Neuigkeiten der RISER ID Services GmbH.

Bundesmeldegesetz endlich an DSGVO angepasst

Nach über einem Jahr wird das Fachrecht in Deutschland umfassend an die EU-Datenschutzgrundverordnung (DSGVO) angepasst, so zum Beispiel das Bundesmeldegesetz und das Postgesetz. Die gesetzlichen Voraussetzungen für die Änderungen im bereichsspezifischen Datenschutz werden mit dem zweiten Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (2. DSAnpUG-EU) geschaffen. Dieses enthält Änderungen zu 153 Fachgesetzen.

Seit dem 25. Mai 2018 findet die Europäische Datenschutzgrundverordnung (DSGVO) Anwendung. Sie gilt unmittelbar in jedem Mitgliedstaat der EU und hat Anwendungsvorrang gegenüber nationalem Recht. Daher bedarf es grundsätzlich keiner weiteren Umsetzung in den einzelnen Mitgliedsstaaten.

Aufgrund einiger Regelungsaufträge und Öffnungsklauseln in der DSGVO sind die Mitgliedsstaaten dennoch verpflichtet, nationale Gesetze in Teilen anzupassen. Das allgemeine und das bereichsspezifische Datenschutzrecht musste demnach auf Vereinbarkeit mit der Datenschutzgrundverordnung überprüft und gegebenenfalls angeglichen werden.

Allgemeiner Datenschutz

In Deutschland wurde das allgemeine Datenschutzrecht bereits auf die DSGVO abgestimmt. Mit Inkrafttreten des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU) im Mai 2018, wurde das bisherige Bundesdatenschutzgesetz (BDSG a.F.) durch ein neugefasstes Bundesdatenschutzgesetz („BDSG n.F.“ / „BDSG 2018“) ersetzt. Im Anwendungsbereich der Datenschutzgrundverordnung enthält das BDSG 2018 nun keine umfassenden Datenschutzregelungen mehr, sondern vereinzelte Vorschriften zu Gestaltungsspielräumen und konkreten Handlungsaufträgen der DSGVO. In Deutschland hat die Datenschutzgrundverordnung das Bundesdatenschutzgesetz als Grundnorm für den Datenschutz faktisch abgelöst.

Bereichsspezifischer Datenschutz

Die mit der DSGVO und dem BDSG 2018 verbundenen Änderungen im allgemeinen Datenschutzrecht führten auch bei den bestehenden Regelungen im bereichsspezifischen Datenschutz des Bundes zu weiterem Anpassungsbedarf. Bislang hatte es der Gesetzgeber in Deutschland jedoch versäumt, flächendeckende Änderungen an den Fachgesetzen vorzunehmen. Lediglich im Steuerrecht und im Sozialdatenschutz wurden bereits essentielle Normen wie die Abgabenordnung und das Sozialgesetzbuch an die DSGVO angepasst (Vgl. Gesetz zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften). Nun wird mit dem „Zweiten“ Datenschutz-Anpassungs- und -Umsetzungsgesetz EU endlich Abhilfe geschaffen.

Im Wesentlichen betreffen die meist redaktionellen Änderungen neue Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen für die Datenverarbeitung und Regelungen zu den Betroffenenrechten. Zudem gelten zukünftig unmittelbar die Vorgaben der DSGVO zu technischen und organisatorischen Maßnahmen (TOMs), zur Auftragsverarbeitung, zur Datenübermittlung an Drittländer sowie Vorgaben zum Schadenersatz und zu Geldbußen.

Von den Neuregelungen im Gesetzespaket erfasst sind insgesamt 153 Fachgesetze und zwei Verordnungen. Zu den novellierten Gesetzen im bereichsspezifischen Datenschutz in Deutschland gehören unter anderem das Bundesmeldegesetz, das E-Government-Gesetz, die Abgabenordnung, die Gewerbeordnung, das Sozialgesetzbuch, das BSI-Gesetz, das Bundesbeamtengesetz, das De-Mail-Gesetz und das Postgesetz. Neben den Änderungen im bereichsspezifischen Datenschutzrecht, z.B. dem Bundesmeldegesetz, werden auch weitere Änderungen im allgemeinen Datenschutzrecht durch Anpassungen im Bundesdatenschutzgesetz vorgenommen. Im Folgenden sind die wichtigsten Änderungen beider Gesetze beschrieben.

Änderungen am Bundesmeldegesetz

Einfache Melderegisterauskunft (§ 44 BMG): Einfache Melderegisterauskünfte dürfen künftig nicht mehr zu den Zwecken Werbung und Adresshandel verwendet werden. Auskunftsersuchende müssen eine entsprechende Nutzung ausschließen und haben dies gegenüber der Meldebehörde zu erklären.

Die Evaluierung nach § 58 BMG hat gezeigt, dass einfache Melderegisterauskünfte in der Praxis nicht für Werbung und Adresshandel verwendet werden. Einwilligungen zu diesem Zweck wurden von Betroffenen gegenüber der Meldebehörde kaum abgegeben. Daraus lässt sich schlussfolgern, dass bei Dritten kein entsprechender Bedarf an Auskünften aus dem Melderegister für Werbung und Adresshandel in der Wirtschaft besteht. Einwohner sind scheinbar auch nicht bereit ihre Meldedaten für diesen Zweck preiszugeben.

Zudem erfüllte die bisherige Einwilligung auch aus rechtlicher Sicht nicht die Anforderungen, die sich aus den Vorgaben für eine informierte Einwilligung nach Art. 7 DSGVO ergeben. Betroffenen Personen ist zum Zeitpunkt der Erteilung zwar bewusst, für welchen Zweck ihre Daten verarbeitet werden, jedoch nicht, durch welchen Verantwortlichen die Verarbeitung tatsächlich erfolgt. Sollte eine Person oder Organisation dennoch an einer Verwendung der Daten für Werbung und Adresshandel interessiert sein, kann sie sich in Zukunft direkt an den Bürger wenden.

Ergänzender Hinweis: Empfänger einer einfachen Melderegisterauskunft unterliegen nach Art. 14 DSGVO der Informationspflicht. Mit dem Verweis auf § 45 Absatz 2 BMG dehnt der Gesetzgeber eine Ausnahme von der Pflicht bei erweiterten Melderegisterauskünften auch auf die Empfänger einer einfachen Melderegisterauskunft aus.

Erweiterte Melderegisterauskunft (§ 45 BMG): Zukünftig entfällt die Informationspflicht der Meldebehörden über die Erteilung einer erweiterten Melderegisterauskunft. Denn die Pflicht zur Information der betroffenen Person trifft gemäß Art. 14 DSGVO nicht die Meldebehörden, sondern die "Empfänger" der erweiterten Melderegisterauskunft. Für diese gelten die Informationspflichten der DSGVO abschließend und unmittelbar. Aus diesem Grund hat der Gesetzgeber den § 45 Absatz 2 BMG neu gefasst.

Ausgenommen von der Informationspflicht sind generell natürliche Personen, die die Daten ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten verarbeiten. Alle sonstigen Empfänger von Melderegisterauskünften können sich gegebenenfalls auf Ausnahmen nach Art. 14 Abs. 5 DSGVO berufen. Demnach liegt z.B. eine Ausnahme vor, wenn die betroffene Person bereits über diese Informationen verfügt.

Ergänzend dazu bleibt der Ausnahmetatbestand nach § 45 Absatz 2 BMG im Wesentlichen bestehen. Dieser bezieht sich jedoch zukünftig nicht mehr auf die Informationspflicht der Meldebehörde, sondern auf die des Empfängers. Eine Informationspflicht besteht demnach auch nicht, „ … wenn durch ihre Erfüllung ein rechtliches Interesse des Empfängers, insbesondere die Geltendmachung von Rechtsansprüchen, beeinträchtigt würde, sofern nicht das berechtigte Interesse der betroffenen Person an der Erfüllung der Informationspflicht überwiegt.“

Damit soll insbesondere verhindert werden, dass Vermögensgegenstände vor der Durchführung von Vollstreckungsmaßnahmen beiseite geschafft werden oder betroffene Personen anderweitig versuchen sich ihrer Verpflichtung zu entziehen. Möglich macht das die Öffnungsklausel in Art. 23 Abs. 1 i, j DSGVO. Diese erlaubt den Mitgliedsstaaten der EU eine Beschränkung der Betroffenenrechte zum Schutz der Rechte und Freiheiten anderer Personen sowie zur Durchsetzung zivilrechtlicher Ansprüche.

Auskunftsbeschränkungen bei Selbstauskunft (§ 11 BMG): Bislang war eine Selbstauskunft über den Empfänger einer einfachen Melderegisterauskunft und die Art der übermittelten Daten nur bei automatisierten Abrufverfahren und automatisierten Melderegisterauskünften nach § 49 BMG möglich. Damit hatten betroffene Personen jedoch nur ein eingeschränktes Auskunftsrecht bei Melderegisterauskünften zu ihrer Person. Zukünftig können betroffene Personen auch bei manuell erteilten Melderegisterauskünften nach § 44 BMG ihr Auskunftsrecht gegenüber der Meldebehörde (fast) uneingeschränkt wahrnehmen.

Mit der Eigenauskunft sollen sich die Bürger der sie betreffenden Datenverarbeitung bewusst werden und deren Rechtmäßigkeit überprüfen können. Dies ist zum Beispiel bei Melderegisterauskünften zu gewerblichen Zwecken der Fall. Denn diese Zwecke müssen gemäß § 47 BMG von dem Empfänger der Melderegisterauskunft gegenüber der Meldebehörde angegeben werden. Durch das Auskunftsrecht, sowohl beim Empfänger als auch bei der Meldebehörde, erhalten betroffene Personen die Möglichkeit eine Abweichung von der gewerblichen Zweckbindung festzustellen. Das Auskunftsrecht wurde nunmehr auch auf nicht-automatisierte Melderegisterauskünfte erweitert. Dagegen bleiben die Auskunftsbeschränkungen bei manuellen Behördenauskünften weiterhin bestehen.

Für ein etwaiges Auskunftsersuchen einer betroffenen Person nach Art 15 DSGVO müssen auch manuelle Melderegisterauskünfte zukünftig protokolliert werden. Bislang wurden diese in der Regel nur aufbewahrt. Für Meldebehörden bedeutet die Änderung der Rechtslage einen noch höheren Bearbeitungsaufwand. Daher ist den Meldebehörden zu empfehlen, manuelle Auskünfte im Fachverfahren zusätzlich zu protokollieren oder gleich direkt von der Möglichkeit der automatisierten Melderegisterauskunft Gebrauch zu machen. Das Onlinezugangsgesetz verpflichtet die Kommunen ohnehin dazu, ihre Verwaltungsdienstleistungen bis Ende 2022 auch elektronisch anzubieten.

Recht auf Berichtigung (§ 12 BMG): Als Informationsquelle für die Verwaltung, Rechtspflege, öffentlich-rechtliche Religionsgesellschaften und die Öffentlichkeit erfüllt das Melderegister eine wichtige Funktion. Diese könnte nicht mehr sichergestellt werden, wenn Bürger jederzeit die Möglichkeit hätten, durch Bestreitung der Richtigkeit ihrer Meldedaten eine regelmäßige oder langwierige Sperrung herbeizuführen. Daher wird das Recht der betroffenen Person begrenzt, die Verarbeitung ihrer personenbezogenen Daten im Melderegister einzuschränken.

Möglich macht die Einschränkung eine Öffnungsklausel in der DSGVO. Diese erlaubt es, sonstige Ziele von allgemeinem öffentlichem Interesse zu schützen (Vgl. Art. 23 Abs.1 Buchst. e DSGVO). Dass es sich bei dem innerdienstlichen Gebrauch der Meldebehörde und dem Informationsbedürfnis der Behörden und der Wirtschaft um ein solches Interesse handelt, hat das Bundesverwaltungsgericht bereits 2006 festgestellt. Dieses vertrat die Auffassung, „ … dass sich der Einzelne nicht ohne triftigen Grund seiner Umwelt gänzlich entziehen kann, sondern erreichbar bleiben und hinnehmen muss, dass andere – auch mit staatlicher Hilfe – mit ihm Kontakt aufnehmen.“

Bußgeldvorschriften (§ 54 BMG): Die vergleichsweise günstigen Bußgeldvorschriften des § 54 BMG bei Verstößen gegen die Zweckbindung der Melderegisterauskunft wurden gestrichen. Diese ahndeten eine Missachtung der Vorschriften mit einer Geldbuße von bis zu 50.000 EUR. Künftig gelten bei einer unrechtmäßigen Verarbeitung oder einer Missachtung der Zweckbindung unmittelbar die Allgemeinen Bedingungen für die Verhängung von Geldbußen nach Artikel 83 DSGVO. Diese sehen bei Verstößen gegen die Grundsätze der Datenschutzgrundverordnung eine Geldbuße von bis zu 20.000.000 EUR oder bis zu 4 % des Jahresumsatzes eines Unternehmens vor. Ein Verstoß liegt beispielsweise dann vor, wenn ein gewerblicher Zweck verfolgt wird, ohne diesen gegenüber der Meldebehörde zu erklären. Ebenso liegt ein Verstoß vor, wenn Daten aus der Melderegisterauskunft für einen anderen gewerblichen Zweck als angegeben verwendet werden sowie bei der Verwendung von Meldedaten für Werbung und Adresshandel.

Bericht und Evaluierung (§ 58 BMG): Eine Verwendung der einfachen Melderegisterauskunft zu Werbung und Adresshandel ist künftig nicht mehr zulässig. Ohne eine Rechtsgrundlage für diesen Verwendungszweck bedarf es keiner Evaluierung mehr. Daher wurde diese Vorschrift aus dem Bundesmeldegesetz gestrichen. Für Meldebehörden entfällt damit der Aufwand für die quartalsweise Erhebung und Meldung der statistischen Daten an das zuständige Innenministerium.
 

Änderungen am Bundesdatenschutzgesetz

Drittland Schweiz (§ 1 BDSG): Die Schweiz wurde aus dem Passus zur Drittstaatenregelung im Anwendungsbereich des BDSG wieder herausgestrichen. Der deutsche Gesetzgeber hatte diesbezüglich keine Regelungsbefugnis. Aus diesem Grund steht die Schweiz den Staaten des Europäischen Wirtschaftsraumes (EWR) und den Mitgliedstaaten der Europäischen Union nicht mehr gleich. Das BDSG behandelt die Schweiz daher wieder als Drittstaat.

Datenschutzbeauftragte (§ 38 BDSG): Künftig brauchen Unternehmen und andere Organisationen einen betrieblichen Datenschutzbeauftragten erst ab einer Mitarbeiterzahl von 20 Mitarbeitern (früher 10) zu bestellen. Kleine Betriebe und ehrenamtliche Vereine sollen mit der Verdoppelung des Schwellenwertes entlastet werden. Ob das Ziel mit dieser Maßnahme wirklich erreicht wird, ist zu bezweifeln. Denn von den datenschutzrechtlichen Verpflichtungen entbunden sind diese Organisationen damit nicht. Die Vorschriften der DSGVO gelten für sie unverändert.

Unabhängig von der Beschäftigtenzahl ist jedoch ein betrieblicher Datenschutzbeauftragter zu benennen, wenn besondere Arten von personenbezogenen Daten verarbeitet oder eine bestimmte Art der Verarbeitung durchgeführt wird. Die Pflicht besteht unter anderem bei der Durchführung einer Datenschutz-Folgenabschätzung, der gewerbsmäßigen (anonymen) Übermittlung und bei Markt- oder Meinungsforschung.

Einwilligung im Beschäftigungsverhältnis (§ 26 BDSG): Die Einholung der Einwilligung im Rahmen des Beschäftigungsverhältnisses ist vereinfacht worden.

Der Arbeitgeber darf die personenbezogenen Daten der Beschäftigten verarbeiten, sofern sie für das Beschäftigungsverhältnis erforderlich sind. Andernfalls hat er die Einwilligung der betroffenen Personen einzuholen. Hierfür ist nach Art. 4 Nr. 11 DSGVO lediglich eine Willensbekundung in Form einer Erklärung oder eine sonstige, eindeutige und bestätigende Handlung erforderlich. Ein Schriftformerfordernis sieht die DSGVO jedoch nicht vor. Der Arbeitgeber muss als datenschutzrechtlich „Verantwortlicher“ für die Datenverarbeitung die Einholung der Einwilligung lediglich nachweisen können.

Demnach ist eine Einwilligung durchaus auch „elektronisch“ möglich. Aus diesem Grund kann der Arbeitgeber die Einwilligung seiner Angestellten ebenso per E-Mail in Textform oder über ein Zustimmungsbanner einholen. Mit dieser Anpassung kommt der Gesetzgeber auch ausdrücklich der im Koalitionsvertrag vereinbarten Prüfung von Gesetzen auf Digitaltauglichkeit und Schriftformerfordernis nach.

Weitere Änderungen: Mögliche Rechtsunsicherheiten bei der Verarbeitung von personenbezogenen Daten im Rahmen von staatlichen Auszeichnungen und Ehrungen wurden ausgeräumt. Eine Datenverarbeitung zu diesen Zwecken ist den zuständigen Stellen nun ausdrücklich erlaubt (§ 86 BDSG).

Ebenso dürfen zivilgesellschaftliche Träger sensible Informationen verarbeiten, wenn dies aufgrund eines erheblichen öffentlichen Interesses zwingend erforderlich ist (§ 22 BDSG) Dies ist z.B. im Rahmen des Katastrophenschutzes oder der Bekämpfung von Pandemien sowie im Rahmen von Präventions- und Deradikalisierungsprogrammen bei religiös motiviertem Extremismus gegeben.

Inkrafttreten

Das Zweite Datenschutz-Anpassungs- und -Umsetzungsgesetz EU wird, mit wenigen Ausnahmen, in Kürze in Kraft treten. Im Bundestag wurde das Gesetz bereits am 27. Juni 2019 verabschiedet. Diesem hat der Bundesrat am 20. September 2019 zugestimmt. Nun steht noch die Unterzeichnung durch die zuständigen Bundesminister*innen, die Bundeskanzlerin und den Bundespräsidenten aus. Mit der Verkündung im Bundesgesetzblatt wird das 2. DSAnpUG-EU in Kraft treten. Damit werden auch alle Änderungen zum Bundesmeldegesetz wirksam.
 

Weiterführende Links
Zweites Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (2. DSAnpUG-EU)
Bundesmeldegesetz (BMG)
Bundesdatenschutzgesetz (BDSG n.F.)
 

 

Jacqueline WalkerMarketing und Organisation

Hilfe für Kunden

Betrieb und Kundenservice
Für alle Fragen rund um Ihren Benutzerzugang, Auskünfte
und Nachbearbeitungen:

Eberhard Mühlfeld

030.236 0769-45

030.236 0769-11
support@xxriserid.eu 

 Fordern Sie einen Rückruf an