Die Gesetzbegründung des neuen Bundesdatenschutzgesetz beruft sich an 32 Stellen auf die Öffnungsklausel Art. 23 DS-GVO (EU (VO) 679/16) und schränkt die Betroffenenrechte der DS-GVO ein. Das neue Bundesdatenschutzgesetz nutzt die Öffnungsklausel an vielen Stellen zu breit und ohne konkrete inhaltliche Mindestanforderungen nach Art. 23 Abs. Abs. 2 DS-GVO an die beschränkenden Rechtsvorschriften zu knüpfen. (Inhalte dieses Beitrags wurden bereits veröffentlicht in ZD-Aktuell 2017, 05533)
Das neue Bundesdatenschutzgesetz schränkt in den § 27 bis37 viele der in der DS-GVO gewährten Betroffenenrechte ein. Die Gesetzesbegründung nimmt dabei oft Bezug auf Art. 23 DS-GVO. Die Einschränkungen sollen „bei den Unternehmen zu einer Reduzierung von Pflichten und einer Verringerung des Erfüllungsaufwandes“ führen (BR-Drs. 110/17, S. 4). Der Regierungsentwurf erwähnt Art. 23 DS-GVO ausdrücklich an 32 Stellen. Er begründet damit die Regelungen zu den §§ 23 Abs. 2, 24 Abs. 2, 27 Abs. 2 Satz 2, 29 d Abs. 1, 29 Abs. 2 BDSG sowie pauschal zu den §§ 32 bis 37 BDSG. Auf die einzelnen Bereiche nach Art. 23 Abs. 1 DS-GVO werden in der Gesetzbegründung ausdrücklich folgende Regelungen des BDSG-E gestützt:
| Art. 23 1 DS-GVO | Rechtsgut | BDSG |
| lit. a | „nationale Sicherheit“ | § 32 Abs. 1 Nr. 2; § 33 Abs. 1 Nr. 1 lit. a; § 33 Abs. 1 Nr. 2 lit. b |
| lit. b | „Landesverteidigung“ | § 32 Abs. 1 Nr. 2; § 33 Abs. 1 Nr. 1 lit. a; § 33 Abs. 1 Nr. 2 lit. b |
| lit. c | „öffentliche Sicherheit“ | § 32 Abs. 1 Nr. 2; § 33 Abs. 1 Nr. 1 lit. a; § 33 Abs. 1 Nr. 2 lit. b; § 34 Abs. 3 |
| lit. d | „Strafverfolgung u. Ä.“ | § 32 Abs. 1 Nr. 2; § 33 Abs. 1 Nr. 1 lit. a; § 33 Abs. 1 Nr. 2 lit. b; § 34 Abs. 3 |
| lit. e | „wichtige Ziele des allgemeinen öffentlichen Interesses“ | § 32 Abs. 1 Nr. 2; § 33 Abs. 1 Nr. 1 lit. a; § 32 Abs. 1 Nr. 5; § 33 Abs. 1 Nr. 2 lit. b; § 36 |
| lit. f | „Schutz von Gerichtsverfahren“ | nicht speziell genannt, aber nach der Gesetzesbegründung nutzen die Einschränkungen in §§ 32 bis 37 BDSG-E pauschal alle lit. von Art. 23 Abs. 1 DS-GVO |
| lit. g | „Schutz berufsständischer Regeln“ | s.o. |
| lit. h | „Ordnungsfunktionen“ | s.o. |
| lit. i | „den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“ | § 27 Abs. 2 Satz 2; § 29 Abs. 1; § 29 Abs. 2; § 35 Abs. 2 Satz 1 |
| lit. j | „Durchsetzung zivilrechtlicher Ansprüche“ | § 32 Abs. 1 Nr. 4; § 33 Abs. 1 Nr. 2 lit. a |
Die Verordnung regelt Betroffenenrechte umfangreich selbst und räumt den Mitgliedstaaten in Art. 23 DS-GVO die Möglichkeit ein, diese nur unter sehr engen Voraussetzungen zu beschränken (vgl. Kühling/Martini u. a., Die Datenschutz-Grundverordnung und das nationale Recht, 2016, S. 71 ff.). Das BDSG-E weicht stark von dieser Regelungsstruktur ab und beschränkt inhaltliche Abweichungen nicht auf das zwingend Gebotene. Es ist teilweise nicht ersichtlich, wie die entworfenen Beschränkungen im BDSG-E den Anforderungen nach Art. 23 Abs. 2 DS-GVO genügen sollen und auf welchen Rechtsgrund die Beschränkung gestützt wird. Anstatt einer befürchteten Inländerdiskriminierung gegenüber in Deutschland ansässigen Unternehmen (so Kühling/Martini, EuZW 2016, 448 (452) wäre das Gegenteil der Fall.
Im Folgenden werden die Beschränkungen der Betroffenenrechte im neuen Bundesdatenschutzgesetz, die sich im Regelungstext oder der Gesetzesbegründung explizit auf einen Rechtsgrund des Art. 23 Abs. 1 DS-GVO beziehen, dargestellt und kursorisch hinsichtlich Bestimmtheit und Einhaltung der notwendigen Mindestanforderungen bewertet.
| Regelung im BDSG-E | Rechtsgrund | inhaltliche Anforderungen nach Art. 23. Abs. 2 DS-GVO | Bedenken zur Bestimmtheit oder zu fehlenden Mindestanforderungen |
| § 27 Abs. 2 Satz 2 | Art. 23 Abs. 1 lit. i DS-GVO | vorhanden zu lit. a, c, sonst k. A.; wären notwendig zu lit. d, g, h | ja, insbesondere wegen lit. h |
| § 29 Abs. 1 Satz. 1 | Art. 23 Abs. 1 lit. i DS-GVO | vorhanden zu lit. c, wären notwendig zu lit. a, d, g | ja, wegen „ihrem Wesen nach …“ |
| § 29 Abs. 1 Satz 2 | Art. 23 Abs. 1 lit. i DS-GVO | vorhanden zu lit. c, wären notwendig zu lit. a, d, g | ja, wegen „ihrem Wesen nach …“ |
| § 29 Abs. 1 Satz 3 f. | Art. 23 Abs. 1 lit. i DS-GVO | vorhanden zu lit. c, g (Satz 4), wäre auch notwendig zu lit. a, d | ja, wegen „ihrem Wesen nach …“ |
| § 29 Abs. 2 | Art. 23 Abs. 1 lit. i DS-GVO | vorhanden zu lit. a, c, e, g | nein |
| § 32 Abs. 1 Nr. 2 | Art. 23 Abs. 1 lit. a bis e DS-GVO | erfolgt zu lit. a, c in Vorschrift, zu f, g und h in § 32 Abs. 2 und Abs. 3 BDSG-E | nein |
| § 32 Abs. 1 Nr. 4 | Art. 23 Abs. 1 lit. j DS-GVO | s.o., aber wegen lit. c zu Umfang der Beschränkung (wessen rechtliche Ansprüche gegen wen?) | ja, wegen Bestimmtheit; wäre auch auf „zivilrechtliche“ Ansprüche zu beschränken |
| § 32 Abs. 1 Nr. 5 | Art. 23 Abs. 1 lit. e DS-GVO | k.A., wären notwendig lit. a, c, g | ja, zu unbestimmt (was meint „vertraulich“?) |
| § 33 Abs. 1 Nr. 1 lit. a | Art. 23 Abs. 1 lit. a bis e DS-GVO | erfolgt zu lit. a, c in Vorschrift, zu lit. f, g und h in § 32 Abs. 2 BDSG-E | nein |
| § 33 Abs. 1 Nr. 2 lit. a | Art. 23 Abs. 1 lit. j DS-GVO | erfolgt zu lit. a, c in Vorschrift, zu lit. f, g und h in § 32 Abs. 2 BDSG-E | ja, wegen Bestimmtheit; wäre auch auf „zivilrechtliche“ Ansprüche zu beschränken |
| § 33 Abs. 1 Nr. 2 lit. b | Art. 23 Abs. 1 lit. a bis e DS-GVO | erfolgt zu lit. a, c in Vorschrift, zu lit. f, g und h in § 32 Abs. 2 BDSG-E | nein |
| § 34 Abs. 3 | Art. 23 Abs. 1 lit. c, d DS-GVO | ist eigentlich ausgleichende Maßnahme | nein |
| § 35 Abs. 2 Satz 1 | Art. 23 Abs. 1 lit. i DS-GVO | k.A. | ja bzgl. Satz 2 (unverhältnismäßiger Aufwand) |
| § 36 | Art. 23 Abs. 1 lit. e DS-GVO | k.A. | ja |
Die kursorische Prüfung zeigt, dass der Regierungsentwurf hinsichtlich der Öffnungsklausel Art. 23 DS-GVO den Anforderungen zum Großteil nicht genügt. Der Verordnungsgeber hat Art. 23 DS-GVO als Skalpell konzipiert, mit dem die DS-GVO wohlüberlegt und gut begründet zum Schutz einzelner Rechtsgüter unter Einhaltung von Mindestanforderungen vorsichtig beschnitten werden kann (vgl. Erwägungsgrund 73 DS-GVO). Der Regierungsentwurf nutzt Art. 23 DS-GVO als Breitschwert, das er im Gestampfe weit herumwirbelt, um die gefährlichen und erfüllungsaufwendigen Betroffenenrechte vom deutschen Unternehmer wegzutreiben (vgl. BR-Drs. 110/17, S. 4). Hier wird der Entwurf im Gesetzgebungsverfahren korrigiert und konkretisiert werden müssen, will man vermeiden, dass viele der Beschränkungen im neuen BDSG wahrscheinlich für unionsrechtswidrig erklärt werden (zur Prüfungskompetenz des EuGH s. Nebel, in: Roßnagel (Hrsg.), Europäische Datenschutz-Grundverordnung, 2017, § 2 Rdnr. 130.).
(Inhalte dieses Beitrags wurden bereits veröffentlicht in ZD-Aktuell 2017, 05533)