Het doel van de bescherming van persoonsgegevens is het beschermen van iemands privéleven in samenhang met andere mensenrechten en fundamentele vrijheden. Gegevensbescherming wordt toegepast tijdens alle stadia van het verzamelen, verwerken en gebruiken van persoonlijke gegevens. Dit artikel geeft u een beknopt overzicht van de Duitse Bundesdatenschutzgesetz (BDSG) in vergelijking tot de Algemene Verordening Gegevensbescherming (GDPR). Net als de Europese GDPR trad de nieuwe Duitse Bundesdatenschutzgesetz (BDSG) in werking op 25 mei 2018. De nieuwe BDSG vervangt zijn nationale voorganger, die al veertig jaar van kracht was. |
Aanpassingen aan de Duitse Bundesdatenschutzgesetz (BDSG)
De Europese GDPR is de belangrijkste verandering in de regelgeving inzake gegevensprivacy in twintig jaar. Veel Europese landen bereiden nieuwe wetten voor op het gebied van de bescherming van persoons-gegevens. Duitsland is een van de eerste landen die nieuwe wetten voor de bescherming van persoons-gegevens goedkeurt die zijn geharmoniseerd met de GDPR.
Hoewel één van de hoofddoelen van de GDPR erin bestaat de wetgeving inzake gegevensbescherming in de EU te harmoniseren, zijn er op een aantal gebieden de GDPR (de zogenaamde openingsbepalingen) die de lidstaten de mogelijkheid bieden hun eigen nationale gegevensbescherming wetten in te voeren en te specificeren verder dan de toepassing van de GDPR. Duitse wetgevers zijn de eersten onder de lidstaten geweest bepalingen ten uitvoer te leggen om de GDPR aan te vullen.
De Duitse Federale Raad heeft de nieuwe Federale Wet Bescherming Persoonsgegevens (FDPA) goedgekeurd. De BDSG vervangt de bestaande wet in functie van de GDPR. De wet is van belang omdat Duitsland de eerste lidstaat is die een uitvoeringswetgeving uitvaardigt. Een wet tot uitvoering wordt beschouwd als meer procedureel (sjablonen, procedures, termijnen, enz.) aangezien het gaat om de praktische uitvoering van regels die reeds in de oorspronkelijke wetgeving bestaan.
De nieuwe BDSG vervangt zijn nationale voorganger, die de afgelopen veertig jaar van kracht is geweest, en is de eerste stap naar aanpassing van de nationale wetgeving van de lidstaten aan de bepalingen van de GDPR. De wet is van toepassing op zowel de private als de publieke sector.
Het is belangrijk om in gedachten te houden dat de GDPR de nationale wetgeving overtreft en slechts beperkt ruimte laat voor aanvullende nationale bepalingen. Het is vermeldenswaardig dat de meeste bepalingen van de BDSG van beperkte praktische relevantie zijn aangezien Duitse rechtbanken en autoriteiten bepalingen van de BDSG niet mogen toepassen als zij deze in strijd met de Europese wetgeving achten.
Belangrijkste verschilpunten tussen GDPR en BDSG
Een aantal onderscheidende elementen van de nieuwe BDSG worden hieronder samengevat.
1. Functionaris voor gegevensbescherming (DPO)
De Duitse regels met betrekking tot de plicht om een functionaris voor gegevensbescherming (DPO) te benoemen, zijn strenger dan die bepaald in art. 37 GDPR. Volgens Sec. 38 BDSG, bedrijven die in Duitsland actief zijn, moeten een functionaris voor gegevensbescherming (DPO) aanwijzen als ze voortdurend ten minste 10 personen in dienst hebben die zich bezighouden met de geautomatiseerde verwerking van persoonsgegevens. Bovendien moeten bedrijven ook een functionaris voor gegevensbescherming (DPO) benoemen als zij verwerking uitvoeren die is onderworpen aan een gegevensbeschermingseffectbeoordeling, overeenkomstig art. 35 GDPR, of als zij commerciële gegevens verwerken ten behoeve van overdracht of anonieme overdracht, of voor doeleinden van marktonderzoek of opinieonderzoek.
2. Rechten van de betrokkenen
De GDPR voorziet in een hele reeks rechten van betrokkenen in de artikelen 13 tot en met 22 GDPR (meldingsplicht in het geval van gegevensverzameling, recht op informatie, recht van rectificatie en verwijdering, recht om te worden vergeten, recht van bezwaar). Artikel 23 GDPR geeft de nationale wetgever het recht om uitzonderingen op die rechten vast te stellen zoals de Duitse wetgever dan ook heeft gedaan. De Europese Commissie heeft reeds aangegeven dat zij haar bedenkingen heeft bij de Duitse implementatiewet omdat deze de harmonisatie van de GDPR mogelijk zou ondermijnen. Zo beperkt de Duitse implementatiewet onder andere de rechten van de betrokkene aanzienlijk in Sec. 29 BDSG. In Sec. 32 tot en met 37 BDSG wordt er dieper ingegaan op de rechten van betrokkenen.
3. Videobewaking
De BDSG bevat specifieke bepalingen voor een aantal specifieke verwerkingssituaties zoals gegevensbescherming op het werk, videobewaking en profilering. Sec. 4 BDSG staat in principe videobewaking toe voor publiek toegankelijke ruimtes. Verwerkingsverantwoordelijken moeten passende maatregelen nemen om de namen en contactgegevens van de bewaking en de controleurs zo snel mogelijk herkenbaar te maken. Sec. 4 BDSG stelt expliciet dat de bescherming van het leven, de gezondheid of de vrijheid van personen in grote openbare voorzieningen en voertuigen van welke aard dan ook een bijzonder belangrijke interesse in videobewaking vormen. Dergelijke faciliteiten omvatten onder andere sport-, vergader- en amusementslocaties, winkelcentra, parkeerplaatsen en faciliteiten voor trein-, scheeps- en busverkeer. Er zijn ook meer gedetailleerde regels over openbare toezichtkennisgevingen. In Sec. 4 BDSG wordt met name verduidelijkt dat deze kennisgeving zo snel mogelijk herkenbaar moet zijn, dit wil zeggen voordat de betrokkene het gebied betreedt dat wordt bestreken door videobewaking.
4. Verwerking van bijzondere categorieën van persoonsgegevens
Sec. 22 en 24 BDSG bevatten aanvullende bepalingen over de verwerking van bijzondere categorieën van persoonsgegevens die normaliter worden geregeld door art. 9 GDPR. Sec. 22 (1) somt aanvullende omstandigheden op waaronder dergelijke verwerking is toegestaan. Het is bijvoorbeeld expliciet toegestaan in de mate die nodig is om de rechten en verplichtingen uit te oefenen onder de wetgeving inzake sociale zekerheid en sociale bescherming. Volgens artikel 22, lid 2, moeten passende en specifieke maatregelen worden voorzien om de belangen van de betrokkene te beschermen. De verwerking van bijzonderecategorieën van persoonsgegevens voor een ander doel dan waarvoor zij oorspronkelijk zijn verzameld, kan gebaseerd zijn op artikel 24, lid 2, als de gegevensverwerking bedoeld is om risico’s voor de openbare veiligheid af te wenden of strafbare feiten te vervolgen of vereist is voor de vaststelling, uitoefening of verdediging van civielrechtelijke vorderingen, tenzij de belangen van de betrokkene bij het achterwege laten van de verwerking prevaleren.
5. Privacy van werknemers
De GDPR bevat slechte beperkte bepalingen over de privacy van werknemers. De wettelijke toestemming die de BDSG aan werkgevers verleent om werknemersgegevens te verwerken, blijft echter van toepassing. Artikel 88 GDPR staat de lidstaten toe om meer specifieke bepalingen vast te stellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van persoonsgegevens van werknemers in het kader van de tewerkstelling. Dit geldt met name voor het wervingsproces, de uitvoering van arbeidscontracten en de planning en organisatie van de werkzaamheden. De oude regelgeving stond reeds de verwerking toe van gegevens die vereist zijn voor het initiëren, uitvoeren of beëindigen van arbeidsovereenkomsten. Deze regeling werd grotendeels ongewijzigd overgenomen in Sec. 26 BDSG, zij het met een aanvullende definitie van wat een werknemer is. Helaas heeft de Duitse wetgever niet de gelegenheid aangegrepen om de gegevensbescherming van de werkgelegenheid volledig te reorganiseren, zodat de nieuwe regels eerder knip- en plakwerk blijven van de vorige regelgeving en meer begeleiding van de arbeidsrechtbanken en de gegevensbeschermingsautoriteiten nodig hebben.
Nieuw in Sec. 26 is de bepaling over de geïnformeerde toestemming in de arbeidsrelatie. Net als in art. 7 GDPR is toestemming alleen uitvoerbaar als deze vrijwillig wordt gegeven. Sec. 26, lid 2, erkent dat toestemming met name vrijwillig kan zijn als de werknemer een voordeel verkrijgt door zijn / haar instemming of als de belangen van de werkgever en de werknemer hetzelfde zijn. Het persoonlijke gebruik van de IT-systemen van het bedrijf of de invoering van bedrijfsgezondheidsmanagement kan een een dergelijk voordeel vormen. De toestemming van de werknemer moet meestal schriftelijk worden verkregen, tenzij een andere vorm van toepassing is in het licht van bijzondere omstandigheden. In ieder geval moeten de doeleinden van de verwerking duidelijk worden aangegeven in de toestemming en moet de werknemer op elk moment naar behoren worden geïnformeerd over het recht om zijn toestemming in te trekken.
6. Ondernemingsraden
Indien ondernemingsraden persoonsgegevens verwerken, moeten ze ook voldoen aan de voorschriften van BDSG en GDPR volgens de nieuwe Sec. 26 BDSG. Dit is een aanzienlijke verandering, omdat de Duitse ondernemingsraden voorheen geen rekening hoefden te houden met specifieke gegevensbeschermings-vereisten, maar alleen met de veel ruimere regels van het Duitse bouwrecht en algemeen arbeidsrecht.
7. Collectieve overeenkomsten
Collectieve overeenkomsten blijven een legitiem instrument voor de regulering van de toelaatbare gegevensverwerking. Hoewel deze term collectieve arbeidsovereenkomsten omvat, komt het vaker voor dat werkgevers in Duitsland overeenkomsten aangaan met ondernemingsraden die zich bezighouden met specifieke situaties van gegevensverwerking; bijvoorbeeld in verband met HR-informatie of andere IT-systemen of videobewaking. Deze overeenkomsten moeten echter voldoen aan de vereisten van Sec. 26 BDSG. Vandaar dat veel van de geldende overeenkomsten afzonderlijk moeten worden gewijzigd of door middel van een kaderovereenkomst voor ondernemingsraden. In het bijzonder moeten deze overeenkomsten specifieke bepalingen bevatten die voldoen aan de vereisten van art. 88 (2) GDPR, evenals die van art. 5 GDPR.
8. Bewijslast
De bedrijven moeten bewijzen dat zij voldoen aan de huidige voorschriften inzake gegevensbescherming. Voor dit doel moeten de bedrijven ook de uitgebreide documentatieverplichtingen van de GDPR implementeren. De uitgebreide bewijslast voor verwerkingsverantwoordelijken wordt niet verminderd door de BDSG. Om zich te verdedigen tegen wettelijke boetes en de burgerlijke vorderingen van de betrokkenen, moeten bedrijven hun algemene inspanningen om overeenstemming met de GDPR en de BDSG te bereiken kunnen documenteren volgens Sec. 70 tot 77 BDSG. Bovendien moeten zij hun IT-systemen en respectieve documentatie aanpassen op een manier die hen in staat stelt te bewijzen welke persoonlijke gegevens betrekking hebben op specifieke betrokken gegevenssubjecten – alsook voor welke doeleinden en op welke manier.
9. Administratieve geldboetes
De GDPR bepaalt administratieve geldboetes van maximaal 20.000.000 EUR of 4% van de wereldwijde inkomsten – afhankelijk van welk bedrag hoger is in art. 83 GDPR. Overtredingen die uitsluitend het toepassingsgebied van de BDSG betreffen, zijn beperkt tot een maximumboete van 50.000 EUR zoals gesteld in Sec. 43 BDSG. Dit scenario zal in de praktijk zeldzaam zijn en alleen betrekking hebben op zeer specifieke gevallen, zoals onder meer informatieverplichtingen die betrekking hebben op consumentenleningen. In alle andere gevallen zijn de hogere maximale administratieve geldboetes van de GDPR van toepassing.
10. Niet-geldelijke schade
De nieuwe BDSG definieert ook niet-geldelijke (in juridische termen: niet-financiële) schade in Sec. 83 BDSG. Dit is schade die niet gemakkelijk gekwantificeerd of gewaardeerd wordt in geld, zoals een vergoeding voor pijn en lijden. Betrokkenen (inclusief werknemers) kunnen een schadevergoeding eisen voor niet-geldelijke schade. Dit is een nieuwe verplichting, die kan leiden tot substantiële economische risico’s voor de bedrijven. Niet alleen de betrokkenen zelf, maar ook verenigingen kunnen gerechtelijke procedures starten. Verwacht wordt dat dit nieuwe regresmechanisme de bewering van feitelijke of beweerde claims zal vergemakkelijken.
Wat te verwachten?
Met het oog op de aanvullende specificiteit van de nieuwe BDSG met betrekking tot de GDPR, wordt van de Duitse gegevensbeschermingsautoriteiten verwacht dat zij in de toekomst richtsnoeren verstrekken om meer rechtszekerheid te bieden over de interpretatie en toepassing ervan. De richtlijnen moeten zeker worden opgesteld door de Europese Commissie om een uniforme toepassing en interpretatie van de bepalingen van de GDPR te waarborgen.
De veronderstelling is dat de andere (Europese) staten hun nationale wetgeving ook zullen afstemmen op GDPR, aangezien het voornaamste doel van GDPR is om het wettelijke kader voor de bescherming van persoonsgegevens in Europa op één lijn te brengen.
De nieuwe BDSG is complex en bevat zeer specifieke bepalingen die op nogal wat details van de gegevensverwerking zijn gericht. Voor bedrijven die in/met Duitsland werken is het raadzaam de BDSG van dichtbij te analyseren en te bepalen welk gevolg deze nationale gegevensbeschermingswetgeving voor lidstaten inhoudt voor hun specifieke bedrijfsmodel en gegevensverwerking.
De aanpassing van de BDSG zet alleszins de Duitse traditie voort om de leidende natie te zijn op het gebied van de bescherming van persoonsgegevens, maar het blijft nog te bezien hoeveel daarvan precies relevant zal zijn, en in welke mate dit op termijn niet gaat botsen met nieuwe technologie die big data gerelateerd is (bv. blockchain).
Nuttige links