DSK zur BDSG-Reform: Bußgelder für Behörden
Die Bundesregierung plant die Änderung des Bundesdatenschutzgesetzes (BDSG). Dazu gibt es auch schon einen Gesetzesentwurf. Am 12.04.2024 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine Stellungnahme veröffentlich, in der sie auf die geplante BDSG-Reform eingeht. Insbesondere geht es dabei um die vorgesehene Institutionalisierung der Datenschutzkonferenz selbst, Zuständigkeitsregelungen, Schufa-Scoring und Auskunftsansprüche.
Institutionalisierung der DSK: Zielsetzung und Geschäftsstelle
Der Gesetzesentwurf (BDSG-E) sieht in § 16a BDSG-E vor, die DSK zu institutionalisieren. Dies soll die Datenschutzaufsicht und die Koordinierungsrolle der DSK stärken. Die DSK freut sich zwar über die Anerkennung ihrer Bedeutung als Datenschutzgremium, meint jedoch, dass die Regelung wenig Neues bringt. Die DSK sei schon lange aufgrund einer eigenen Geschäftsordnung, die die im Gesetz genannten Punkte regelt, erfolgreich tätig. Stattdessen wünscht sie sich, die Ziele der DSK im Gesetz zu verankern. Darunter falle die „Koordinierung und die Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder sowie eine einheitliche Anwendung des Datenschutzrechts“. Zudem fordert die DSK die Einrichtung einer ständigen Geschäftsstelle, um die Arbeit der DSK organisatorisch zu unterstützen.
Ergänzende Zuständigkeitsregelungen
§§ 19, 40 BDSG-E bestimmen ergänzende Zuständigkeitsregeln, wenn es keine inländische Niederlassung gibt. Die vorgeschlagenen Änderungen in § 19 Abs. 1 S. 4 BDSG-E und § 40 Abs. 2 S. 3 BDSG-E zur Bestimmung einer federführenden Aufsichtsbehörde sollten nach DSK-Ansicht gestrichen werden.
Auskunftsansprüchen bei Betriebs- und Geschäftsgeheimnissen
In § 34 Abs. 1 S. 2 BDSG-E, § 83 Abs. 1 S. 1 SGB X-E soll es zukünftig Regeln zum Wegfall des Auskunftsrechts geben, wenn sonst Betriebs- und Geschäftsgeheimnisse offenbart würden. Auch hier schlägt die DSK die Streichung vor. Für den Schutz des Geschäftsgeheimnisses gäbe es bereits ausreichend Sicherheit durch Art. 23 Abs. 1 lit. i DSGVO und Art. 15 Abs. 4 DSGVO. Eine weitere Einschränkung des Auskunftsrechts würde gegen EU-Recht verstoßen.
Scoring
Zudem setzt sich die Stellungnahme (abrufbar hier) auch mit den in § 37a BDSG-E geplanten Änderungen zum Kreditscoring auseinander. Diesbezüglich will die Regierung aufgrund einer Entscheidung des EuGHs eine rechtliche Grundlage für transparentes und diskriminierungsfreies Schufa-Scoring schaffen. Nach Ansicht der DSK könne die neue Regel die Anforderungen von Art. 22 DSGVO nicht ausreichend erfüllen. Diese Norm stellt strenge Anforderungen an automatisierte Entscheidungen im Einzelfall, worunter auch Profiling fällt. Deshalb sieht die DSK Bedarf für eine umfassende Analyse mit Sachverständigenanhörungen. Um größtmögliche Rechtssicherheit zu gewährleisten, fordert die DSK zu Klarstellungszwecken auch, in der Überschrift direkt „Scoring“ zu erwähnen. Weitere Klarstellungen und Nachbesserungen verlangt die DSK zum Begriff der „sozialen Netzwerke“, der „Zahlungseingänge und -ausgänge“, zu Diskriminierungsverboten, Betroffenenrechten, Zertifizierungserfordernissen, Datenrichtigkeit und Transparenzpflichten.
Länderübergreifende Vorgänge
Die DSK unterstützt die in §§ 40a, 27 Abs. 5 BDSG-E vorgesehene Bestimmung einer Aufsichtsbehörde für länderübergreifende Datenverarbeitungen. So erhielten Verantwortliche einen zentralen Ansprechpartner und man könnte Parallelverfahren verhindern. Allerdings kritisiert die DSK die in § 40a BDSG-E erwähnten Tatbestandsmerkmale als uneindeutig, was zu Rechtsunsicherheit führen könne. Die DSK würde klare Prüfungskriterien bevorzugen. Außerdem hält sie ein Verfahren, nachdem Unternehmen einen Antrag zur Änderung der Zuständigkeit bei der Aufsichtsbehörde einreichen, über den diese im Anschluss entscheidet, für geeigneter.
Zusätzliche Änderungsforderungen
Des Weiteren verlangt die Stellungnahme der DSK zur BDSG-Reform die Regelung der sofortigen Vollziehbarkeit von Verwaltungsakten gegenüber öffentlichen Stellen und damit eine Änderung von § 20 Abs. 7 BDSG.
Im Übrigen wünscht sich die DSK in § 41 BDSG eine Klarstellung, dass §§ 30, 130 Ordnungswidrigkeitengesetz (OWiG) zur Reichweite der Verantwortlichkeit von Unternehmen für Bußgeldverstöße nicht anwendbar ist. Dass das Rechtsträgerprinzip nicht mit der DSGVO vereinbar ist, hatte der EuGH Ende letzten Jahres entschieden.
Zudem möchte die DSK die „Aufnahme einer Befugnis zur Einziehung von Gegenständen“ zur Überwachung der Einhaltung der Verhaltensregeln. Die Notwendigkeit zum Einziehen bestimmter Gegenstände bestünde etwa gegenüber Tatmitteln (z. B. eine Dashcam) als auch für Tatprodukte (z. B. eine SIM-Karte mit rechtswidrig gespeicherten personenbezogenen Daten).
Weiterhin fordert die DSK, dass entgegen dem aktuellen § 43 Abs. 3 BDSG Geldbußen auch gegen Behörden und öffentliche Stellen verhängt werden dürfen. Die Praxis habe gezeigt, dass es für eine solche Regelung Bedarf gebe. Zudem sei dies aus Gleichbehandlungsgründen erforderlich. Parallel hierzu solle auch eine Regelung zum Verhängen von Zwangsmitteln gegen öffentliche Stellen zur Beachtung des europäischen Effektivitätsgebot eingefügt werden.
Für Religionsgemeinschaften solle bei Anwendbarkeit der DSGVO festgelegt werden, dass sie als nichtöffentliche Stellen zu behandeln sind.
Fazit
Die Stellungnahme der DSK zur BDSG-Reform bringt einige wichtige Kritikpunkte und Verbesserungsvorschläge auf. Die Aspekte, insbesondere bezüglich der unklaren Zuständigkeitsregelungen und der geplanten Änderungen zum Kreditscoring, verdeutlichen die Notwendigkeit klarer und praxisgerechter Gesetzesformulierungen. Letztlich strebt die DSK nach einem ausgewogenen Gesetz, das sowohl den Datenschutz stärkt als auch Rechtssicherheit für Unternehmen gewährleistet.