bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitung

Nach der DSGVO nimmt das neue BDSG Form an

/von

Für kurze Zeit hieß es “allgemeines Bundesdatenschutzgesetz” (ABDSG): Das Nachfolgegesetz des heutigen Bundesdatenschutzgesetzes (BDSG). Der aktuelle Entwurf heißt nun wieder BDSG, derzeit noch mit dem Zusatz “neu”. Eingebettet in den Referentenentwurf des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) liegt es uns vor und wir haben uns in den letzten Tagen damit beschäftigt.

Einige Fragen werden beantwortet

Im Rahmen unserer Teilnahme an der Datenschutzfachtagung (DAFTA) im November in Köln durften wir u. a. einem Vortrag des Referenten des Bundesministeriums des Inneren, Herrn Jörg Eickelpasch, beiwohnen, welcher federführend mit der Erarbeitung des Entwurfs betraut ist. Allgemein kann gesagt werden, dass der Entwurf in der vorliegenden Form viele Unklarheiten und offene Fragen beseitigt. Des Weiteren werden auch einige Sorgen bezüglich eventuell anstehender gravierender Änderungen in den Bereichen, in denen die DSGVO nationale Regelungen vorsieht, aus der Welt geräumt. Auch umfangreiche Regelungen für den öffentlichen Bereich wurden geschaffen.

Beschäftigtendatenschutz und Bestellpflicht bleiben

Zwei große Bereiche bleiben im Vergleich zu den aktuellen Regelungen nahezu unverändert: Im Bereich des Beschäftigtendatenschutzes (ehem. § 32 BDSG) wird es keine nennenswerten Änderungen geben. Künftig wird sich diese Regelung voraussichtlich in § 24 BDSG-neu finden. Ebenso bleiben die Regelungen zu den Kriterien der Bestellpflicht für Datenschutzbeauftragte im nicht-öffentlichen Bereich sehr ähnlich zu denen, die wir vom bisherigen BDSG kennen. Weggefallen ist offenbar die Unterscheidung zwischen automatisierter und nicht-automatisierter Verarbeitung. Im BDSG-neu findet sich nur noch die Bezeichnung “Verarbeitung”. Es gilt also zukünftig voraussichtlich immer die Grenze von 10 Personen, auch für nicht-automatisierte Verarbeitungen. In unseren Augen handelt es sich hierbei allerdings eher um eine Vereinfachung der Regelungen als um eine wirklich strengere Regelung.

Datenschutz-Folgenabschätzung = Bestellpflicht

Interessant ist die Erweiterung der Bestellpflicht um das Kriterium der Durchführung von Verarbeitungen, die einer Datenschutz-Folgenbbschätzung (Art. 35 DSGVO) unterliegen. Hier könnte noch etwas Zündstoff liegen, sieht doch Art. 35 Abs. 3 lit. b DSGVO vor, dass eine Datenschutz-Folgenabschätzung immer bei umfangreichen Verarbeitungen besonderer Kategorien personenbezogener Daten verpflichtend ist. In diesem Zusammenhang stellt sich beispielsweise die Frage, in wiefern zukünftig auch Ärzte, welche kleinere Praxen (weniger als 10 Personen) betreiben, zur Bestellung von Datenschutzbeauftragten verpflichtet sein könnten.

Die Schweigepflicht bleibt

Wichtig ist auch, dass die Schweigepflicht des Datenschutzbeauftragten beibehalten werden soll. Schließlich ist sie nicht nur eine Pflicht, sondern auch ein “Schweigerecht”. Gleiches gilt für den Kündigungsschutz. Nur so kann die Unabhängigkeit der Datenschutzbeauftragten gewährleistet werden.

Wann wird das BDSG-neu verabschiedet?

Insgesamt bewegt sich das BDSG-neu in eine Richtung, die auch in den Verbänden wohlwollend aufgenommen wird. Sicher gibt es noch Kritikpunkte und Anpassungswünsche. Der vorliegende Entwurf wirkt aber in sich deutlich konsistenter und kompakter als die erste Version.

Sorgen macht uns jetzt nur noch der indirekt von Herrn Eickelpasch avisierte Termin für die Verabschiedung. Dieser könnte nach seiner Aussage im Rahmen der DAFTA in der zweiten Jahreshälfte 2017 liegen. Das wäre aus unserer Sicht deutlich zu spät für die Umsetzung in den Unternehmen. Diese hat bis zum 25.05.2018 zu erfolgen.

Sind Sie unsicher, ob Sie für die DSGVO gerüstet sind? Sprechen Sie uns an, wir finden es gemeinsam mit Ihnen heraus.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersSerie zu den neuen Standardvertragsklauseln – Daten-übermittlung vom Verantwortlichen an Auftragsverarbeiter (C2P)
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertMeldepflichten bei Datenpannen unter der DSGVO
anonymisierungAbfrage des Geburtsdatums bei Online-Bestellungen – ein Problem?
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoDaten von Besuchern in Unternehmen | Datenschutz nach DSGVO
auftragsverarbeitung vertrag informationspflichten ausnahmenAuftragsverarbeitungsvertrag durch Nichthandeln und ohne Unterschrift?
bußgeld ermittlungen staatsanwaltschaft herausgabeAuskunftsanfragen von Polizei und anderen Behörden