Glaubt man internationalen und nationalen Medien wurde dem Datenschutz durch das neue Datenschutz-Deregulierungsgesetz 2018 die Zähne gezogen. Die gefürchteten Strafen in Höhe von bis zu € 20 Mio. oder 4% des jährlichen weltweiten Jahresumsatzes müssten nicht gefürchtet werden, die bisher schon getroffenen Vorbereitungen wären umsonst.
Doch was steckt tatsächlich hinter den Änderungen? Ist es ratsam, den Kopf aufgrund der neuen Regelungen in den Sand zu stecken oder lohnt es sich dennoch, datenschutzrechtlich gewappnet zu sein? Eines dazu vorweg: Das Datenschutz-Deregulierungsgesetz 2018 entbindet Unternehmen nicht von den Verpflichtungen der DS-GVO, auch wenn die Sanktionen für Erstverstöße milder ausfallen sollen. Sie sind daher weiterhin gut beraten, sich auf die DS-GVO vorzubereiten. Zu den wichtigsten Neuerungen des Datenschutz-Deregulierungsgesetz 2018 im Detail:
1.Schutz natürlicher Personen
Die im Verfassungsrang stehenden Regelungen über das Grundrecht auf Datenschutz wurden mangels parlamentarisch erforderlicher 2/3-Mehrheit abermals nicht geändert. Dieses steht daher weiterhin neben natürlichen Personen auch juristischen Personen zu. In § 4 Abs 1 Datenschutzgesetz (DSG) wird nun ausdrücklich klargestellt, dass dieses Gesetz für die Verarbeitung personenbezogener Daten natürlicher Personen gilt. Die Unklarheiten über die Anwendung auch auf juristische Personen sollte damit ausgeräumt sein.
2. Verwarnung durch die Datenschutzbehörde
Erfreulich für die Unternehmer ist der neu eingeführte § 11 DSG:
„Die Datenschutzbehörde wird den Katalog des Art 83 Abs 2 bis 6 DS-GVO (Anm: Strafkatalog der DS-GVO) so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art 58 DS-GVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“
Es ist daher zu erwarten, dass bei Erstverstößen nicht sofort die gefürchteten hohen Strafen verhängt werden. Zu beachten ist jedoch, dass die Datenschutzbehörde (DSB) bei einer Verwarnung voraussichtlich auch eine Beseitigung des rechtswidrigen Zustandes auftragen wird. Die Frist zur Verbesserung wird die DSB festsetzen. Unternehmen, die bis dahin keinerlei Vorbereitungen oder Maßnahmen getroffen haben, werden im Fall einer Verwarnung mit großer Wahrscheinlichkeit überfordert sein und die Frist der DSB nicht einhalten können. Dies kann dann sehr wohl zu einer Geldstrafe führen. Vorbereitete Unternehmen, die bereits implementierte Datenschutzmaßnahmen aufgrund einer Verwarnung der DSB allenfalls nur mehr verbessern müssen, haben hier klar die Nase vorne.
3. Journalisten-Privileg
Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines Medienunternehmens im Sinne des Mediengesetzes sind bei der Verarbeitung von personenbezogenen Daten zu journalistischen Zwecken von großen Teilen der DS-GVO ausgenommen (§ 9 DSG).
4.Beschränkung der gemeinnützigen Datenschutz-Organisationen
Betroffene können gemeinnützige Datenschutz-Organisationen beauftragen, in ihrem Namen Beschwerde einzureichen und die Rechte vor den Behörden durchzusetzen.
Entfallen ist jedoch die Möglichkeit der gemeinnützigen Organisationen, im Namen des Betroffenen dessen Schadenersatzansprüche geltend zu machen. Schadenersatz müssen die Betroffenen jeweils einzeln geltend machen.
5. Konkretisierung der Straffreiheit der Behörden
Bereits nach dem Datenschutz-Anpassungsgesetz 2018 war vorgesehen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden könne. Klargestellt wurde nun, dass darunter auch in Formen des öffentlichen Rechtes sowie des Privatrechtes eingerichtete Stellen, die im gesetzlichen Auftrag handeln und Körperschaften des öffentlichen Rechtes, fallen (§ 30 Abs 5 DSG).
6. Zulässigkeit der Bildaufnahme (Videoüberwachung)
Eine Videoüberwachung ist nur unter bestimmten Voraussetzungen zulässig. Unter anderem dann, wenn dies für den vorbeugenden Schutz an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotentials erforderlich ist (zB Trafiken, Juweliere, Banken).
Das einschränkende Erfordernis, dass kein gelinderes Mittel zur Verfügung stehen darf, ist entfallen (§ 12 DSG).