Kurz vor der Anwendbarkeit der EU-Datenschutz-Grundverordnung mit 25. Mai 2018 wurde auf Initiativantrag das Datenschutz-Deregulierungs-Gesetz 2018 beschlossen, welches in letztem Moment einige Lockerungen des Datenschutzes für Unternehmen vorsieht. Aber was bedeutet dies für betroffene Unternehmen? Ein Überblick.
Bild: Karin Bruchbacher ist Rechtsanwältin, Datenschutzexpertin und zertifizierte Datenschutzbeauftragte bei PHH Rechtsanwälte.
Durch das Datenschutz-Deregulierungs-Gesetz werden die Auskunftspflichten der Verantwortlichen gegenüber den betroffenen Personen gelockert. Wenn es sich bei den angefragten Auskünften um »Betriebs- oder Geschäftsgeheimnisse« handelt, sind diese Informationen von der Auskunftspflicht ausgenommen. Allerdings liegt es auch weiterhin in der Beweislast des Unternehmens, nachzuweisen, dass eine angefragte Information zu einer ungewünschten Offenlegung von »Geschäfts- und Betriebsgeheimnissen« des Unternehmens oder Dritter führen würde. Eine pauschale Berufung eines Unternehmers auf den Schutz eines Betriebs- oder Geschäftsgeheimnisses ist demnach auch in Zukunft nicht möglich. Unternehmen haben stets im Einzelfall zu erklären, wieso die Verweigerung einer Auskunft aufgrund eines Betriebs- oder Geschäftsgeheimnisses gerechtfertigt ist.
Bild: Cathrine Bondi de Antoni ist Rechtsanwaltsanwärterin und spezialisiert auf Datenschutzrecht.
Videoüberwachung künftig ohne Interessensabwägung:
Die Videoüberwachung öffentlicher Orte, die dem Hausrecht unterliegen, ist künftig einfacher. Da die Einschränkung »wenn … kein gelinderes geeignetes Mittel zur Verfügung steht« gestrichen wurde, muss vor der Installation einer Kamera keine Interessenabwägung mehr stattfinden, ob eine andere Form der Überwachung als gelinderes Mittel möglich wäre. Allerdings gilt auch weiterhin, dass die Videoüberwachung verhältnismäßig und entsprechend gekennzeichnet sein muss.
Günstigkeitsprinzip Strafbestimmungen
Hinsichtlich der Verhängung von Strafen für Straftatbestände, welche vor dem Inkrafttreten des DSG verwirklicht wurden, ist abzuwägen, welche Rechtslage für den Täter günstiger ist: die vor der DSGVO und des DSG oder die nach dem DSG 2000.
Strafen oder Verwarnung?
Bereits vielerorts freudig kolportiert wurde der Wegfall der hohen Strafen bei Verletzung der Vorschriften der DSGVO. Dies lässt außer Acht, dass das Datenschutz-Deregulierungs-Gesetz 2018 lediglich zur Wahrung der Verhältnismäßigkeit bei der Verhängung von Sanktionen mahnt und in diesem Zusammenhang die Datenschutzbehörde auffordert, insbesondere bei erstmaligen Verstößen vom Verwarnen Gebrauch zu machen. Der Wortlaut der Bestimmung kann keinesfalls so ausgelegt werden, dass bei Ersttätern stets eine Verwarnung ausgesprochen wird. Nach dem Grundsatz der Verhältnismäßigkeit wird im Einzelfall jeweils auf den Gesamtkontext abzustellen sein, insbesondere ob und in welchem Ausmaß die sonstigen datenschutzrechtlichen Bestimmungen vom Unternehmen eingehalten wurden.
Erfreulich ist die Klarstellung, dass ein verantwortlicher Beauftragter nicht mehr für die Verstöße haftet, sofern bereits gegen das Unternehmen (juristische Person) für denselben Verstoß eine Verwaltungsstrafe verhängt wurde.
Die Kernbereiche der DSGVO – der Schutz der personenbezogenen Daten und die Ausübung der Betroffenenrechte – sind von diesen rein innerstaatlichen Bestimmungen nicht umfasst. Die Verpflichtung der Unternehmen, DSGVO-konform zu handeln, bleibt aufrecht. Alle Vorbereitungen, die Unternehmen bereits für die Umsetzung der Bestimmungen der DSGVO getätigt haben, sind vom Datenschutz-Deregulierungsgesetz damit nicht betroffen.