Die Bundesregierung hat am 1. Februar 2017 den Gesetzentwurf zur Anpassung des Bundesdatenschutz­gesetzes (DSAnpG(E))^[1] beschlossen. Das geplante Gesetz dient unter anderem der Anpassung des Bundesdatenschutz­gesetzes (BDSG) an die Datenschutzgrundverordnung (DSGVO). Dies ist notwendig, da das BDSG zum einen teilweise abweichende Regelungen von zwingenden Vorschriften der DSGVO beinhaltet und zum anderen die DSGVO Öffnungsklauseln für eine fakultative nationale Ausgestaltung seitens der Mitgliedstaaten bereithält.

1          Anpassungsbedarf auf nationaler Ebene

Die DSGVO gilt als Verordnung unmittelbar in den einzelnen Mitgliedstaaten, so dass eine Umsetzung in nationales Recht (im Gegensatz zu Richtlinien) nicht erforderlich ist. Doch trotz allem ist eine Anpassung auf nationaler Ebene erforderlich, da die DSGVO zum einen Öffnungsklauseln für die nationale Ausgestaltung – von denen Gebrauch gemacht werden kann – und zum anderen konkrete an den nationalen Gesetzgeber adressierte Ausgestaltungen von Regelungen vorsieht.^[2] Daher beabsichtigt der Gesetzentwurf unter anderem die Neufassung des BDSG.

2          Relevante Anpassungen des BDSG an die DSGVO

Im Folgenden erhalten Sie einen Überblick über die wesentlichsten Punkte der derzeit geplanten nationalen Ausgestaltung der Öffnungsklauseln der DSGVO. Dabei ist zu beachten, dass einige der Regelungen keine gravierenden Ergänzungen, sondern vielmehr eine Konkretisierung der euro­päischen Vorschriften beinhalten.

2.1         Ernennung eines Datenschutzbeauftragten, § 38 DSAnpG(E)

§ 38 DSAnpG(E) bleibt der bisherigen Regelung des BDSG treu, indem er festlegt, dass ergänzend zu der DSGVO ein Datenschutzbeauftragter zu benennen ist, wenn wenigstens zehn Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind. Zudem wird gefordert, dass grundsätzlich und unabhängig von der Beschäftigtenanzahl ein Daten­schutzbeauftragter zu benennen ist, sofern eine Datenverarbeitung vorliegt, die eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO bedarf (wesentliche Voraussetzung ist, dass unter Verwendung neuer Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht) oder wenn die Verarbeitung von personenbezogenen Daten geschäftsmäßig zur (auch anonymisierten) Übermittlung oder für Markt- oder Meinungsforschung vorgenommen wird.

2.2         Verarbeitung zu anderen Zwecken, § 49 DSAnpG(E)

Werden personenbezogene Daten zu einem anderen Zweck verarbeitet, als zu demjenigen, zu dem sie erhoben wurden, ist die Verarbeitung unter bestimmten Voraussetzungen trotz allem zulässig. Voraussetzungen dafür sind, dass es sich bei dem Zweck der Verarbeitung um einen der Zwecke aus § 45 DSAnpG(E) (Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten) handelt, der Verantwortliche zu der Verarbeitung der Daten zu diesem Zweck befugt ist und die Verarbeitung auch zu diesem Zweck erfolgt und darüber hinaus verhältnismäßig ist. Zudem ist die Zulässigkeit aufgrund einer Rechtsvorschrift weiterhin vorgesehen. Schlussendlich hat der Zweckbindungsgrundsatz damit keine maßgebliche Erweiterung im Vergleich zu den bisher geltenden Vorgaben erfahren.

2.3         Durchführung einer Datenschutz-Folgenabschätzung, § 67 DSAnpG(E)

Die Durchführung einer Datenschutz-Folgenabschätzung wird durch das DSAnpG(E) insoweit ergänzt, dass der Datenschutzbeauftragte im Unternehmen zwingend hinzuzuziehen ist. Entsprechend der DSGVO ist der Datenschutzbeauftrage in alle mit dem Schutz von personenbezogenen Daten zusammen­hängenden Fragen einzubeziehen, Art. 38 Abs. 1 DSGVO. Im Rahmen der Datenschutz-Folgenabschätzung sieht die DSGVO jedoch nur auf Anfrage die Beratung und die Überwachung durch den Datenschutzbeauftragten vor, Art. 39 Abs. 1 lit. c DSGVO.

2.4         Verzeichnis von Verarbeitungstätigkeiten, § 70 DSAnpG(E)

Mit § 70 DSAnpG(E) werden die Angaben, die ein Verzeichnis von Verarbeitungstätigkeiten wenigstens zu beinhalten hat, in einem abschließenden Katalog aufgelistet sowie konkretisiert und damit gegenüber Art. 30 DSGVO erweitert. Die Angaben betreffen unter anderem Informationen über den Verantwortlichen, über Dritte, an die die Daten weitergegeben werden sowie Angaben über die Löschung und die Erforderlichkeit der Speicherung der Daten. Vergleichbare Angaben hat ebenfalls der Auftragsverarbeiter in einem von ihm zu führenden Verzeichnis über die Verarbeitung aufzunehmen.

3          Fazit

Es scheint, als ob die Nutzung der Öffnungsklauseln durch eine nationale Ausgestaltung keine allzu großen Überraschungen bereithält. Dies ist vor dem Hintergrund, dass viele Regelungsbereiche der DSGVO an die des BDSG angelehnt sind, nicht sehr verwunderlich. Es ist aber zu beachten, dass das betrachtete DSAnpG(E) bisher bloß als Gesetzentwurf vorliegt und bis zu seiner Verabschiedung weitere Änderungen und Ergänzungen möglich sind. Die weitere Entwicklung sollte in Anbetracht der unmittelbaren Geltung der DSGVO ab dem 25. Mai 2018 im Auge behalten werden.

Autorin: Kathrin Nitsche | März 2017

___________________________________________________________________

Quellen:

[1] Gesetzesentwurf der Bundesregierung: Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680. Internetquelle: http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/entwurf-datenschutz-grundverordnung.pdf?__blob=publicationFile (abgerufen am 01.02.2017).

[2] Pressemitteilung des BMI, Neukonzeption des Bundesdatenschutzgesetzes, 01.02.2017. Internetquelle: http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2017/02/datenschutz-grundverordnung.html (abgerufen am 01.02.2017).