Das neue Datenschutzgesetz (DSAnpUG-EU)

Ab dem 25. Mai 2018 gilt in Europa die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG), kurz „DSGVO“), welche das Datenschutzniveau in den EU-Mitgliedsstaaten harmonisieren soll. Die DSGVO löst die Datenschutzrichtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) ab (siehe auch: https://www.suedwest-datenschutz.com/die-eu-datenschutz-grundverordnung-dsgvo; oder unter dem Suchbegriff: DSGVO). Der deutsche Bundestag beschloss am 27. April 2017 auf Grundlage der DSGVO ein Anpassungs- und Umsetzungsgesetz (Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die VO (EU) 2016/679 (DSGVO) und zur Umsetzung der RL (EU) 2016/680 (JI-RL), (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – kurz DSAnpUG-EU).

Die Entwürfe des Gesetzes sind zunächst auf heftige Kritik (insbesondere bei der öffentlichen Sachverständigenanhörung oder durch den Bundesrat) gestoßen. Es wurden Bedenken geäußert, dass Teile des neuen BDSG europarechtswidrig und nicht anzuwenden seien. Dies betraf insbesondere die Begrenzung der Informationspflichten und die Einschränkung der Rechte auf Auskunft und Löschung (weitere Kritik siehe auch: Wedde, CuA 3.2017, 15 f.). Der Bundesrat hat dem Gesetzesentwurf aber letztendlich doch am 12. Mai 2017 zugestimmt, da im letzten Moment Änderungen aus dem Innenausschuss in den Entwurf eingearbeitet wurden, die die geäußerte Kritik entsprechend berücksichtigten (Taeger, BB 20.2017, 1). Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, befürwortet die zügige Anpassung des deutschen Datenschutzrechts an die DSGVO. Der Bundestag habe die Rechte der Betroffenen auf Information, Auskunft und Löschung im Vergleich zum Entwurf der Bundesregierung merklich gestärkt. Allerdings sei die Einschränkung der Kontrollrechte der Datenschutzbehörden weiterhin kritisch zu sehen (Redaktion, MMR-Aktuell 2017, 389117; zur Beschneidung der Kontrollbefugnisse der Datenschutzaufsichtsbehörde: Redaktion, MMR-Aktuell 2017, 389116).

Das Anpassungsgesetz soll das bisherige Bundesdatenschutzgesetz (BDSG) vollständig neu fassen. Europäische Verordnungen gelten eigentlich unmittelbar in den EU-Mitgliedsstaaten und bedürfen keiner Umsetzung durch den nationalen Gesetzgeber, die DSGVO enthält allerdings Regelungsaufträge und insbesondere auch Öffnungsklauseln. Öffnungsklauseln eröffnen den Mitgliedsstaaten einen gewissen Regelungsspielraum, z. B. können sie bestimmte Sachverhalte konkreter regeln. Daraus ergibt sich für den deutschen Gesetzgeber ein Anpassungsbedarf im nationalen Datenschutzrecht. Ferner setzt das Anpassungsgesetz die EU-Richtlinie zur Datenverarbeitung bei Polizei und Justiz (JI-RL) um, weshalb der deutsche Gesetzgeber betont, dass er mit dem neuen BDSG ein reibungsloses Zusammenspiel zwischen der DSGVO und der JI-RL mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherstellen will. Das neue BDSG tritt mit Beginn der Anwendung der DSGVO am 25. Mai 2018 in Kraft und löst damit das alte BDSG ab. Ab diesem Zeitpunkt sind mithin drei Regelungsbereiche für das Datenschutzrecht in Deutschland maßgeblich: die DSGVO, das neue BDSG und das bereichsspezifische Datenschutzrecht (JI-RL). Wie diese Regelungen zusammenspielen richtet sich nach dem jeweiligen Anwendungsbereich. Grundsätzlich kann man aber sagen, dass bereichspezifische Regelungen und die unmittelbar geltenden Regelungen der DSGVO dem neuen BDSG vorgehen. Die DSGVO genießt als Unionsrecht grundsätzlich Anwendungsvorrang vor dem nationalen Recht. Das neue BDSG an sich ist in vier Teile unterteilen (Greve, NVwZ 2017, 737 f.). Der erste Teil widmet sich den gemeinsamen Bestimmungen, der zweite Teil den Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der DSGVO, der dritte Teil den Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der JI-RL und im vierten Teil geht es um besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der DSGVO und der JI-RL fallenden Tätigkeiten.

In naher Zukunft sind weitere Änderungen im bereichsspezifischen Datenschutzrecht (z. B. AO, Melderecht, PAuswG, SGB X etc. ) und in den Landesdatenschutzgesetzen notwendig und werden auch bereits vorbereitet, um eine Anpassung an das neue Datenschutzgesetz und die DSGVO zu erreichen (Greve, NVwZ 2017, 744).

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Anwaltliche Beratung

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.