Des Berufsverbands
der Datenschutzbeauftragten Deutschlands (BvD) e.V.
zum Referentenentwurf des Bundesministeriums des Innern
„Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die
Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680
(Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) –
Stand 23.11.2016“
Beantwortung der Anfrage
Bezug: Ihre E-Mail vom 23.11.2016:
Verbändebeteiligung zum Datenschutz-Anpassungs- und Umsetzungsgesetz
Sehr geehrte Frau Dr. Wichmann,
sehr geehrte Damen und Herren,
für Ihre Einladung zur Stellungnahme zum o. g. Gesetzentwurf bedanken wir uns.
Der Aufforderung kommen wir hiermit gerne nach. Aufgrund der kurzen Antwortfrist beschränken wir uns bei unserer Stellungnahme auf die Aspekte, die mit der praktischen Arbeit des Datenschutzbeauftragten zu tun haben.
Zu §§ 5 und 36 Datenschutzbeauftragte nicht-öffentlicher Stellen
Dem betrieblichen und behördlichen Datenschutzbeauftragten kommt bei der Umsetzung der gesetzlichen Anforderungen eine zentrale Rolle zu. Die Praxis hat gezeigt, dass Unternehmen und Behörden, die keinen Datenschutzbeauftragten benannt haben, sich i.d.R.
auch nicht mit den Anforderungen des BDSG befasst haben.
Beschäftigten- und Kundendatenschutz fand in diesen Unternehmen und Behörden bisher nicht statt.
Die Beratung durch einen externen Rechtsanwalt bzw. eine Kanzlei droht für die Unternehmen ein enormes Kostenrisiko und zudem das Problem, dass diese Beratung fern der betrieblichen Praxis stattfindet also die Lösungsansätze häufig nicht zu den speziellen Anforderungen des Unternehmens passen. Der betriebliche Datenschutzbeauftragte, der sowohl die Anforderungen als auch die betrieblichen Belange berücksichtigen kann, stellt für Unternehmen die sicherste und kostengünstigste Maßnahme dar, die gesetzlichen Anforderungen praxisgerecht umzusetzen. Gleichzeitig ist der Datenschutzbeauftragte durch seinen Auftrag an die Wahrung der Betroffenenrechte gebunden, was ihm die Umsetzung datenschutzfreundlicher Lösungen ermöglicht.
Der BvD begrüßt daher ausdrücklich die Übernahme der bewährten Regelung zur Benennung des betrieblichen Datenschutzbeauftragten.
Klärung bedarf es unserer Ansicht nach für folgende Punkte:
1. Der DSB ist zu „benennen“ wie in der EU-DSGVO bereits formuliert und im BDSG neu bereits teilweise übernommen. Der Begriff der Bestellung aus dem BDSG alt sollte der Klarheit halber nicht mehr verwendet werden. Hier besteht die Gefahr, dass unterschiedliche Bedeutungen interpretiert werden.
2. Zum Kündigungsschutz lässt der Entwurf Interpretationsspielraum. Wir schlagen daher eine eindeutige Formulierung wie bspw. „Ein Kündigungsschutz für freiwillig bestellte DSB besteht nicht.“ Dies vermeidet die Diskussion, ob die Pflichtbenennung nach DSGVO oder BDSG neu gemeint ist.
Zu § 24 Verarbeitung von Beschäftigtendaten
Die Übernahme des § 32 BDSG-alt ist begrüßenswert, da so eine Mindestregelung für den Beschäftigtendatenschutz gegeben ist.
Die im Anschreiben erwähnte Anregung des BMAS zur Ergänzung der
Beschäftigtendefinition um den „Leiharbeitnehmer“ begrüßen wir, da damit für die Praxis bestehende Unklarheiten zweifelsfrei korrigiert werden.
Bei den weiteren Hinweise des BMAS besteht die Gefahr, dass durch Wiederholung von bereits in der DS-GVO geregelten Vorgaben, Interpretationsspielräume eröffnet werden, so sind beispielsweise die Vorgaben für die Einwilligung bereits in Art. 7 DS-GVO geregelt.
Auch stellen Kollektivvereinbarungen nicht die Rechtsgrundlage einer Datenverarbeitung dar, sie können diese lediglich zur Wahrung der Rechte des Betroffenen ausgestalten. Die Rechtmäßigkeitsgrundlagen ergeben sich aus der Einwilligung oder einem Gesetz (einschließlich Wahrung berechtigter Interessen). Die Überarbeitung des Beschäftigtendatenschutzes im Übrigen ist für die nächste Legislaturperiode einzuplanen, wie dies bereits aus mehreren Ministerien zu vernehmen war. Tatsächlich bleiben heute in der betrieblichen Praxis erhebliche Unsicherheiten bspw. bei der Durchführung von Abwägungen oder auch beim Einsatz der Einwilligung im Beschäftigtenverhältnis. Auch die Verarbeitung von Beschäftigtendaten in Unternehmensgruppen bedarf einer praxisgerechten Regelung.
Weiterer Handlungsbedarf
Berufsgeheimnisträger können heute aufgrund der Regelungen zum Berufsgeheimnis § 203 StGB keine Dienstleister bspw. im Bereich der IT-Betreuung im Krankenhaus oder in Anwaltskanzleien beauftragen, da diese Dienstleister nicht den Schutz nicht den in der StPO gesicherten Vertraulichkeitsschutz genießen und nicht der straf- und standesrechtlichen Schweigepflicht unterliegen. Diese heutzutage praxisferne Einschränkung der Tätigkeit der einem Berufsgeheimnis unterliegenden Berufsgruppen sollte durch eine Erweiterung der Geheimhaltungspflicht auf die entsprechend geeigneten Dienstleister und durch eine Offenbarungsbefugnis für die Berufsgeheimnisträger aufgehoben werden.Wir gehen davon aus, dass dieses dringende Thema über eine Gesetzesinitiative des BMJV zur Beauftragung von Dienstleistern durch Berufsgeheimnisträgern behandelt werden wird, möchten aber an dieser Stelle nochmal auf die Dringlichkeit hinweisen. Dementsprechend sollte bei § 26 Abs. 2 BDSG neu auch geprüft werden, ob die Einschränkung auch auf Auftragsverarbeiter erweitert werden müsste. Auch sollte die Einschränkung des Auskunftsrechts in § 26 Abs. 1 Nr. 2 BDSG neu um den Fall des Art. 14 Abs. 5 lit. d DS-GVO ergänzt werden, dass ein Auskunftsrecht auch dann nicht besteht, wenn das personenbezogene Datum einem Berufsgeheimnis unterliegt.
Dadurch wird vermieden, dass beispielsweise Ärzte oder Anwälte gegenüber einem Dritten über Informationen Auskünfte geben müssen, die ihnen im Rahmen beispielsweise einer psychologischen Behandlung oder einer Mandatierung durch den Mandanten anvertraut wurden, ohne dass eine Befreiung von der nach § 203 StGB strafbewehrten Verschwiegenheitspflicht vorliegt.
Mit freundlichen Grüßen
Thomas Spaeing
Vorstandsvorsitzender BvD e.V.
Kontaktdaten:
Berufsverband der
Datenschutzbeauftragten Deutschlands (BvD) e.V.
Budapester Straße 31
10787 Berlin
Tel: 030 . 26 36 77 60
E-Mail: bvd-gs@bvdnet.de
Internet: https://www.bvdnet.de
Kommentare
Kommentar veröffentlichen