6
Sep
2018
Reichstag

Änderungen im Datenschutzrecht: Regierungsentwurf für ein 2. DSAnpUG-EU liegt vor

Die Bundesregierung hat am 5. September 2018 einen Gesetzesentwurf für ein “Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680″ (Zweites Datenschutz-Anpassungsgesetz) beschlossen. Das vorgeschlagene Gesetz soll später die schöne Abkürzung “2. DSAnpUG-EU” tragen. Schon im vergangenen Jahr hatte der Gesetzgeber das erste Datenschutz-Anpassungsgesetz verabschiedet. Unter anderem umfasste es eine komplette Neufassung des Bundesdatenschutzgesetzes (BDSG). Nun soll das zweite Datenschutz-Anpassungsgesetz auch weitere Gesetze an die Vorgaben der EU-Datenschutz-Grundverordnung (DS-GVO) anpassen. Den 553 Seiten starken aktuellen Gesetzentwurf nebst Begründung können Sie hier abrufen.

Inhalt und Ziel des Entwurfs

Das zweite Datenschutz-Anpassungsgesetz soll in erster Linie bereichsspezifische Datenschutzregeln in Fachgesetzen an die verbindlichen Vorgaben der DS-GVO anpassen. Dazu sieht der Gesetzentwurf Änderungen an insgesamt 154 Bundesgesetzen vor. Darunter fallen beispielsweise die Vorgaben zum Sozialdatenschutz, das Bundeszentralregistergesetz, aber auch so exotische Gesetze wie das Rindfleischetikettierungs- oder das Agrarstatistikgesetz.

Der Gesetzentwurf soll einerseits die bereichsspezifischen gesetzlichen Regelungen zum Datenschutz redaktionell an die DS-GVO anpassen. Dies geschieht etwa durch Anpassung von Begriffsbestimmungen und Verweisungen. Zudem will die Bundesregierung neue Rechtsgrundlagen für die Datenverarbeitung schaffen. Dies betrifft z.B. einen neuen § 3a BSI-Gesetz. Ferner soll der Gesetzentwurf auch allgemeine Vorgaben der DS-GVO auf Bundesebene umsetzen, etwa Betroffenenrechte, Regelungen zur Auftragsdatenverarbeitung und zu technischen und organisatorischen Maßnahmen.

Änderungen am BDSG

Der Gesetzentwurf sieht auch formelle und inhaltliche Änderungen und Ergänzungen am seit dem 25. Mai 2018 geltenden BDSG vor. Der Text des BDSG soll zum einen redaktionell an die Vorgaben der DS-GVO angepasst werden. Zudem soll eine spezielle Regelung zu Datenverarbeitungen im Rahmen der Verleihung öffentlicher Auszeichnungen eingeführt werden. Daneben sieht der Gesetzesentwurf auch zwei inhaltliche Änderungen am im letzten Jahr verabschiedeten BDSG vor.

Änderungen für Anbieter von Telekommunikationsdiensten

Der derzeit geltende § 9 BDSG soll neu gefasst werden. Danach sollen zukünftig Unternehmen, die gewerbliche Telekommunikationsdienstleistungen erbringen, einheitlich der Aufsicht durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI) unterstellt werden. Dies gilt auch dann, wenn sich eine Zuständigkeit nicht schon aus § 115 Telekommunikationsgesetz (TKG) ergibt.

Nach Ansicht der Bundesregierung soll das TKG künftig nur noch Regelungen zur Datenverarbeitung in Umsetzung der ePrivacy-Richtlinie (RL 2002/58/EG) enthalten. Bereiche, die durch die DS-GVO unmittelbar geregelt werden, sollen hingegen aus dem TKG gestrichen werden. Der Gesetzentwurf lässt jedoch offen, um welche Regelungen es sich hierbei konkret handeln soll. Daher bleibt auch weiterhin recht unklar, in welchem Umfang das TKG neben der DS-GVO noch Anwendung findet. Dabei hatte der Referentenentwurf zum 2. DSAnpUG-EU noch eine umfangreiche Anpassung und Neuregelung des TKG vorgesehen. Dadurch sollte insbesondere das Verhältnis zwischen TKG und DSGVO rechtssicher geregelt werden. Warum die Bundesregierung diese Vorschläge nicht in ihren Gesetzentwurf übernommen hat, bleibt unklar.

Ebenso enthält der Entwurf des 2. DSAnpUG-EU keine spezifischen Regelungen zur Anpassung des Telemediengesetzes (TMG) an die und zur Abgrenzung des Anwendungsbereichs von der DS-GVO bis zum Inkrafttreten einer ePrivacy-Verordnung. Das TMG ist besonders praxisrelevant gerade für den Einsatz von Cookies und Nutzertracking auf Webseiten zu Werbezwecken. Die Bundesregierung hat damit eine Chance verpasst, für mehr Rechtssicherheit zu sorgen.

Neuer Erlaubnistatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten

Der Gesetzentwurf sieht vor, dass in § 22 BDSG ein weiterer Erlaubnistatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten (i.S.v. Art. 9 Abs. 1 DS-GVO) eingeführt wird.

Zukünftig sollen auch nicht-öffentliche Stellen besondere Kategorien personenbezogener Daten verarbeiten dürfen, wenn dies “aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist.” Die Bundesregierung stützt sich insofern auf die in Art. 9 Abs. 2 lit. g DS-GVO vorgesehene Öffnungsklausel.

Ein derartiges öffentliches Interesse soll nach Auffassung der Bundesregierung zum einen dann vorliegen, wenn “zivilgesellschaftliche Träger” für Präventions- und Deradikalisierungsprogramme Religionsdaten verarbeiten, um Präventionsarbeit im Hinblick auf religiösen Extremismus zu leisten. Als weitere Beispiele für ein erhebliches öffentliches Interesse nennt die Bundesregierung die Pandemie-Bekämpfung oder den Katastrophenschutz.

Nicht-öffentliche Stellen, die besondere Kategorien personenbezogener Daten “im Rahmen eigener gewerblicher Geschäftsmodelle verarbeiten” sollen nach Ansicht der Bundesregierung nicht auf diesen Erlaubnistatbestand zurückgreifen können. Es ist daher zu erwarten, dass sich die Neuregelung von § 22 BDSG für Unternehmen in der Praxis kaum auswirken wird.

Gang der Gesetzgebung und Zeitpunkt der Geltung der neuen Regelungen

Das 2. DSAnpUG-EU liegt bislang nur als Regierungsentwurf vor. Es lässt sich daher nicht ausschließen, dass der vorliegende Entwurf im weiteren Gesetzgebungsverfahren teilweise noch Änderungen erfahren wird. Denn zum einen muss der Gesetzentwurf noch drei Lesungen im Deutschen Bundestag durchlaufen. Zum anderen handelt es sich um ein zustimmungspflichtiges Gesetz, so dass auch der Bundesrat seine Zustimmung zum endgültigen Gesetz erteilen muss. Aufgrund der divergierenden Mehrheitsverhältnisse im Bundesrat sind Änderungen am Gesetzestext daher nicht ausgeschlossen.

Die Regelungen des 2. DSAnpUG-EU sollen gemäß Artikel 155 überwiegend am Tag nach der Verkündung in Kraft treten. Dieser Zeitpunkt steht noch nicht fest. Vereinzelte Regelungen sollen hiervon abweichend am 1. Januar 2019 (z.B. einzelne Änderungen am Finanzverwaltungsgesetz) bzw. am 1. Januar 2020 (einzelne Änderungen an der Abgabenordnung) in Kraft treten.

Auswirkungen für Unternehmen

Unternehmen, die sektorenspezifischen Datenschutzregeln unterliegen, sollten möglichst zeitnah prüfen, ob sich durch das 2. DSAnpUG-EU Änderungen für ihre Datenschutzpraxis ergeben.

Im Hinblick auf die materiellen Vorgaben des BDSG bleibt die Rechtslage für datenverarbeitende Unternehmen hingegen weitgehend unverändert. So stellt die Bundesregierung in ihrem Gesetzentwurf ausdrücklich klar, dass durch das 2. DSAnpUG-EU keine Informationspflichten neu begründet geändert oder aufgehoben werden.

 

Verfasst von Isabelle Brams, Dr. Wolf-Tassilo Böhm und Tim Wybitul (sind aus der Sozietät ausgeschieden)