bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitung

Weiterhin Unsicherheit bezüglich BDSG-neu

/von

[Update 28.04.2017]

Gestern wurde das DSAnpUG-EU im Bundestag verabschiedet. Mehr dazu hier.

[Ende Update]

Das Bundeskabinett beschloss am 01.02.2017 den Entwurf des Datenschutzanpassungs- und -umsetzungsgesetzes EU (DSAnpUG-EU). Hierzu hatten wir in der Vergangenheit bereits berichtet. Der ursprüngliche Zeitplan sah grob wie folgt aus:

  • 09.03.2017: Erste Lesung im Bundestag
  • 10.03.2017: Erste Beratung im Bundesrat
  • 26.04.2017: Abschließende Behandlung im Innenausschuss
  • 27.04. 2017: Zweite und dritte Lesung im Bundestag und damit der Gesetzesbeschluss
  • 12.05.2017: Zweite Beratung im Bundesrat
  • ab dem 12.05.2017: Ratifikation durch den Bundespräsidenten und Verkündung im Bundesgesetzblatt

Nehmen wir eine Abkürzung?

Zwischendurch gab es eine Ankündigung der Bundesregierung, den Gesetzesentwurf bis Ende März in zweiter und dritter Lesung im Bundestag behandeln und damit bis Ende März  beschließen zu wollen. Allerdings war die Kritik am Gesetzesentwurf bei der Lesung im Bundesrat am 10. März so umfangreich (s. BR-Drucksache 110/17(B)), dass diese Ankündigung nicht in die Tat umgesetzt wurde. Aller Voraussicht nach wird es nun beim ursprünglichen Zeitplan bleiben.

Inhaltliche Kritik und Änderungswünsche

Auch wenn anzunehmen ist, dass ab ca. Mitte Mai 2017 ein verabschiedetes BDSG-neu zur Verfügung steht, ist der aktuelle Stand des Verfahrens der fristgerechten Umsetzung durch die Verantwortlichen nicht gerade zuträglich. Wir haben uns ein wenig mit den Änderungswünschen des Bundesrats beschäftigt. Diese umfassen in einigen Teilen Begriffskonkretisierungen und Klarstellungen, in weiten Teilen sind werden allerdings auch umfangreiche Anpassungen gefordert, welche u. a. die Bereiche Beschäftigtendatenschutz, Auskunfteien und Scoring, Videoüberwachung sowie die Informationspflichten betreffen. Bei allen diesen Themen handelt es sich um Bereiche, welche nahezu jeden Verantwortlichen betreffen.

Die EU-Kommission hat sich eingeschaltet

Abgesehen vom Zeitplan und dem sich weiterhin ändernden Inhalt des Gesetzesentwurfs gibt es einen weiteren Sachverhalt, der uns Sorgen bereitet:

So hat die EU-Kommission sich zum Gesetzgebungsprozess zu Wort gemeldet und drängt auf Anpassungen. Der Vorwurf lautet, dass die Bundesregierung im BDSG-neu (bzw. im Entwurf des DSAnpUG-EU) Öffnungsklauseln nutzt, welche in der DS-GVO gar nicht vorgesehen seien. Konkret geht es wohl um § 23 des Entwurfs. Dort wird die Zweckerweiterung für öffentliche Stellen geregelt. Man möchte öffentlichen Stellen die Nutzung personenbezogener Daten auch für andere Zwecke als denjenigen zu dem sie ursprünglich erhoben wurden erlauben, wenn

  1. offensichtlich ist, dass sie im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass sie in Kenntnis des anderen Zwecks ihre Einwilligung verweigern würde,
  2. Angaben der betroffenen Person überprüft werden müssen, weil tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen,
  3. die Daten allgemein zugänglich sind oder der Verantwortliche sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung offensichtlich überwiegt,
  4. sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, die Landesverteidigung oder die nationale Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist,
  5. sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
  6. sie zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist oder
  7. sie für die Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen des Verantwortlichen dient; dies gilt auch für die Verarbeitung zu Ausbildungs- und Prüfungszwecken durch den Verantwortlichen, soweit schutzwürdige Interessen der betroffenen Person dem nicht entgegenstehen.

Weitgehende Befugnisse für Behörden

Diese Regelungen stellen den deutsche Behörden praktisch einen Freibrief für Zweckerweiterungen aus, die Daten dürften damit auch nahezu beliebig zwischen Behörden ausgetauscht werden. Die EU-Kommission sieht darin eine unzulässige und der DS-GVO widersprechende Regelung und hat bereits mit einem Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland gedroht.

Als kurze Anekdote am Rande sei noch erwähnt, dass die einzige Anmerkung, die der Bundesrat zu diesem Paragraphen hatte, war, ob Nr. 7 der Aufzählung nicht besser in einem eigenen Absatz geregelt werden sollte.

Und jetzt?

Insgesamt haben wir also auch weiterhin keinen stabilen Stand des Gesetzentwurfs zum BDSG-neu. Wir können nur hoffen, dass alle notwendigen Anpassungen am Entwurf kurzfristig umgesetzt werden und der offizielle Zeitplan eingehalten wird.

Wenn das Gesetz verabschiedet wurde, sollte dann schnellstens damit begonnen werden, die nationalen Regelungen “neben die DS-GVO zu legen” und die ab 25.05.2018 für uns alle geltenden Regelungen vorzubereiten und umzusetzen. Wir unterstützen Sie gerne dabei.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
clubhouseClubhouse auf geschäftlich genutzten Smartphones
widerruf einwilligung double opt in verzicht auf datenschutz consentmanagerSerie Betroffenenrechte: Das Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO
datenpanne meldepflicht passwörter bsi tom fidoDer richtige Umgang mit Datenpannen – Meldepflicht oder nicht?
sicherheit der verarbeitung aufsichtsbehörden datenschutz-folgenabschätzung dsfa office365 widerspruchsrecht 21Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoErhebung personenbezogener Daten
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukPrivacy Shield: Erste Unternehmen zertifiziert