Newsletter Daten, IT und Medien

Hintergrund: Die ab 25. Mai 2018 geltende EU‑​Datenschutz‑​Grundverordnung

Das neue BDSG gleicht nur dem Namen nach dem alten. Denn das in Deutschland geltende Datenschutzrecht wird grundlegend vor allem durch die Datenschutz‑​Grundverordnung der EU (DS‑​GVO) geändert. Diese wurde vor etwas mehr als einem Jahr beschlossen und beschäftigt seitdem Unternehmen und Behörden, die an breiter Front ihre Prozesse und Systeme an die neuen Vorgaben anpassen müssen.

Die DS‑​GVO ist zwar eine Vollregelung zum Datenschutz. Sie ist aber auf Ausführungsvorschriften angewiesen, etwa zur Aufsicht oder zur Frage, wer Deutschland im neuen Europäischen Datenschutzausschuss vertritt. Darüber hinaus enthält die DS‑​GVO sogenannte Öffnungsklauseln, die es dem mitgliedstaatlichen Gesetzgeber gestatten, in einzelnen Bereichen ergänzende oder sogar abweichende Vorschriften zu erlassen.

Die wichtigsten Inhalte des neuen BDSG für die Praxis

Eben dies geschieht durch das neue BDSG. Aus Sicht von Unternehmen und Behörden sind vor allem folgende Punkte relevant:

- Für die Verarbeitung von sensiblen Daten wie Gesundheitsdaten, biometrische Daten zur Identifizierung, Daten zur religiösen oder politischen Überzeugung oder Daten zum Sexualleben (sogenannte besondere Kategorien personenbezogener Daten) gelten nach der DS‑​GVO besonders strenge Vorgaben. Sie ist nur in Ausnahmefällen überhaupt zulässig. Das neue BDSG fügt dem aber weitere Ausnahmetatbestände hinzu. Das erleichtert die Datenverarbeitung in bestimmten Konstellationen.

- Die DS‑​GVO gilt auch für die Verarbeitung von Beschäftigtendaten. Insofern enthält das neue BDSG einige Ergänzungen, Abweichungen und Konkretisierungen. Nach der DS‑​GVO hätte der Bundesgesetzgeber stattdessen auch eine Vollregelung zum Beschäftigtendatenschutz schaffen können – wie das 2010 gescheiterte Beschäftigtendatenschutzgesetz. Ob es hierzu nach der Bundestagswahl kommen wird, ist fraglich. Nach dem gerade erst beschlossenen BDSG wird der Beschäftigtendatenschutz also weit überwiegend durch die DS‑​GVO geregelt. Das wird zu einem Umdenken bei Unternehmen und Betriebsräten führen (müssen). Die Bedeutung der Arbeitsgerichtsbarkeit wird in diesem Bereich zurückgedrängt.

- Die Videoüberwachung von öffentlich zugänglichen Räumen würde sich nach der DS‑​GVO nur nach allgemeinen Vorgaben richten, die für alle Datenverarbeitungen gelten. Demgegenüber enthält das neue BDSG spezifische Regelungen für die Videoüberwachung. Sie sind heute mehr denn je politisch umstritten, geben aber den Unternehmen und Behörden zumindest mehr Rechtsicherheit.

- Außerdem enthält das neue BDSG Ausnahmen zu Gunsten von Unternehmen hinsichtlich der Rechte von betroffenen Personen auf Information, Auskunft, Löschung und Widerspruch von bzw. gegen die Verarbeitung ihrer Daten. Sie zielen im Kern darauf ab, dass die Rechte nicht absolut gelten, sondern sie – als Eingriffe in die unternehmerische Freiheit zur Verarbeitung von Daten – das Unternehmen nicht unverhältnismäßig treffen dürfen. Das BDSG wird insoweit von Datenschutzaufsichtsbehörden kritisiert, die bereits damit gedroht haben, diese Vorschriften zu Lasten von Unternehmen nicht anzuwenden, obgleich doch der Verhältnismäßigkeitsgrundsatz im EU‑​Recht fest verwurzelt und eine tragende Säule des Binnenmarktes ist.

- Noch gravierender sind die Bereiche, in denen die DS‑​GVO dem Bundesgesetzgeber Abweichungen gestattet hätte, diese aber nicht beschlossen wurden. Das gilt vor allem für die in der digitalisierten Wirtschaft extrem wichtigen so genannten automatisierten Einzelentscheidungen. Diese sind nach der DS‑​GVO nur ausnahmsweise erlaubt. Sie verschärft das geltende Recht und droht bei Verstoß mit massiven Bußgeldern (4 % des Weltjahresumsatzes bzw. 20 Mio. Euro, je nach dem, welcher Betrag höher ist). Hier hätte der Bundesgesetzgeber die Verschärfungen abmildern können, hat dies aber – von einer Ausnahme für die Versicherungswirtschaft abgesehen – bedauerlicherweise nicht getan.

Kriminalitätsbekämpfung und Nachrichtendienste

Das neue BDSG enthält ferner Vorschriften für die Verarbeitung personenbezogener Daten für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten (Umsetzung der neuen Richtlinie (EU) 2016/680). Darüber hinaus enthalten das BDSG und vor allem die weiteren Artikel des DSAnpUG‑​EU spezifische Vorschriften für die Datenverarbeitung durch die Nachrichtendienste des Bundes (Verfassungsschutz, MAD und BND).

Fazit

Deutschland hat schnell reagiert und auf Bundesebene – als erster Mitgliedstaat der EU – sein allgemeines Datenschutzrecht der DS‑​GVO angepasst. Die Anpassungen für spezifische Branchen, etwa der Telekommunikation, können erst nach der Bundestagswahl erfolgen.

Anders als von vielen Unternehmen erhofft, sind branchenübergreifende Abmilderungen der DS‑​GVO durch das neue BDSG nur spärlich erfolgt. Es bleibt bei den strengen Vorgaben der DS‑​GVO. Für die Rechtmäßigkeit unternehmerischer und behördlicher Aktivitäten ab 25. Mai 2018 sind daher mehr denn je eine umfassende Analyse und Modifikation der Prozesse und Systeme erforderlich und müssen spätestens jetzt umfangreiche und ehrgeizige Change‑​Projekte in Angriff genommen werden.

Einführung und Zweck des Gesetzes

Nun ist es soweit: Nach dem Abschluss des Gesetzgebungsverfahrens wird das Netzwerkdurchsetzungsgesetz (NetzDG) in Kürze in Kraft treten. Dem Gesetz war eine kontroverse Debatte in Gesellschaft und Politik vorausgegangen. Gestritten wurde um die Frage, inwiefern mehr gegen „Hate Speech“ und „Fake News“ im Netz, insbesondere in sozialen Netzwerken wie Facebook oder Twitter, getan werden muss, um die (Persönlichkeits‑)Rechte von Nutzern sozialer Netzwerke effektiver zu schützen. Ausschlaggebend war vor allem ein von jugendschutz.net Anfang 2017 durchgeführtes Monitoring. Dieses ergab, dass die Beschwerden von Nutzern gegen Hasskriminalität und andere strafbare Inhalte trotz einer im Jahr 2015 von den betreffenden Unternehmen eingegangenen Selbstverpflichtung nicht unverzüglich und ausreichend bearbeitet wurden. Dem will das NetzDG abhelfen, indem es bußgeldbewährte Compliance‑​Regeln für die Betreiber sozialer Netzwerke einführt.

Inhalt des Gesetzes

Anwendbar ist das NetzDG auf Telemediendiensteanbieter, die mit Gewinnerzielungsabsicht soziale Netzwerke betreiben (§ 1 Abs. 1 S. 1 NetzDG). Dabei definiert das Gesetz soziale Netzwerke als Plattformen im Internet, die dazu bestimmt sind, dass Nutzer beliebige Inhalte mit anderen Nutzern teilen oder der Öffentlichkeit zugänglich machen. Dies erfasst etwa Facebook und Twitter.

Ausgenommen sind demgegenüber unter anderem solche Plattformen, die journalistisch‑​redaktionell gestaltete Angebote enthalten, sowie Plattformen, die zur Individualkommunikation oder zur Verbreitung spezifischer Inhalte bestimmt sind. Damit fallen insbesondere E‑​Mail‑​Dienste nicht unter die erfassten Plattformen (BT‑​Drs. 18/12356, S. 18).

Ist der Anwendungsbereich eröffnet, treffen den Anbieter eines sozialen Netzwerks drei zentrale Pflichten:

- Die Berichtspflicht des § 2 NetzDG zwingt den Anbieter zur Erstellung halbjährlicher Berichte über den Umgang mit Beschwerden über rechtswidrige Inhalte auf seiner Plattform.

- § 3 NetzDG fordert ein umfängliches Beschwerdemanagement. Insbesondere müssen die Anbieter ein Verfahren schaffen, nach dem ein offensichtlich rechtswidriger Inhalt innerhalb von 24 Stunden nach Eingang der Beschwerde entfernt oder der Zugang zu ihm gesperrt wird. Jeder (schlicht) rechtswidrige Inhalt muss unverzüglich, sprich in der Regel innerhalb von sieben Tagen nach Eingang der Beschwerde, entfernt oder gesperrt werden. Eine Ausnahme von dieser Regelfrist besteht insbesondere dann, wenn die Entscheidung über die Rechtswidrigkeit des Inhalts von der Unwahrheit einer Tatsachenbehauptung abhängt.

Das NetzDG definiert als „rechtswidrige Inhalte“ – dies ist der zentrale Begriff des Gesetzes – Inhalte, die den (wohl objektiven) Tatbestand bestimmter Straftatbestände des StGB (insbesondere der Beleidigungsdelikte der §§ 185–187 StGB) erfüllen und nicht gerechtfertigt sind. Hinter dieser Definition steht das Ziel des Gesetzgebers, „objektiv strafbare Inhalte unverzüglich zu entfernen“ (BT‑​Drs. 18/12356, S. 11). Eine Definition, wann ein Inhalt „offensichtlich“ rechtswidrig ist, so dass er innerhalb von 24 Stunden zu löschen ist, enthält das NetzDG hingegen nicht.

- Schließlich legt das § 5 NetzDG den Anbietern sozialer Netzwerke unter anderem die Pflicht auf, einen inländischen Zustellungsbevollmächtigten zu benennen und auf ihrer Plattform leicht erkennbar mitzuteilen.

Die Pflichten aus § 5 NetzDG gelten für sämtliche sozialen Netzwerke, während die Pflichten aus § 2 (Berichtspflicht) und § 3 NetzDG (Beschwerdemanagement) nur für Anbieter sozialer Netzwerke mit mehr als zwei Millionen Nutzern gelten (§ 1 Abs. 2 NetzDG).

Zur Absicherung der genannten Pflichten enthält § 4 NetzDG einen umfassenden Bußgeldkatalog.

Nicht zuletzt ändert das NetzDG in einem wesentlichen Punkt das Telemediengesetz (TMG). Es fügt in § 14 TMG einen Auskunftsanspruch ein, kraft dessen der Betroffene von dem Anbieter Auskunft über die Identität eines Nutzers verlangen kann, wenn dies etwa zum Schutz des Persönlichkeitsrechts erforderlich ist (etwa um einen Unterlassungsanspruch gerichtlich durchzusetzen). Dadurch wird die „Anonymität“ des Internets unter anderem im Fall von Persönlichkeitsrechtsverletzungen jedenfalls relativiert und der Persönlichkeits(rechts)schutz gegenüber zunächst anonymen Rechtsverletzungen möglicherweise erheblich effektiver gestaltet.

Praktische Konsequenzen

Die praktischen Konsequenzen des NetzDG dürften vielseitig sein:

Die Anbieter größerer sozialer Netzwerke werden verpflichtet, ein schnelles und effektives Beschwerdesystem einzurichten, das in der Lage sein muss, bestimmte rechtswidrige Inhalte nach Mitteilung durch die Nutzer zu identifizieren, auf ihre Zulässigkeit hin zu beurteilen und in der Regel innerhalb von sieben Tagen zu löschen. Solche reaktiven Prüfpflichten hat die Rechtsprechung bereits verschiedentlich entwickelt. Der Gesetzgeber hat diesen „Trend“ mit dem NetzDG aufgegriffen und für die sozialen Netzwerke teilweise kodifiziert.

Auch steht zu hoffen, dass der Rechtsschutz der Betroffenen gegen persönlichkeitsrechtsverletzende Äußerungen in sozialen Netzwerken erleichtert wird:

Dies gilt über die Pflicht zur zeitnahen Prüfung und Löschung rechtswidriger Inhalte hinaus etwa für die Vorgabe, einen inländischen Zustellungsbevollmächtigten zu benennen. Hierdurch dürfte das in der Praxis umständliche und zeitraubende Verfahren der Auslandszustellung bei den großen sozialen Netzwerken wegfallen.

Von wesentlicher Bedeutung kann auch der bereits erwähnte Auskunftsanspruch (§ 14 Abs. 3 TMG) sein. Zum einen ist davon auszugehen, dass allein die Existenz dieses Auskunftsanspruchs zahlreiche illegale Posts, Blogeinträge, Bewertungen und Forenkommentare verhindern wird, kann doch der Verfasser nicht mehr uneingeschränkt auf die – tatsächliche oder vermeintliche – Anonymität des Internets vertrauen. Zum anderen ergibt sich für den Betroffenen die Möglichkeit, gegen die Urheber zunächst anonymer rechtswidriger Inhalte unmittelbar vorzugehen, anstatt sich mit einem Löschungsbegehren nach dem anderen an den Anbieter des jeweiligen Telemediums wenden zu müssen.

Kritik am NetzDG

Das NetzDG ist jedoch von politischer wie juristischer Kritik nicht verschont geblieben:

So werden Zweifel geäußert, ob der Bund überhaupt über die Gesetzgebungskompetenz zum Erlass dieses Gesetzes verfügt. Weiter werden auf die Meinungsfreiheit aus Art. 5 Abs. 1 GG gestützte Einwände erhoben. Die von dem Gesetz vorgegebenen, grundsätzlich starren Fristen setzten in Kombination mit der Bußgeldregelung starke Anreize, Löschungen ohne Prüfung vorzunehmen und vorsorglich lieber zu viel als zu wenig zu löschen („Overblocking“).

Problematisiert wird auch, ob die Anwendbarkeitsgrenze des § 1 Abs. 2 NetzDG (zwei Millionen Nutzer) einer Prüfung anhand des Art. 3 Abs. 1 GG standhalten kann oder ob diese zwei Millionen‑​Grenze nicht eine unzulässige Ungleichbehandlung darstellt.

Schließlich werden auch europarechtliche Bedenken ins Feld geführt, etwa im Hinblick auf die Vereinbarkeit des NetzDG mit der E‑​Commerce‑​Richtlinie (2000/31/​EG).

Es bleibt also auch nach Abschluss des Gesetzgebungsverfahrens zum NetzDG spannend.