiert verarbeitet zu werden – in einem Dateisystem gespeichert sind oder werden sollen. Diese Form der Datenverarbeitung ist zwar nach Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 nicht von deren sachlichen Anwendungsbereich erfasst, jedoch gilt nach § 1 Absatz 8 die Verordnung (EU) 2016/679 – und mithin auch das Auskunftsrecht nach deren Artikel 15 – auch für diese Form der Datenverarbeitung. Unter Absatz 4 fallen insbesondere Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind (vgl. Erwägungsgrund 15 Satz 3 der Verordnung (EU) 2016/679). Die Einschränkung liegt daher außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679. Das Auskunftsrecht besteht nur unter der Voraussetzung, dass die betroffene Person Angaben macht, die dem Verantwortlichen das Auffinden der Daten ermöglichen. Ferner darf der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse stehen. Beide Voraussetzungen bestehen bereits im geltenden Recht (§ 19 Absatz 1 Satz 3 BDSG a. F.), dessen Schutzstandard erhalten bleibt.
(Siehe die allgemeinen Begründungen zum "Kapitel 2" des BDSG-neu, wie sie weiter oben gegeben werden.)
§ 35 schränkt das Recht der betroffenen Person auf Löschung und die damit korrespondierende Pflicht des Verantwortlichen aus Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ein. Die in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen bleiben von der Vorschrift unberührt. Die Regelung gilt sowohl für öffentliche als auch nichtöffentliche Stellen. Die bisherige Rechtslage (§§ 20 Absatz 3, 35 Absatz 3 BDSG a. F.) wird weitgehend fortgeführt.
Unter den Voraussetzungen der Absätze 1 bis 3 tritt an die Stelle der Löschung die Einschränkung der Verarbeitung (Artikel 18 der Verordnung (EU) 2016/679).
Hierdurch wird die Beschränkung des Rechts auf bzw. der Pflicht zur Löschung personenbezogener Daten auf das erforderliche Ausmaß im Sinne des Artikel 23 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 begrenzt. Artikel 18 Absatz 2 und 3 sowie Artikel 19 der Verordnung (EU) 2016/679 vermitteln effektive Garantien gegen Missbrauch und unrichtige Übermittlung im Sinne des Artikels 23 Absatz 2 Buchstabe d der Verordnung (EU) 2016/679.
Absatz 1 Satz 1 und 2 entspricht der bisherigen Regelung des § 20 Absatz 3 Nummer 3 und § 35 Absatz 3 Nummer 3 BDSG a. F. Der vertretbare Aufwand für den Verantwortlichen bemisst sich nach dem jeweiligen Stand der Technik und erfasst insbesondere nicht oder nur mit unverhältnismäßig hohem Aufwand veränderbare oder löschbare Datenspeicher. Einschränkend gilt dies nach Satz 3 nicht für die Fallgruppe des Artikels 17 Buchstabe d der Verordnung (EU) 2016/679, da der Verantwortliche bei einer unrechtmäßigen Datenverarbeitung nicht schutzwürdig ist und sich nicht auf einen unverhältnismäßig hohen Aufwand der Löschung wegen der von ihm selbst gewählten Art der Speicherung berufen kann.
Absatz 2 Satz 1 sieht eine Beschränkung zur Wahrung schutzwürdiger Interessen der betroffenen Person vor (Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679). Die Ausnahme entspricht § 20 Absatz 3 Nummer 2 und § 35 Absatz 3 Nummer 2 BDSG a. F. Sie ergänzt in den Fällen, in denen der Verantwortliche die Daten der betroffenen Person nicht länger benötigt oder unrechtmäßig verarbeitet hat (Artikel 17 Absatz 1 Buchstabe a und d der Verordnung (EU) 2016/679) die Regelung des Artikel 18 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679. Nach Artikel 18 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 erfolgt die Einschränkung der Verarbeitung unrechtmäßig verarbeiteter Daten nur auf entsprechendes Verlangen der betroffenen Person. Artikel 18 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 lässt eine Einschränkung der Verarbeitung nicht länger benötigter Daten auf Verlangen der betroffenen Person nur zu, wenn die betroffene Person sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. Absatz 2 sieht demgegenüber auch ohne entsprechendes Verlangen der betroffenen Person eine generelle Pflicht des Verantwortlichen zur Einschränkung der Verarbeitung vor, wenn er Grund zu der Annahme hat, dass durch die Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden. Die Regelung ist notwendig, da der Verantwortliche nach Artikel 17 der Verordnung (EU) 2016/679 grundsätzlich verpflichtet ist, nicht mehr erforderliche oder unrechtmäßig verarbeitete Daten zu löschen.
Die Einschränkung der Verarbeitung anstelle der Löschung soll die betroffene Person in die Lage versetzen, ihr Verlangen auf Einschränkung der Verarbeitung gegenüber dem Verantwortlichen zu äußern oder sich für eine Löschung der Daten zu entscheiden. Dies wird durch die Unterrichtungspflicht nach Satz 2, welche zugleich eine Maßnahme zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person nach Artikel 23 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 darstellt, gewährleistet. In der Regel wird es sich daher nur um eine vorübergehende Beschränkung der Löschungspflicht des Verantwortlichen handeln (Artikel 23 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679).
Absatz 3 sieht eine Beschränkung für den Fall vor, dass einer Löschung nicht mehr erforderlicher Daten satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. Die in § 20 Absatz 3 Nummer 1 und § 35 Absatz 3 Nummer 1 BDSG a. F. vorgesehene ergänzende Einschränkung der gesetzlichen Aufbewahrungsfrist ist in § 35 über die sich unmittelbar aus der Verordnung (EU) 2016/679 ergebende Ausnahme des Artikels 17 Absatz 3 Buchstabe b – Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Union oder der Mitgliedstaaten – erfasst. Die Ausnahme schützt den Verantwortlichen vor einer Pflichtenkollision.
(Siehe die allgemeinen Begründungen zum "Kapitel 2" des BDSG-neu, wie sie weiter oben gegeben werden.)
§ 36 schränkt das Recht auf Widerspruch nach Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 gegenüber einer öffentlichen Stelle ein, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet. § 36 setzt öffentliche Interessen des Verantwortlichen im Sinne des Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 voraus, die im konkreten Einzelfall zwingend sein und Vorrang vor den Interessen der betroffenen Person haben müssen. Darüber hinaus ist das Recht auf Widerspruch ausgeschlossen, wenn eine Rechtsvorschrift zur Verarbeitung verpflichtet. § 27 Absatz 2 und § 28 Absatz 4 enthalten spezifische Einschränkungen des Widerspruchsrechts für die Datenverarbeitung zu Forschungszwecken, statistischen Zwecken und im öffentlichen Interesse liegenden Archivzwecken.
(Siehe die allgemeinen Begründungen zum "Kapitel 2" des BDSG-neu, wie sie weiter oben gegeben werden.)
§ 37 trägt den spezifischen Belangen der Versicherungswirtschaft Rechnung. Absatz 1 erlaubt eine automatisierte Einzelentscheidung über die in Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 genannten Fälle hinaus, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht. Es müssen die in den Nummern 1 und 2 genannten alternativen Voraussetzungen erfüllt sein.
Die Regelung beruht auf Artikel 22 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679, welcher den Mitgliedstaaten die Möglichkeit einräumt, über nach Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 hinausgehende Zulässigkeitstatbestände für automatisierte Entscheidungen im Einzelfall zu schaffen. Auch der spezialgesetzlich geregelte automatisierte Erlass von Verwaltungsakten (§ 35a VwVfG) im Rahmen vollautomatisierter Verwaltungsverfahren kann auf Artikel 22 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679 gestützt werden.
Im Gegensatz zu Artikel 22 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 ist das Bestehen eines Vertragsverhältnisses zwischen der von der automatisierten Entscheidung betroffenen Person und dem Verantwortlichen keine zwingende Voraussetzung des Absatzes 1. Es genügt vielmehr, dass die automatisierte Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht.
Durch Absatz 1 Nummer 1 bleiben die bislang nach § 6a Absatz 2 Nummer 1 BDSG a. F. zulässigen automatisierten Einzelentscheidungen im Rahmen außervertraglicher Rechtsverhältnisse („sonstige Rechtsverhältnisse“) weiterhin möglich. Absatz 1 Nummer 1 ermöglicht insbesondere die automatisierte Schadensregulierung zwischen der Kfz-Haftpflichtversicherung des Schädigers und dem Geschädigten. Voraussetzung ist, dass dem Begehren des Antragstellers, der gleichzeitig datenschutzrechtlich die betroffene Person ist, entsprochen wird. In diesen Fällen ist eine Rechtsbeeinträchtigung der betroffenen Person nicht ersichtlich.
Absatz 1 Nummer 2 ermöglicht die automatisierte Entscheidung über Versicherungsleistungen der Privaten Krankenversicherung bei der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen. Auch wenn dem Begehren des Antragstellers als von der Entscheidung betroffener Person nicht oder nicht vollständig stattgegeben wird, ist die automatisierte Rechnungsprüfung durch die Private Krankenversicherung – wie bisher nach § 6a Absatz 2 Nummer 2 BDSG a. F. – zulässig, wenn der Verantwortliche angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft. Hierzu zählt zumindest das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung. Über diese Rechte ist die betroffene Person zu informieren. Die aufgeführten Maßnahmen entsprechen den Schutzmechanismen des Artikels 22 Absatz 3 der Verordnung (EU) 2016/679, so dass zwischen § 37 Absatz 1 Nummer 2 und den Zulässigkeitstatbeständen des Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 ein harmonisiertes Konzept der Schutzmechanismen besteht.
Beantragt hingegen ein Versicherungsnehmer mit personenbezogenen Daten eines Dritten, namentlich eines im Rahmen der Privaten Krankenversicherung mitversicherten Angehörigen, eine Leistung, liegt keine Entscheidung im Sinne des Artikels 22 Absatz 1 der Verordnung (EU) 2016/679 gegenüber der datenschutzrechtlich betroffenen Person – dem Dritten – vor. Vielmehr entscheidet die Versicherung ausschließlich automatisiert über Ansprüche aus dem Versicherungsvertrag mit dem Antragsteller als Versicherungsnehmer. Hierbei werden personenbezogene Daten des Dritten automatisiert verarbeitet, wofür es einer Rechtsgrundlage nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679, jedoch keiner Ausnahmeregelung vom grundsätzlichen Verbot der automatisierten Entscheidung im Einzelfall bedarf.
Absatz 2 Satz 1 erlaubt Versicherungsunternehmen im Rahmen automatisierter Entscheidungen nach Absatz 1 eine Verarbeitung von Gesundheitsdaten im Sinne des Artikel 4 Nummer 15 der Verordnung (EU) 2016/679. Dies ist insbesondere bei der automatisierten Abrechnung von Leistungsansprüchen durch die Private Krankenversicherung notwendig. Absatz 2 beruht auf Artikel 22 Absatz 4 in Verbindung mit Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679. Die Gewährleistung eines bezahlbaren und funktionsfähigen Krankenversicherungsschutzes in der Privaten Krankenversicherung ist als gewichtiges Interesse des Gemeinwohls anerkannt. Eine wirtschaftliche Leistungsbearbeitung im Massenverfahren setzt den Einsatz von automatisierten Verfahren voraus, insbesondere wenn es um die Anwendung gesetzlicher und somit standardisierter Gebührenordnungen (zum Beispiel GOÄ) geht.
Nach Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 muss die nationale Regelung in angemessenem Verhältnis zu dem verfolgten Ziel stehen, den Wesensgehalt des Rechts auf Datenschutz wahren und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsehen. Dem trägt der Verweis in Absatz 2 Satz 2 auf § 22 Absatz 2 Satz 2 Rechnung.
§ 38 trifft unter Nutzung der durch Artikel 37 Absatz 4 Satz 1 Halbsatz 2 und Artikel 38 Absatz 5 der Verordnung (EU) 2016/679 vermittelten Gestaltungsspielräume Regelungen zur Benennungspflicht und zur Verschwiegenheitspflicht bzw. dem Zeugnisverweigerungsrecht von Datenschutzbeauftragten in nichtöffentlichen Stellen. Diese ergänzen die Vorgaben der Artikel 37 bis 39 der Verordnung (EU) 2016/679 zu der Benennung, der Stellung und den Aufgaben betrieblicher Datenschutzbeauftragter.
In Absatz 1 wird von der Öffnungsklausel des Artikels 37 Absatz 4 Satz 1 Halbsatz 2 der Verordnung (EU) 2016/679 Gebrauch gemacht.
Satz 1 ist inhaltlich an den bisherigen § 4f Absatz 1 Satz 4 BDSG a. F. angelehnt. Danach haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Satz 2 entspricht inhaltlich im Wesentlichen der bisherigen Regelung des § 4f Absatz 1 Satz 6 BDSG a. F.
Absatz 2 verweist für die betrieblichen Datenschutzbeauftragten, sofern aufgrund der Verordnung (EU) 2016/679 oder Absatz 1 eine Pflicht zur Benennung besteht, auf den besonderen Kündigungsschutz des § 6 Absatz 4. Die in § 6 Absatz 5 Satz 2 und Absatz 6 vorgesehenen Regelungen zur Verschwiegenheitspflicht und zum Zeugnisverweigerungsrecht, die auf Artikel 38 Absatz 5 der Verordnung (EU) 2016/679 beruhen, finden auch für betriebliche Datenschutzbeauftragte stets Anwendung.
Artikel 43 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 sieht vor, dass die für die Zertifizierung von Verantwortlichen oder Auftragsverarbeitern zuständigen Zertifizierungsstellen durch die Aufsichtsbehörden und/oder die gemäß Verordnung (EG) 765/2008 benannten nationalen Akkreditierungsstellen akkreditiert werden. Die Mitgliedstaaten haben sicherzustellen, dass die Akkreditierung durch eine oder beide dieser Institutionen erfolgt. Die Deutsche Akkreditierungsstelle (DAkkS) ist die gemäß der Verordnung (EG) 765/2008 benannte nationale Akkreditierungsstelle.
§ 39 sieht in Ausübung des durch Artikel 43 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 eröffneten mitgliedstaatlichen Gestaltungsspielraums eine Akkreditierung der Zertifizierungsstellen auf der Grundlage des Akkreditierungsgesetzes vor. Die Akkreditierung durch die DAkkS ist sachgerecht, weil die DAkkS über hohe Kompetenz und Erfahrung bei der Akkreditierung und über eine etablierte und erprobte Akkreditierungsinfrastruktur verfügt. Die Regelung stellt ein bundeseinheitliches Akkreditierungsverfahren sicher, dass eine europaweite und im Rahmen von Gegenseitigkeitsabkommen auch internationale Anerkennung der Akkreditierungen sicherstellt.
Um die gebotene Einwirkungsmöglichkeit der zuständigen Aufsichtsbehörde in die Akkreditierungsentscheidung der DAkkS zu gewährleisten, erhalten die Aufsichtsbehörden des Bundes und der Länder durch Satz 1 die Zuständigkeit als Befugnis erteilende Behörde im Sinne des § 1 Absatz 2 Satz 1 des Akkreditierungsstellengesetzes. Durch Satz 2 werden diejenigen Normen des Akkreditierungsstellengesetzes für entsprechend anwendbar erklärt, die die gebotene Beteiligung und Mitsprache der Aufsichtsbehörden an der Akkreditierungsentscheidung durch die DAkkS gewährleisten. Danach trifft die DAkkS die Akkreditierungsentscheidung im Einvernehmen mit der zuständigen Aufsichtsbehörde (§ 4 Absatz 3 Akkreditierungsstellengesetz).
§ 40 regelt die Zuständigkeit und in Ergänzung und Konkretisierung des Artikels 58 Absatz 6 der Verordnung (EU) 2016/679 die Befugnisse der Aufsichtsbehörden der Länder über die nichtöffentlichen Stellen. Die Regelung orientiert sich weitgehend an der bisherigen Regelung des § 38 BDSG a. F. Die Regelungen zur Amtshilfe (§ 38 Absatz 1 Satz 5 BDSG a. F.), zum Beschwerderecht (§ 38 Absatz 1 Satz 8 erste Alternative BDSG a. F.), zur Registerführung meldepflichtiger Datenverarbeitungen (§ 38 Absatz 2 BDSG a. F.), zum Einsichtsrecht geschäftlicher Unterlagen (§ 38 Absatz 4 Satz 2 BDSG a. F.) und zu den Anordnungs- und Beseitigungsverfügungen (§ 38 Absatz 5 Satz 1 und 2 BDSG a. F.) waren aufgrund unmittelbar geltender Vorgaben der Verordnung (EU) 2016/679 zu streichen. Ebenso wurde die überkommene Regelung der Bestimmung der zuständigen Aufsichtsbehörden durch die Landesregierungen (§ 38 Absatz 6 BDSG a. F.) nicht übernommen.
Gemäß § 2 Absatz 2 Satz 2 des Gesetzes über Ordnungswidrigkeiten gilt das Gesetz für Ordnungswidrigkeiten nach Bundes- und Landesrecht. Davon abweichend erstreckt § 41 Absatz 1 das Gesetz über Ordnungswidrigkeiten grundsätzlich auch auf Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679.
§ 41 geht davon aus, dass von den in den Absätzen 4 und 5 des Artikels 83 der Verordnung (EU) 2016/679 genannten „Verstößen gegen die folgenden Bestimmungen“ auch dann gesprochen werden kann, wenn die Mitgliedstaaten bezüglich der in den Absätzen 4 und 5 der Verordnung genannten Bestimmungen nationale Regelungen aufgrund von Öffnungsklauseln erlassen haben. Dass „Verstöße gegen diese Verordnung“ auch Verstöße gegen solche nationalen Bestimmungen erfasst, ergibt sich ausdrücklich im Bereich des Schadensersatzes aus Erwägungsgrund 146 Satz 5 der Verordnung und im Bereich der Strafvorschriften aus Erwägungsgrund 149 Satz 1.
Gemäß Absatz 1 Satz 2 finden §§ 17, 35 und 36 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung. § 17 des Gesetzes über Ordnungswidrigkeiten kommt nicht zur Anwendung, da die Verordnung (EU) 2016/679 die Bußgeldhöhe abschließend regelt. §§ 35 und 36 des Gesetzes über Ordnungswidrigkeiten werden nicht angewendet, da sich bereits aus Artikel 83 der Verordnung (EU) 2016/679 ergibt, dass die Aufsichtsbehörden für die Verhängung von Geldbußen zuständig sind.
Die Verordnung selbst regelt das Bußgeld- und Strafverfahren nicht. An den bisherigen Grundzügen des datenschutzrechtlichen Bußgeld- und Strafverfahrens wird festgehalten, da insbesondere Artikel 83 Absatz 8 Verordnung (EU) 2016/679 ausdrücklich fordert, dass die Mitgliedstaaten angemessene Verfahrensgarantien vorsehen. § 41 Absatz 2 Satz 1 regelt, dass die Vorschriften des Gesetzes über Ordnungswidrigkeiten und der allgemeinen Gesetze über das Strafverfahren grundsätzlich Anwendung finden.
Gemäß Absatz 2 Satz 2 finden §§ 56 bis 58, 87, 88, 99, 100 des Gesetzes über Ordnungswidrigkeiten keine Anwendung. Die Anwendung der §§ 56 bis 58 des Gesetzes über Ordnungswidrigkeiten ist ausgeschlossen, da die Verwarnung bereits in Artikel 58 Absatz 2 Buchstabe b Verordnung (EU) 2016/679 geregelt ist. Indem die §§ 87, 88, 99, 100 für nicht anwendbar erklärt werden, ist die Anwendung einzelner Vorschriften zu Geldbußen gegen eine juristische Person und zu Nebenfolgen sowie zur Vollstreckung von Bußgeldentscheidungen ausgeschlossen.
Absatz 2 Satz 3 bestimmt, dass die Staatsanwaltschaft im Zwischenverfahren das Verfahren nur mit Zustimmung
der Aufsichtsbehörde einstellen kann, die den Bußgeldbescheid erlassen hat, wird der Bedeutung der Geldbußen
in der Verordnung (EU) 2016/679 und der Unabhängigkeit der Datenschutzaufsicht Rechnung getragen. Im Gegensatz zu anderen Behörden ist die Unabhängigkeit der Datenschutzaufsicht primärrechtlich verankert und durch
die Rechtsprechung des EuGH bestätigt worden.
Artikel 84 Absatz 1 der Verordnung (EU) 2016/679 berechtigt und verpflichtet die Mitgliedstaaten, „andere Sanktionen“ für Verstöße gegen die Verordnung festzulegen. Artikel 84 ist damit insbesondere eine Öffnungsklausel, um neben Geldbußen im Sinne des Artikels 83 mitgliedstaatlich strafrechtliche Sanktionen vorzusehen. Hiervon macht § 42 Gebrauch.
Mit Blick auf Straftaten, die vor Geltung der Verordnung (EU) 2016/679 begangen wurden, ist klarstellend insbesondere auf Artikel 49 Absatz 1 Satz 3 der Charta der Grundrechte der Europäischen Union hinzuweisen, wonach dann, wenn nach Begehung einer Straftat durch Gesetz eine mildere Strafe eingeführt wird, diese zu verhängen ist.
Absatz 3 entspricht § 44 Absatz 2 BDSG a. F.
Absatz 4 dient dem verfassungsrechtlichen Verbot einer Selbstbezichtigung und ist § 42a Satz 6 BDSG a. F. entlehnt. Die Regelung kann auf die Öffnungsklausel des Artikels 84 Absatz 1 der Verordnung (EU) 2016/679 gestützt werden, wonach die Mitgliedstaaten Vorschriften für Verstöße gegen diese Verordnung festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen.
Absatz 1 gibt die Bußgeldtatbestände des § 43 Absatz 1 Nummer 7a und b BDSG a. F. wieder; mit diesen Tatbeständen war Artikel 9 der Verbraucherkreditrichtlinie 2008/48/EG umgesetzt worden.
Absatz 2 behält den bisherigen Bußgeldrahmen (§ 43 Absatz 3 Satz 1 BDSG a. F.) bei.
Mit Absatz 3 wird von der Öffnungsklausel des Artikels 83 Absatz 7 der Verordnung (EU) 2016/679 Gebrauch gemacht, national zu regeln, ob und in welchem Umfang gegen Behörden und sonstige öffentliche Stellen Geldbußen verhängt werden können. Absatz 2 verweist nicht auf öffentliche Stellen im Sinne des § 2 Absatz 5, denn öffentliche Stellen, die im Rahmen ihrer Tätigkeit im Wettbewerb mit anderen Verarbeitern stehen, sollen bei der Verhängung von Geldbußen gegenüber ihren Wettbewerbern nicht bessergestellt werden.
Absatz 4 dient dem verfassungsrechtlichen Verbot einer Selbstbezichtigung und ist § 42a Satz 6 BDSG a. F. entlehnt. Die Regelung kann auf die Öffnungsklausel des Artikels 83 Absatz 8 der Verordnung (EU) 2016/679 gestützt werden, wonach angemessene Verfahrensgarantien geschaffen werden müssen.
§ 44 Absatz 1 dient der Durchführung von Artikel 79 Absatz 2 Verordnung (EU) 2016/679. Danach können Klagen wegen eines Verstoßes gegen die Regelungen der Verordnung (EU) 2016/679 vor den Gerichten des Mitgliedstaats erhoben werden, in dem der beklagte Verantwortliche oder Auftragsverarbeiter seine Niederlassung hat oder – sofern die Beklagte nicht als Behörde in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist – vor den Gerichten des Mitgliedstaats, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat.
Artikel 79 Absatz 2 Verordnung (EU) 2016/679 regelt nur die internationale Zuständigkeit und geht insoweit der Verordnung (EU) 1215/2012 vor (vgl. Erwägungsgrund 147 Verordnung (EU) 2016/679 und Artikel 67 Verordnung (EU) 1215/2012). Artikel 79 Absatz 2 der Verordnung regelt aber nicht die örtliche Zuständigkeit. Diese richtet sich bei zivilrechtlichen Ansprüchen grundsätzlich nach den §§ 12 ff. der Zivilprozessordnung (ZPO). Es sind zur Durchführung der Verordnung (EU) 2016/679 ergänzende Regelungen der örtlichen Zuständigkeit erforderlich.
Zum einen ist der Gerichtsstand der Niederlassung (§ 21 Absatz 1 ZPO) auf Klagen beschränkt, die einen Bezug zum Geschäftsbetrieb der Niederlassung haben; Artikel 79 Absatz 2 Satz 1 Verordnung (EU) 2016/679 enthält diese Beschränkung nicht. Dies wird umgesetzt durch die Schaffung eines besonderen Gerichtsstands der Niederlassung in § 44 Absatz 1 Satz 1.
Zum anderen wäre nicht in allen Fällen nach der ZPO eine örtliche Zuständigkeit in Deutschland begründet, wenn der Betroffene hier seinen gewöhnlichen Aufenthaltsort hat. Eine örtliche Zuständigkeit nach den §§ 12 ff. ZPO fehlt etwa, wenn der Beklagte keine Niederlassung in Deutschland hat, kein Gerichtsstand des Vermögens nach § 23 ZPO begründet ist und auch ein Gerichtsstand aus unerlaubter Handlung gemäß § 32 ZPO nicht begründet ist, weil die rechtswidrige Datenverarbeitung keine Auswirkungen im Inland hat. § 44 Absatz 1 Satz 2 schafft daher kumulativ einen besonderen Gerichtsstand am Ort des gewöhnlichen Aufenthalts der betroffenen Person.
Eine Ausnahme von den örtlichen Gerichtsständen des Absatzes 1 sieht § 44 Absatz 2 für Klagen gegen Behörden vor, die in Ausübung hoheitlicher Befugnisse tätig geworden sind. Diese Ausnahme entspricht zum einen Artikel 79 Absatz 2 Verordnung (EU) 2016/679 und berücksichtigt zum anderen, dass sich die örtliche Zuständigkeit für Klagen gegen Behörden, die in Ausübung hoheitlicher Befugnisse tätig geworden sind, nach den Verfahrensordnungen der zuständigen Fachgerichte richtet.
Inhaltlich erfasst die örtliche Zuständigkeit nach § 44 Absatz 1 alle Klagen, die auf datenschutzrechtlichen Vorschriften im Anwendungsbereich der Verordnung (EU) 2016/679 basieren. Datenschutzrechtliche Regelungen sind alle Vorschriften, die dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten dienen (vgl. Artikel 1 Absatz 1 Verordnung (EU) 2016/679). Erfasst werden hiervon neben den Regelungen der Verordnung (EU) 2016/679 auch delegierte Rechtsakte und Durchführungsrechtsakte und andere Beschlüsse der Europäischen Kommission, die auf der Basis der Verordnung (EU) 2016/679 oder der Richtlinie 95/46/EG erlassen worden sind oder erlassen werden, sowie mitgliedstaatliche Regelungen im Anwendungsbereich der Verordnung (EU) 2016/679, die z.B. im Rahmen der Öffnungsklauseln der Konkretisierung der Vorgaben der Verordnung (EU) 2016/679 dienen. Erfasst sind sowohl Klagen wegen Verstößen gegen datenschutzrechtliche Bestimmungen als auch auf Erfüllung von darin enthaltenen Rechten der betroffenen Person (z. B. auf Auskunft oder Berichtigung).
Gemäß Artikel 27 Absatz 1 Verordnung (EU) 2016/679 ist ein Verantwortlicher oder Auftragsverarbeiter, der gemäß Artikel 3 Absatz 2 Verordnung (EU) 2016/679 in deren Anwendungsbereich fällt, also keine Niederlassung in der Europäischen Union hat, verpflichtet, einen Vertreter in der Europäischen Union zu benennen. Dieser dient gemäß Artikel 27 Absatz 4 Verordnung (EU) 2016/679 den betroffenen Personen sowie den Aufsichtsbehörden als Anlaufstelle. Es ist daher sachgerecht, ihn auch als bevollmächtigt anzusehen, Zustellungen in Zivilgerichtsverfahren vor deutschen Gerichten gemäß § 171 ZPO für den Verantwortlichen oder Auftragsverarbeiter entgegenzunehmen. Hierdurch werden insbesondere die praktischen Schwierigkeiten bei der grenzüberschreitenden Zustellung einer Klage vermieden. Es bleibt dem zuständigen Gericht allerdings unbenommen, einen in einem Drittstaat ansässigen Verantwortlichen oder Auftragsverarbeiter – insbesondere bei unklarer Sach- und Rechtslage – ausdrücklich aufzufordern, einen Zustellungsbevollmächtigten im Inland gemäß § 184 Absatz 1 ZPO zu benennen. Diese Möglichkeit besteht bei Beklagten in einem Mitgliedstaat der Europäischen Union nicht.
© Das Copyright dieses Dokuments (in seinem Aufbau
und der Formatierung) liegt bei Nicholas Vollmer.
Wir übernehmen keine
Haftung für die Richtigkeit bzw. Vollständigkeit des Textes.