Neue Anpassungen für den Datenschutz - das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz

Seit Wirksamkeit der DSGVO mussten viele sich mit den Änderungen befassen, die diese mit sich brachte. Auch Arbeitsabläufe in Kanzleien und Paperwork mussten – ob erwünscht oder nicht- an die DSGVO angepasst werden. Als EU-Verordnung gilt die DSGVO in allen Mitgliedstaaten unmittelbar und geht dem nationalen Recht vor. Um dabei Friktionen zu vermeiden, müssen aber auch die nationalen Gesetzgeber in den Mitgliedstaaten ihr Recht anpassen. In Deutschland ist dies bei der Einführung der DSGVO nur teilweise geschehen, weshalb nun das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) bevorsteht.

Überblick

 Nachdem das Gesetz nicht wie geplant zum Jahresende in Kraft treten konnte, liegen nun der Regierungsentwurf und eine Stellungnahme des Bundesrates vor. Dies lässt darauf schließen, dass mit der Verabschiedung in nächster Zeit zu rechnen ist.

Von den Änderungen betroffen ist fast jeder beratende Kollege, da die Änderungen beinahe alle Bereiche des Verwaltungsrechts erneuern. Denn durch das Gesetz werden insgesamt über 150 Bundesgesetze an die DSGVO angepasst. Die Betroffenen Gesetze reichen dabei vom Abfallverbringungsgesetz über das Gentechnik- und Hilfetelefongesetz bis zum Zivildienstgesetz. Es ist also ein sehr weit gefächertes Mammutgesetz, bei dem die entsprechenden Regelungen zum Datenschutz in den jeweiligen Gesetzen angepasst werden. Auch das gerade erst erneuerte BDSG ist betroffen.

Durch das breite Spektrum an betroffenen Gesetzen ist dieses nicht nur für Datenschutzspezialisten relevant. Unter jenen sorgte der Entwurf auch eher für Enttäuschung; viele erhoffte Änderungen sind vom Entwurf nicht erfasst.

Änderungen des Bundesdatenschutzgesetzes

 Änderungen des BDSG sind im Wesentlichen rein redaktionelle Neuerungen. Besonders hervorzuheben sind aber:

  • § 9 BDSG: Dieser Regelt die Zuständigkeit des Bundesdatenschutzbeauftragten neu. Dies hat vor allem abgrenzende Funktion zum TKG. Telekommunikationsunternehmen sollen grundsätzlich dem BfDI unterstellt werden. Die dafür notwendigen Anpassungen sollen in einem gesonderten Gesetz vorgenommen werden.
  • § 22 BDSG: Ein neuer Erlaubnistatbestand für die Verarbeitung personenbezogener Daten für nicht-öffentliche Stellen bei der Verarbeitung besonderer Kategorien von Daten wird geschaffen. So sollen z.B. Politische Meinungen, Religions- oder Gewerkschaftszugehörigkeit sowie Gesundheitsdaten in Zukunft auch durch Privatunternehmen verarbeitet werden dürfen, wenn zwingende und erhebliche öffentliche Interessen dies erfordern. Nur in engen Ausnahmefällen erlaubt der Art. 9 DSGVO eine Verarbeitung besonders geschützter Daten ohne das Vorliegen einer Einwilligung. Zum Beispiel bei der Pandemiebekämpfung greift dann die neue Ausnahme. Bei weiter Auslegung ist auch die Verarbeitung durch Journalisten, NGOs und private Forschungseinrichtungen denkbar, in welchem Umfang von der neuen Vorschrift gebraucht gemacht wird, bleibt aber abzuwarten.
  • § 86 BDSG: Für die Zwecke staatlicher Ehrungen und Auszeichnungen dürfen nun öffentliche und nicht-öffentliche Stellen personenbezogene Daten verarbeiten, soweit dies erforderlich ist. Diese Vorschrift weist auch auf die allgemeinen Probleme in der Praxis hin, einen Umgang mit der weitgehend ausnahmslos geltenden Pflicht zur Information von Betroffenen. Nur ein minimaler Ausschnitt des Datenschutzes wird durch staatliche Ehrungen ausgefüllt, in denen eine vollumfängliche Information des Betroffenen nicht sinnvoll ist.

Änderungen an anderen Bundesgesetzen

In 153 weiteren Bundesgesetzen nimmt das 2. DSAnpUG-EU Änderungen vor. Darunter auch Gesetze, an die man vielleicht nicht sofort beim Thema DSGVO denkt wie das Rindfleischetikettierungsgesetz, das Zweite Dopingopfer-Hilfegesetz oder das Strahlenschutzgesetz. In allen betroffenen Gesetzen werden die jeweiligen Vorgaben zum Datenschutz einzeln an die der DSGVO angepasst. Dies geschieht insbesondere durch

  • Begriffsanpassungen an die Terminologie der DSGVO;
  • Schaffung (bereichsspezifischer) Rechtsgrundlagen für die Datenverarbeitung;
  • Neue oder angepasste Regelungen zu den Betroffenenrechten;
  • Anpassungen zu technischen und organisatorischen Maßnahmen;
  • Anpassungen bei der Datenübermittlung im Auftrag oder zur Datenübermittlung an Drittländer
  • Schadensersatz- und Geldbuße Regelungen.

Offene Punkte und weitergehender Regelungsbedarf

Dennoch sind Datenschutzexperten vom Entwurf enttäuscht. Viele Konfliktfelder, die der Praxis seit Mai 2018 entstanden sind, bleiben ungeregelt:

  • Das Verhältnis der §§ 22, 23 KUG zu Art. 6 DSGVO wird nicht geregelt. Unklar bleibt somit weiterhin, inwieweit das KUG neben der DSGVO anwendbar bleibt, sodass die Praxis sich auch in Zukunft nach beidem richten und das KUG neben der DSGVO – unter sehr weiter Auslegung des Art. 6 I 1 lit. f DSGVO- anwenden wird. Als Beispiel kann eine taugliche Einwilligung nach KUG, etwa ein durch Teilnahme an einer Veranstaltung erklärtes Einverständnis mit der Fertigung und Veröffentlichung von Bildaufnahmen, mit einer datenschutzrechtlichen Rechtfertigung mit berechtigten Interessen des Unternehmens, etwa des Event-Veranstalters, zusammentreffen.
  • Das Verhältnis des TMG zur DSGVO wird nicht geregelt. Die §§ 11 ff. TMG werden nicht überarbeitet, auch wenn dies insbesondere angesichts des Art. 95 DSGVO zu Unsicherheiten geführt hat. Dies könnte seinen Grund darin haben, dass der Gesetzgeber zuerst den Ausgang einer neuen ePrivacy-Verordnung abwarten wollte. Ein nicht unerheblicher Zeitverzug bei ePrivacy lässt an diesem Abwarten des Gesetzgebers aber Zweifel aufkommen.
  • Auch, in welchem Verhältnis das UWG zur DSGVO steht bleibt weiterhin ungeklärt. Beispielhaft ist hier die Frage zu nennen, ob Datenschutzverstöße abmahnfähig sind. Zudem ist ungeklärt, ob Direktmarketingmaßnahmen, die mangels Einwilligung des Betroffenen gegen § 7 UWG verstoßen, automatisch einen Verstoß gegen die DSGVO hervorrufen.
  • Die Regelungen zum Betrieblichen Datenschutzbeauftragten bleiben ebenfalls unberührt. Zwar war in den Vorberatungen eine Anpassung zu § 38 Abs. 1 S. 1 BDSG diskutiert worden, diese hat es aber nicht in den Entwurf geschafft, sodass ein Datenschutzbeauftragter weiterhin immer dann zu bestellen ist, wenn der Verantwortliche mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Eine Erleichterung für kleine und mittlere Unternehmen bleibt also auch nach dem neuen Gesetzesentwurf Wunschdenken.
  • Keine Regelung enthält der Entwurf zudem zur Meinungsfreiheit und deren Verhältnis zur DSGVO. Gemäß Art. 85 Abs. 1 DSGVO sollen die Mitgliedstaaten ihr Datenschutzrecht mit dem Recht auf freie Meinungsäußerung in Einklang bringen. Dies hat der deutsche Gesetzgeber bisher versäumt und wird deshalb kritisiert. Eine Anpassung wäre nötig, um auch neben einer journalistischen Tätigkeit einen Ausgleich zu Gunsten der Kommunikationsfreiheit zu kodifizieren.
Fazit

Das Gesetz ändert eine große Vielzahl an noch geltenden Bestimmungen. Zwar werden viele praktischen Probleme nicht gelöst, sodass auf ein baldiges 3. DSAnpUG-EU zu hoffen bleibt, allerdings lohnt sich für den Berater dennoch ein Blick auf alle Änderungen, um einen Mandanten auf potentiell notwendige Anpassungen hinweisen zu können.

 

Lesen Sie auch den Beitrag "Nach einem Jahr DSGVO: ANpassungen für den Datenschutz" zum geplanten Gesetz von Dr. Martin Schirmbacher im Anwaltsblatt

21 March 2019

node/1181