Der Bundestag hat den von der Bundesregierung eingebrachten Gesetzesentwurf zur Änderung des Bundesdatenschutzgesetzes, kurz BDSG, in der Fassung der Beschlussempfehlung des Innenausschusses am 27.04.2017 angenommen. Mit der Neufassung soll das BDSG an die neue EU-Datenschutzgrundverordnung, kurz EU-DS-GVO, angepasst werden. Die EU-DS-GVO wird ab dem 25.05.2018 unmittelbar in allen Mitgliedsstaaten der EU Geltung entfalten und verfolgt das Ziel, eine Harmonisierung des Datenschutzes innerhalb der Union zu realisieren. Dabei überlässt sie den Mitgliedsstaaten mittels 50 Öffnungsklauseln Handlungsspielräume, die weiterhin nationale Regelungen erlauben. Das neue BDSG bildet somit die Basis der Anpassung deutscher Gesetze an die EU-DS-GVO. Spezialgesetzliche Regelungen werden notwendigerweise folgen. Zahlreiche allgemeine Regelungen der EU-DS-GVO gelten neben dem neuen BDSG, wie etwa umfassende Informationspflichten bezüglich der Verwendung erhobener Daten.

Kunden, Arbeitnehmern und anderen Verbraucher wird künftig die Möglichkeit eröffnet werden, Ansprüche auf Schadensersatz geltend zu machen – und das ist wesentlich – auch wenn der Schaden nicht hinsichtlich des Vermögens eingetreten ist. Dieses Novum im deutschen Recht führt zu einer erheblichen Haftungsgefahr für Unternehmen. Verbrauchern und Verbänden werden zudem Verbandsklagerechte eingeräumt, die ihnen die Geltendmachung von Ansprüchen erleichtern soll und dies wird es faktisch auch. Schließlich wird eine Beweislastumkehr eingeführt werden, weshalb Unternehmen künftig in Streitfällen den Nachweis für die Einhaltung datenschutzrechtlicher Vorgaben erbringen werden müssen – es gelten für sie nach der EU-DS-GVO umfassende Dokumentationspflichten.

Von höchster Relevanz für die Mandanten wird ebenfalls der in § 26 BDSG neu gefasste Beschäftigtendatenschutz sein, der deutlich umfangreicher als die bisherige Regelung in § 32 BDSG a.F. ausfällt. Viele von der Rechtsprechung zu der Vorgängervorschrift entwickelten Grundsätze wurden in Gesetzesform gegossen. Dies betrifft etwa das Erfordernis einer Interessenabwägung zwischen den vom Arbeitgeber angestrebten Zielen und den schutzwürdigen Belangen des Arbeitnehmers im Rahmen der Ermittlung der Zulässigkeit einer konkreten Datenverarbeitung. Weiterhin finden sich spezielle Regelungen zur Einwilligung von Beschäftigten in die Verarbeitung ihrer Daten, zur Datenverarbeitung durch Betriebsräte und zu den inhaltlichen Anforderungen an Betriebsvereinbarungen.

Sogar die Datenverarbeitung durch Betriebsräte wird sich künftig an den Maßstäben der EU-DS-GVO sowie des BDSG messen lassen müssen – dies ist lediglich konsequent. Kollektivvereinbarungen bleiben zwar auch nach dem 25.05.2018 ein zulässiges Mittel zur Regelung erlaubter Datenverarbeitung, müssen ab diesem Zeitpunkt jedoch den Anforderungen von Art. 88 Abs. 2 EU-DS- GVO und § 26 BDSG genügen. Vor diesem Hintergrund müssen geltende Betriebsvereinbarungen einer Adaption unterzogen werden, wobei ein probates Mittel der Abschluss entsprechender Rahmenbetriebsvereinbarungen sein kann.

Im Übrigen enthält das neue BDSG in einigen Punkten Abweichungen und Sonderregelungen, die Spezialgebiete wie etwa die Videoüberwachung oder das Profiling betreffen. Im Wesentlichen handelt es sich die Unterrichtung von Personen, deren Daten verarbeitet werden sowie deren diesbezügliche Auskunftsrechte.

Die Regeln der EU-DS-GVO und des neuen BDSG müssen von Unternehmen bis zum 25.05.2018 umgesetzt werden. Diese Aufgabe ist zweifellos lösbar, sollte indes nicht unterschätzt werden, zumal bei Verstößen empfindliche Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens drohen. Ein entsprechend proaktives Handeln, nämlich eine anwaltliche Beratung bietet hier Schutz.