Anwendbarkeit der Datenschutz-Grundverordnung

Ab 25. Mai 2018 wird die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung (DSGVO)) anwendbar sein. Damit beginnt ein neues Kapitel in der Geschichte des Datenschutzes. Ziel der DSGVO ist es, einheitliche Datenschutzregelungen in der EU zu schaffen, was den Bürgerinnen und Bürgern aber auch grenzüberschreitend tätigen Unternehmen zugutekommt. Ferner ist das europäische Datenschutzrecht nunmehr auch eindeutig auf Anbieter von Waren und Dienstleistern ohne Niederlassung in der EU anwendbar. Schließlich sieht die DSGVO im Vergleich zur bisherigen Rechtslage drastisch erhöhte Sanktionen vor (bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes).

Auch angesichts dieser hohen Bußgelder ist die Unsicherheit in der deutschen Wirtschaft groß. So sahen sich noch im April 2018 lediglich 13 Prozent aller Unternehmen nach einer Umfrage im Auftrag des Verbands der Internetwirtschaft eco auf die DSGVO rechtlich gut vorbereitet (https://www.eco.de/presse/eco-verband-dsgvo-haelt-deutsche-wirtschaft-in-atem/). Dies wirft die Frage auf, welche Maßnahmen die Bundesregierung ergriffen hat, um die deutsche Wirtschaft auf die DSGVO vorzubereiten, zumal die Unruhe in der deutschen Wirtschaft nicht zur Akzeptanz der Bedeutung des Datenschutzes für die Bürgerinnen und Bürger sowie eine demokratische Gesellschaft beitragen dürfte. In einigen Punkten ist der deutsche Gesetzgeber zudem über die Verpflichtungen der DSGVO hinausgegangen. Dies betrifft insbesondere die Verpflichtung zur Stellung eines Datenschutzbeauftragten, sobald zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Absatz 1 Satz 1 des Bundesdatenschutzgesetzes (BDSG) n. F.). Da praktisch jeder Arbeitnehmer heute mit der automatisierten Verarbeitung von personenbezogenen Daten betraut ist (z. B. Kundendaten oder Beschäftigtendaten), bedeutet dies faktisch, dass nahezu jeder Betrieb mit zehn Arbeitnehmern einen Datenschutzbeauftragten stellen muss. Die Anzahl der Beschäftigten hat jedoch nichts mit dem Risiko der Datenverarbeitung zu tun und ist daher schon früher als sachfremd kritisiert worden (vgl. zur Kritik bereits Simitis in Simitis, Bundesdatenschutzgesetz, 8. Auflage 2014, § 4f Rn. 16).

Eine weitere Quelle der Unruhe in der deutschen Wirtschaft ist die Rechtsunsicherheit. Eine Ursache hierfür ist, dass der deutsche Gesetzgeber viele praxisrelevante Regelungen z. B. im Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) oder Kunsturhebergesetz (KUG), welches die Veröffentlichung von Bildern regelt, vor dem 25. Mai 2018 nicht an die DSGVO angepasst haben wird und die Auswirkungen auf andere Bereiche (wie z. B. die Verwendung von Cookies, welche für das Webtracking und personalisierte Werbung im Internet erforderlich sind) unklar sind.

Viele Fragen werden erst in mehreren Jahren durch den Europäischen Gerichtshof geklärt werden können. Bis dahin werden die Leitlinien des Europäischen Datenschutzausschusses von großer Bedeutung sein. Dort werden die deutschen Aufsichtsbehörden von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vertreten. Diese kann die für die nächsten Jahre in der Praxis maßgeblichen Leitlinien mitbestimmen; Voraussetzung sind hierfür aber ausreichende Ressourcen, da die Entwürfe der Leitlinien von den nationalen Aufsichtsbehörden erarbeitet werden. Ein weiteres Mittel zur Reduzierung von Rechtsunsicherheit können die neuen Instrumente der Selbstregulierung sein, welche die DSGVO einführt. Voraussetzung hierfür ist, dass diese von den Unternehmen akzeptiert werden und dass es – im Falle der Zertifizierung – ausreichend unabhängige Zertifizierungsstellen gibt.

Große Unsicherheit besteht zudem im Hinblick auf die Regelungen, welche ab dem 25. Mai 2018 auf die Veröffentlichung von Bildern von Personen Anwendung finden. Bisher wurde die Zulässigkeit der Veröffentlichung in der Praxis nach den §§ 22 ff. KUG beurteilt. Es stellt sich nun ab dem 25. Mai 2018 die Frage, ob diese Regelungen noch Bestand haben werden, soweit sie sich mit dem Anwendungsbereich der DSGVO überschneiden, und welche Regelungen stattdessen gelten werden.

Wir fragen die Bundesregierung:

I. Vorbereitung der Wirtschaft

1. Welche Maßnahmen hat die Bundesregierung ergriffen, um die Wirtschaft bei der Umstellung auf die DSGVO zu unterstützen?

2. Welche Mittel wurden hierfür aufgewandt?

3. Ist die Bundesregierung der Auffassung, dass die deutsche Wirtschaft – vor allem klein- und mittelständische Unternehmen – gut auf die Anwendbarkeit der DSGVO vorbereitet sind?

Wenn nein, worauf führt die Bundesregierung dies zurück?

4. Welche weiteren Maßnahmen plant die Bundesregierung hierzu?

5. Welche Maßnahmen hat die Bundesregierung unternommen, um Unternehmen für die Bedeutung des Datenschutzes zu sensibilisieren?

II. Beschäftigtendatenschutz

6. Plant die Bundesregierung zusätzliche Regelungen zum Arbeitnehmerschutz?

Wenn ja, mit welchem Inhalt und welchem Zeitplan?

7. Hat die Bundesregierung Kenntnis darüber, welche zusätzlichen Kosten der Wirtschaft dadurch entstehen, dass § 26 Absatz 2 Satz 3 BDSG n. F. – abweichend von der DSGVO – im Arbeitsverhältnis zwingend an der Schriftform der Einwilligung festhält?

III. Datenschutzaufsichtsbehörden

8. Sind nach Ansicht der Bundesregierung die Datenschutzaufsichtsbehörden ausreichend personell und sachlich ausgestattet, um ihre Aufgaben zu erfüllen, insbesondere Verantwortliche und Auftragsdatenverarbeiter über ihre Pflichten nach der DSGVO zu sensibilisieren (Artikel 57 Absatz 1 Buchstabe d DSGVO) und ihre Befugnisse zur Beratung und Genehmigung auszuüben (Artikel 58 Absatz 2 DSGVO)?

Wenn nein, welche Maßnahmen erscheinen nach Ansicht der Bundesregierung hierfür erforderlich?

9. Ist nach Ansicht der Bundesregierung die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ausreichend ausgestattet, um ihre Aufgaben als zentrale Anlaufstelle und gemeinsame Vertreterin im Europäischen Datenschutzausschuss nach §§ 17 ff. BDSG ausüben zu können?

Wenn nein, welche Maßnahmen plant die Bundesregierung zu ergreifen?

10. Ist die BfDI nach Ansicht der Bundesregierung ausreichend ausgestattet, um bei der Erarbeitung von Leitlinien und Empfehlungen des Europäischen Datenschutzausschusses (Artikel 70 Absatz 1 DSGVO) eine maßgebliche Rolle spielen zu können?

11. Ist die Bundesregierung der Ansicht, dass es aufgrund der DSGVO für klein- und mittelständische Unternehmen zu höheren Bußgeldern als bisher in der Praxis kommen wird?

12. Wie kann aus Sicht der Bundesregierung bei der Bemessung von Bußgeldern und anderen Sanktionen der besonderen Situation von kleinen und mittleren Unternehmen (KMUs) Rechnung getragen werden, deren Kerngeschäft nicht die Verarbeitung personenbezogener Daten ist?

13. Wie hoch schätzt die Bundesregierung die zusätzliche Belastung für die deutsche Wirtschaft durch Bußgelder pro Jahr?

IV. Selbstregulierung

14. Hält die Bundesregierung Verhaltensregeln nach Artikel 40 DSGVO für ein geeignetes Instrument, um die Unsicherheit in der täglichen Rechtsanwendung in Unternehmen zu verringern?

15. Hat die Bundesregierung Erkenntnisse darüber, ob bereits Verhaltensregelungen nach Artikel 40 DSGVO genehmigt worden sind oder in Vorbereitung sind?

Wenn ja, welche?

16. Sind bereits Zertifizierungsstellen nach Artikel 43 DSGVO akkreditiert worden?

Wie viele Zertifizierungsstellen wird es mit Anwendbarkeit der DSGVO am 25. Mai 2018 in der Bundesrepublik Deutschland geben?

Hält die Bundesregierung diese Zahl für ausreichend?

Wenn nein, welche Maßnahmen wird die Bundesregierung ergreifen, um ihre Zahl zu erhöhen?

17. Sind Verbände und Unternehmen nach Ansicht der Bundesregierung ausreichend über die Möglichkeiten der Verwendung genehmigter Verhaltensregeln und das Instrument der Zertifizierung informiert?

Wenn nein, welche Maßnahmen plant die Bundesregierung hierzu?

18. Welche Maßnahmen hat die Bundesregierung bisher ergriffen?

V. Anpassung des deutschen Rechts und Ausnutzung von Spielräumen durch den deutschen Gesetzgeber

19. Hat der deutsche Gesetzgeber der deutschen Wirtschaft über die DSGVO hinausgehende Verpflichtungen auferlegt?

Wenn ja, welche (bitte aufschlüsseln), und welche zusätzlichen Kosten werden diese nach Schätzung der Bundesregierung der deutschen Wirtschaft zusätzlich verursachen?

20. Inwieweit fällt die Verarbeitung personenbezogener Daten im Rahmen von nicht öffentlichen Telekommunikationsnetzen (z. B. innerhalb von Unternehmen) unter die DSGVO?

Stehen die §§ 91 ff. TKG insoweit im Einklang mit der DSGVO oder sieht die Bundesregierung hier Anpassungsbedarf?

Warum ist eine Anpassung der §§ 91 ff. TKG bisher unterblieben, und wann plant die Bundesregierung diese?

21. Inwieweit stehen die §§ 11 ff. TMG mit der DSGVO im Einklang (bitte nach den einzelnen Regelungen aufschlüsseln)?

Sieht die Bundesregierung hier Anpassungsbedarf?

Wenn ja, warum ist eine Anpassung der §§ 11 ff. TMG bisher unterblieben, und wann plant die Bundesregierung diese?

22. Ist nach Ansicht der Bundesregierung ab dem 25. Mai 2018 für die Speicherung von Informationen oder den Zugriff auf Informationen, die bereits auf einem Endgerät gespeichert sind, insbesondere die Verwendung von Cookies, eine Einwilligung erforderlich, da nach Artikel 94 Absatz 2 DSGVO der Verweis auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zu lesen sind und Artikel 95 DSGVO nur die Bereitstellung öffentlich zugänglicher Informationsnetze betrifft?

23. Sind nach Ansicht der Bundesregierung deutsche Datenschutzaufsichtsbehörden befugt, nationale Rechtsvorschriften, die nicht im Einklang mit der DSGVO stehen, nicht anzuwenden?

24. Beobachtet die Bundesregierung die Anpassung des Datenschutzrechts in anderen Mitgliedstaaten an die DSGVO sowie die Nutzung der darin enthaltenen Spielräume durch die Gesetzgeber anderer Mitgliedstaaten?

Wenn ja, wie bewertet sie die dortige Anpassung und Nutzung von Spielräumen?

Gibt es nach Ansicht der Bundesregierung Regelungen, welche gegen die DSGVO verstoßen (z. B. in Österreich)?

Wenn ja, plant die Bundesregierung ein Vertragsverletzungsverfahren zum Schutze der deutschen Bürgerinnen und Bürger und zur Gewährleistung gleicher Wettbewerbsbedingungen für deutsche Unternehmen?

25. Welche Anpassungen des deutschen allgemeinen und bereichsspezifischen Datenschutzrechts sind nach Ansicht der Bundesregierung aufgrund der jüngsten Berichtigungen der DSGVO (Amtsblatt der Europäischen Union L 119 vom 4. Mai 2018) erforderlich?

Falls diese erforderlich sind, wann plant die Bundesregierung sie umzusetzen?

26. Wie wird die Bundesregierung den gemäß Artikel 97 DSGVO zum 25. Mai 2020 (nach zwei Jahren) und danach alle vier Jahre von der Kommission zu erstellenden Bericht über die Bewertung und Überprüfung der Verordnung begleiten?

Mit welchem Prozess plant die Bundesregierung den Deutschen Bundestag in die Erstellung und Bewertung der Kommissions-Berichte einzubeziehen?

27. Ist nach Ansicht der Bundesregierung der Deutsche Bundestag eine der „anderen einschlägigen Stellen oder Quellen“, deren Standpunkte oder Feststellungen gemäß Artikel 97 Absatz 4 DSGVO von der Europäischen Kommission bei der Erstellung der Berichte berücksichtigt wird?

Wenn nein, wer unterfällt nach Ansicht der Bundesregierung aus Deutschland dieser Fallgruppe?

28. Wie wird die Bundesregierung außerhalb der vorgesehenen Berichtszeiträume und der von der Kommission erforderlichenfalls erarbeiteten Änderungsvorschläge dafür Sorge tragen, dass Anpassungen der DSGVO vorgenommen werden können?

VI. Betriebliche Datenschutzbeauftragte

29. Wie viele Unternehmen müssen aufgrund der Rechtslage nach Einschätzung der Bundesregierung im Vergleich zur bisherigen Rechtslage ab dem 25. Mai 2018 einen Datenschutzbeauftragten gemäß Artikel 37 DSGVO und § 38 BDSG zusätzlich bestellen?

30. Hat die Bundesregierung Erkenntnisse, welche Kosten den betroffenen Unternehmen hierdurch zusätzlich entstehen?

31. Hat die Bundesregierung Erkenntnisse, welche Kosten deutschen Unternehmen im Vergleich zu Unternehmen in anderen Mitgliedstaaten dadurch entstehen, dass sich der deutsche Gesetzgeber entschieden hat, die Pflicht zur Bestellung eines Datenschutzbeauftragten in § 38 BDSG n. F. auf weitere Fälle auszuweiten?

32. Hält die Bundesregierung die Zahl der Personen, die mit der automatisierten Verarbeitung personenbezogener Daten (z. B. Kundendaten in einem Handwerksbetrieb, Geschäft oder Versandhandel) weiterhin für ein sachgerechtes Abgrenzungskriterium?

VII. Private Rechtsdurchsetzung

33. Wie viele Einrichtungen, Organisationen oder Vereinigungen in der Bundesrepublik Deutschland erfüllen im Moment die Voraussetzungen, um nach Artikel 82 DSGVO vertreten zu können?

34. Können nach Ansicht der Bundesregierung Verstöße gegen die DSGVO und die ergänzenden Regelungen des BDSG durch einen Wettbewerber oder einen Verband abgemahnt werden, obwohl die DSGVO eine solche Möglichkeit nicht vorsieht?

Handelt es sich bei den Artikeln 77 bis 84 DSGVO um eine abschließende Regelung, welche Abmahnungen durch Wettbewerber anschließt (so etwa Köhler, in: Köhler/Bornkamm/Feddersen, UWG, 36. Auflage 2018, § 3a Rn. 1.40a und 1.74b)?

35. Wenn ja, wird es nach Ansicht der Bundesregierung zu einem Anstieg berechtigter und unberechtigter Abmahnungen durch Wettbewerber oder Verbände kommen?

Wenn ja, mit welchen Kosten für die betroffenen Unternehmen?

36. Plant die Bundesregierung Maßnahmen, um die Folgen von Abmahnungen, insbesondere für kleinere Verstöße ohne direkte Auswirkungen auf die Rechte und Interessen betroffener Personen, zu begrenzen?

VIII. Veröffentlichung von Fotografien und Presse

37. Versteht die Bundesregierung Artikel 85 DSGVO als Öffnungsklausel oder als Anpassungsauftrag, und welche Konsequenzen werden aus der entsprechenden Einordnung auch in Bezug auf das KUG gezogen?

38. Stehen nach Ansicht der Bundesregierung die Regelungen zur Veröffentlichung von Bildnissen nach §§ 22 ff. KUG im Einklang mit der DSGVO, soweit deren Anwendungsbereich eröffnet ist?

39. Hält die Bundesregierung es für erforderlich, die §§ 22 ff. KUG aufgrund der Anwendbarkeit der DSGVO anzupassen?

Wenn ja, welche Anpassung plant die Bundesregierung, und wann soll sie erfolgen?

40. Ist die Bundesregierung der Ansicht, dass die §§ 22 ff. KUG erhalten werden können oder sogar müssen, um das Recht auf Datenschutz mit der Meinungsfreiheit und Informationsfreiheit in Einklang zu bringen?

41. Sieht die Bundesregierung auch eine Möglichkeit zum Erhalt der §§ 22 ff. KUG, soweit mit der Veröffentlichung eines Bildnisses keine Meinungsäußerung verbunden ist?

42. Welche Regelungen sind nach Ansicht der Bundesregierung ab dem 25. Mai 2018 auf die Verarbeitung (Artikel 4 Nummer 1 DSGVO) von Abbildungen (z. B. deren Erhebung und Speicherung) anwendbar, die vor einer Verbreitung oder öffentlichen Zurschaustellung des Bildnisses erfolgt?

43. Erfordert nach Ansicht der Bundesregierung ab dem 25. Mai 2018 die Veröffentlichung jeder Fotografie, die in den Anwendungsbereich der DSGVO fällt, eine Einwilligung?

44. Welche Unterschiede ergeben sich nach Ansicht der Bundesregierung, wenn eine Veröffentlichung von Fotografien, die in den Anwendungsbereich der DSGVO fällt, nicht mehr nach §§ 22, 23 KUG zu beurteilen wäre, sondern nach Artikel 6 DSGVO?

Wird sich nach Ansicht der Bundesregierung die Rechtslage ändern, wenn statt der typisierten Interessenabwägung des § 23 KUG nunmehr die offene Interessenabwägung des Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe f DSGVO zur Anwendung kommt?

45. Richtete sich die Verarbeitung von Fotografien, die in den Anwendungsbereich des BDSG oder der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, bis zum 25. Mai 2018 nach den Regelungen des KUG oder den datenschutzrechtlichen Vorschriften?

Standen die §§ 22 ff. KUG im Einklang mit der Richtlinie 95/46/EG, insbesondere im Hinblick auf die Anforderungen an die Einwilligung und die fehlende offene Abwägung der Interessen im Rahmen des § 23 KUG?

IX. Medienprivileg sowie Meinungs- und Informationsfreiheit

46. Plant die Bundesregierung auf Basis von Artikel 85 Absatz 1 DSGVO weitere gesetzgeberische Maßnahmen, um Meinungs- und Informationsfreiheit mit dem Recht auf Datenschutz in Ausgleich zu bringen?

47. Verfügt der Bund nach Ansicht der Bundesregierung über die Gesetzgebungskompetenz, um die Verarbeitung von personenbezogenen Daten durch die Presse gemäß Artikel 85 Absatz 2 DSGVO von der Anwendung von Teilen der DSGVO auszunehmen?

Wäre aus Sicht der Bundesregierung eine bundeseinheitliche Regelung – auch im Hinblick auf Presseveröffentlichungen im Internet – wünschenswert?

48. Welche Anforderungen muss eine Aufsichtsbehörde über die Datenverarbeitung zu journalistischen Zwecken erfüllen, damit insbesondere das Recht auf eine wirksame Beschwerde nach Artikel 77 Absatz 1 DSGVO gewährleistet bleibt, da Artikel 85 Absatz 2 DSGVO keinen Dispens von Kapitel VIII der DSGVO vorsieht?

Über welche Befugnisse und Sanktionsmöglichkeiten muss eine solche Aufsichtsbehörde verfügen, damit sie einer Beschwerde wirksam abhelfen kann?

Kann eine solche Aufsichtsbehörde nach Ansicht der Bundesregierung nur auf gesetzlicher Grundlage eingerichteten werden oder ist eine Aufsicht im Wege der Selbstregulierung möglich?

49. Ist nach Ansicht der Bundesregierung eine generelle Privilegierung der Meinungsfreiheit gegenüber der DSGVO ähnlich dem schwedischen Modell („Die EU-Datenschutz-Grundverordnung sowie weitere Datenschutzgesetze finden in dem Umfang, wie sie gegen Presse- oder Meinungsfreiheit streiten, keine Anwendung.“) mit dem Unionsrecht vereinbar?

Wenn ja, wie beurteilt die Bundesregierung eine solche Regelung mit Blick auf Deutschland?

Wenn nein, weshalb nicht, und strebt Deutschland dann ein Vertragsverletzungsverfahren gegen Schweden an?

Ist der Bundesregierung die Haltung der Europäischen Kommission zu dieser Regelung bekannt?