Sachstand

Im Sommer 2017

Grundverordnung und BDSG neu bekannt, e-Privacy und Regeln für die Medien noch offen

Das neue Bundesdatenschutzgesetz war am 5. Juli 2017 im Amtsblatt. Es tritt am 25. Mai 2017 gemeinsam mit der europäischen Datenschutz-Grundverordnung (DS-GVO) in Kraft. Die DS-GVO wirkt bekanntlich überall in der Europäischen Union unmittelbar, das neue BDSG macht von einer Reihe von Öffnungsklauseln in Gebrauch. Interessanterweise ist das neue, nur Teilbereiche regelnde BDSG rund doppelt so lang wie das alte Gesetz, das noch bis Mai 2018 gilt.

Leider ergeben die Texte der DS-GVO und des BDSG neu nebeneinander gelegt noch nicht das für Medienunternehmen relevante Recht. Es sind mehrere Ebenen zu unterscheiden:

  • Allgemeine Tätigkeit: Medienunternehmen unterliegen im Hinblick auf ihre allgemeine wirtschaftliche Tätigkeit keinen Besonderheiten beim Datenschutz. Hier kann man aus der DS-GVO und dem BDSG viel herauslesen etwa zur Einwilligung, zur Nutzung von Adressen bei der Werbung oder - jetzt noch einmal präziser im BDSG neu - im Hinblick auf die Daten von Arbeitnehmern oder etwa der Videoüberwachung des Betriebsgeländes. Auch zur Bestellung eines Datenschutzbeauftragten nach dem BDSG neu für diese allgemeinen Tätigkeiten eines Unternehmens besteht Klarheit, ebenso im Hinblick auf die Zuständigkeit der staatlichen Landesdatenschutzbeauftragten.

    Vom bayerischen Landesdatenschutzbeauftragten gibt es seit Ende Mai 2017 einen Dummy-Fragebogen, der auf Basis der DS-GVO diejenigen Fragen stellt, die man in Bayern ab Mai 2018 für diese allgemeinen Tätigkeiten für relevant hält.

  • Elektronische Kommunikation: Auf europäischer Ebene wird die DS-GVO zukünftig ergänzt durch die e-Privacy-VO, die allerdings erst im Entwurf vorliegt und vermutlich nicht pünktlich im Mai 2018 in Kraft treten wird. Auch hier wird eine bisherige Richtlinie durch eine Verordnung abgelöst, die überall in Europa gelten wird. Da Medienunternehmen zukünftig ihren Schwerpunkt im Bereich der elektronischen Kommunikation haben werden, wird die e-Privacy-VO sozusagen das vorrangige Recht gegenüber der DS-GVO beinhalten. Das macht sich etwa bei der Werbung durch Mail bemerkbar, für die deutlich strengere Regeln gelten werden, als das im analogen Bereich nach der DS-GVO gilt. Auch der Einsatz von Cookies soll restriktiv gehandhabt werden, was in einem beigefügten NJW-Artikel angesprochen ist. Das europäische Gesetzgebungsverfahren ist noch in einem relativ frühen Stadium.

  • Journalistisch-redaktionelle Tätigkeit: Unter dem Stichwort "Medienprivileg" werden gemeinhin die Besonderheiten der Informationsbeschaffung und Informationsverarbeitung der Medien für reinjournalistisch-redaktionelle Zwecke diskutiert. Für die Presse war das bisher im BDSG mit einer Öffnungsklausel angesprochen, von der die Landespressegesetze Gebrauch gemacht hatten. Für den Rundfunk gelten bisher Sonderregelungen in den einzelnen Gesetzen und Staatsverträgen, zusammengeführt im Rundfunkstaatsvertrag. Hier sind auch entsprechende Telemedien geregelt. Für Bestands-und Verbindungsdaten (Telemedien, Pay-TV) gilt zudem noch das TMG; Einfluss hat auch die E-Commerce-Richtlinie der EU. Der Persönlichkeitsschutz der Betroffenen wird durch das Äußerungsrecht hergestellt.

    Hier endete für den Bereich der Rundfunk und der vergleichbaren Telemedien in gerade eine Konsultation der Bundesländer, die die entsprechende Verpflichtung zur Präzisierung dieses Bereiches in Art. 85 DS-GVO an ganz verschiedenen Stellen im Landesrecht umsetzen wollen. Das Institut für Europäisches Medienrecht - EMR hat in diesem Zusammenhang angeregt, eine neue und einheitliche Regelung zu schaffen.

    Während für die eingangs erwähnten allgemeinen Tätigkeiten der Medienunternehmen die staatliche Aufsicht der Landesdatenschutzbehörden zuständig ist, ergeben sich im journalistisch-redaktionellen Bereich Zuständigkeiten der Landesmedienbehörden; hier ist gegebenenfalls aus dem Medienrecht heraus zusätzlich ein Datenschutzbeauftragter zu bestellen, der zwar genauso heißt wie derjenige im BDSG, der aber völlig andere Aufgaben und Zuständigkeiten hat, der auch nicht den staatlichen Datenschützern gegenüber verantwortlich ist, sondern gegenüber der Landesmedienanstalt.

  • Datensicherheit: Der zuvor beschriebene Datenschutz dient den Persönlichkeitsrechten der Betroffenen. Die Datensicherheit schützt die Infrastruktur der Medienunternehmen, im Bereich der "kritischen Infrastruktur" auch das Funktionieren öffentlicher Versorgung, worunter die Medien ebenfalls gerechnet werden. Hierzu gibt es eigene Richtlinien der EU, Umsetzungsbestrebungen in Deutschland sowie das BSI-Gesetz, zu dem das Bundesinnenministerium eine Verordnung erlassen hat, in der kritischen Infrastrukturen definiert werden. Der Bund vertritt die Auffassung, die Länder müssten das für die Medien ebenfalls bestimmen, was bei den Ländern derzeit aber kein Thema ist. Großflächige Angriffe auf IT-Infrastrukturen in der jüngsten Zeit dürften das Problembewusstsein geschärft haben. Hier kann es zu weiteren Auflagen kommen, die auch Medienunternehmen beachten müssen. Datenschutz und Datensicherheit treffen sich dort, wo auch für den Schutz personenbezogener Daten besondere technische Vorkehrungen für erforderlich gehalten werden.

Foto: Tagung Datenschutz und Datensicherheit des EMR gemeinsam mit den Branchenverbänden APR, BDZV, VPRT am 22. Mai 2017 in Berlin.