umwelt-online: Bundesrat 144/19: Entschließung des Bundesrates zur Änderung datenschutzrechtlicher Bestimmungen

Der Niedersächsische Ministerpräsident Hannover, 2. April 2019

An den Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Daniel Günther

Sehr geehrter Herr Präsident,
die Niedersächsische Landesregierung hat beschlossen, dem Bundesrat die als Anlage beigefügte Entschließung des Bundesrates zur Änderung datenschutzrechtlicher Bestimmungen zuzuleiten.

Ich bitte Sie, die Vorlage gemäß § 36 Absatz 2 der Geschäftsordnung des Bundesrates in die Tagesordnung der 976. Sitzung des Bundesrates am 12. April 2019 aufzunehmen und anschließend den Ausschüssen zur Beratung zuzuweisen.

Mit freundlichen Grüßen
Stephan Weil

Entschließung des Bundesrates zur Änderung datenschutzrechtlicher Bestimmungen

Der Bundesrat möge folgende Entschließung fassen:

1. Die Europäische Datenschutz-Grundverordnung (DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG) sind am 25. Mai 2018 in Kraft getreten. Das in Art. 1 DSGVO festgelegte Ziel, den Schutz personenbezogener Daten sicherzustellen, kann jedoch nur erreicht werden, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen auch anwenden (können). Laut einer Studie des Verbands Bitkom geben nur etwa ein Viertel der deutschen Unternehmen an, die DSGVO vollständig umgesetzt zu haben1. Eine der entscheidendsten Hürden sei große Rechtsunsicherheit, die sich auch in stark ansteigenden Anfragen an die Landes-Aufsichtsbehörden äußert2. Die Zahl der Anfragen sei zum Beispiel im Mai regelrecht explodiert, Eingaben hätten sich vom ersten zum zweiten Quartal 2018 mehr als verdreifacht. Der Bundesrat stellt insofern Handlungsbedarf fest, die bestehenden Rechtsunsicherheiten zu beseitigen.
2. Der Bundesrat ist der Auffassung, dass über die DSGVO hinausgehende zusätzliche Auflagen für Unternehmen in Deutschland mittelstandsfreundlicher und im Sinne ehrenamtlich Tätiger in Vereinen nachgebessert werden sollten. Deutsche Sonderwege, die deutsche Unternehmen und Einrichtungen stärker belasten als Unternehmen und Einrichtungen in anderen EU-Ländern, widersprechen auch der Koalitionsvereinbarung auf Bundesebene, die eine 1:1-Umsetzung europarechtlicher Vorgaben in nationales Recht vorsieht. Vor diesem Hintergrund hält es der Bundesrat für erforderlich, eine Novellierung des BDSG spätestens im Zuge der geplanten Evaluierung der DSGVO zu prüfen.
3. Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4f Abs. 1 S. 4 BDSG a.F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.
4. Der Bundesrat fordert weiterhin Ausnahmen für eingetragene Vereine, die überwiegend oder ausschließlich mit Ehrenamtlichen arbeiten. Die Regelungen des § 38 Abs. 1 BDSG können ebenfalls dazu führen, dass diese abweichend von den europarechtlichen Vorgaben einen Datenschutzbeauftragten bestellen müssen. Für Vereine führt die Pflicht zur Benennung eines Datenschutzbeauftragten zu hohen finanziellen und bürokratischen Belastungen. Der Bundesrat fordert die Bundesregierung daher auf, zu prüfen, ob eingetragene Vereine, die überwiegend oder ausschließlich mit Ehrenamtlichen arbeiten, von der Anwendung des § 38 Abs. 1 BDSG ganz ausgenommen werden können. Mindestens jedoch sollten für Vereine weitgehende Ausnahmen in Bezug auf die verpflichtende Benennung einer/eines Datenschutzbeauftragten in das BDSG aufgenommen werden.
5. Zudem könnte die Meldefrist in Artikel 33 Abs. 1 DSGVO nicht angemessen sein. Eine Verletzung des Schutzes personenbezogener Daten ist grundsätzlich unverzüglich und möglichst innerhalb von 72 Stunden, nachdem sie dem Verantwortlichen bekannt geworden ist, der Aufsichtsbehörde für den Datenschutz zu melden. Auch wenn innerhalb der Frist nicht alle Umstände aufgearbeitet sein müssen, erscheint die Frist in der Praxis zu kurz bemessen. Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken.
6. Auch wenn die befürchtete Abmahnwelle nach dem Inkrafttreten der DSGVO nicht im befürchteten Umfang eingetreten ist, besteht insbesondere bei kleinen und mittelständischen Unternehmen nach wie vor eine weit verbreitete Unsicherheit über wettbewerbsrechtliche Abmahnverfahren. Daher sollte in diesem Zusammenhang eine ausdrückliche Ausschlussregelung getroffen werden. Der Bundesrat fordert eine klarstellende gesetzliche Formulierung. Die Geltendmachung von Datenschutzverstößen durch zugelassene Verbraucherschutzvereinigungen nach dem Unterlassungsklagegesetz soll durch die Ergänzung unberührt bleiben.
7. Der Bundesrat sieht zudem kritisch, dass die DSGVO Ausnahmen oder Erleichterungen für die vorübergehende Datennutzung zu Erprobungs- und Testzwecken nicht vorsieht. Entwicklungen und Innovationen werden hierdurch behindert, denn bevor Geschäftsmodelle und neue Produkte im Online-Bereich überhaupt an den Markt gehen können, müssen sie getestet werden. Dazu kann im Einzelfall die Verarbeitung personenbezogener Daten erforderlich sein. Der Bundesrat bittet die Bundesregierung vor diesem Hintergrund zu prüfen, ob und wie Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke in die datenschutzrechtlichen Bestimmungen implementiert werden können und dies entsprechend umzusetzen.

1 Behörden Spiegel Oktober 2018, S. 33 "Rechtsunsicherheit bremst"
2 Behörden Spiegel a.a.O