06.11.2018: Deutscher Gesetzgeber plant Anpassungen an die DSGVO.

Daten

Kaum haben sich die Unternehmen vom ersten Schock durch die europäische Datenschutzgrundverordnung (DSGVO) erholt, folgt der deutsche Gesetzgeber mit einer ganzen Reihe neuer Vorschriften. Die Bundesregierung legte am 5. September 2018 den Entwurf eines „Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (2. DSAnpUG-EU)“ vor. Die Deutsche Kreditwirtschaft hat sich diesem Entwurf angenommen und eine Stellungnahme veröffentlicht. Nach einer kurzen Erläuterung der Bedeutung des Entwurfs für die Kreditwirtschaft befasst sich die Stellungnahme mit den für Kreditinstitute relevanten Änderungen. Den Abschluss der Stellungnahme bilden einige allgemeine Anmerkungen.

Inhalt des Gesetzentwurfs

Der Gesetzentwurf enthält Änderungen zu insgesamt 154 Bundesgesetzen. Einen Großteil dieser Änderungen machen die erforderlichen Anpassungen von Definitionen (Begriffsbestimmungen) und Verweisungen an die DSGVO (wir berichteten) aus. Weiterhin werden neue Rechtsgrundlagen für die Datenverarbeitung geschaffen und bestehende Rechtsgrundlagen angepasst. Die Bundesregierung hat darüber hinaus vom Recht des Art. 23 der DSGVO Gebrauch gemacht und die Rechte der Betroffenen im öffentlichen Sektor eingeschränkt.

Bedeutung für die Kreditwirtschaft

Für die Kreditwirtschaft gelten neben der DSGVO eine ganze Reihe nationaler Vorschriften, welche ihnen die Datenverarbeitung ihrer Kunden erlaubt oder sie sogar dazu verpflichtet. Zu nennen wären hier unter anderem die Vorschriften des Kreditwesengesetzes (KWG) oder des Geldwäschegesetzes (GWG). Im Kontext der DSGVO begründen diese Normen entweder eine rechtliche Pflicht zur Datenverarbeitung im Sinne des Art. 6 Abs. 1 Unterabs. 1 lit. c DSGVO oder bilden die Grundlage für ein berechtigtes Interesse zur Datenverarbeitung nach Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO. In Art. 6 Abs. 3 sowie Art. 23 Abs. 2 stellt die DSGVO an nationalen Vorschriften, welche Unternehmen zur Datenverarbeitung verpflichten, bestimmte Qualitätsanforderungen. Der Gesetzentwurf soll unter anderem diese Anforderungen erfüllen. Weiterhin möchte der Gesetzgeber klar machen, dass Institute der Kreditwirtschaft weiterhin auf Grundlage von nationalen Vorschriften personenbezogene Daten verarbeiten dürfen.

Relevante Gesetzesänderungen

Im Rahmen der Stellungnahme geht die Deutsche Kreditwirtschaft auf einzelne für sie relevante Gesetzesänderungen ein.

1.) Artikel 91 – Änderung des Kreditwesengesetzes (KWG)

Bei der geplanten Neufassung des § 10 Abs. 2 KWG handelt sich lediglich um eine redaktionelle Anpassung an die Vorgaben und Begrifflichkeiten der DSGVO. Die Deutsche Kreditwirtschaft begrüßt hier die Art der Anpassung und betont die Wichtigkeit der Kontinuität der aufsichtsrechtlichen Rahmenbedingungen. Gleichzeitig schlägt sie eine Ergänzung des § 25a KWG vor, nach der die Institute und Gruppen nach Abs. 3 im Rahmen ihrer Pflicht zur ordnungsgemäßen Geschäftsorganisation personenbezogenen Daten verarbeiten dürfen. Dadurch soll Rechtsklarheit für alle Betroffenen geschaffen werden.

2.) Artikel 92 - Änderung des Anlegerentschädigungsgesetzes (AnlEntG)

Artikel 92 des 2. DSAnpUG-EU führt einen neuen § 13a AnlEntG ein. Dieser ermächtigt zum einen die Entschädigungseinrichtung zur Verarbeitung personenbezogener Daten. Zum anderen dient sie nach Ansicht der Deutschen Kreditwirtschaft auch als datenschutzrechtliche Rechtfertigungsnorm, welche den auskunftspflichtigen Kreditinstituten die Datenübermittlung an die Entschädigungseinrichtung sowie die Datenerhebung selbst gestattet.

3.) Artikel 94 - Änderung des Zahlungsdiensteaufsichtsgesetzes (ZAG)

Artikel 94 des 2. DSAnpUG-EU nimmt nur einige terminologische Anpassungen an den Wortlaut der DSGVO vor. So werden die Worte „erheben und verwenden“ sowie „abrufen und speichern“ durch „verarbeiten“ ersetzt. Weiterhin wird „Datei“ durch „Dateisystem“ ersetzt.

Die Deutsche Kreditwirtschaft schätzt diese Änderungen als sachgerecht ein, empfiehlt jedoch eine weitere Änderung. So sollte ihrer Ansicht nach in § 59 Abs. 2 ZAG das Wort „Einwilligung“ in Anlehnung an Art. 94 Abs. 2 der PSD II Richtlinie in „Zustimmung“ geändert werden. Dadurch soll deutlich gemacht werden, dass die Zustimmung des Kunden zum Zahlungsvertrag auch eine Zustimmung zur Datenverarbeitung im Rahmen der Erfüllung des Zahlungsauftrags bedeutet.

Unserer Ansicht nach verkennt die Deutsche Kreditwirtschaft hier, dass der Gesetzgeber durch die Nutzung des Wortes „Einwilligung“ bewusst auf die notwendige Einwilligung nach dem Wortlaut der DSGVO abzielt und gerade nicht möchte, dass eine Zustimmung zum Zahlungsvertrag eine Zustimmung zur Datenverarbeitung fingiert.

4.) Artikel 95 - Änderung des Einlagensicherungsgesetzes (EinSiG)

Neben einigen terminologischen Änderungen wird durch Artikel 95 des 2. DSAnpUG-EU in § 21 EinSiG – ähnlich den Änderungen des Anlegerentschädigungsgesetzes – auch eine Ermächtigung zur Datenverarbeitung für die Einlagensicherungssysteme geschaffen. Auch hier geht die Deutsche Kreditwirtschaft davon aus, dass gleichzeitig ein datenschutzrechtlicher Rechtfertigungsgrund für die zur Datenverarbeitung verpflichteten Institute vorliegt.

5.) Artikel 111 - Änderung des Fünften Vermögensbildungsgesetze (5. VermBG)

Die alte Einwilligungsfiktion des § 15 Abs. 1 S. 4 5. VermBG wird gestrichen. Somit bleibt das Erfordernis der ausdrücklichen Einwilligung des Betroffenen. Die Deutsche Kreditwirtschaft sieht hier einen unnötigen Mehraufwand auf die Institute zukommen. Weiterhin sieht sie die Gefahr, dass durch eine hohe Ablehnungsquote der Betroffenen zukünftig deutlich weniger Datenübermittlungen stattfinden könnten. Daher plädiert sie für eine gesetzliche Ermächtigungsgrundlage. Wie das Bundesministerium bereits angekündigt hat, sieht Art. 111 des 2. DSAnpUG-EU für Verträge, welche vor dem Inkrafttreten der DSGVO geschlossen wurden, eine Altfallregelung in § 17 Abs. 16 5. VermBG vor. Demnach bleibt die Einwilligungsfiktion für solche Verträge bestehen, bis der Betroffene schriftlich widerspricht.

6. Artikel 135 - Änderung des Postgesetzes (PostG)

Das 2. DSAnpUG-EU schafft eine ganze Reihe neuer datenschutzrechtlicher Vorschriften im Postgesetz. Die Deutsche Kreditwirtschaft begrüßt vor allem die neuen Regelungen des § 41a Abs. 4 PostG. Danach ist es Dienstanbietern gestattet, auf Verlangen Auskunft darüber zu erteilen, ob die angegebene Adresse des Betroffenen richtig ist.

Allgemeine Anmerkungen zum Gesetzentwurf

Neben den konkreten Änderungen durch das 2. DSAnpUG-EU begrüßt die Deutsche Kreditwirtschaft auch, dass der Regierungsentwurf in mehreren kreditwirtschaftlich relevanten Normen eine Befreiung von den (Nach-)Informationspflichten und von dem Recht der Betroffenen auf Auskunft vorsieht. Zusätzlich wertet sie diese Normen ebenfalls als datenschutzrechtliche Rechtfertigungsnormen für die Datenübermittlung durch die Kreditinstitute sowie für die vorherige Datenerhebung selbst. Weiterhin merkt die Deutsche Kreditwirtschaft an, dass im Einführungsgesetz zum Bürgerlichen Gesetzbuche (EGBGB) noch eine Anpassung notwendig ist, die bisher anscheinend vergessen wurde. So muss in Art. 247 § 3 Abs. 1 Nr. 16 EGBGB der Verweis auf § 29 Abs. 7 Bundesdatenschutzgesetz (BDSG) geändert werden. Die Bestimmungen wurden im Zuge der letzten Änderung inhaltsgleich in § 30 Abs. 2 BDSG übertragen.

Die meisten Änderungen des Entwurfs, welche für die Kreditwirtschaft relevant sind, sollten nicht überraschen, handelt es sich doch vielfach um Anpassungen an die bekannten Regelungen der DSGVO. Interessant sind jedoch die Änderungen, bei denen der Gesetzgeber Rechtfertigungsgründe zur Datenverarbeitung schafft. Die Stellungnahme macht deutlich, dass die Deutsche Kreditwirtschaft einen großen Wert auf solche im Gesetz festgelegten Rechtfertigungsgründe für die Datenverarbeitung legt. Dies ist nachvollziehbar, da für die Institute als Alternative nur die aufwendige und mit deutlichen Rechtsunsicherheiten verbundene ausdrückliche Einwilligung des Betroffenen bleibt.

Da Datenschutz ein bedeutendes Thema in der Finanzbranche darstellt, ist es wichtig den Anforderungen gerecht zu werden und Veränderungen im Blick zu haben. Wir von impavidi unterstützen Sie gerne bei der Umsetzung der neuen Änderungen und entwickeln mit Ihnen zusammen individuelle Strategien dazu.


 

Zurück