Matthias Weber
Datenschutzbeauftragter
Mit endgültigem In Krafttreten der EU-DSGVO am 25. Mai 2018 trat auch gleichzeitig das BDSG-neu in Kraft und löste damit das bis dahin gültige BDSG-alt ab.
Das BDSG-neu gliedert sich inhaltlich in 4 Teile. Für Unternehmen ist besonders der zweite Teil interessant. Der dritte Teil bezieht sich auf öffentliche Stellen der Strafverfolgung und Ordnungswidrigkeiten. Der vierte und letzte Teil bezieht sich dagegen auf Sonderfälle. Jeder Teil ist zudem noch in Kapitel aufgeteilt und fasst zum Teil mehrere Paragrafen zusammen.
Das BDSG-neu setzt sich grundsätzlich aus den aus der EU-DSGVO gezogenen sogenannten Öffnungsklauseln zusammen. Mit Hilfe dieser Öffnungsklauseln lassen sich zu einzelnen Artikeln spezifischere Vorschriften normieren, als das in der EU-DSGVO der Fall ist.
Dies ist jedoch zum Teil den jeweiligen Mitgliedsstaaten überlassen, inwiefern sie von den Öffnungsklauseln Gebrauch machen und wie „spezifischer“ im Sinne von restriktiver die Norm im nationalen Recht sein soll. Ein gutes Beispiel dafür bietet § 38 BDSG-neu.
Darin schreibt der Gesetzgeber fest, dass unbeschadet bzw. ergänzend zu Art. 37 Abs. I lit. b und c EU-DSGVO, der Verantwortliche auch nach den in §38 Abs 1 S. 1 BDSG-neu genannten Voraussetzungen einen Datenschutzbeauftragten bestellt. So hat §38 Abs. I S. 2 BDSG-neu auch ergänzende Voraussetzungen für die Datenschutzfolgeabschätzung nach Art. 35 EU-DSGVO.
Zusätzlich wurden noch die Bußgeld- und Strafvorschriften nach Art. 84 Abs. 4 EU-DSGVO und Erwägungsgrund 149 erweitert.
Der sachliche Anwendungsbereich gemäß § 1 BDSG-neu ist sowohl für öffentliche wie für nicht öffentliche Stellen gleichermaßen eröffnet. Dies bedeutet, dass das BDSG-neu sowohl für öffentlich-rechtliche Institutionen als auch für private Unternehmen gilt.
Im Grunde ist die Antwort auf diese Frage sehr einfach. Es gilt sowohl die EU-DSGVO als auch das BDSG-neu für Deutschland. Im Detail ist jedoch nicht immer ganz einfach zu differenzieren, welches Gesetz Anwendung findet. Im Grundsatz lässt sich jedoch sagen, dass die EU-DSGVO Anwendungsvorrang genießt.
Dies ergibt aus dem Grundsatz, dass „das Recht der Europäischen Union über dem nationalen Recht steht“, den der EuGH in einem Urteil aus dem Jahre 2007 aufgestellt hat. Aber auch aus dem BDSG-neu selbst.
In § 1 Abs. 5 BDSG-neu ist eine Art „Kollisionsregel“ enthalten, welche besagt, dass „die Vorschriften dieses Gesetzes keine Anwendung finden, wenn das Recht der Europäischen Union, im Besonderen die Verordnung (EU) 2016/679 (also die EU-DSGVO) in der jeweiligen Fassung, unmittelbar gilt.“Damit soll ein (europarechtlicher)Streit darüber welche Norm im Zweifel gilt, vermieden werden und trägt somit dem vom EuGH aufgestellten Grundsatz Rechnung.
Wenn nun einmal im Zweifel nicht ganz klar ist, welche Norm nun anzuwenden ist, muss hier eine entsprechende Einzelfallprüfung stattfinden, über die am Ende der EuGH zu entscheiden hat. Dies birgt eine gewisse (theoretische) Rechtsunsicherheit.
Als Beispiel kann hier § 26 BDSG-neu „Datenverarbeitung für die Zwecke des Beschäftigungsverhältnisses“ und Art. 88 EU-DSGVO „Datenverarbeitung im Beschäftigungskontext“ herangezogen werden.
Handelt es sich hier nur um eine andere Terminologie, oder ist das Beschäftigungsverhältnis ein Teil des Beschäftigungskontextes? Zusätzlich ist in § 26 Abs. 8 BDSG-neu der Begriff des Beschäftigten legaldefiniert, wohingegen in der EU-DSGVO der Beschäftigte zwar an mehreren Stellen (Art. 47 EU-DSGVO und Erwägungsgrund 155) erwähnt wird, aber eine eigene Definition bleibt aus.
Fraglich ist nun, ob sich daraus ableiten lässt, dass jeder EU-Mitgliedsstaat den Begriff eines Beschäftigten selbst definieren kann, wobei es durchaus zu nationalen unterschiedlichen Auffassungen dazu geben könnte. Ob dies dann im Sinne der EU-DSGVO mit ihrem Ziel europaweit einheitliche Standards zu setzen ist, darf bezweifelt werden.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!