Das neue Bundesdatenschutzgesetz (BDSG)

Zunächst kann sich die Frage ergeben, wozu es in Zeiten der DSGVO überhaupt noch eines deutschen Datenschutzgesetzes bedarf. Das BDSG stammt aus der Zeit vor der DSGVO und war bis zu deren Inkrafttreten das einschlägige Regelwerk in Sachen Datenschutz. Ab dem 25.05.2018 trat die DSGVO in der gesamten EU in Kraft. Jedoch enthält die DSGVO sogenannte Öffnungsklauseln, insgesamt 69 an der Zahl.  An diesen Stellen können Regelungen auf nationaler Ebene konkretisiert werden. Diese müssen im Einklang mit der DSGVO sein. Dies ist, neben anderen Regelungen, der Kernbereich des BDSG.

Als Beispiel kann hier Art. 37 Abs. (4) DSGVO genannt werden, welcher die Benennung eines Datenschutzbeauftragten umfasst. Der deutsche Gesetzgeber hat hier in § 38 BDSG die Regelungen verschärft und festgelegt, dass ein Datenschutzbeauftragter bereits ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, zu ernennen ist.

Das BDSG hat folglich nach wie vor seine Daseinsberechtigung.

Die gute Nachricht gleich zu Beginn: Die Änderungen halten sich in Grenzen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder wird institutionalisiert, die Durchsetzung des Datenschutzrechts in Deutschland verbessert sowie Rechtssicherheit für ein verbraucherschützendes Scoring geschaffen. Nachfolgend wird näher auf die Punkte eingegangen.

Die Datenschutzkonferenz (DSK) soll zukünftig im BDSG verankert werden. Sie dient der einheitlichen Anwendung des europäischen und nationalen Datenschutzrechts und soll dessen Weiterentwicklung dienen.

Werden Daten für wissenschaftliche, historische oder statistische Zwecke verarbeitet, können künftig bei länderübergreifenden Vorhaben, für die eine gemeinsame datenschutzrechtliche Verantwortung besteht, statt mehrerer Aufsichtsbehörden nur eine Aufsichtsbehörde als Ansprechpartner genutzt werden.

Ferner werden die rechtlichen Grundlagen für das Scoring neu geregelt und damit für mehr Rechtssicherheit gesorgt. Dies war in Anbetracht des Urteils des EuGH vom 07.12.2023 zu erwarten und dürfte vor allem Organisationen wie die Schufa interessieren. Aus Artikel 22 der DSGVO folgt das grundsätzliche Verbot, Personen einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zu unterwerfen, die ihnen gegenüber rechtliche Wirkung entfaltet. Nach Rechtsprechung des EuGH kann bereits die Bildung eines Score-Wertes durch eine Auskunftei eine solche automatisierte Entscheidung sein, wenn von diesem Score-Wert die Entscheidung eines Dritten maßgeblich abhängt. Von der in der DSGVO vorgesehenen Möglichkeit für nationale Ausnahmen von diesem Verbot hatte der nationale Gesetzgeber bereits mit § 31 BDSG Gebrauch gemacht, welcher nun aufgehoben wird. Dafür soll kodifiziert werden, dass zukünftig für die Bildung von Wahrscheinlichkeitswerten beim Scoring z. B. keine besonderen Kategorien personenbezogener Daten gem. Art. 9 DSGVO verwendet werden dürfen oder auch keine Daten aus der Nutzung sozialer Netzwerke. Der Gesetzgeber erhofft sich dadurch eine Stärkung der Verbraucherrechte.

Im neuen BDSG wurden einige Problemfelder und Kritikpunkte aus der Rechtsanwendung der letzten Jahre aufgenommen und neu geregelt. Die Stärkung der Verbraucherrechte beim Scoring ist, insbesondere in Anbetracht der zunehmenden Verwendung von KI, zu begrüßen. Es wird sich zeigen, wie praktikabel sich die neuen Regelungen herausstellen werden.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.