- 16 -           Bearbeitungsstand: 09.08.2023 09:11

Zu Nummer 7
Die Ergänzungen in $ 19 Absatz 1 sind klarstellender Natur. Eine inhaltliche Änderung ist
mit ihnen nicht verbunden. Sie erfolgen vor dem Hintergrund, dass sich inder Anwendungs-
praxis Unsicherheit darüber gezeigt hat, wie nach $ 19 Absatz 1 die zuständige federfüh-
rende Datenschutzaufsichtsbehörde zu ermitteln ist. Ein Klarstellungsbedürfnis hat sich ins-
besondere bezüglich international tätiger Unternehmen ohne Niederlassung in Deutschland
offenbart. Teilweise besteht es aber auch bezüglich international oder bundesweit tätiger
Unternehmen,   die zwar mehrere Niederlassungen in Deutschland haben, deren Hauptnie-
derlassung jedoch zweifelhaft ist.
Zu Nummer8 .
Zu Buchstabe a
Es handelt sich um die Korrektur eines Redaktionsversehens.

Zu Buchstabe b
$ 27 Absatz 5 dient (ebenso wie $$ 16a, 18, 40a) der im Koalitionsvertrag vorgesehenen
„besseren Durchsetzung und Kohärenz des Datenschutzes‘.

8 40a gilt nur für Unternehmen (zur Legaldefinition siehe Artikel 4 Nummer 18 der Verord-
nung (EU) 2016/679). Indem $ 27 Absatz 5 auf $ 40a verweist, wird auch Stellen, die Daten
im Sinne des $ 27 verarbeiten, ohne eine wirtschaftliche Tätigkeit auszuüben, die Möglich-
keit gegeben, ihre gemeinsame Verantwortlichkeit anzuzeigen und als Rechtsfolge der An-
zeige per Gesetz die alleinige Zuständigkeit nur einer Aufsichtsbehörde herbeizuführen.

Das Anknüpfungskriterium der ständigen Beschäftigung von Personen, die personenbezo-
gene Daten verarbeiten, ist im Datenschutzrecht bereits im Zusammenhang mit der Benen-
nung von Datenschutzbeauftragten ($ 38) bekannt.

Zu Nummer 9

'Es handelt sich um die Korrektur eines Redaktionsversehens: $ 203 Absatz 2a des Straf-
 gesetzbuchs ist durch $ 203 Absatz 2 ersetzt worden.

Zu Nummer 10

Zu Buchstabe a
Zu Doppelbuchstabe aa

8 34 Absatz 1 Nummer 2 Buchstabe a sieht eine Ausnahme vom Recht auf Auskunft gemäß
Artikel 15 der Verordnung (EU) 2016/679 vor, wenn Daten nur deshalb gespeichert sind,
weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht ge-
löscht werden dürfen. Die Änderung stellt klar, dass nur öffentlich-rechtliche Satzungen ge-
meint sind und eine Einschränkung der Betroffenenrechte durch private Satzungen nicht
möglich ist.

Zu Doppelbuchstabe bb
Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/67 erlaubt dem nationalen Ge-
setzgeber Einschränkungen der Betroffenenrechte zum Schutz der Rechte und Freiheiten
anderer Personen. Darunter fallen Rechte Dritter, aber auch des Verantwortlichen, wenn
sie einen spezifischen rechtlichen Schutz genießen. Betriebs- und Geschäftsgeheimnisse
genießen einen solchen Schutz. Es wird deshalb aufgrund dieser Öffnungsklausel eine aus-
drückliche Ausnahme vom Auskunftsrecht geschaffen. Die Ausnahme greift dann, wenn

- 17 -           Bearbeitungsstand: 09.08.2023 09:11

 das Interesse an der Geheimhaltung der Betriebs- und Geschäftsgeheimnisse das Inte-
 resse der betroffenen Person an der Information überwiegt.

 Zu Buchstabe b
 Nach 8 34 Absatz 3 Satz 1 ist auf Verlangen einer betroffenen Person, der keine Auskunft
 durch eine Bundesbehörde erteilt wurde, Auskunft an den Bundesbeauftragten oder die
 Bundesbeauftrage zu erteilen, soweit nicht die jeweils zuständige oberste Bundesbehörde
 im Einzelfall feststellt, dass dadurch die Sicherheit des Bundes oder eines Landes gefährdet
 würde. Um betroffene Personen in die Lage zu versetzen, dieses Auskunftsrecht zu nutzen,
 wird eine Pflicht einer jeden Bundesbehörde eingeführt, über die Möglichkeit zu informieren,
 Auskunft an den Bundesbeauftragten oder die Bundesbeauftragte zu verlangen. Dies gilt
 jedoch nur, wenn dieses Recht auch tatsächlich besteht.

 Zu Nummer 11

 8 37 regelt Ausnahmen von dem Recht aus Artikel 22 der Verordnung (EU) 2016/679, kei-
 ner ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unter-
 worfen zu werden. Eine Entscheidung, die einem Begehren der betroffenen Person vollum-
 fänglich stattgibt, fällt jedoch schon nicht unter das Verbot der automatisierten Entschei-
 dung nach Artikel 22 Absatz 1 der Verordnung (EU) 2016/679, da dieser nur vor solchen
 Entscheidungen schützen soll, die mit einer beeinträchtigenden Wirkung für die betroffene
 Person verbunden sind. $ 37 Absatz 1 Nummer 1 ist damit nicht erforderlich. Es könnte aus
 der Norm zudem der Umkehrschluss gezogen werden, dass auch Entscheidungen ohne
 beeinträchtigende Wirkung für die betroffene Person dem Verbot des Artikels 22 unterlie-
 gen. Sie wird deshalb gestrichen.

 Zu Nummer 12

 Die Ergänzung in $ 40 Absatz 2 erfolgt vor dem Hintergrund, dass sich in der Anwendungs-
 praxis Unsicherheit darüber gezeigt hat, wie nach $ 40 Absatz 2 die zuständige federfüh-
 rende Datenschutzaufsichtsbehörde zu ermitteln ist, wenn ein Unternehmen in Deutschland
 keine Niederlassung hat.
 Zu Nummer 13

  $ 40a dient (ebenso wie 88 16a, 18 und $ 27 Absatz 5) der im Koalitionsvertrag vorgese-
. henen „besseren Durchsetzung und Kohärenz des Datenschutzes“.

 Die Norm knüpft an die in Artikel 26 der Verordnung (EU) 2016/679 geregelten gemeinsam
 Verantwortlichen an. In der Rechtsanwendungspraxis ist die gemeinsame Verantwortlich-
 keit ein Rechtsinstitut mit großen praktischen Auswirkungen. Nach der Rechtsprechung des
 Europäischen Gerichtshofs (siehe Urteile vom 5.6.2018 - C-210/16 „Facebook-Fanpages“,
 10.7.2018 - C-25/17 „Zeugen Jehovas“, 29.7.2019 — C-40/17 „Fashion ID") ist der Anwen-
 dungsbereich der gemeinsamen Verantwortlichkeit sehr weit gefasst. Als Anwendungsfälle
 gemeinsamer Verantwortlichkeit kommen zum Beispiel in Betracht: Datenplattformen, Un-
 ternehmenspräsenz in sozialen Medien (wie Facebook, Twitter, Instagram, XING), Stamm-
 datenverwaltung   im   Unternehmensverbund,     konzernweites   Customer-Relationship-Ma-
 nagement oder Nutzung eigener Datenbestände für Werbezwecke Dritter.
 Nach der Begriffsbestimmung des Artikels 4 Nummer 18 der Verordnung (EU) 2016/679
 sind Unternehmen natürliche und juristische Personen, die eine wirtschaftliche Tätigkeit
 ausüben, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder
 Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Das Anknüp-
 fungskriterium des Jahresumsatzes ist im Datenschutzrecht bereits im Zusammenhang mit
 der Verhängung von Geldbußen (Artikel 83 der Verordnung (EU) 2016/679) bekannt.

- 18 -            Bearbeitungsstand: 09.08.2023 09:11
 Satz 3 schafft Rechtssicherheit für die Fälle,   in denen   der Antrag   beziehungsweise     die
 nachweisenden    Unterlagen zu unterschiedlichen Zeitpunkten bei den Aufsichtsbehörden
 eingehen.

 Der in Satz 4 vorgesehene Verweis auf $ 3 Verwaltungsverfahrensgesetz entspricht dem
 Verweis in $ 40 Absatz 2.

 Zu Artikel 2 (Änderung des Zehnten Buches Sozialgesetzbuch)

  Die Vorschriften des $ 34 Absatz 1 BDSG und des $ 83 Absatz 1 des Zehnten Buches’
  Sozialgesetzbuch (SGB X) sind grundsätzlich inhaltsgleich. Die Änderungen des $ 83 Ab--
  satz1 SGB X bezwecken daher, den Gleichlauf mit $ 34 Absatz 1 BDSG sicherzustellen.
  Da Betriebs- und Geschäftsgeheimnisse nach $ 35 Absatz 4 des Ersten Buches Sozialge-
  setzbuch den Sozialdaten gleichgestellt werden, ist zum Schutz dieser Sozialdaten in $ 83
. Absatz 1 SGB X ebenfalls eine ausdrückliche Ausnahme vom Auskunftsrecht erforderlich.
 Im Übrigen wird auf die Begründung zur Änderung des $ 34 Absatz 1 BDSG verwiesen

 Zu Artikel 3 (Inkrafttreten, Außerkrafttreten)

 Die Regelung zum Inkrafttreten folgt dem von der Bundesregierung beschlossenen „Ar-
 beitsprogramm Bessere Rechtsetzung und Bürokratieabbau 2018“ (Kabinettbeschluss vom
 12. Dezember 2018). Danach schlägt die Bundesregierung in ihren Regelungsentwürfen
 ein Inkrafttreten möglichst zum ersten Tag eines Quartals vor, soweit im Einzelfall nicht
 andere Erwägungen dagegensprechen.