Europäische Datenschutzgrundverordnung praktikabel umsetzen

23.02.2017

 


Ausgangslage


Anfang 2016 ist die europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Sie wird im Jahr 2018 verbindlich und ist dann unmittelbar in den EU-Mitgliedstaaten anwendbar. Damit verliert das geltende deutsche Bundesdatenschutzgesetz (BDSG) seine Gültigkeit. Jedoch bestehen für den nationalen Gesetzgeber weiterhin Spielräume bei der rechtlichen Umsetzung der europäischen Regeln. Die Bundesregierung hat Anfang Februar ihren Entwurf eines Gesetzes zur Anpassung des nationalen Datenschutzrechts an die Datenschutzgrundverordnung vorgelegt. Dieser soll das geltende Bundesdatenschutzgesetz zum 25.05.2018 ersetzen.

Problem


Der Ansatz des Gesetzgebers, die heutigen Datenschutzvorschriften aus dem geltenden Bundesdatenschutzgesetz im Rahmen des EU-rechtlich Möglichen fortzuführen, um den Umsetzungsaufwand bei datenverarbeitenden Stellen in Grenzen zu halten und Kontinuität zu wahren, ist im Grundsatz zu begrüßen.

Das deutsche Umsetzungsgesetz zur DSGVO sieht jedoch eine Verschärfung für kleine Unternehmen im Hinblick auf die Bestellung von Datenschutzbeauftragten vor. Künftig sollen Unternehmen mit einer Größe ab zehn Mitarbeitern einen Datenschutzbeauftragten bestellen müssen, wenn sie mit der Verarbeitung personenbezogener Daten betraut sind. Bislang lag dieser Schwellenwert bei zwanzig Personen. Kleinen Unternehmen werden damit überzogene bürokratische Anforderungen auferlegt. Dies konterkariert das übergeordnete politische Ziel des Bürokratieabbaus in Deutschland.

Kritisch zu hinterfragen sind auch im Gesetzentwurf vorgesehene zusätzliche Informationspflichten, etwa bei der Erhebung von personenbezogenen Daten. So ist bislang bei der Videoüberwachung z. B. in öffentlichen Verkehrsmitteln oder an Geldausgabeautomaten eine Schnellinformation des Betroffenen per Kurzhinweis bzw. Piktogramm ausreichend. Nicht praktikabel ist dagegen die Ausdehnung der Informationspflicht auf Name und Kontaktdaten des Verantwortlichen. Stattdessen sollte wie bislang ein Aufkleber mit Kamerasymbol genügen.

Lösung


Die Bundesregierung muss die europäischen Regeln zum Datenschutz praxistauglich umsetzen. Dabei sollte der Gesetzgeber darauf achten, die Anforderungen an den Datenschutz auch für kleinere Unternehmen und Banken praktikabel zu gestalten – etwa bei der Bestellung des Datenschutzbeauftragten. Kleinere Unternehmen müssen von dieser Pflicht befreit werden. Entsprechend sollte die Mitarbeiterschwelle nicht wie geplant abgesenkt, sondern vielmehr deutlich angehoben werden. Zudem müssen Informationspflichten gegenüber Verbrauchern, etwa im Rahmen der Videoüberwachung an Geldausgabeautomaten, praxistauglich bleiben.