Stellungnahme des Bundesrates
Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680
(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - DSAnpUG-EU)

Der Bundesrat hat in seiner 954. Sitzung am 10. März 2017 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Absatz 2 des Grundgesetzes wie folgt Stellung zu nehmen:

1. Zum Gesetzentwurf allgemein

Der Bundesrat weist darauf hin, dass ihm eine umfassende Bewertung der vorgeschlagenen Neufassung des Bundesdatenschutzgesetzes nicht möglich ist, nachdem notwendige Anpassungen des vorrangigen Fachrechts bislang weder erfolgt noch konkret absehbar sind, so dass der konkrete Anwendungsbereich des Gesetzentwurfs in weiten Teilen im Unklaren bleibt. Der Bundesrat bedauert, dass die ausstehende Anpassung des bereichspezifischen Datenschutzrechts des Bundes beispielsweise in den Prozessordnungen oder im Sozialdatenschutzrecht auch für die Rechtsanwender in öffentlichen Stellen der Länder und Kommunen erhebliche Unsicherheiten über ihre bis Mai 2018 zu erfüllenden Anpassungspflichten erwarten lässt. Der Bundesrat bittet deshalb die Bundesregierung, die Länder zum frühestmöglichen Zeitpunkt umfassend in die Vorbereitung der notwendigen Änderungen des Fachrechts einzubinden.

Begründung:

Artikel 1 DSAnpUG-EU-E fasst das Bundesdatenschutzgesetz (BDSG) neu. Nach § 1 Absatz 2 BDSG-E gehen andere Rechtsvorschriften des Bundes über den Datenschutz dem BDSG-E vor. Das Gesetz hat damit - wie bereits sein Vorgänger - den Charakter eines Auffanggesetzes, das gegenüber spezifischen datenschutzrechtlichen Regelungen nur subsidiär Anwendung findet.

Die entsprechenden Regelungen im Fachrecht sind, wie das Bundesdatenschutzgesetz selbst, bis spätestens 25. respektive 6. Mai 2018 an die Vorgaben der als Grundverordnung konzipierten Verordnung (EU) Nr. 2016/679 sowie der Richtlinie (EU) Nr. 2016/680 anzupassen. Der vorgelegte Gesetzentwurf sieht, von wenigen Ausnahmen in den Artikeln 2 bis 5 abgesehen, keine entsprechenden Änderungen des Fachrechts - wie etwa des Strafverfahrens-, des Sozialdaten-oder auch des Melderechts - vor.

Dieser Ansatz, bei dem der zweite Schritt vor dem ersten vollzogen wird, führt im Ergebnis dazu, dass der Bundesrat mit einem Gesetzentwurf befasst wird, dessen Anwendungsbereich in weiten Teilen noch nicht feststeht. Eine umfassende Bewertung des Gesetzesvorhabens ist dem Bundesrat vor diesem Hintergrund nicht möglich.

Gleichermaßen wird die datenschutzrechtliche Praxis, die ihre Verarbeitungsvorgänge an die Anforderungen der zur Umsetzung der Grundverordnung und der Richtlinie bis zu den jeweiligen Stichtagen im Mai 2018 anpassen muss, vor erhebliche Unsicherheiten gestellt.

2. Zum Gesetzentwurf allgemein

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren die Auswirkungen des Verzichts auf eine Überführung des Medienprivilegs in die Neufassung des BDSG insbesondere im Hinblick auf den presserechtlichen Auskunftsanspruch gegenüber Bundesbehörden zu prüfen.

Begründung:

Das Bundesverwaltungsgericht leitet seit 2013 einen Auskunftsanspruch der Presse unmittelbar aus Artikel 5 Absatz 1 Satz 2 GG her und weist die Zuständigkeit für die Ausformung von dessen Schranken dem Bundesgesetzgeber zu. Solange von dieser Kompetenz kein Gebrauch gemacht wird, sei der Auskunftsanspruch auf einen Minimalstandard beschränkt, der (derzeit) von der Rechtsprechung definiert wird (BVerwG, Urteil vom 20.02.2013 - 6 A 2/12; Urteil vom 25.03.2015 - 6 C 12/14; Beschluss vom 20.07.2015 - 6 VR 1/15; Beschluss vom 22.09.2015 - 6 VR 2/15; Urteil vom 16.03.2016 - 6 C 65/14; im Ergebnis offen gelassen von BVerfG, Beschluss vom 27.07.2015 - 1 BvR 1452/13). Vor dem Hintergrund des mit Artikel 85 DSGVO erteilten Regelungsauftrags und der Zuerkennung pressespezifischer Ausgestaltungsspielräume gegenüber dem Gesetzgeber ("die Mitgliedstaaten bringen durch Rechtsvorschriften") stellt sich die Frage, ob die Gerichte auch unter Geltung der Datenschutz-Grundverordnung zu einer Vorwegnahme der Umsetzungsrechtsakte berechtigt wären oder die Datenschutz-Grundverordnung insoweit unmittelbare Geltung beanspruchen würde, so dass für die Beachtung pressespezifischer Besonderheiten im gerichtlichen Verfahren kein Raum verbliebe.

3. Zum Gesetzentwurf allgemein

Der Bundesrat hält es für erforderlich, im weiteren Gesetzgebungsverfahren zu prüfen, inwieweit ein Bedarf für eine Beschränkung des Rechts auf Datenübertragbarkeit gemäß Artikel 20 DSGVO besteht, insbesondere soweit bereits fachrechtliche Regelungen inhaltsgleiche Ansprüche vermitteln.

Begründung:

In Artikel 20 DSGVO regelt der Unionsgesetzgeber ein neues Recht auf Datenübertragbarkeit. Hiernach können die betroffenen Personen ihre personenbezogenen Daten, die sie einem Verantwortlichen überlassen haben, von diesem herausverlangen sowie diese personenbezogenen Daten an einen anderen Verantwortlichen weitergeben (Artikel 20 Absatz 1 DSGVO). Darüber hinaus können sie verlangen, dass ihre personenbezogenen Daten, die sie einem Verantwortlichen zur Verfügung gestellt haben, unmittelbar von diesem an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch leistbar ist (Artikel 20 Absatz 2 DSGVO).

Im Gegensatz zum Recht auf Auskunft, das in § 34 BDSG-E unter Ausschöpfung der in Artikel 23 DSGVO eingeräumten Regelungsspielräume, eine Beschränkung erfährt, sieht der Gesetzesentwurf in Bezug auf das Recht auf Datenportabilität trotz seiner funktionalen Nähe zum Recht auf Auskunft bislang keine entsprechenden Beschränkungen vor. Im weiteren Gesetzgebungsverfahren sollte daher geprüft werden, ob die in § 34 BDSG-E vorgesehenen Beschränkungen auch auf das Recht auf Datenportabilität zu erstrecken sind. Die Öffnungsklausel des Artikels 23 DSGVO lässt eine solche Beschränkung des Rechts auf Datenportabilität grundsätzlich zu.

Darüber hinaus bleibt auch das Verhältnis zwischen dem Recht auf Datenübertragbarkeit gegenüber bereichsspezifischen Regelungen unklar, die bereits eine Befugnis zur Datenübermittlung von einem Verantwortlichen zu einem anderen vorsehen. So lassen beispielsweise § 20 EnWG sowie § 20 ZKG im Falle eines Stromanbieterwechsels bzw. eines Wechsel des Bankinstituts ausdrücklich einen Datentransfer vom Anbieter zu Anbieter zu. Auch für diese Fälle bietet sich eine entsprechende Beschränkung des Rechts auf Datenübertragbarkeit in einer allgemeinen Regelung an.

4. Zum Gesetzentwurf allgemein

Der Bundesrat bittet die Bundesregierung zu prüfen, ob für die oder den Bundesbeauftragten für den Datenschutz und die Informationssicherheit eine Karenzzeit für nachfolgende Erwerbstätigkeiten vorgesehen werden sollte.

Begründung:

Für die Aufnahme einer Erwerbstätigkeit von Mitgliedern der Bundesregierung nach ihrem Ausscheiden aus dem Amt gelten seit 2015 die §§ 6a ff BMinG. Diese sehen ein gestuftes Verfahren vor, um zu prüfen, ob durch die geplante Beschäftigung öffentliche Interessen beeinträchtigt werden. Davon ist insbesondere dann auszugehen, wenn die angestrebte Beschäftigung in Angelegenheiten oder Bereichen der früheren Amtstätigkeitausgeübt werden soll oder wenn die angestrebte Beschäftigung das Vertrauen der Allgemeinheit in die Integrität der Bundesregierung beeinträchtigen kann. In diesen Fällen kann die Tätigkeit für eine Dauer von bis zu 18 Monaten untersagt werden.

Angesichts der herausgehobenen Stellung und völligen Unabhängigkeit der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit während der Amtszeit erscheint es keineswegs ausgeschlossen, dass die Aufnahme bestimmter Beschäftigungen nach dem Ausscheiden aus dem Amt die öffentlichen Interessen, wie sie in § 6b Absatz 1 BMinG definiert sind, beeinträchtigt. Daher erscheint eine vergleichbare Regelung angezeigt.

5. Zu Artikel 1 (Teil 1 und 3 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob die in Teil 1 des Gesetzentwurfs enthaltenen umfangreichen Wiederholungen des Textes der Verordnung (EU) Nr. 2016/679 vermieden werden können, insbesondere indem in Teil 3 BDSG-E Verweisungen auf die Verordnung aufgenommen werden.

Begründung:

Die Vorschriften in Teil 1 BDSG-E dienen sowohl der Umsetzung der Richtlinie für Justiz und Polizei als auch der Anpassung des allgemeinen Datenschutzrechts an die Datenschutz-Grundverordnung (DSGVO). Sie beanspruchen damit Geltung für Sachverhalte aus beiden Rechtsgebieten. Die Umsetzung der Richtlinie erfolgt dabei insoweit im Wesentlichen dadurch, dass der nahezu mit der Richtlinie identische Text der DSGVO wörtlich übernommen wird.

Da die genannten Vorschriften ausdrücklich auch für Sachverhalte aus der Welt der Grundverordnung gelten sollen, setzt der nationale Gesetzgeber Recht, welches insoweit das Recht der DSGVO wiederholt. Dadurch wird im Anwendungsbereich der unmittelbar geltenden DSGVO ein nationalstaatlicher Geltungsanspruch erhoben, welcher aufgrund des Anwendungsvorrangs des Europarechts tatsächlich keinen Bestand hat. Durch die Wiederholung des Verordnungstextes im nationalen Recht wird insoweit zudem die Auslegungshoheit des EuGH in Frage gestellt. Die im Gesetzentwurf durch die parallele Richtlinienumsetzung aus der DSGVO abgeschriebenen Textpassagen überschreiten die vom EuGH unter engen Voraussetzungen zugelassenen punktuellen Wiederholungen ebenso wie die Voraussetzungen des insoweit bemühten Erwägungsgrundes 8 der DSGVO erheblich. Sie sind nämlich keineswegs erforderlich, "um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen". Im Gegenteil: durch die Wiederholung des Verordnungstextes wird die Rechtslage in relevantem Maße verunklart: Die Regelungen der DSGVO werden nämlich aus ihrem unmittelbaren (Regelungsumfeld) und mittelbaren (zugehörige Erwägungsgründe) systematischen Kontext gelöst, was den Rechtsanwender vor unnötige rechtliche Probleme stellt. So wird nicht deutlich, ob er zur Auslegung der der betreffenden Normen die Erwägungsgründe der DSGVO heranziehen darf.

Aus diesem Grund ist der Versuch, einen allgemeinen Teil zu schaffen, welcher Regelungen für beide Regelungsbereiche enthält, nur in sehr eingeschränktem Maße europarechtlich zulässig. Rechtlich können die wiederholenden Passagen nämlich nur für den Anwendungsbereich der Richtlinie Geltung beanspruchen, während der Rechtsanwender im Anwendungsbereich der Verordnung unmittelbar die nahezu identischen Vorschriften der DSGVO anzuwenden hat und diese auch in ihrem systematischen Kontext - etwa unter Zuhilfenahme der Erwägungsgründe - auszulegen hat. Regelungen zu schaffen, welche der Rechtsanwender aus europarechtlichen Gründen zu ignorieren hat, erscheint ausgesprochen bedenklich. Systematisch gehörten deshalb die genannten Regelungen des ersten Teils in den die Richtlinie umsetzenden dritten Teils des Gesetzentwurfs. Eleganter dürfte insoweit allerdings eine Bezugnahme auf den Verordnungstext sein.

6. Zu Artikel 1 (§ 1 Absatz 1 Satz 1 Nummer 2 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, wie der Anwendungsbereich des BDSG-E formuliert werden muss, um Kollisionen mit den geltenden Prozessordnungen zu vermeiden.

Begründung:

Gemäß § 1 Absatz 1 Satz 1 Nummer 2 BDSG-E wird das BSDG wie das geltende BDSG auf die Gerichte und Staatsanwaltschaften der Länder anzuwenden sein, soweit sie als Organe der Rechtspflege tätig werden, soweit es sich nicht um Verwaltungsangelegenheiten handelt und soweit der Datenschutz nicht durch Landesgesetz geregelt ist.

§ 1 Absatz 2 BDSG-E regelt, dass "andere Rechtsvorschriften des Bundes über den Datenschutz" - wie etwa die §§ 12 ff. EGGVG - dem BDSG vorgehen. Anders als das geltende BDSG enthält der Gesetzentwurf des BDSG in Teil 3 jedoch Vorschriften des Datenschutzes, die mit solchen des Strafprozessrechts kollidieren, insbesondere mit den Vorschriften zur Verwertbarkeit von Zeugenaussagen. Da die Vorschriften des Prozessrechts voraussichtlich nicht als "Rechtsvorschriften des Bundes über den Datenschutz" zu betrachten sind, löst § 1 Absatz 2 BDSG-E diese Konkurrenz nicht auf. Das birgt die Gefahr, dass strafrechtliche Ermittlungs- und Gerichtsverfahren durch Streitigkeiten über die Rechte betroffener Personen nach den §§ 55 bis 58 BDSG-E behindert werden. Zum Beispiel könnten Beschuldigte einen Anspruch auf Berichtigung oder Löschung für sie nachteiliger Zeugenaussagen nach § 58 Absatz 1 Satz 1 BDSG-E geltend machen.

§ 58 Absatz 1 Satz 2 BDSG-E schließt zwar die Prüfung der inhaltlichen Richtigkeit von Aussagen und Beurteilungen aus, lässt aber die Rüge zu, dass die Aussage oder Beurteilung "so" nicht erfolgt sei. Damit würde ein Anfechtungsrecht geschaffen, das so bisher nicht besteht. Für solche Streitigkeiten wäre nach § 23 Absatz 1 EGGVG der Rechtsweg zu den ordentlichen Gerichten eröffnet. Auch kommt nach der derzeitigen Fassung des BDSG-E in Betracht, Richter, die im Rahmen des Strafverfahrensrechts weisungsfrei über die Verwendung personenbezogener Daten entscheiden, als "Verantwortliche" im Sinne des § 46 Nummer 7 BDSG-E zu betrachten, mit der Folge, dass sie Adressaten zum Beispiel der Informationspflichten nach § 55 BDSG-E wären.

Insofern besteht ein dringendes Bedürfnis für eine klarstellende Regelung, die den Vorrang des Strafprozessrechts und anderer Prozessordnungen vor den Regelungen des BDSG bestimmt. Laut dem Erwägungsgrund 20 der Richtlinie (EU) Nr. 2016/680 hindert die Richtlinie "die Mitgliedstaaten nicht daran, in den nationalen Vorschriften für Strafverfahren Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden festzulegen, insbesondere in Bezug auf personenbezogene Daten in einer gerichtlichen Entscheidung oder in Dokumenten betreffend Strafverfahren".

7. Zu Artikel 1 (§ 2 Absatz 6 - neu - BDSG)

In Artikel 1 ist dem § 2 folgender Absatz anzufügen:

(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können."

Begründung:

§ 27 Absatz 3 BDSG-E verwendet den Begriff "anonymisieren". Demgegenüber definiert weder der vorliegende Gesetzentwurf noch die Verordnung (EU) Nr. 2016/679 den Begriff. Vielmehr wird nur "pseudonymisieren" in der Verordnung (EU) Nr. 2016/679 verwendet und folglich in Artikel 4 Nummer 5 DSGVO definiert. Diese Definition entspricht auch dem Verständnis des Begriffs im bisherigen BDSG (§ 3 Nummer 6a BDSG). Der Definition nach handelt es sich aber bei der Anonymisierung nicht um eine Pseudonymisierung, sondern um eine gesteigerte Form der Unkenntlichmachung personenbezogener Daten.

Es ist auch davon auszugehen, dass der Gesetzgeber bewusst nicht den Begriff der Pseudonymisierung in § 27 Absatz 3 BDSG-E verwendet hat. Denn Artikel 89 Absatz 1 Satz 3 DSGVO nennt zwar ausdrücklich die Pseudonymisierung, macht aber deutlich, dass der Schutz der betroffenen Personen auch durch andere Maßnahmen sichergestellt werden kann. Von diesem Recht hat der Gesetzgeber Gebrauch gemacht.

Der Begründung zu § 27 BDSG-E ist zu entnehmen, dass die Vorschrift dem § 40 Absatz 3 BDSG entnommen wurden. Folgerichtig kann auch der Begriff "anonymisieren" nur so verstanden werden wie im bisherigen BDSG, das zwischen Pseudonymisieren und Anonymisieren unterschied.

Die Definition entspricht derjenigen in § 3 Absatz 6 BDSG.

8. Zu Artikel 1 (§ 4 Absatz 1 Satz 2, Absatz 5 Satz 1

Begründung:

Im Sinne einer einheitlichen Sicherheitsphilosophie im öffentlichen Personenverkehr muss darauf hingewirkt werden, eine flächendeckende, tageszeitunabhängige Videoaufzeichnung in öffentlichen Verkehrsmitteln zu schaffen, die gleichzeitig die Vorgaben des Datenschutzes beachtet.

Eine sehr restriktive Haltung bei der Auslegung des § 6b BDSG im Hinblick auf die Zulässigkeit automatisierter Videoaufzeichnungen im sogenannten "Black-Box-Verfahren" wäre im Öffentlichen Personennahverkehr (ÖPNV) nicht zielführend. In dem Verfahren werden Videoaufnahmen ohne Ton lediglich für eine Zeit von wenigen Tagen aufgezeichnet und ohne Auslesen automatisch wieder überschrieben, es sei denn, dass sich Straftaten ereignen und die Bilder unter Beteiligung der zuständigen Polizeidienststellen zur Täterermittlung ausgelesen werden. Der Gesetzentwurf orientiert sich demgegenüber an der Auffassung, dass eine Videoüberwachung in Fahrzeugen und Einrichtungen des ÖPNV nur dann erfolgen dürfe, wenn Rechtsgüter von erheblichem Gewicht geschützt werden sollen und zum anderen konkrete Tatsachen in der Vergangenheit die Annahme stützen, dass eine konkrete Gefährdung auch in der Zukunft bestehe.

Eine solche nur nach Einzelfallprüfung anhand von Vorfällen mit Gefahren für Leben, Gesundheit oder Freiheit von ÖPNV-Nutzerinnen und -Nutzern strecken- und tageszeitspezifische oder auf Teilbereiche eines Fahrzeugs bezogene Videoaufzeichnung würde weder einer präventiven Gefahrenabwehr im ÖPNV noch dem subjektiven Sicherheitsempfinden der Fahrgäste oder der Möglichkeit der Beweissicherung bei der Strafverfolgung angemessen Rechnung tragen.

Den Anforderungen an die Ermöglichung einer Videoaufzeichnung im ÖPNV wird die in § 4 Absatz 1 Satz 2 BDSG vorgesehene Regelung deshalb nicht gerecht.

Durch die ausdrückliche Beschränkung der Einstufung des Schutzes von Leben, Gesundheit und Freiheit als "wichtiges Interesse" für die vorzunehmende Abwägung hinsichtlich der Zulässigkeit einer Videoüberwachung im ÖPNV erfolgt eine Fokussierung auf die Frage des tatsächlichen Vorliegens von Gewalt- oder Freiheitsdelikten zur Legitimation einer Videoüberwachung. Ein Gleichklang hinsichtlich der Anforderungen im übrigen ÖPNV mit den Regelungen im Bundespolizeigesetz hinsichtlich der Eisenbahnen des Bundes kann so nicht erreicht werden.

§ 4 Absatz 1 Satz 2 BDSG muss deshalb im Hinblick auf den Öffentlichen Personenverkehr auf Schiene, Straße und Wasser so ergänzt werden, dass analog zu den in § 27 BPolG bezeichneten Voraussetzungen für eine Videoüberwachung, nämlich die Erkennung von "Gefahren für die in § 23 Absatz 1 Nummer 4 bezeichneten Objekte" - das sind Anlagen oder Einrichtungen der Eisenbahnen des Bundes - "oder für dort befindliche Personen oder Sachen" auch der Schutz vor eben diesen Gefahren als "ein besonders wichtiges Interesse" im Sinne des Gesetzes zur Rechtfertigung einer Videoüberwachung eingestuft wird.

Die vorgeschlagene Ergänzung von § 4 Absatz 1 Satz 2 BDSG trägt dem Gedanken Rechnung, dass die Videoüberwachung im ÖPNV neben dem Schutz von Leben, Gesundheit oder Freiheit ausdrücklich auch dem Schutz von Fahrzeugen, Einrichtungen und Sachen sowie dem Schutz von Personen vor anderen Gefahren dienen soll und dabei insbesondere präventive Wirkung entfaltet. Konkret besteht in öffentlichen Verkehrsmitteln und -einrichtungen ein besonders hohes Risiko zum Beispiel des Diebstahls, ohne dass dabei zwingend körperliche Gewalt in Form von Gefahren für Leben, Gesundheit oder Freiheit von Personen ausgeübt würde. Derartige Vorkommnisse, gerade in Kombination von Diebstählen in Verbindung mit Beleidigungen und sexuellen Anmaßungen gegenüber Frauen sowie die Problematik, letztere nachweisen zu können, haben in jüngster Vergangenheit bundesweit für Schlagzeilen gesorgt. Die mit dem Ergänzungsvorschlag bezweckte gesetzliche Legitimation für die Ausweitung der Möglichkeiten zur Videoaufzeichnung im ÖPNV hilft auch, den mit entsprechenden Vorfällen einhergehenden Beeinträchtigungen des subjektiven Sicherheitsempfindens von Fahrgästen aktiv zu begegnen. Ermöglicht wird damit eine weitgehend flächendeckende, tageszeitunabhängige Videoaufzeichnung in öffentlichen Verkehrsmitteln, die gleichzeitig die Vorgaben des Datenschutzes beachtet.

Die Ergänzung von § 4 Absatz 5 BDSG-E ist erforderlich, um einerseits den Verkehrsunternehmen gerade im Fall der Anwendung des sogenannten "BackBox-Verfahrens" Rechts- und Handlungssicherheit im Umgang mit den Daten zu geben und andererseits die Betroffenen vor überlanger Speicherdauer zu schützen.

9. Zu Artikel 1 (§ 6 Absatz 6 Satz 3 BDSG)

In Artikel 1 § 6 Absatz 6 Satz 3 ist das Wort "Schriftstücke" durch das Wort "Dokumente" zu ersetzen.

Begründung:

In § 6 Absatz 6 Satz 3 BDSG-E wird das Wort "Schriftstücke" durch das Wort "Dokumente" ersetzt. Unter dem Begriff "Schriftstück" wird eine Aufzeichnung auf Papier verstanden.

§ 6 Absatz 6 BDSG-E bezieht sich demnach nur auf Papierakten und nicht auch auf elektronische Aufzeichnungen. Eine solche Beschränkung des Beschlagnahmeverbots bei Unterlagen der Datenschutzbeauftragten ist aber nach der Verordnung (EU) Nr. 2016/679 nicht gerechtfertigt und nicht nachvollziehbar. Die Verordnung (EU) Nr. 2016/679 verwendet nur den Begriff "Dokument". Es dürfte sich bei der Formulierung in § 6 Absatz 6 Satz 3 BDSG-E um ein Versehen des Gesetzgebers handeln, da in der ZPO in sämtlichen Vorschriften der Begriff "Schriftstück" bereits durch das Wort "Dokument" ersetzt wurde, wenn sich die Vorschrift auf Papierakten und elektronisch geführten Akten gleichermaßen beziehen soll. Der Wortlaut des BDSG sollte, um Missverständnisse zu vermeiden und um eine einheitliche Regelung zu schaffen, angepasst werden.

10. Zu Artikel 1 (§ 13 Absatz 3 Satz 3 BDSG)

In Artikel 1 § 13 Absatz 3 Satz 3 ist das Wort "Schriftstücken" durch das Wort "Dokumenten" zu ersetzen.

Begründung:

In § 13 Absatz 3 Satz 3 BDSG-E wird das Wort "Schriftstücken" durch das Wort "Dokumenten" ersetzt. Unter dem Begriff "Schriftstück" wird eine Aufzeichnung auf Papier verstanden.

§ 13 Absatz 3 BDSG-E bezieht sich demnach nur auf Papierakten und nicht auch auf elektronische Aufzeichnungen. Eine solche Beschränkung des Beschlagnahmeverbots bei Unterlagen der Bundesbeauftragten für den Datenschutz und Informationsfreiheit ist aber nach der Verordnung (EU) Nr. 2016/679 nicht gerechtfertigt und nicht nachvollziehbar. Die Verordnung (EU) Nr. 2016/679 verwendet nur den Begriff "Dokument". Es dürfte sich bei der Formulierung in § 13 Absatz 3 Satz 3 BDSG-E um ein Versehen des Gesetzgebers handeln, da in der ZPO in sämtlichen Vorschriften der Begriff "Schriftstück" bereits durch "Dokument" ersetzt wurde, wenn sich die Vorschrift auf Papierakten und elektronisch geführten Akten gleichermaßen beziehen soll. Der Wortlaut des BDSG sollte, um Missverständnisse zu vermeiden und um eine einheitliche Regelung zu schaffen, angepasst werden.

11. Zu Artikel 1 (§ 17 Absatz 2, § 18 Absatz 2 Satz 2 BDSG)

Artikel 1 ist wie folgt zu ändern:

Begründung:

Die Ausgestaltung des Verfahrens hinsichtlich der Vertretung der Bundesrepublik Deutschland im Europäischen Datenschutzausschuss im Gesetzentwurf räumt den Aufsichtsbehörden der Länder kein hinreichendes Gewicht ein.

Wenn gemäß § 17 Absatz 1 BDSG-E stets die oder der Bundesbeauftragte für Datenschutz und Informationsfreiheit gemeinsamer Vertreter im Europäischen Datenschutzausschuss wird, während dem Ländervertreter lediglich die Stellvertreterrolle zugedacht wird, ist es erforderlich, die Position der Landesdatenschutzbeauftragten im Hinblick auf deren Hauptvollzugsverantwortung zu stärken. Dabei wird mit dem vorliegenden Antrag die Grundkonzeption des Gesetzentwurfs beibehalten, dass in besonderen Fällen die Verhandlungsführung und das Stimmrecht (§ 17 Absatz 2 BDSG-E) sowie das Vorschlagsrecht für einen gemeinsamen Standpunkt (§ 18 Absatz 2 Satz 2 BDSG-E) dem Vertreter der Landesaufsichtsbehörden zu übertragen ist. Wenn dies nach dem Gesetzentwurf neben den rein landesinternen Fällen der Behördeneinrichtung und der Verfahren von Landesbehörden nur dann der Fall sein soll, wenn die Länder das alleinige Recht zur Gesetzgebung haben, wird das (Vollzugs-)Gewicht der Landesaufsichtsbehörden nicht hinreichend berücksichtigt. Dies gilt vor allem vor dem Hintergrund, dass diese unter anderem für den Vollzug auch des Bundesdatenschutzrechts gegenüber nichtöffentlichen Stellen zuständig sind. Dieser Hauptvollzugsverantwortung der jeweiligen Landesdatenschutzbeauftragten kann Rechnung getragen werden, indem an die Vollzugszuständigkeit angeknüpft wird.

Die Gesetzgebungskompetenz ist auch vor dem Hintergrund kein hinreichendes Kriterium, dass Aufsichtsbehörden keine Legislativ-, sondern Exekutivorgane darstellen, die ihrerseits über keinerlei Gesetzgebungszuständigkeiten verfügen. Der Umstand, dass der Bund für ein Sachgebiet die ausschließliche oder konkurrierende Gesetzgebungskompetenz besitzt, spricht deshalb in keiner Weise dafür, dass die Bundesbeauftragte die Bundesrepublik Deutschland insoweit verhandlungsführend im Europäischen Datenschutzausschuss vertreten sollte, wenn der Vollzug dieses Gesetzes allein den Landesdatenschutzbeauftragten obliegt. Letztere werden es auch künftig sein, die sich in ihrer Praxis mit privaten Unternehmen auseinanderzusetzen haben. Dadurch können sie auf einen großen Erfahrungsschatz zurückgreifen und praktikable Wege beschreiben. Bei der Erarbeitung von Stellungnahmen für den Europäischen Datenschutzausschuss können sich die Leiter der Landesaufsichtsbehörden auf Sachbearbeiter stützen, welche sich auch mit den jeweiligen konkreten Fällen beschäftigt haben. Eine vergleichbare Sachnähe kann es bei der oder dem Bundesbeauftragten naturgemäß nicht geben. Es erscheint deshalb geboten, dass für solche Fälle dem Vertreter der Landesaufsichtsbehörden das Vorschlagsrecht bzw. das Recht zur Festlegung der Verhandlungsführung eingeräumt wird.

12. Zu Artikel 1 (§ 19 Absatz 1 Satz 1a - neu -, Satz 1b - neu -, Satz 3 BDSG)

In Artikel 1 ist § 19 Absatz 1 wie folgt zu ändern:

Begründung:

Das One-Stop-Shop-Prinzip der Datenschutz-Grundverordnung begründet nur für grenzüberschreitende Datenverarbeitungen von Verantwortlichen oder Auftragsverarbeitern im Sinne von Artikel 4 Nummer 16 DSGVO eine Zuständigkeitskonzentration. Die Ergänzungen in Satz 2 und 3 des im Übrigen nur redaktionell angepassten § 19 Absatz 1 BDSG-E begründen daran anknüpfend auch für rein innerstaatliche Verarbeitungen Zuständigkeitskonzentrationen.

Dazu wird in Satz 2 nunmehr für in Deutschland belegene Hauptniederlassungen eine ausschließliche Zuständigkeit auch für rein innerstaatliche Sachverhalte begründet, die die Funktion der federführenden Behörde als deren einziger Ansprechpartner vervollständigt.

Anknüpfend an die in Artikel 4 Absatz 16 DSGVO gebildeten Merkmale der Niederlassung werden zudem für sonstige Fallgestaltungen die innerstaatlichen Zuständigkeiten bei der Aufsichtsbehörde am Sitz der jeweiligen Unternehmens-Hauptverwaltung bzw. bei Auftragsverarbeitern am Sitz des technischen Hauptbetriebes gebündelt.

Die Vorschläge reduzieren damit im Interesse der Verfahrensökonomie bislang durch § 3 Absatz 1 VwVfG nicht ausgeschlossene Mehrfachzuständigkeiten für Unternehmen mit mehreren deutschen Betriebsstätten und entlasten damit Aufsichtsbehörden und Datenverarbeiter gleichermaßen. Etwaige Streitfragen werden anknüpfend an den Gesetzentwurf weiterhin in dem in § 18 Absatz 2 BDSG vorgesehenen Abstimmungsverfahren gelöst, das an die Stelle der in § 3 Absatz 2 VwVfG vorgesehenen Entscheidungen übergeordneter Behörden tritt.

Für Datenverarbeitungen ohne inländische Niederlassung gelten weiterhin die sonstigen Zuständigkeitsregelungen des § 3 Absatz 1 VwVfG.

13. Zu Artikel 1 (§ 20 Absatz 1 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob die Rechtswegzuweisung in § 20 Absatz 1 BDSG-E einen über die allgemeine Rechtswegzuweisung in § 40 Absatz 1 VwGO hinausgehenden Regelungsgehalt haben soll. Ist das der Fall, sollte der über § 40 Absatz 1 VwGO hinausgehende Regelungsgehalt im Wortlaut der Norm deutlicher zum Ausdruck gebracht werden. Ist das nicht der Fall, könnte die Vorschrift des § 20 Absatz 1 BDSG-E gestrichen werden.

Begründung:

Die Regelung in § 20 Absatz 1 Satz 1 BDSG-E lässt - auch im Hinblick auf die Begründung des Gesetzentwurfs - nicht hinreichend klar erkennen, ob es sich dabei nur um eine Wiederholung der allgemeinen Rechtswegzuweisung in § 40 Absatz 1 VwGO handelt oder um eine aufdrängende Rechtswegzuweisung an die Verwaltungsgerichte mit eigenem Regelungsgehalt.

Der einzuschlagende Rechtsweg kann in der Praxis insbesondere fraglich sein bei datenschutzrechtlichen Streitigkeiten mit der Aufsichtsbehörde im Bereich sozial(datenschutz)rechtlicher Bestimmungen (Verwaltungsrechtsweg oder Sozialrechtsweg nach § 51 SGG) und im Bereich Abgaben(datenschutz) rechtlicher Bestimmungen (Verwaltungsrechtsweg oder Finanzrechtsweg nach § 33 FGO). Auch für den Bereich der Arbeitsgerichtsbarkeit und der ordentlichen Gerichtsbarkeit können sich gegebenenfalls bereichsweise ähnliche Fragen stellen.

Vor diesem Hintergrund könnte § 20 Absatz 1 Satz 1 BDSG-E als klarstellende Regelung dahin zu verstehen sein, dass in allen der zuvor genannten Streitigkeiten immer der Verwaltungsrechtsweg (und insbesondere nicht der Sozialoder Finanzrechtsweg) eröffnet ist. Hierfür spricht, dass § 20 Absatz 1 BDSG-E eine ausdrückliche Regelung trifft und nicht, über § 20 Absatz 2 BDSG-E, allgemein auf die VwGO verweist. Die Begründung des Gesetzentwurfs weist jedoch - gerade abweichend hiervon - darauf hin, dass bei spezifischen Rechtswegzuweisungen (zum Beispiel § 51 SGG) diese vorrangig anwendbar sein sollen. Daneben wird in der Entwurfsbegründung zudem darauf hingewiesen, dass gegebenenfalls spezialgesetzliche Rechtswegzuweisungen (insbesondere für die Finanzgerichtsbarkeit) noch geschaffen werden sollen.

Damit erscheint zum einen nicht hinreichend klar, ob § 20 Absatz 1 BDSG-E einen eigenen Anwendungsbereich gegenüber § 40 Absatz 1 VwGO haben soll und jedenfalls teilweise eine aufdrängende Sonderzuweisung an die Verwaltungsgerichte regelt. Zum anderen bleibt unklar, ob - soweit der Rechtsweg zu den Sozial- und Finanzgerichten gerade nicht gesperrt sein soll - auf die schon bestehenden Rechtswegzuweisungen in § 51 SGG, § 33 FGO zurückgegriffen werden kann oder ob hierfür spezielle Rechtswegzuweisungen erst geschaffen werden müssten. Schließlich würde sich bei einer teilweisen Zuständigkeit der Sozial- und Finanzgerichte die Folgefrage stellen, ob die jetzt in § 20 Absatz 3 bis 7 BDSG-E vorgesehenen speziellen prozessualen Regelungen für die Sozialgerichte (SGG) und die Finanzgerichte (FGO) entsprechend gelten sollen. Die jetzigen Sonderregelungen in § 20 Absatz 3 bis 7 BDSG-E beziehen sich bislang ausdrücklich nur auf die VwGO und die Verwaltungsgerichtsbarkeit.

Die mit der Regelung in § 20 Absatz 1 BDSG-E angestrebte klarstellende Funktion dürfte damit insgesamt nicht erreicht werden. Es wird daher um Prüfung gebeten, ob auf die Rechtswegzuweisung in § 20 Absatz 1 BDSG-E entweder ganz verzichtet wird (stattdessen allgemeiner Verweis auf § 40 Absatz 1 VwGO über § 20 Absatz 2 BDSG-E) oder aber die Reichweite der Zuweisung klarer geregelt wird (soweit für bestimmte Streitigkeiten der Verwaltungsrechtsweg ausdrücklich eröffnet wird).

14. Zu Artikel 1 (§ 20 Absatz 4, 5 Nummer 1, 2, Absatz 7 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob die Regelungen des § 20 Absatz 4 und des § 20 Absatz 5 Nummer 2 des BDSG-E, welche auch die Aufsichtsbehörden der Länder erfassen, insoweit von der Gesetzgebungskompetenz des Bundes gedeckt sind, ob zwischen den Regelungen des § 20 Absatz 5 Nummer 1 und des § 20 Absatz 7 BDSG-E ein Widerspruch besteht und ob Regelungen zur Verwaltungsvollstreckung anzupassen sind.

Begründung:

§ 20 Absatz 1 Satz 1 und 2 BDSG-E trifft auch Regelungen für die Aufsichtsbehörden der Länder.

§ 20 Absatz 4 (Beteiligungsfähigkeit, § 61 VwGO) und § 20 Absatz 5 Nummer 2 BDSG-E (Beteiligte am Verfahren, § 63 VwGO) nehmen darauf Bezug, sodass sie auch die Aufsichtsbehörden der Länder erfassen. Es müsste dargelegt werden, ob der Bund, der hier auf eine Abweichung von den Regelungen des § 61 VwGO abstellt, über die Gesetzgebungskompetenz verfügt, derartige Regelungen in Bezug auf die Länder zu treffen (Czybulka in: Sodan/Ziekow, VwGO, 4 Auflage 2014, § 61 Rn. 33 m. w. N.). Unabhängig davon wird angemerkt, dass es den vom Bund in der Begründung zu § 20 Absatz 4 BDSG-E in Bezug genommenen § 61 Nummer 4 VwGO (bisher) nicht in der VwGO gibt, sie wird auch durch das DSAnpUG-EU nicht in die VwGO eingefügt.

§ 20 Absatz 5 Nummer 1 BDSG-E stellt auf die natürliche oder juristische Person als Klägerin oder Antragstellerin ab, nicht jedoch - wie § 20 Absatz 7 BDSG-E in Bezug auf die Anordnung der sofortigen Vollziehung - auch auf die Behörde oder deren Rechtsträger. Dieser Widerspruch zwischen § 20 Absatz 5 Nummer 1 BDSG-E und § 20 Absatz 7 BDSG-E bedarf der Auflösung; eine Begründung zu § 20 Absatz 5 BDSG-E fehlt im Gesetzentwurf. Unklar ist auch, wie sich § 20 Absatz 5 Nummer 1 BDSG-E zu einem etwaigen landesrechtlichen Behördenprinzip verhalten soll.

Die Verwaltungsvollstreckung scheitert bisher an § 17 VwVG. Dies gilt auch für die gerichtliche Vollstreckung (vgl. § 172 VwGO). Die Zwangsgeldhöhe ist in § 11 VwVG zurzeit auf 25 000 Euro begrenzt. Dies steht möglicherweise nicht in Einklang mit Artikel 58 DSGVO.

15. Zu Artikel 1 (§ 20 Absatz 5, § 21 Absatz 4 Satz 2 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, ob die Regelungen in § 20 Absatz 5 BDSG-E und § 21 Absatz 4 Satz 2 BDSG-E entfallen können.

Begründung:

Die Regelungen in § 20 Absatz 5 BDSG-E und § 21 Absatz 4 Satz 2 BDSG-E enthalten soweit ersichtlich gegenüber der allgemeinen Verfahrensvorschrift des § 63 Nummer 1 und 2 VwGO keine inhaltlichen Abweichungen. Durch § 63 Nummer 1 und 2 VwGO werden der Kläger und der Beklagte als Beteiligte des Verfahrens aufgeführt. Die allgemeine Regelung des § 63 VwGO bezieht sich auch auf Antragsteller und Antragsgegner in Verfahren des vorläufigen Rechtsschutzes. Eine besondere Bestimmung der Beteiligten in § 20 Absatz 5 Satz 1 Nummern 1 und 2 BDSG-E und in § 21 Absatz 4 Satz 2 BDSG-E ist daher nicht erforderlich. Durch die Vorschriften wird keine neue Art von Beteiligten zum Verfahren zugelassen. Die Vorschriften werfen zudem die Frage auf, welche von der VwGO abweichende Bestimmungen hiermit getroffen werden sollen. Soweit mit der Regelung in § 20 Absatz 5 BDSG-E dagegen klargestellt werden soll, dass die Aufsichtsbehörde nur als Passivpartei (Beklagte, Antragsgegner) und nicht als Aktivpartei (Kläger, Antragsteller) beteiligt sein kann, folgt dies bereits aus dem Datenschutzrecht (Artikel 78 Absatz 1 und 2 DSGVO). Eine spezielle Vorschrift zu § 63 VwGO dürfte aus praktischen Gründe nicht erforderlich und auch aus systematischen Gründen nicht angezeigt sein.

Vor diesem Hintergrund wird um Prüfung gebeten, ob die Vorschriften des § 20 Absatz 5 BDSG-E und § 21 Absatz 4 Satz 2 BDSG-E gestrichen werden können.

16. Zu Artikel 1 (§ 20 Absatz 7 BDSG)

Begründung:

Zu Buchstabe a:

Im Unterschied zu anderen Verfahrensregelungen, die ausdrücklich die Regelungswirkung auf die Aufsichtsbehörden der Länder erstrecken (vgl. § 13 Absatz 6 BDSG), lässt die Regelung des § 20 Absatz 7 BDSG nicht erkennen, ob diese nur in Bezug auf die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Anwendung findet oder auch für die Aufsichtsbehörden der Länder unmittelbar gilt. Rechtsunsicherheiten ergeben sich dabei insbesondere im Zusammenspiel mit den unscharfen Vorgaben zum Anwendungsbereich des Gesetzes in § 1 Absatz 1 BDSG. Ein restriktives Verständnis des § 1 Absatz 1 BDSG könnte nahe legen, dass die Vorschrift des § 20 Absatz 7 BDSG hinsichtlich der Aufsichtsbehörden der Länder keine Anwendung finden, da die Länder "den Datenschutz" als solchen in ihren Landesdatenschutzgesetzen regeln, während § 20 Absatz 7 BDSG-E eine verwaltungsverfahrensrechtliche Einzel-Regelung darstellt, die nichts daran ändert, dass "der Datenschutz" insgesamt landesrechtlich geregelt ist. Die Bundesregierung wird daher um Klarstellung gebeten, dass sich § 20 Absatz 7 BDSG auch auf die Aufsichtsbehörden der Länder erstreckt.

Zu Buchstabe b:

Im Zusammenhang mit § 20 Absatz 7 BDSG bleibt zudem unklar, welche Rechtsmittel den Aufsichtsbehörden zur Verfügung stehen, um in Einzelfällen bei Gericht die Suspensivwirkung einer Klage auszuschließen bzw. sonst eine sofortige Umsetzung von gebotenen Eingriffsmaßnahmen zu erreichen.

So können die Aufsichtsbehörden keinen Antrag gemäß § 80 Absatz 5 VwGO stellen, da dieses Rechtsmittel - den umgekehrten Fall regelnd - gerade darauf abzielt, in Fällen der sofortigen Vollziehbarkeit die aufschiebende Wirkung anzuordnen oder wiederherzustellen. Da weder eine Fallkonstellation nach § 80 Absatz 2 Satz 1 Nummer 1 und 2 VwGO gegeben ist, noch die aufschiebende Wirkung der Klage durch Gesetz ausgeschlossen ist (§ 80 Absatz 2 Satz 1 Nummer 3 VwGO) oder die Aufsichtsbehörde die sofortige Vollziehbarkeit anordnen darf, käme einer Klage des Betroffenen nämlich stets aufschiebende Wirkung zu. Auch ein Abänderungsantrag nach § 80 Absatz 7 VwGO steht den Aufsichtsbehörden nicht offen, da bereits der Erlass einer Entscheidung nach § 80 Absatz 5 VwGO per se ausgeschlossen ist.

Darüber hinaus erscheint ungewiss, ob ein Antrag nach § 123 VwGO in Betracht kommt. Da sich gerade aus dem Zusammenspiel von § 80 Absatz 1, 2, 5 und 7 VwGO ergibt, ob ein Rechtsmittel aufschiebende Wirkung hat oder nicht, könnte ein Antrag auf Erlass einer einstweiligen Verfügung im Hinblick auf die im Hauptsacheverfahren durchzuführende Anfechtungsklage bereits unstatthaft sein. Andererseits sieht § 123 Absatz 5 VwGO aber vor, dass einstweiliger Rechtsschutz nach § 123 VwGO (nur) dann ausgeschlossen ist, wenn § 80 bzw. § 80a VwGO Anwendung findet.

Schließlich kann die Aufsichtsbehörde auch nicht - vergleichbar mit den Fällen des faktischen Vollzugs - die Feststellung des Entfallens der aufschiebenden Wirkung vor Gericht beantragen, da der Klage gemäß § 80 Absatz 1 VwGO gerade aufschiebende Wirkung zukommt.

Eine ausdrückliche spezialgesetzliche Regelung dieser Frage erscheint daher geboten. In Frage käme hierfür insoweit im Wesentlichen die Einführung einer originären Befugnis zur Anordnung der sofortigen Vollziehbarkeit durch das Gericht auf Antrag der Aufsichtsbehörden, vergleichbar § 80a Absatz 3 VwGO, oder alternativ die ausdrückliche Zulassung von Anordnungen nach § 123 VwGO auf Antrag der Aufsichtsbehörden.

17. Zu Artikel 1 (§ 22 Absatz 1 BDSG)

In Artikel 1 ist § 22 Absatz 1 wie folgt zu fassen:

(1) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) Nr. 2016/679 ist zulässig, wenn sie zum Zwecke der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, für die Versorgung oder Behandlung im Gesundheitsbereich, für die Verwaltung von Systemen und Diensten im Gesundheitsbereich oder auf Grund eines Vertrages mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und die Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden."

Begründung:

Die Datenschutz-Grundverordnung lässt nur unter den Voraussetzungen des Artikels 9 Absatz 2 Ausnahmen von dem in Artikel 9 Absatz 1 verankerten Verbot einer Verarbeitung besonderer Kategorien personenbezogener Daten zu.

Anders als in dem vorgelegten Gesetzentwurf vorgesehen, ist eine Regelung der Datenverarbeitung in den in Artikel 9 Absatz 2 Buchstabe b und Buchstabe i DSGVO genannten Kontexten im BDSG obsolet. Bereits derzeit sind hierzu bereichsspezifische Bestimmungen vorhanden (unter anderem Sozialgesetzbuch, bundes- und landesrechtliche Regelungen im Bereich der öffentlichen Gesundheit), die dem BDSG vorgehen. Auch unter Geltung der Datenschutz-Grundverordnung erscheinen die bereichsspezifischen Regelungen gegenüber einer allgemeinen (Auffang-)Regel im BDSG vorzugswürdig. Denn eine Regelung im BDSG differenziert weder nach den verschiedenen Arten der Sozialversicherung noch nach einzelnen Verwendungszwecken und einer möglicherweise in diesen Zusammenhängen gebotenen Interessenabwägung. Zudem sollte eine weitergehende Grundlage zur Verarbeitung von Gesundheitsdaten im Bereich der öffentlichen Gesundheit - losgelöst von bisherigen bereichsspezifischen Regelungen - im Hinblick auf die besondere Schutzbedürftigkeit von Gesundheitsdaten und das grundsätzliche Verbot der Verarbeitung, das aus Artikel 9 Absatz 1 DSGVO folgt, nicht geschaffen werden.

Hinsichtlich der Regelung der Datenverarbeitung in dem in Artikel 9 Absatz 2 Buchstabe i DSGVO genannten Kontext besteht zudem keine ausreichende Kompetenz des Bundesgesetzgebers zur abschließenden Regelung der dort im Einzelnen genannten Bereiche; vielmehr bestehen insoweit umfassende Gesetzgebungskompetenzen des Landesgesetzgebers.

18. Zu Artikel 1 (§ 22 Absatz 2 Satz 1 BDSG)

In Artikel 1 ist § 22 Absatz 2 Satz 1 wie folgt zu fassen:

"Bei einer nach Artikel 9 Absatz 2 Buchstabe a der Verordnung (EU) Nr. 2016/679 zulässigen Verarbeitung von genetischen Daten, biometrischen Daten und Gesundheitsdaten und in den Fällen des Absatzes 1 sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen."

Begründung:

Die in Artikel 1 § 22 Absatz 2 BDSG-E vorgesehenen Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit bei der Verarbeitung von Gesundheitsdaten und anderen besonders schutzwürdigen Daten sollten in dem durch Artikel 9 Absatz 4 der Verordnung (EU) Nr. 2016/679 eingeräumten Umfang auch dann Anwendung finden, wenn die Daten auf Grund einer Einwilligung der betroffenen Person verarbeitet werden. Gerade bei der Datenübermittlung über mobile Geräte und Dienste wie Wearables und GesundheitsApps und ihrer weiteren Verarbeitung besteht ein großes Bedürfnis nach Datensicherheit und einem verantwortungsvollen Umgang mit den sensiblen Informationen.

19. Zu Artikel 1 (§ 22 Absatz 2 Satz 3 BDSG)

In Artikel 1 ist § 22 Absatz 2 Satz 3 zu streichen.

Begründung:

In § 22 Absatz 2 BDSG-E wird geregelt, dass bei der Verarbeitung besonders schutzwürdiger Kategorien von Daten (z.B. Gesundheitsdaten) angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen vorzusehen sind. Von dieser Verpflichtung werden aber ausgenommen Datenverarbeitungen auf der Grundlage von § 22 Absatz 1 Nummer 1 Buchstabe b. Dies ist nicht überzeugend. Es reicht nicht aus, dass der Gesetzentwurf sich hier zum Schutz der Betroffenen nur auf die Umsetzung zwingender EU-rechtlicher Vorgaben beschränkt, wonach diese Daten nur von ärztlichem Personal oder durch sonstige Personen verarbeitet werden dürfen, die einer entsprechenden Geheimhaltungspflicht unterliegen. Je nach den konkreten Umständen des Einzelfalles kann es im Interesse der Betroffenen durchaus gerechtfertigt sein, von der verantwortlichen Stelle noch zusätzliche Schutzmaßnahmen zu fordern, wie z.B. die Beschränkung des Zugangs zu den Daten innerhalb der verantwortlichen Stelle oder die Pseudonymisierung oder Verschlüsselung personenbezogener Daten. Es sollte daher von der in Artikel 9 Absatz 4 der Verordnung (EU) Nr. 2016/679 eröffneten Möglichkeit Gebrauch gemacht werden, im Interesse der Betroffenen die Verarbeitung von Gesundheitsdaten an die Einhaltung von zusätzlichen Bedingungen zu knüpfen.

20. Zu Artikel 1 (§ 23 Absatz 1 Nummer 7 BDSG)

Der Bundesrat bittet darum, im weiteren Gesetzgebungsverfahren zu prüfen, ob es sich bei der in § 23 Absatz 1 Nummer 7 BDSG-E angesprochenen Datenverarbeitung unter anderem zu Zwecken der Wahrnehmung von Aufsichts- und Kontrollbefugnissen oder der Rechnungsprüfung und so weiter nicht um eine Verarbeitung handelt, die vom Erhebungszweck im Sinne von Artikel 5 Absatz 1 Buchstabe b DSGVO umfasst ist - mit der Folge, dass dieser Gedanke in einem gesonderten Absatz zu regeln wäre.

Begründung:

Nach dem geltenden Recht (§ 14 Absatz 3 BDSG) liegt eine Verarbeitung und Nutzung für andere Zwecke nicht vor, wenn sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.

Diese Datenverarbeitung ist nach bisheriger Rechtslage vom Primärzweck erfasst.

Demgegenüber bestimmt die Regelung in § 23 Absatz 1 Ziffer 7 BDSG-E für den öffentlichen Bereich, dass die Verarbeitung personenbezogener Daten zu anderen als den Erhebungszwecken dann zulässig ist, wenn "sie der Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen des Verantwortlichen dient; dies gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken durch den Verantwortlichen, soweit schutzwürdige Interessen der betroffenen Person dem nicht entgegenstehen."

Die Ausgestaltung als Zweckänderungsvorschrift wird nicht näher begründet. Somit ist nicht erkennbar, aus welchem Grund im Gesetzentwurf vom bisherigen Recht abgewichen wird. Darüber hinaus hat die Normierung als Zweckänderungsregelung im Sinne von Artikel 6 Absatz 4 DSGVO zur Folge, dass grundsätzlich die Informationspflicht nach Artikel 13 Absatz 3 und gegebenenfalls 14 Absatz 4 DSGVO ausgelöst wird. Eine Beschränkung dieser Informationspflichten ist nur unter den engen Bedingungen von Artikel 23 DSGVO zulässig. Inwieweit die Regelung in Artikel 1 § 32 Absatz 1 Nummer 1 BDSG-E, auf die eine Ausnahme von der Informationspflicht in den genannten Fällen gestützt werden könnte, den Anforderungen von Artikel 23 DSGVO gerecht wird, erscheint zweifelhaft. Dies hätte unter Umständen zur Folge, dass die betroffenen Personen zu informieren wären, wenn ihre Daten beispielsweise im Rahmen von Maßnahmen im Bereich der Rechts- oder Fachaufsicht oder der Rechnungsprüfung verarbeitet werden. Damit ist ein erheblicher Verwaltungsaufwand verbunden, ohne dass dem ein tatsächlicher Mehrwert in Bezug auf die Rechtsposition der betroffenen Personen gegenübersteht.

Die Schaffung einer allgemeinen Regelung, in der die vorgenannten Zwecke als Erhebungszwecke definiert werden, würde zwar eine Erweiterung der Informationspflicht bei der Erhebung personenbezogener Daten gemäß Artikel 13 Absatz 1 und 2 sowie gegebenenfalls Artikel 14 Absatz 2 und 3 DSGVO auslösen, indem auch auf diese Zweckbestimmung hinzuweisen wäre. Eine Information im Falle der konkreten Zweckänderung wäre dann aber entbehrlich. Hierdurch würden die öffentlichen Stellen deutlich von Verwaltungsaufwand entlastet ohne dass dies mit einer Einschränkung der Rechtsposition der betroffenen Personen verbunden wäre.

21. Zu Artikel 1 (§ 24 Absatz 1 Nummer 2 BDSG)

In Artikel 1 ist § 24 Absatz 1 wie folgt zu ändern:

Begründung:

Zu Buchstabe a:

Artikel 6 Absatz 4 DSGVO bestimmt, dass mitgliedstaatliche Rechtsvorschriften, die Zweckänderungen erlauben, in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahmen zum Schutz der in Artikel 23 Absatz 1 DSGVO genannten Ziele darstellen müssen.

Artikel 23 Absatz 1 Buchstabe j DSGVO erklärt die Durchsetzung "zivilrechtlicher" Ansprüche zu einem solchen Recht. Die DSGVO ermöglicht daher nicht gesetzliche Zweckänderungsregelungen zur Durchsetzung aller "rechtlichen" Ansprüche.

Zu Buchstabe b:

Die vorgeschlagene Formulierung entspricht der bisherigen Regelung in Interessenabwägung gemäß § 28 Absatz 2 Nummer 1 in Verbindung mit § 28 Absatz 1 Nummer 2 BDSG-E.

22. Zu Artikel 1 (§ 24 Absatz 1 Nummer 2 BDSG)

In Artikel 1 sind in § 24 Absatz 1 Nummer 2 nach dem Wort "Ansprüche" die Wörter "des Verantwortlichen" einzufügen.

Begründung:

Einer Übermittlung von personenbezogenen Daten wie beispielsweise Kundendaten an Dritte, die rechtliche Ansprüche gegen die betroffene Person behaupten, dürften regelmäßig die Interessen der betroffenen Person entgegenstehen. Auch birgt die in § 24 Absatz 1 Nummer 2 BDSG-E vorgeschlagene Regelung Missbrauchspotenzial, wenn sie nicht auf die Verfolgung von Rechtsansprüchen der verantwortlichen Stelle selbst beschränkt wird.

Soweit Dritte zur Verfolgung ihrer Rechte auf die Übermittlung entsprechender Daten zwingend angewiesen sind, erscheint es vorzugswürdig, die hierzu notwendigen Auskunftsansprüche - ähnlich den Vorschriften in § 101 UrhG oder § 101 TKG - gesetzlich zu regeln.

23. Zu Artikel 1 (§ 24 Absatz 1 Nummer 2 BDSG)

In Artikel 1 § 24 Absatz 1 Nummer 2 sind nach dem Wort "Ansprüche" die Wörter "gegenüber der betroffenen Person" einzufügen.

Begründung:

In § 24 BDSG-E wird eine rechtliche Grundlage für nicht-öffentliche Stellen geschaffen, die es ihnen erlaubt, eine Weiterverarbeitung von personenbezogenen Daten unabhängig davon vorzunehmen, ob die Zwecke der Verarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar sind. Diese Regelung ist für Verbraucherinnen und Verbraucher von besonderer Bedeutung. Denn diese werden zunehmend mit unternehmerischen Angeboten konfrontiert, bei denen sie für die Inanspruchnahme der Dienste nicht mehr mit einem Entgelt, sondern mit ihrem Einverständnis in die Weiterverarbeitung ihrer personenbezogenen Daten "bezahlen". Mit der Regelung in § 24 BDSG-E würde es beispielsweise Unternehmen der Digitalwirtschaft ermöglicht, ohne Einwilligung der betroffenen Verbraucherinnen und Verbraucher eine Weiterverarbeitung der personenbezogenen Daten mit dem Hinweis darauf vorzunehmen, diese Daten würden zur "Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche" gegenüber Dritten (zum Beispiel einem Geschäftspartner) gebraucht. Betroffene Verbraucher können aber nicht dafür verantwortlich gemacht und in ihren Persönlichkeitsrechten beschnitten werden, wenn Unternehmen ihre personenbezogenen Daten für die Durchsetzung zivilrechtlicher Ansprüche im Verhältnis zu Dritten benötigen, zumal die betroffenen Personen auch keinen Einblick in die Geschäftsbeziehungen des Unternehmens mit Dritten haben. Deshalb sollte eine Weiterverarbeitung der personenbezogenen Daten zu anderen Zwecken nur erlaubt sein, wenn rechtliche Ansprüche des Unternehmens gegenüber der betroffenen Person selbst in Rede stehen.

24. Zu Artikel 1 (§ 26 Absatz 1 Satz 2 BDSG)

In Artikel 1 § 26 Absatz 1 Satz 2 sind nach den Wörtern "Zur Aufdeckung von Straftaten" die Wörter "oder anderer schwerer Verfehlungen" sowie nach den Wörtern "eine Straftat" die Wörter "oder eine andere schwere Verfehlung" einzufügen.

Begründung:

Die Formulierung in § 26 Absatz 1 Satz 2 BDSG-E deckt sich mit der von § 32 Absatz 1 Satz 2 BDSG (alte Fassung), wonach eine Datenverarbeitung "zur Aufdeckung von Straftaten" möglich ist. Nicht geregelt ist bislang die Frage, ob die Norm auch bei gewichtigen Vertragspflichtverletzungen, die keine Straftat darstellen, Anwendung finden kann.

In der betrieblichen Praxis spielt die Verarbeitung von personenbezogenen Daten in vielen Fällen eine Rolle, in denen es um eine außerordentliche Kündigung des Arbeitsverhältnisses aus wichtigem Grund im Sinne von § 626 Absatz 1 BGB geht. Hierzu besteht bereits eine umfangreiche Kasuistik. Für den praktisch bedeutsamen Bereich der verhaltensbedingten Gründe kommt es jedoch nicht auf die strafrechtliche Wertung an. Es ist vielmehr auf das Gewicht des Kündigungsgrundes und die Qualität der Pflichtverletzung abzustellen. Ist der Anwendungsbereich der zulässigen Datenverarbeitung auf "Straftaten" beschränkt, wird ein wichtiger Bereich im betrieblichen Bereich der Pflichtverletzungen nicht erfasst. Darüber hinaus werden Arbeitgeber dem Risiko ausgesetzt, als juristische Laien beurteilen zu müssen, ob eine mögliche Pflichtverletzung strafrechtlichen Charakter hat.

Die Änderung nimmt inhaltlich die ständige Rechtsprechung des Bundesarbeitsgerichts auf. Das Bundesarbeitsgericht hat bereits zu § 32 BDSG eine Datenerhebung nicht nur bei einem Verdacht einer strafbaren Handlung sondern auch zur Aufdeckung "anderer schwerer Verfehlungen" als zulässig angesehen (zuletzt: BAG, 22. September 2016 - 2 AZR 848/15 Rn. 28). Diese Auslegung ergibt sich jedoch nicht unmittelbar aus dem Gesetzeswortlaut. Auch engere Auslegungen haben in der Rechtsprechung Niederschlag gefunden (zum Beispiel LAG BW, 20. Juli 2016 - 4 Sa 061/15 (PDF) , Rn. 92). Im Hinblick auf diese Rechtsunsicherheit erscheint eine gesetzgeberische Klarstellung erforderlich.

25. Zu Artikel 1 (§ 26 Absatz 2 Satz 3 BDSG)

Der Bundesrat bittet, vom Erfordernis der Schriftlichkeit bei der Einwilligung im Rahmen eines Beschäftigungsverhältnisses abzusehen.

Begründung:

Das Erfordernis der Schriftform für die Einwilligung in § 26 Absatz 3 Satz 3 BDSG-E entspricht in einer digitalen Arbeitswelt nicht mehr den praktischen Anforderungen und führt zu einem zusätzlichen bürokratischen Aufwand für die Unternehmen. Daher sollte die Dokumentation der Einwilligung auch auf anderem Wege möglich sein, etwa durch Textform.

26. Zu Artikel 1 (§ 26 BDSG)

Der Bundesrat bittet die Bundesregierung, zeitnah einen Gesetzentwurf mit spezifischen Regelungen zur Datenverarbeitung im Beschäftigungskontext vorzulegen. Unter anderem aufgrund der expliziten Vorgaben in Artikel 88 Absatz 2 DSGVO ist eine weitere gesetzliche Konkretisierung zum Schutz der Rechte und Freiheiten der Beschäftigten erforderlich. Der Gesetzentwurf sollte auch die Grundsätze aufgreifen, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind und in der Begründung zu § 26 BDSG-E in Bezug genommen werden.

Begründung:

Bereits die geltenden Regelungen zum Beschäftigtendatenschutz in § 32 BDSG waren ergänzungs- und überarbeitungsbedürftig. Weitere Anforderungen an den Gesetzgeber ergeben sich aus Artikel 88 DSGVO. Diese werden durch den im Gesetzentwurf enthaltenen § 26 BDSG-E nicht ausreichend umgesetzt. Daher sollte zeitnah ein ergänzender Gesetzentwurf mit spezifischen Regelungen für Datenverarbeitung im Beschäftigtenkontext vorgelegt werden. Er sollte auch die in der Gesetzesbegründung bereits angesprochenen Punkte aufgreifen, zu denen es bereits einschlägige Gerichtsurteile gibt und hier im Interesse der Rechtsklarheit verbindliche allgemein geltende Regelungen schaffen.

27. Zum Gesetzentwurf allgemein

28. Zu Artikel 1 (§ 27 Absatz 1 Satz 1 BDSG)

In Artikel 1 § 27 Absatz 1 Satz 1 ist das Wort "erheblich" zu streichen.

Begründung:

Der Gesetzentwurf sieht vor, dass die Ausnahmeregelung des § 27 Absatz 1 BDSG-E nur greift, wenn die Verarbeitung erforderlich ist und die Interessen des Verantwortlichen diejenigen des Betroffenen erheblich überwiegen. Das Kriterium der Erheblichkeit in § 27 Absatz 1 BDSG-E könnte zu einer unnötig restriktiven Anwendung von § 27 Absatz 1 BDSG-E führen.

§ 27 Absatz 1 Satz 1 BDSG-E ist beispielsweise notwendige Voraussetzung für eine praxisgerechte statistische Verarbeitung von Gesundheitsdaten. Die Interessen der Betroffenen werden durch den Verweis auf § 22 Absatz 2 Satz 2 BDSG-E sowie die Kriterien des überwiegenden Interesses und der Erforderlichkeit hinreichend gewahrt. Die Öffnungsklausel des Artikels 9 Absatz 2 Buchstabe j DSGVO, auf die § 27 Absatz 1 BDSG-E gestützt ist, verlangt kein erhebliches Überwiegen der Interessen des Verantwortlichen gegenüber jenen des Betroffenen.

29. Zu Artikel 1 (§ 27 Absatz 3 Satz 1 BDSG)

In Artikel 1 ist § 27 Absatz 3 Satz 1 wie folgt zu fassen:

"Ergänzend zu den in § 22 Absatz 2 genannten Maßnahmen werden alle zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeiteten personenbezogenen Daten anonymisiert, sobald dies nach dem Forschungs- oder Statistikzweck möglich ist.

Begründung:

Mit der vorgeschlagenen Veränderung des § 27 Absatz 3 Satz 1 BDSG-E wird der Verstoß gegen die Regelungen der Datenschutzgrundverordnung verhindert.

Artikel 89 Absatz 1 der Verordnung (EU) Nr. 2016/679 bestimmt, dass die Daten zu Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person unterliegen.

Zu den damit zusammenhängenden Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. Die Pseudonymisierung wird in Artikel 4 Nummer 5 der Verordnung (EU) Nr. 2016/679 definiert als die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Diese Definition entspricht der Pseudonymisierung nach § 3 Nummer 6a BDSG. Nach bisherigem BDSG unterschied das nationale Datenschutzrecht aber zusätzlich zwischen Anonymisierung und Pseudonymisierung. Die Anonymisierung ist eine andere und gesteigerte Form der Unkenntlichmachung personenbezogener Daten, die durch die Verordnung (EU) Nr. 2016/679 ausdrücklich nicht ausgeschlossen ist.

Durch die vorgeschlagene Neufassung des § 27 Absatz 3 Satz 1 BDSG wird der Formulierung der Verordnung (EU) Nr. 2016/679 entsprochen, die Maßnahmen zum Schutz der betroffenen Personen vorsieht, sofern es möglich ist, die Forschungs- und Statistikzwecke auf diese Weise zu erfüllen.

Der im jetzigen Gesetzentwurf vorgesehene Zusatz "es sei denn berechtigte Interessen der betroffenen Person stehen dem entgegen" ist in der Verordnung (EU) Nr. 2016/679 nicht vorgesehen, die Maßnahmen zur Unkenntlichmachung personenbezogener Daten dienen bereits dem Schutz der Rechte und Freiheiten betroffener Personen. Insofern ist die Verordnung (EU) Nr. 2016/679 strenger als das BDSG-E. Eine Anpassung an den Wortlaut der Verordnung (EU) Nr. 2016/679 ist daher dringend angezeigt.

30. Zu Artikel 1 (§ 29 Satz 1, 2 BDSG)

In Artikel 1 § 29 Absatz 1 sind in Satz 1 und 2 jeweils die Wörter "ihrem Wesen nach, insbesondere" sowie nach dem Wort "Dritten" jeweils das Komma zu streichen.

Begründung:

Die Einschränkung der Betroffenenrechte ist zu weit gefasst. Sie lässt den Verantwortlichen zu große Interpretationsspielräume zu Lasten der betroffenen Person. Der Begriff "ihrem Wesen nach" ist zu unbestimmt und sollte daher entfallen. Erhalten bleibt die Beschränkung zum Schutz Dritter. Diese Regelungsoption besteht aufgrund von Artikel 23 Absatz 1 Buchstabe i DSGVO (Schutz der Rechte und Freiheiten anderer Personen).

31. Zu Artikel 1 (§ 29 Absatz 1 Satz 2a - neu -, Satz 2b - neu -, Absatz 2 Satz 2 neu - BDSG

In Artikel 1 ist § 29 wird wie folgt zu ändern:

Begründung:

Zu Buchstabe a:

Grundsätzlich ist unter anderem bei der Ablehnung eines Auskunftsantrages die betroffene Person über die Gründe hierfür zu unterrichten und darauf hinzuweisen, dass die Möglichkeit besteht, bei einer Aufsichtsbehörde Beschwerde oder gerichtliche Rechtsbehelfe einzulegen (Artikel 12 Absatz 4 DSGV, Erwägungsgrund 59, letzter Satz). Zum Schutz der Rechte Dritter kann es geboten sein, nicht nur die Auskunft, sondern auch die Unterrichtung nach Artikel 12 Absatz 4 DSGVO zu unterlassen. In diesem Fall sind die Gründe durch den Verantwortlichen zu dokumentieren. Die vorgeschlagenen Ergänzungen sind angelehnt an bisherige Vorschriften des BDSG (vgl. § 19 Absatz 5 Satz 2 und Absatz 6, § 33 Absatz 2 Satz 2 BDSG).

Zu Buchstabe b:

Ebenso wie in § 29 Absatz 1 BDSG ist auch hier eine Dokumentation der Ablehnungsgründe vorzusehen.

32. Zu Artikel 1 (§ 29 Absatz 3 BDSG)

Der Bundesrat hält die in § 29 Absatz 3 BDSG-E getroffene Regelung zur Beschränkung datenschutzaufsichtlicher Befugnisse nicht für ausreichend, um die für Berufsgeheimnisträger und Datenschutzbehörden gleichermaßen notwendige Rechtssicherheit und Vollzugstauglichkeit zu erreichen. Er hält insbesondere ergänzende berufsrechtliche Regelungen zum spezifischen Ausgleich der Interessenkonflikte für erforderlich. Er bittet daher die Bundesregierung, die in § 29 Absatz 3 BDSG-E getroffenen Regelungen zugunsten einer zeitnahen, rechtssicheren und umfassenderen Gesamtregelung auf Grundlage der Anforderungen des Artikels 90 der Datenschutz-Grundverordnung zurückzustellen.

Begründung:

Das geltende BDSG regelt eine unbeschränkte Kontrollkompetenz der Aufsichtsbehörden auch bei Berufsgeheimnisträgern (§ 38 Absatz 4 Satz 3 in Verbindung mit § 24 Absatz 6 und Absatz 2 BDSG). Dagegen beschränkt der Gesetzentwurf in § 29 Absatz 3 BDSG-E die durch die Datenschutz-Grundverordnung eingeräumten Untersuchungsbefugnisse gegenüber den Geheimnisträgern selbst wie auch den für sie tätigen Auftragsverarbeitern, ohne aber die Reichweite dieser Einschränkungen klar, vorhersehbar und vollzugstauglich zu bestimmen. So bleibt zum Beispiel unklar, ob eine aufsichtsbehördliche Kontrolle der Datenverarbeitung zur Überprüfung einer Beschwerde des Mandanten die Geheimhaltungspflichten gefährdet oder mangels Interessenkonflikt eine uneingeschränkte Kontrolle erlauben würde. Zudem fehlen denkbare berufsrechtliche Regelungen, die den Ausschluss der Kontrollmechanismen der öffentlichen Aufsichtsbehörden ausgleichen, zum Beispiel durch datenschutzspezifische berufsständische Beschwerdeverfahren und ergänzenden Überwachungsmechanismen gegenüber den gleichfalls begünstigten Auftragsverarbeitern von Berufsgeheimnisträgern.

33. Zum Gesetzentwurf allgemein

34. Zum Gesetzentwurf allgemein

35. Zu Artikel 1 (§ 31 Absatz 1 BDSG)

In Artikel 1 § 31 Absatz 1 ist das Wort "soweit" durch das Wort "wenn" zu ersetzen.

Begründung:

Die vorgeschlagene Formulierung entspricht dem geltenden Recht (§ 28b BDSG). Mit dem Wort "soweit" würde ausgedrückt, dass Wahrscheinlichkeitswerte in dem Maße, in dem die Vorgaben in § 91 Absatz 1 Nummern 1 bis 4 BDSG-E eingehalten werden, verwendet werden dürfen. Dies ergibt keinen Sinn, da in Nummer 1 bis 4 Voraussetzungen formuliert werden, die kumulativ erfüllt sein müssen. Der Scorewert ist damit nur verwendbar, wenn alle gesetzlichen Vorgaben eingehalten werden. Anderenfalls darf er nicht verwendet werden. Wie bisher sollte es daher bei dem Einleitungswort "wenn" bleiben.

36. Zu Artikel 1 (§ 31 Absatz 1 Nummer 2 BDSG)

In Artikel 1 § 31 Absatz 1 Nummer 2 sind dem Wort "zur" die Wörter "vom Ersteller des Wahrscheinlichkeitswertes" voranzustellen.

Begründung:

Die vorgeschlagene Ergänzung verhindert ein Auseinanderfallen des formellen und des materiellen Normadressaten. Die von der Bundesregierung in § 31 Absatz 1 Nummer 2 BDSGE vorgesehene Verpflichtung, nur die beschriebenen Daten zur Berechnung des Wahrscheinlichkeitswertes zu nutzen, richtet sich offensichtlich an die Ersteller, nicht an die Verwender von Wahrscheinlichkeitswerten.

37. Zu Artikel 1 (§ 31 Absatz 1 Nummer 3, 4 BDSG)

In Artikel 1 § 31 Absatz 1 sind Nummer 3 und 4 zu streichen.

Begründung:

§ 31 Absatz 1 Nummer 3 und 4 BDSG-E sollten gestrichen werden, weil darin implizit die Erlaubnis ausgesprochen wird, Anschriftendaten zu verwenden - obwohl dies bereits nach geltendem Recht massiver Kritik begegnet, nicht nur aufgrund der unerwünschten Auswirkungen auf die Stadtentwicklung. Schon bei der bloßen Einbeziehung eines weiteren Kriteriums (wie zum Beispiel Alter, Geschlecht) auch mit geringem Gewichtungsanteil wäre es nach dem Gesetzentwurf gestattet, den Scorewert maßgeblich auf Anschriftendaten zu gründen.

38. Zu Artikel 1 (§ 31 Absatz 3 - neu - BDSG)

In Artikel 1 ist dem § 31 folgender Absatz anzufügen:

(3) Personenbezogene Daten betreffend eine Forderung über eine geschuldete Leistung, die trotz Fälligkeit nicht erbracht wurde, dürfen an Auskunfteien nur übermittelt werden, wenn die Voraussetzungen des Absatzes 2 für ihre Berücksichtigung bei der Ermittlung eines Wahrscheinlichkeitswertes und dessen zulässige Verwendung gegeben sind."

Begründung:

Die bisher in § 28a Absatz 1 BDSG enthaltene Regelung zur Übermittlung von Schuldnerdaten geht in ihrer Zielsetzung und Wirkung weit über den Datenschutz hinaus. Sie schützt nicht nur das Recht, über die Preisgabe und Verbreitung von Informationen zur eigenen Person bestimmen zu können, sondern soll den Einzelnen auch davor bewahren, durch unangemessenen Druck zur Zahlung streitiger Forderungen gedrängt zu werden.

Der Gesetzentwurf beschränkt den Schutz des Einzelnen darauf, dass bestrittene, nicht titulierte oder nicht vom Schuldner anerkannte Forderungen beim Scoring nicht berücksichtigt werden dürfen. Dies greift jedoch zu kurz, da damit eine Übermittlung dieser Forderungen an Auskunfteien entgegen der bisherigen Rechtslage zulässig würde. Profitieren würden davon unseriöse Inkassodienstleister und Betreiber unseriöser Geschäftsmodelle, die bei Zahlungsverweigerung künftig mit einer Meldung an Auskunfteien wie die SCHUFA drohen könnten, was derzeit auf Grund der datenschutzrechtlichen Beschränkungen als unzulässig anzusehen ist. Daher ist in Artikel 1 § 31 des Gesetzentwurfs das bislang in § 28a Absatz 1 BDSG enthaltene Übermittlungsverbot aufzunehmen. Auf Grund der Zielsetzung, den Schuldner vor unangemessenem Druck zur Zahlung streitiger Forderungen zu bewahren, besteht insoweit auch kein Vorrang der EU-Datenschutz-Grundverordnung.

39. Zu Artikel 1 (§ 32 Absatz 1 Nummer 1 BDSG)

In Artikel 1 § 32 Absatz 1 ist Nummer 1 zu streichen.

Begründung:

Die Verordnung (EU) Nr. 2016/679 ermöglicht keine allgemeine Beschränkung der Informationspflicht aus Artikel 13 aufgrund des damit verbundenen Aufwands.

Artikel 14 Absatz 5 Buchstabe b der Verordnung (EU) Nr. 2016/679 , auf den sich der in der Begründung genannte Erwägungsgrund 62 bezieht, enthält nur für die Fälle, in denen die Datenverarbeitung nicht bei der betroffenen Person erfolgt, eine Ausnahmemöglichkeit im Hinblick auf den Aufwand.

Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) Nr. 2016/679 kann nicht als Rechtfertigung für die Beschränkung herangezogen werden, weil das Ziel, die verantwortliche Stelle vor hohem Aufwand zu bewahren, nicht als Ausdruck des Schutzes der Rechte und Freiheiten anderer Personen angesehen werden kann. Zielrichtung dieser Norm ist der Schutz Dritter, nicht der Schutz des Verantwortlichen selbst.

Auch im Hinblick auf den Grundsatz der Verhältnismäßigkeit lässt sich ein pauschaler Verweis auf den Aufwand nicht als Begründung für eine Grundrechtsbeschränkung heranziehen. Zudem hat es der Verantwortliche regelmäßig selbst in der Hand, durch die Organisation seiner Datenverarbeitung zu bestimmten, wie groß der jeweilige Aufwand ausfällt.

40. Zu Artikel 1 (§ 32 Absatz 1 Nummer 2 BDSG)

In Artikel 1 ist in § 32 Absatz 1 Nummer 2 nach dem Wort "überwiegen" das Komma durch ein Semikolon zu ersetzen und sind die Wörter "zeitliche Verzögerungen stellen nur in begründeten Ausnahmefällen Gefährdungen der ordnungsgemäßen Erfüllung im Sinne dieser Vorschrift dar;" einzufügen.

Begründung:

Mit der vorgeschlagenen konkretisierenden Regelung der Frage, wann eine Gefährdung der Ordnungsmäßigkeit der Aufgabenerfüllung vorliegt, wird dem Umstand Rechnung getragen, dass die Ordnungsmäßigkeit der Aufgabenerfüllung schon bei zeitlichen Verzögerungen tangiert sein kann. Daher muss klargestellt werden, dass die bloße zeitliche Verzögerung der Aufgabenerfüllung den Ausschluss der grundrechtlich gebotenen Informationsverpflichtung nur in begründeten Ausnahmefällen zu rechtfertigen vermag.

41. Zu Artikel 1 (§ 32 Absatz 1 Nummer 4 BDSG)

In Artikel 1 ist in § 32 Absatz 1 Nummer 4 das Wort "rechtlicher" durch das Wort "zivilrechtlicher" und das Wort "beeinträchtigen" durch das Wort "gefährden" zu ersetzen.

Begründung:

Die vorgeschlagene Ersetzung des Wortes "rechtlicher" durch das Wort "zivilrechtlicher" trägt dem Umstand Rechnung, dass Artikel 23 Absatz 1 Buchstabe j DSGVO bestimmt, dass das Recht auf Information nach Artikel 13 DSGVO durch nationalstaatliches Recht allenfalls dann eingeschränkt werden darf, wenn bestimmte Voraussetzungen erfüllt sind und zusätzlich die gesetzliche Regelung der Durchsetzung "zivilrechtlicher" Ansprüche dient. Die DSGVO ermöglicht daher nicht die Einschränkung der Informationspflicht zur Durchsetzung aller "rechtlichen" Ansprüche.

42. Zu Artikel 1 (§ 32 Absatz 1 Nummer 4 BDSG)

In Artikel 1 sind in § 32 Absatz 1 Nummer 4 nach dem Wort "Ansprüche" die Wörter "gegenüber der betroffenen Person" einzufügen.

Begründung:

Mit der Regelung in § 32 Absatz 1 Nummer 4 BDSG-E wird es beispielsweise Unternehmen der Digitalwirtschaft ermöglicht, ohne Information der betroffenen Verbraucherinnen und Verbraucher personenbezogene Daten entgegen dem ursprünglichen Zweck weiterzuverarbeiten, wenn diese Information die "Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche" gegenüber Dritten (zum Beispiel einem Geschäftspartner) beeinträchtigen würde. Betroffene Verbraucher können aber nicht dafür verantwortlich gemacht und in ihren Informationsrechten beschnitten werden, wenn Unternehmen ihre personenbezogenen Daten für die Durchsetzung zivilrechtlicher Ansprüche im Verhältnis zu Dritten benötigen, zumal die betroffenen Personen auch keinen Einblick in die Geschäftsbeziehungen des Unternehmens mit Dritten haben. Deshalb sollte eine Informationspflicht grundsätzlich nur dann entfallen können, wenn rechtliche Ansprüche des Unternehmens gegenüber der betroffenen Person selbst in Rede stehen.

43. Zu Artikel 1 (§ 32 Absatz 2 Satz 3 BDSG)

In Artikel 1 ist § 32 Absatz 2 Satz 3 zu streichen.

Begründung:

Die vorgeschlagene Streichung des § 32 Absatz 2 Satz 3 BDSG-E trägt dem Umstand Rechnung, dass Artikel 23 Absatz 1 DSGVO es zur Voraussetzung nationaler, den Artikel 13 einschränkender Rechtsvorschriften macht, dass die Beschränkung den Wesensgehalt der Grundrechte achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt. Verantwortliche Stellen in den Fällen der neuen Nummern 4 und 5 des Absatzes 1 pauschal von der Verpflichtung zum Ergreifen der Maßnahmen nach Absatz 2 zu entbinden, wie es der von der Bundesregierung vorgeschlagene Satz 3 macht, verstößt gegen diese Prinzipien. Eine ersatzweise Bereitstellung der Informationen nach Artikel 13 Absatz 1 und 2 für die Öffentlichkeit, wie sie § 32 Absatz 2 Satz 1 BDSG-E vorsieht, könnte nur in allgemeiner, nicht personenbezogener Form erfolgen. Es ist nicht nachvollziehbar, weshalb dies einschließlich der Begründungspflicht nach § 32 Absatz 2 Satz 2 BDSG-E in den genannten Fällen nicht angewendet werden soll.

44. Zu Artikel 1 (§ 33 Absatz 1 Nummer 1 Buchstabe a BDSG)

In Artikel 1 sind in § 33 Absatz 1 Nummer 1 Buchstabe a nach dem Wort "würde" ein Semikolon und die Wörter "zeitliche Verzögerungen stellen nur in begründeten Ausnahmefällen Gefährdungen der ordnungsgemäßen Erfüllung im Sinne dieser Vorschrift dar;" einzufügen.

Begründung:

Mit der vorgeschlagenen Ergänzung wird dem Umstand Rechnung getragen, dass die Ordnungsmäßigkeit der Aufgabenerfüllung schon bei zeitlichen Verzögerungen tangiert sein kann. Daher muss klargestellt werden, dass die bloße zeitliche Verzögerung der Aufgabenerfüllung den Ausschuss der grundrechtlich gebotenen Informationsverpflichtung nur in begründeten Ausnahmefällen zu rechtfertigen vermag.

45. Zu Artikel 1 (§ 33 Absatz 1 Nummer 2 BDSG)

In Artikel 1 § 33 Absatz 1 ist Nummer 2 wie folgt zu fassen:

"2. im Fall einer nicht-öffentlichen Stelle die zuständige öffentliche Stelle gegenüber dem Verantwortlichen festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit gefährden oder sonst dem Wohle eines Bundes oder eines Landes Nachteile bereiten würde."

Begründung:

In § 33 Absatz 1 Nummer 2 BDSG des Kabinettsentwurfs sollte Buchstabe a entfallen, da er nicht mit der DSGVO in Einklang steht. Die DSGVO erlaubt in diesem Zusammenhang Einschränkungen zugunsten der in Artikel 23 Absatz 1 Buchstabe i und j DSGVO genannten Ziele. Selbst wenn man den Verantwortlichen unter den Begriff "andere Person" in Artikel 23 Absatz 1 Buchstabe i subsumiert, wäre eine Beschränkung allenfalls in konkreten, im Gesetz genannten Fallgruppen denkbar, nicht jedoch eine pauschale Ausnahme aufgrund "allgemein anerkannten Geschäftszwecke".

Die ferner vorgeschlagene Ergänzung ("die zuständige öffentliche Stelle gegenüber dem Verantwortlichen festgestellt hat") entspricht dem geltenden § 33 Absatz 2 Nummer 6 BDSG. Eine entsprechende Formulierung war in einer früheren Version des Gesetzentwurfs (übersandt im Rahmen der Länderbeteiligung) enthalten, ist im Kabinettsentwurf aber entfallen. Sie sollte wieder aufgenommen werden, weil sie gewährleistet, dass die zuständige öffentlichen Stelle beurteilt, ob eine Gefährdung der öffentlichen Sicherheit vorliegt und diese Beurteilung nicht der für die Datenverarbeitung verantwortlichen nichtöffentlichen Stelle überantwortet wird.

46. Zu Artikel 1 (§ 34 Absatz 1 Nummer 2 BDSG)

In Artikel 1 ist § 34 Absatz 1 Nummer 2 wie folgt zu fassen:

"2. im Fall einer öffentlichen Stelle die Daten ausschließlich Zwecken der Datenschutzkontrolle dienen oder der Datensicherung, um die Wiederherstellung der für Aufgaben im Sinne des Artikel 6 Absatz 1 Buchstabe e DSGVO erforderlichen Daten bei Verlust zu ermöglichen, und wenn eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist".

Begründung:

Zu Buchstabe a:

Der erste Halbsatz in § 34 Absatz 1 Nummer 2 BDSG-E sollte entfallen, da die in Artikel 23 Absatz 1 abschließend genannten Schutzziele eine Beschränkung bei Speicherungen aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht erlauben. Auch bestünde die Gefahr, dass jedes Auskunftsersuchen gegenüber Telekommunikationsunternehmen zur Rechtmäßigkeit der Speicherung von Verkehrsdaten nach den Vorschriften zur Vorratsdatenspeicherung zurückgewiesen würde und so der betroffenen Person die Geltendmachung weitergehender Rechte (insbesondere im Fall fehlerhafter Auslegung der gesetzlichen Vorschriften durch den Verantwortlichen) verwehrt bliebe.

Zu Buchstabe b:

Auch eine pauschale Ausnahme bei Daten, die zur Datensicherung und Datenschutzkontrolle gespeichert sind, geht zu weit. Die Erfahrungen der Aufsichtsbehörden zeigen, dass Unternehmen ihrer Pflicht zur Sperrung von Daten nicht immer nachkommen, was nicht selten zu einer zweckwidrigen Weiterverwendung führt. Diese kann von den Betroffenen nicht angegriffen werden, wenn ihnen nicht auf Antrag mitgeteilt werden muss, dass ihre personenbezogenen Daten weiter gespeichert sind.

Die vorgeschlagene Formulierung begrenzt die Beschränkung des Auskunftsanspruchs auf die Fälle, die aufgrund wichtiger Ziele des öffentlichen Interesses eine Beschränkung gemäß Artikel 23 Absatz 1 Buchstaben a bis f und h in Verbindung mit Absatz 2 DSGVO ermöglichen.

47. Zu Artikel 1 (§ 35 BDSG)

In Artikel 1 ist § 35 wie folgt zu fassen:

" § 35 Recht auf Löschung

Begründung:

§ 35 Absatz 1 BDSG lässt das in Artikel 17 Absatz 1 der Verordnung (EU) Nr. 2016/679 normierte Recht der betroffenen Person, vom Verantwortlichen die unverzügliche Löschung personenbezogener Daten zu verlangen ("Recht auf Vergessenwerden"), entfallen, sofern die Daten rechtmäßig verarbeitet wurden, die Löschung aber wegen der besonderen Art der Speicherung überhaupt nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist. Das Recht auf Vergessenwerden ist ein Kernelement des harmonisierten europäischen Datenschutzrechts für die Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung, weshalb Abweichungen hiervon nur unter strengsten Voraussetzungen und nur aus Gründen von überragender Bedeutung im Rahmen einer Öffnungsklausel zulässig sind.

Eine Ermächtigung des nationalen Gesetzgebers zu einer so weitreichenden Einschränkung des Löschungsanspruchs der betroffenen Person findet sich in Artikel 23 Absatz 1 der Verordnung (EU) Nr. 2016/679 nicht.

Entgegen der Begründung zu § 35 BDSG-E lässt sich die Einschränkung insbesondere nicht auf den Tatbestand des Artikel 23 Absatz 2 Buchstabe c der Verordnung (EU) Nr. 2016/679 stützen, denn dieser enthält für sich genommen keine Regelungsbefugnis für den nationalen Gesetzgeber, sondern nur eine Konkretisierung für Gesetzgebungsmaßnahmen nach Artikel 23 Absatz 1 der Verordnung (EU) Nr. 2016/679 .

§ 35 Absatz 1 BDSG-E erfüllt indessen nicht die Voraussetzungen für eine Gesetzgebungsmaßnahme nach Artikel 23 Absatz 1 der Verordnung (EU) Nr. 2016/679 , da er offenkundig keine notwendige und verhältnismäßige Maßnahme zur Sicherstellung eines der dort abschließend genannten Regelungsziele darstellt.

Bereits in tatsächlicher Hinsicht erscheint das Abstellen auf eine Unmöglichkeit der Löschung im Zeitalter der digitalen Datenverarbeitung höchst fragwürdig. Die Möglichkeit einer vollständigen oder selektiven Löschung von Daten entspricht regelmäßig dem Stand der Technik. Für eine solche Ausnahme besteht somit auch kein inhaltliches Bedürfnis.

Als Folgeänderung werden Bezugnahmen auf § 35 Absatz 1 Satz 1 BDSG auch in den Absätzen 2 und 3 des § 35 BDSG gestrichen und soweit erforderlich durch wörtliche Übernahme der Sätze 2 und 3 des § 35 Absatzes 1 BDSG-E ersetzt.

48. Zu Artikel 1 (§ 36 BDSG)

In Artikel 1 ist § 36 zu streichen.

Begründung:

Nach Artikel 21 Absatz 1 Satz 1 der Verordnung (EU) Nr. 2016/679 hat eine betroffene Person ein Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstabe e oder f der Verordnung (EU) Nr. 2016/679 erfolgt. Soweit § 36 BDSG-E ein Widerspruchsrecht in den Fällen ausschließt, in denen eine Rechtsvorschrift zur Verarbeitung verpflichtet, ist dieser Ausschluss nicht erforderlich. Rechtsvorschriften, die zu einer Verarbeitung personenbezogener Daten verpflichten, sind Vorschriften nach Artikel 6 Absatz 1 Buchstabe c der Verordnung (EU) Nr. 2016/679 . Gegen Verarbeitungen auf dieser Grundlage besteht keine Widerspruchsrecht, so dass es auch nicht eingeschränkt werden kann.

Nach Artikel 21 Absatz 1 Satz 2 der Verordnung (EU) Nr. 2016/679 ist es dem Verantwortlichen möglich, die personenbezogenen Daten trotz Widerspruchs zu verarbeiten, wenn er zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

§ 36 BDSG-E sieht darüber hinaus einen Ausschluss des Widerspruchsrechts vor, der nicht durch Artikel 23 Absatz 1 der Verordnung (EU) Nr. 2016/679 gerechtfertigt ist. In diesen Fällen nicht nur die durch den Widerspruch angegriffene Verarbeitung ausnahmsweise zu erlauben, sondern das Recht auf Widerspruch ganz auszuschließen, kann nicht als dem Wesensgehalt des Grundrechts achtende und in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme im Sinne des Artikel 23 Absatz 1 der Verordnung (EU) Nr. 2016/679 angesehen werden.

49. Zu Artikel 1 (§ 37 Absatz 1 Nummer 2 Satz 2 BDSG)

In Artikel 1 ist § 37 Absatz 1 Nummer 2 Satz 2 wie folgt zu fassen:

"Der Verantwortliche weist in der Entscheidung deutlich darauf hin, dass diese ausschließlich auf einer automatisierten Verarbeitung ohne Prüfung etwaiger Besonderheiten des Einzelfalls beruht, bietet im Zeitpunkt der Mitteilung, aus der sich ergibt, dass dem Antrag der betroffenen Person nicht vollumfänglich stattgegeben wurde, der betroffenen Person eine Überprüfung der Entscheidung durch eine natürliche Person seitens des Verantwortlichen an und informiert die betroffene Person über die weiteren Rechte nach dieser Nummer."

Begründung:

Eine automatisierte Bearbeitung von Anträgen auf Erstattung von Heilbehandlungskosten kann dazu beitragen, die Antragsbearbeitung zu beschleunigen und Kosten einzusparen. Allerdings besteht die Gefahr, dass eine automatisierte Antragsbearbeitung den Umständen des Einzelfalls nicht gerecht wird, zumal die Zuordnung zu einzelnen Gebührentatbeständen der Gebührenordnung für Ärzte nicht immer zweifelsfrei ist. Daher ist es zum Schutz der Belange der Versicherten geboten, sie ausdrücklich darüber zu informieren, dass die Antragsbearbeitung ausschließlich automatisiert erfolgte. Zugleich sollte den Versicherten eine Überprüfung durch einen Mitarbeiter des Versicherungsunternehmens aktiv angeboten werden, um ihnen die Wahrnehmung des Rechts auf Einzelfallprüfung zu erleichtern. Außerdem sollten die Informationen zeitlich mit der Entscheidung erfolgen und nicht bereits im Rahmen allgemeiner Vertragsinformationen erteilt werden können, um sicherzustellen, dass der Versicherte sie und ihre Bedeutung erfasst. Daher ist der Zusatz "spätestens" vor den Wörtern "im Zeitpunkt" zu streichen.

50. Zu Artikel 1 (§ 37 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren die Ausweitung des § 37 BDSG auf weitere Vertragsarten zu prüfen.

Begründung:

Nach heute gültiger Rechtslage sind automatisierte Einzelentscheidungen gemäß § 6a Absatz 2 Satz 1 Nummer 1 BDSG zulässig, sofern im Rahmen eines Vertragsverhältnisses dem Begehren der betroffenen Person stattgegeben wird. Eine Beschränkung auf Fälle der Leistungserbringung in einem Versicherungsvertrag, wie von § 37 BDSG-E vorgesehen, bestand bisher nicht. Die Zulässigkeit positiver automatisierter Einzelentscheidungen sollte auch zukünftig für alle Vertragsarten klargestellt werden, da in Fällen der Stattgabe des Begehrens der betroffenen Person keine Beeinträchtigung ihrer Rechte erfolgt. Dass die Fortführung der bisherigen Regelung auch mit Blick auf die Datenschutzgrundverordnung zulässig ist, zeigt Erwägungsgrund 71 DSGVO, in dem darauf verwiesen wird, dass es notwendig ist, Beeinträchtigungen "wie die automatische Ablehnung eines Online-Kreditantrags" zu unterbinden.

51. Zu Artikel 1 (§ 50 Satz 2 BDSG)

In Artikel 1 sind in § 50 Satz 2 die Wörter "Anonymisierung der personenbezogenen Daten" durch die Wörter "Pseudonymisierung der personenbezogenen Daten, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen" zu ersetzen.

Begründung:

Eine Anonymisierung von archivierten Daten führt dazu, dass diese nicht mehr ausgewertet werden können. Dieser Sachverhalt ist bei der Rahmensetzung in der Datenschutz-Grundverordnung berücksichtigt worden und daher die in dem Entwurf enthaltene Anonymisierung nicht vorgesehen. Dort heißt es (Artikel 89 Absatz 1 Satz 3 DSGVO):

"Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen." Mit der Formulierung aus Artikel 89 Absatz 1 Satz 3 DSGVO werden sowohl die Interessen Betroffener angemessen berücksichtigt, als auch die Aufgabenerfüllung und Arbeitsfähigkeit der Archive und der Forschung gesichert. Die bundesrechtliche Regelung sollte nicht hinter die EU-Regelung zurückfallen.

52. Zu Artikel 1 (§ 51 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, inwieweit die Voraussetzungen an Einwilligungen in Verarbeitungen von Daten zu Zwecken der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung herabgesetzt werden können.

Begründung:

§ 51 BDSG-E normiert Voraussetzungen für eine Einwilligung im Zusammenhang mit Verarbeitungen von Daten zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) Nr. 2016/680 . Die Vorschrift kombiniert dabei Voraussetzungen aus Artikel 7 der - insoweit nicht anwendbaren - Verordnung (EU) Nr. 2016/679 und dem bisherigen § 4a BDSG. Eine Begründung für diesen Ansatz findet sich im Gesetzentwurf nicht.

Der Umstand, dass auch im Anwendungsbereich der Richtlinie (EU) Nr. 2016/680 Einwilligungen grundsätzlich in Betracht kommen, ergibt sich bereits aus deren Erwägungsgründen 35 und 37.

Es überzeugt indes unter anderem angesichts der verfassungsrechtlichen Verpflichtung zur effektiven Strafverfolgung nicht, bei der Normierung von Anforderungen an eine wirksame Einwilligung den strengen Maßstab des Artikel 7 der Verordnung (EU) Nr. 2016/679 auf den Anwendungsbereich der Richtlinie zu übertragen und mittels § 4a BDSG entlehnter zusätzlicher Voraussetzungen sogar noch überschießende Hürden aufzuerlegen.

Nicht zuletzt in Anbetracht der Voraussetzungen, die bereits die Begriffsbestimmung in § 46 Nummer 1 BDSG-E beinhaltet (freiwillig, auf einen bestimmten Fall bezogen, in informierter Weise, unmissverständlich), sollten die von der Richtlinie belassenen Spielräume ausgeschöpft und sich etwaige zusätzliche Anforderungen an eine wirksame Einwilligung auf das erforderliche und supranational vorgegebene hohe Schutzniveau beschränken, anstatt noch striktere Vorgaben zu machen und damit nicht zuletzt die Effektivität der Strafverfolgung zu gefährden.

53. Zu Artikel 1 (§ 83 Absatz 1 und 2 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen, inwieweit die Einführung von Haftungshöchstgrenzen für die verschuldensunabhängige

Haftung auf Schadensersatz und Entschädigung europarechtlich zulässig ist.

Begründung:

§ 83 BDSG-E regelt Schadensersatzansprüche von Betroffenen. Insoweit wird die Systematik des § 8 BDSG-alt übernommen, wonach bei einer Schadensverursachung aufgrund automatisierter Datenverarbeitung verschuldensunabhängig Schadensersatz zu leisten ist. Weder in § 83 Absatz 1 BDSG-E noch in § 83 Absatz 2 BDSG-E ist jedoch eine Begrenzung auf einen Höchstbetrag (vgl. § 8 Absatz 3 BDSG-alt) vorgesehen, wie sie im Bereich der Gefährdungshaftung als Ausgleich für die Verschuldensunabhängigkeit der Haftung typisch ist. Im weiteren Gesetzgebungsverfahren sollte daher geprüft werden, ob unter Geltung der Richtlinie EU (Nr. ) 2016/680 Spielräume für eine gesetzliche Höchstgrenze verbleiben.

54. Zu Artikel 2 Nummer 5 Buchstabe a ( § 13 Absatz 2 BVerfSchG), Nummer 7 Buchstabe a ( § 22a Absatz 5 BVerfSchG), Nummer 9 ( § 25 Absatz 3 BVerfSchG)

Artikel 2 ist wie folgt zu ändern:

Begründung:

Artikel 18 der Verordnung (EU) Nr. 2016/679 regelt das Recht auf Einschränkung der Verarbeitung. Insofern sollte einheitlich der Begriff "Einschränkung" verwendet werden.

55. Zu Artikel 2 Nummer 10 (§ 26a Absatz 2 Satz 2 BVerfSchG)

In Artikel 2 Nummer 10 § 26a Absatz 2 ist Satz 2 wie folgt zu fassen:

"Soweit die Einhaltung von Vorschriften der Kontrolle durch die G 10 Kommission unterliegt, unterliegt sie nicht der Kontrolle durch die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, es sei denn, die G 10-Kommission ersucht die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, die Einhaltung der Vorschriften über den Datenschutz bei bestimmten Vorgängen oder in bestimmten Bereichen zu kontrollieren und ausschließlich ihr darüber zu berichten."

Begründung:

Die Änderung dient der Klarstellung. Der derzeitige Wortlaut § 26 Absatz 2 Satz 2 BVerfSchG nach dem letzten Komma legt es nahe, dass die Kommission die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ersuchen kann, um die Kommission selbst zu kontrollieren.

56. Zu Artikel 6 Nummer 2 (§ 6 Absatz 1 Satz 7 G10)

In Artikel 6 Nummer 2 § 6 Absatz 1 Satz 7 ist das Wort "beschränken" durch das Wort "einschränken" zu ersetzen.

Begründung:

Artikel 18 der Verordnung (EU) Nr. 2016/679 regelt das Recht auf Einschränkung der Verarbeitung. Insofern sollte einheitlich der Begriff "Einschränkung" verwendet werden.

57. Zum Gesetzentwurf insgesamt

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahrens zu prüfen, wie ein belastbarer Datenschutz im Bereich des Smart Farming sichergestellt werden kann. Hierbei ist auch die Wahlfreiheit des Nutzers hinsichtlich der weiteren Verwendung der betriebsrelevanten Daten von Belang. Insbesondere ist von Bedeutung, ob Artikel 20 der Verordnung (EU) Nr. 2016/679 hinreichend sicherstellt, dass die Landwirte die erfassten Daten herstellerunabhängig auslesen, selbst oder durch Dritte auswerten und für andere Zwecke oder Maschinen weiter nutzen können.

Begründung:

Bei der Digitalisierung der Landwirtschaft ("Smart Farming") ist die Datenhoheit der Landwirte über ihre maschinell gesammelten Daten ("digitalen Feldfrüchte") eine wichtige Grundlage. Daher wird um Prüfung gebeten, inwieweit dies rechtlich abgesichert ist bzw. noch Handlungsbedarf besteht.