Update Datenschutzgesetzgebung: Referentenentwurf des BMI für das BDSG 2018 und Zeitplan für das BayDSG

10 Bewertungen

5. Ausgabe Dezember 2016

 

Countdown 17 Monate.jpg

 

Obwohl die Datenschutz-Grundverordnung ab 25. Mai 2018 grundsätzlich unmittelbar und umfassend anzuwenden sein wird, wird immer noch sehr oft über die künftige Ausgestaltung des deutschen Datenschutzrechts diskutiert und – fast noch häufiger – spekuliert. Wegen der großen Zahl von Öffnungsklauseln sind damit immer wieder weitreichende Erwartungen verbunden, welche Regelungen des heutigen Datenschutzrechts auch nach dem Mai 2018 noch fortbestehen werden. Seit dem 23. November 2016 gibt ein den Ländern und Verbänden zur Stellungnahme zugeleiteter Referentenentwurf des BMI für ein „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ solchen Diskussionen neue Nahrung und erlaubt der Datenschutz-Praxis erstmals eine vielleicht schon etwas verlässlicheren Blick auf ihre Rechtsgrundlagen im Jahr 2018.

Wie 18 Monate vor Ablauf der Anpassungsfrist kaum anders zu erwarten zeichnen sich auch im bayerischen Landesrecht zwischenzeitlich erstmals konkretere Pläne zur Bewältigung der Anpassungserfordernisse ab. Auch wenn hier noch etwas Geduld bis zur Veröffentlichung eines Referentenentwurfs erforderlich bleiben dürfte, zeigen die bislang bekannt gewordenen Einzelheiten bereits erste Gemeinsamkeiten und Unterschiede gegenüber den Planungen des Bundes.


 

1. Überblick zum Datenschutz-Anpassungs- und Umsetzungsgesetz EU


Der Referentenentwurf des BMI vom 23.11.2016 für ein „Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ stellt ein Artikelgesetz dar, mit dem die Datenschutz-Grundverordnung der EU (im Folgenden zitiert mit „DSGVO“) sowie die Richtlinie zum Datenschutz bei Polizei und Justiz (RL 2016/680, im Folgenden zitiert als „Polizei-Justiz-Richtlinie“) in das Bundesrecht umgesetzt wird.  Art. 1 enthält eine Neufassung eines weiterhin als „Bundesdatenschutzgesetz“ betitelten allgemeinen Datenschutzgesetzes des Bundes und sieht in Art. 2 bis 6 Änderungen sicherheitsrechtlicher Kerngesetze wie des Bundesverfassungsgesetzes oder des BND-Gesetzes vor. Art. 8 als bislang einzige sonstige fachrechtliche Regelung enthält eine Änderung des Bundesstatistikgesetzes, die die Betroffenenrechte der DSGVO modifiziert. Sonstige „Folgeänderungen“ im Fachrecht sind in einem zunächst nur als Platzhalter aufgenommenen Art. 9 vorgesehen.

Mit Ausnahme einer in Art. 7 enthaltenen vorläufigen Ergänzung des geltenden BDSG um ein Klagerecht der Datenschutzbehörden zur Überprüfung von sog. Adäquanzentscheidungen der EU-Kommission treten sämtliche Rechtsänderungen zum 25. Mai 2018 in Kraft. Das durch die Safe-Harbor-Entscheidung des EuGH vom 6. Oktober 2015 gebotene Rechtsbehelfsverfahren vor dem Bundesverwaltungsgericht tritt am Tag nach der Verkündung des „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ in Kraft und wird später in § 21 des neu gefassten BDSG fortgeführt. Das derzeitige Bundesdatenschutzgesetz wird zugleich mit Wirkung zum 25. Mai 2018 außer Kraft treten.


2. Einzelheiten zum BDSG 2018


Bereits der erste Blick ins Inhaltsverzeichnis des neu gefassten Bundesdatenschutzgesetzes bestätigt, was schon die Gesamtstruktur des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (Kurzbezeichnung:“DSAnpUG-EU“) ahnen lässt: die Anpassung des deutschen Datenschutzrechts an die EU-Datenschutzreform wird zum hoch komplexen Vorhaben und führt jedenfalls nominell zur Mehrung datenschutzrechtlicher Vorschriften statt zur Rechtsbereinigung.

Auch das „BDSG-neu“, wie die Neuregelung vorerst noch untechnisch zitiert werden muss, lässt an zahlreichen Stellen erkennen, dass es unter der Anwendung der DSGVO und den Umsetzungspflichten der Polizei-Justiz-Richtlinie kaum noch gelingen kann, das bewährte Modell einer bereichsübergreifenden, subsidiären allgemeinen Datenschutzregelung fortzuführen, wie es das BDSG und die Landesdatenschutzgesetze bislang erfolgreich verwirklicht haben. Während das DSAnpUG-EU insbesondere in seinen Art. 2 bis 6 klar signalisiert, dass die DSGVO wie auch das gesamte Unionsrecht keine Geltung in Bereichen der nationalen Sicherheit beanspruchen können, bildet das „BDSG-neu“ in einer neuen, anfangs für den Rechtsanwender vermutlich noch beschwerlichen Kapitelstruktur die Grenzziehungen zwischen nationalen und unterschiedlichen unionsrechtlichen Regelungskompetenzen ab.

Daraus ergibt sich folgende Dreiteilung des neugefassten BSDG:

 

  • Teil 1 „Gemeinsame Bestimmungen“ enthält Bestimmungen für jegliche Datenverarbeitung, unabhängig davon, ob sie zu Zwecken der DSGVO, der Polizei-Justiz-Richtlinie oder zu nicht von diesen beiden Unionsrechtsakten erfassten Zwecken (z. B. Datenverarbeitung durch Nachrichtendienste) erfolgt.

  • Teil 2 „Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679“ betrifft Regelungen, die sich allein auf den Anwendungsbereich der DSGVO beziehen.

  • Teil 3 „Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680“ dient der Umsetzung der Polizei-Justiz-Richtlinie.

 

Gemeinsame Bestimmungen:

In den gemeinsamen Bestimmungen des ersten Teils finden sich folgende Regelungen:

  • allgemeine Rechtsgrundlagen für die Datenverarbeitung durch öffentliche Stellen und sowie für die öffentliche und bestimmte Bereiche der privaten Videoüberwachung (§§ 3, 4 BDSG-neu);

  • Datenschutzbeauftragte öffentlicher Stellen (§§ 5 bis 7 BDSG-neu);

  • unabhängige Datenschutzaufsichtsbehörde des Bundes (§§ 8 bis 16 BDSG-neu)

  • Festlegung der deutschen Vertretung im Europäischen Datenschutzausschuss; gemeinsamer Vertreter im Ausschuss ist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; als Stellvertreter wählt der Bundesrat den Leiter einer Aufsichtsbehörde eines Landes (§§ 17 bis 19 BDSG-neu);

  • Rechtsbehelfe (§§ 20, 21 BDSG-neu).


Die gemeinsamen Bestimmungen lassen unmittelbar geltendes Recht der Europäischen Union unberührt, insbesondere die DSGVO. Sie finden außerdem Anwendung im Anwendungsbereich der Polizei-Justiz-Richtlinie sowie für nicht näher bestimmte Bereiche, die außerhalb des Unionsrechts liegen.

 


Durchführung der DSGVO:


Die Bestimmungen des zweiten Teils dienen der Durchführung der DSGVO. Sie regeln

  • die Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (§ 22 BDSG-neu);

  • die Zulässigkeitsvoraussetzungen für Verarbeitungen zu anderen Zwecken (§ 23 BDSG-neu);

  • Auskunfteien und Scoring sowie Regelung weiterer besonderer Verarbeitungssituationen (§§ 24 bis 29 BDSG-neu);

  • Betroffenenrechte (§§ 30 bis 35 BDSG-neu) bzw. deren Beschränkung gem. Artikel 23 DSGVO. Das BDSG-neu orientiert sich dabei sehr weitgehend an den bestehenden Regelungen des Bundesdatenschutzgesetzes und will so für einen angemessenen Interessenausgleich sorgen;

  • die Verpflichtung nicht-öffentlicher Stellen zur Bestellung eines betrieblichen Datenschutzbeauftragten entsprechend dem bisherigen § 4f BDSG einschließlich der Regelungen zum Kündigungsschutz (§ 36 BDSG-neu) sowie Zuständigkeiten der Akkreditierungsstelle und der Datenschutzaufsichtsbehörden der Länder (§§ 37 und 38 BDSG-neu)

  • Geldbußen bei Verstößen gegen die DSGVO bzw. das anzuwendende Verfahrensrecht (§§ 39, 40 BDSG-neu).


Als verfahrensrechtliche Grundlage für die Verhängung von Sanktionen nach Art. 83 DSGVO wird auf das OWiG verwiesen, das allerdings insbesondere bei den gerichtlichen Zuständigkeiten (Landgericht ab einer Geldbuße von 5.000 EUR) und der – schon heute umstrittenen – Einstellungsbefugnis der Staatsanwaltschaft modifiziert wird (Zustimmungsvorbehalt der Aufsichtsbehörden gem. § 39 Abs. 2 BDSG-neu).

Für die Landesdatenschutzgesetze wie auch die Datenschutzpraxis wichtig sind außerdem der in § 40 Abs. 3 BDSG-neu geregelte Ausschluss der Sanktionstatbestände der DSGVO gegenüber öffentlichen Stellen, soweit diese nicht als Wettbewerbsunternehmen Daten verarbeiten sowie das § 42a Abs. 6 BDSG nachgebildete Verwertungsverbot für meldepflichtige Datenschutzverstöße (§ 40 Abs. 4 BDSG-neu).

 

Umsetzung der RL zum Datenschutz bei Polizei und Justiz:


Der mit 37 Bestimmungen umfangreichste dritte Teil dient ausschließlich der Umsetzung der Polizei-Justiz-Richtlinie (§§ 43 bis 79 BDSG-neu)
.

Diese Sondervorschriften des dritten Teils finden gem. § 43 BDSG-neu Anwendung, wenn personenbezogener Daten durch die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit zuständigen öffentlichen Stellen des Bundes für diese Zwecke verarbeitet werden und keine spezielleren fachrechtlichen Regelungen bestehen.

Unbeschadet dieser Sondervorschrift gilt das BDSG-neu im Übrigen wie schon das geltende BDSG grundsätzlich auch für öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt (§ 1 Abs. 1 BDSG-neu).

 

3. Wann kommt das neue BayDSG?


Aus Anlass einer sog. Anfrage zum Plenum – einer kurzfristigen, schriftlich durch das federführende Ressort als gesonderte Anlage zum Plenarprotokoll zu beantwortenden Informationsbitte eines Landtagsabgeordneten – hat das bayerische Staatsministerium des Innern Ende November kurz, aber erstmals offiziell zum Stand der landesrechtlichen Rechtsanpassung Stellung genommen.

In seiner (bislang noch nicht öffentlich zugänglichen) Stellungnahme erläutert das Innenministerium, dass bereits im Frühjahr 2016 noch vor dem Inkrafttreten der Datenschutz-Grundverordnung eine strukturierte Analyse der landesrechtlichen Anpassungsaufgaben aufgenommen worden sei, um die Übergangsfrist bis zur Anwendung des neuen europäischen Datenschutzrechts ab 25. Mai 2018 effektiv zu nutzen. Im Rahmen einer seit April 2016 eingerichteten Ressortarbeitsgruppe werde derzeit die von den Fachressorts untersuchten bereichsspezifischen Datenschutzregelungen in Gesetzen und Verordnungen abschließend überprüft. Parallel hierzu werde der Entwurf eines der Durchführung der Datenschutz-Grundverordnung und der Umsetzung der Richtlinie zum Datenschutz für Polizei und Justiz zu Zwecken der Strafverfolgung dienenden neuen BayDSG erarbeitet, um im Frühjahr 2017 ein möglichst umfassendes Gesetzgebungsvorhaben einzuleiten, das die Anpassungs- und Umsetzungserfordernisse der EU-Datenschutzreform zusammenfasst.

 

In den bisherigen Analysen zeichne sich ab, dass die Mehrzahl der fachrechtlichen Datenverarbeitungsregelungen auf Grundlage der in der Datenschutz-Grundverordnung vorgesehenen Regelungsspielräume für mitgliedstaatliche Datenschutzgesetzgebung unverändert fortbestehen könne. Da die Konsolidierung dieser Befunde derzeit noch nicht abgeschlossen sei, können, so das Innenministerium, noch keine abschließenden Aussagen darüber getroffen werden, welche Rechtsvorschriften im Einzelnen an die Datenschutz-Grundverordnung angepasst werden müssen.


 

4. Schlussfolgerungen für die Datenschutzpraxis öffentlicher Stellen

Die Nachrichtenlage zur Datenschutzgesetzgebung 18 Monate vor Beginn der Anwendung der DSGVO zeigt deutlich, dass die Datenschutzpraxis nach wie vor gut beraten ist, sich weiterhin auf ihre bereits unmittelbar aus der DSGVO abzuleitenden Anpassungsaufgaben zu konzentrieren, die sich insbesondere aus den Anforderungen des Kapitels IV der EU-Verordnung ergeben und die auch dieser Newsletter bisher in den Mittelpunkt gestellt hat.

Ob die sich jetzt abzeichnenden Details der allgemeinen Datenschutzgesetze Bestand haben und tatsächlich bis 25. Mai 2018 erfolgreich in Kraft gesetzt werden können, ist derzeit insbesondere auf Bundesebene noch nicht sicher absehbar.

Deutlich ist aber, dass die Datenschutzpraxis in weiten Teilen des bereichsspezifischen Datenschutzrechts mit Fragen des Anwendungsvorrangs der DSGVO zu fortbestehendem, noch nicht aufgehobenen oder angepassten nationalen Regelungen konfrontiert werden wird. Angesichts des engen Zeitplans und der zu Recht mit Hochdruck angestrebten Einigung über ein neu gefasstes BDSG dürften die Bundesressorts kaum noch weitreichende fachrechtliche Ergänzungen im Datenschutz-Anpassungs- und Umsetzungsgesetz EU einbringen können. Damit ist bereits jetzt absehbar, dass für außerordentlich praxisrelevante Anpassungsaufgaben im Bundesrecht wie etwa für Sozial- oder Meldedaten nurmehr wenige Monate der neuen Legislaturperiode im 1. Halbjahr 2018 verbleiben werden. Ob diese Aufgaben ähnlich überschaubar bleiben, wie sich dies für das bereichsspezifische Datenschutzrecht in Bayern ankündigt, ist bislang noch nicht bekannt geworden.

Die Abonnenten dieses Newsletters halten wir deshalb weiterhin zeitnah über die weiteren Entwicklungen der Rechtsanpassungsprozesse auf dem Laufenden und unterrichten Sie in unserer nächsten Ausgabe mit Hinweisen zum Verzeichnis nach Art. 30 DSGVO über weitere praktische Aufgabenstellungen der Datenschutz-Grundverordnung.

 

Michael Will

Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Fortsetzungspreis‎ 199,99 €
Loseblattwerk zzgl. Aktualisierungslieferungen
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
HJR_355pxbreit_Beitragsseitenbanner_mitRand2px-min.jpg
Banner_Homeofficeaktion_355px_April2021.jpg
Banner Quizwelt_min.jpg
banner-datenschutz.png
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • Montag - Donnerstag 8-17 Uhr
  • Freitag 8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

 

 

Unsere Themen und Produkte

 

Service

 

Rechtliches

Ihre Vorteile

Folgen Sie uns

Partner der


Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung