Gesetzentwurf für Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU, Änderungen des BDSG

©Africa Studio/shutterstock.com

Aufgrund der neuen Datenschutzgrundverordnung (DSGVO), die am 25.05.2018 in Kraft getreten ist, müssen nationale Gesetze angepasst werden. Das ist der Zweck bzw. die Grundlage des sogenannten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnpUG-EU). Nun gibt es einen Gesetzesentwurf für das 2. DSAnpUG-EU.

Das deutsche Bundesdatenschutzgesetz (BDSG) regelt zusammen mit den Datenschutzgesetzen der Länder und anderen bereichsspezifischen Regelungen den Umgang mit personenbezogenen Daten, die in Informations- und Kommunikationssystemen oder manuell verarbeitet werden.

Zum Inhalt und Ziel des Gesetzesentwurfs zählt es insgesamt 154 Bundesgesetze zu ändern. Durch den Entwurf zum 2. DSAnpUG-EU soll das in 2017 entworfene 1. DSAnpUG-EU nachgebessert werden, um die grund- und europarechtlichen Vorgaben umzusetzen.

Die Gesetzesbegründung zur Änderung des Datenschutz-Anpassungs- und Umsetzungsgesetzes lautet wie folgt: Anpassung von Begriffsbestimmungen und Verweisungen, Anpassung (bzw. vereinzelt Schaffung) von Rechtsgrundlagen für die Datenverarbeitung, Regelungen zu den Betroffenenrechten, Anpassungen aufgrund unmittelbar geltender Vorgaben der DSGVO zu technischen und organisatorischen Maßnahmen, zur Auftragsverarbeitung, zur Datenübermittlung an Drittländer oder an internationale Organisationen sowie zu Schadenersatz und Geldbußen.

Zwei ausgewählte Beispiele kurz dargestellt:

  • Änderungen für Anbieter geschäftsmäßiger Telekommunikationsdienstleistung

§ 9 BDSG soll komplett neu gefasst werden. Durch die Neufassung sollen zukünftig alle Unternehmen, die geschäftsmäßig Telekommunikationsdienstleistungen erbringen, einheitlich der oder dem Bundesbeauftragten für den Datenschutz (BfDI) zur Aufsicht unterstellt werden.

Die Bundesregierung ist weiterhin der Ansicht, dass das Telekommunikationsgesetz (TKG) künftig nur noch Regelungen zur Datenverarbeitung in Umsetzung der ePrivacy-Richtlinie enthalten soll ((RL 2002/58/EG) die ePrivacy-Richtlinie ist eine 2002 erlassene Richtlinie der EU, die Mindestvorgaben im Bereich des Datenschutzes vorgibt). Werden Bereiche direkt durch die DSGVO geregelt, sollen diese nun aus dem TKG herausgenommen werden. Es bleibt allerdings noch unklar, in welchem Umfang das TKG neben der DSGVO zur Anwendung kommt.

Erwähnenswert ist auch, dass der Entwurf des 2. DSAnpUG-EU keine spezifischen Regelungen zur Anpassung des Telemediengesetzes (TMG) bezüglich des Anwendungsbereichs der DSGVO enthält. Wichtig ist das Ganze dennoch, da das TMG besonders für den Einsatz von Cookies und Nutzertracking auf Webseiten zu Werbezwecken praxisrelevant ist. Hier hätte durch die Bundesregierung und deren Anpassung des TMG an die DSGVO mehr Rechtssicherheit generiert werden können.

  • Neuer Erlaubnistatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten durch nichtöffentliche Stellen

In § 22 BDSG soll außerdem ein weiterer Erlaubnistatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten (d.h. Daten rassischer und ethnischer Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) durch nicht öffentliche Stellen eingeführt werden. Die Verarbeitung besondere Kategorien personenbezogener Daten ist gemäß Art. 9 Abs. 1 DSGVO bisweilen untersagt, soweit nicht ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO oder in den Fällen des Art. 9 Abs. 2 Buchst. b, g, h und i DSGVO eine durch nationale Regelungen ausgestaltete Ausnahmeregelung besteht.

Durch die Änderungen am § 22 BDSG aufgrund des 2. DSAnpUG-EU sollen auch nicht öffentliche Stellen nun solche Daten verarbeiten dürfen. Die Daten dürfen aber nur dann verarbeitet werden, sofern ein zwingendes öffentliches Interesse gegeben ist. Eine besondere Interessensabwägung gemäß § 22 Abs. 1 d BDSG-Entwurf stützt sich auf die Öffnungsklausel des Art. 9 Abs. 2 g DSGVO. Die Verarbeitung muss demnach in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen und den Wesensgehalt des Rechts auf Datenschutz wahren.  Weiterhin nicht auf diese neue Befugnisnorm berufen können sich öffentliche Stellen, die besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO geschäftsmäßig im Rahmen eigener gewerblicher Geschäftsmodelle verarbeiten wollen. Hier liegt nach Auffassung des Gesetzgebers tatbestandlich kein zwingendes öffentliches Interesse vor.

Weiterhin bewirkt die Änderung über den in § 24 Abs. 2 BDSG enthaltenen Verweis außerdem, dass nichtöffentliche Stellen die aus einer Beratung gewonnenen Informationen mit Sicherheitsrelevanz an die dafür zuständigen öffentlichen Stellen übermitteln dürfen.

Mögliche Änderungen sind durchaus weiterhin möglich, denn das „neue BDSG“ liegt bislang nur als Entwurf vor. Drei Lesungen im Bundestag müssen noch durchlaufen werden, außerdem ist das Gesetz zustimmungspflichtig, was impliziert, dass auch der Bundesrat seine Zustimmung zum endgültigen Gesetz erteilen muss.

Was bedeutet das Ganze für Unternehmen? Die Rechtslage für datenverarbeitende Unternehmen bleibt zunächst weitgehend unverändert. Im Detail wird diese aber noch komplexer und unüberschaubarer. Unternehmen, die allerdings sektorenspezifischen Datenschutzregeln unterliegen, sollten möglichst zeitnah prüfen, ob sich durch das 2. DSAnpUG-EU Änderungen für ihre Datenschutzpraxis ergeben.

Gerne stehen wir Ihnen für Fragen zur Umsetzung der DSGVO zur Verfügung! Kontaktieren Sie uns ganz einfach jederzeit!