Die Umsetzung der EU Datenschutzreform in Deutschland


Das EU-Datenschutzreform-Paket besteht aus der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und der Datenschutz-Richtlinie für Polizei und Justiz (Richtlinie (EU) 2016/680), die in Deutschland im Wesentlichen durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) umgesetzt wird. Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUGEU) wurde am 27. April 2017 vom Deutschen Bundestag verabschiedet. Als zustimmungsbedürftiges Gesetz war ferner die Zustimmung des Deutsches Bundesrates erforderlich, welche am 12. Mai 2017 erteilt wurde. Am 5. Juli 2017 erfolgte die Veröffentlichung des DSAnpUGEU im Bundesgesetzblatt.

Datenschutz-Anpassungs- und Umsetzungsgesetz

Das DSAnpUG-EU ersetzt in Artikel 1 die aktuelle gültige Fassung des Bundesdatenschutzgesetzes (BDSG) mit einem Gesetz gleichlautenden Namens (wobei letzteres der Eindeutigkeit halber gerne als “BDSG-neu” oder “BDSG neue Fassung” bzw. “BDSG n.F.” bezeichnet wird). Desweiteren enthält das DSAnpUG-EU eine Reihe von weiteren Gesetzungänderungen im Bereich von Polizei, Justiz und Nachrichtendienste (Artikel 2 bis 6). Ferner ergänzt das DSAnpUG-EU die neue Version des BDSG um ein Verfahren (Artikel 7), mit der nationale Datenschutzaufsichtsbehörden Anträge auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission stellen können (z.B. angemessener Schutz durch das Privacy Shield Abkommen für Datenexporte in die USA) . Das DSAnpUG-EU einschließlich der neuen Fassung des BDSG wird am 25. Mai 2018 in Kraft treten, während gleichzeitig die aktuelle Fassung des BDSG seine Gültigkeit verliert (Artikel 8).

Die neue Fassung des BDSG in Artikel 1 des DSAnpUG-EU ist in folgende Teile gegliedert:

  • Teil 1 enhält gemeinsame Besimmungen, die allen relevanten Datenverarbeitungen zugrundegelegt werden sollen, unabhängig davon ob diese zu Zwecken der Datenschutz-Grundverordnung, der Datenschutz-Richtlinie Polizei und Justiz oder anderen Zwecken (z.B. zur Abwehr von Gefahren für die nationale Sicherheit) erfolgen. In diesem Teil finden sich auch die allgemeinen Rechtsgrundlagen für Datenverarbeitungen durch öffentliche Stellen sowie zur Videoüberwachung öffentlich zugänglicher Räume, Regelungen zu den Datenschutzbeauftragten öffentlicher Stellen und zum Amt des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie zur deutschen Vertretung im Europäischen Datenschutzausschuss.
  • Teil 2 enthält ergänzende Bestimmungen zu Datenverarbeitungen zu Zwecken der Datenschutz-Grundverordnung. Diese Bestimmungen umfassen u.a. Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Weiterverarbeitung zu anderen Zwecken, zu Datenübermittlungen durch öffentliche Stellen, zu Betroffenenrechten, zu Verfahrensregelungen für Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung. Ferner enthält dieser Teil Regelungen zu besonderen Verarbeitungssituationen (z.B. für Zwecke des Beschäftigungsverhältnisses, zu wissenchaftlichen/historischen/statistischen Zwecken, für im öffentlichen Interesse liegenden Archivierungszweckem, bei Fällen von Geheimhaltungspflichten, Verbraucherkrediten, Scoring und Bonitätsauskünften).
  • Teil 3 dient der Umsetzung der Datenschutz-Richtlinie für Polizei und Justiz (soweit diese nicht gesondert im Fachrecht vorgenommen wird) und enthält allgemeinen Regelungen zur Datenverarbeitung in diesem Bereich sowie ergänzende Bestimmungen zu Betroffenenrechten, zu den Pflichten der Verantwortlichen und Datenübermittlungen an Drittstaaten.
  • Teil 4 enthält besondere Bestimmungen für Datenverarbeitungen außerhalb des Anwendungsbereichs der Datenschutz-Grundverordnung und der der Datenschutz-Richtlinie für Polizei und Justiz z. B. für Übermittlungen von personenbezogenen Daten aus zwingenden Gründen der Verteidigung oder zur Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung sowie für humanitäre Maßnahmen.

Vergleich der aktuellen und der neuen Fassung des BDSG

Mit der Verkündigung DSAnpUGEU am 5. Juli 2017 hat Deutschland das Ziel erreicht, das Gesetzgebungsverfahren für das DSAnpUGEU noch vor den Bundestagswahlen im September 2017 zum Abschluss gebracht und damit als erster EU-Mitgliedstaat in Europa die wesentlichen Regelungen auf nationaler Ebene an die EU-Datenschutzreform angepasst zu haben. Auf diesem Weg wurden allerdings einige Abkürzungen genommen, Passagen von der DS-GVO in die neue Fassung des BDSG kopiert und von Öffnungsklauseln in der DS-GVO in einer Weise Gebrauch gemacht, welche die Rechtsprechung in naher Zukunft noch beschäftigen dürfte.

Vergleich zwischen der DS-GVO und der neuen Fassung des BDSG

Mit der Verkündigung des DSAnpUGEU ist die Anpassung der datenschutzrechtlichen Regelungen in Deutschland an die EU Datenschutzreform allerdings noch nicht abgeschlossen. Zum einen sind noch die Datenschutzgesetze der Bundesländer sowie datenschutzrechtliche Regelungen im Fachrecht an die Datenschutz-Grundverordnung und Datenschutz-Richtlinie für Polizei und Justiz anzupassen. Zum anderen muss ePrivacy Verordnung, die maßgeblich in relevanten Fragen des digitalen Marketings sein wird, auch noch ihre Berücksichtigung finden muss (auch wenn stark zu bezweifeln ist, dass diese Verordnung rechtzeitig in Kraft tritt, damit diese wie ursprünglich geplant zum gleichen Termin wie die Datenschutz-Grundverordnung am 25. Mai 2018 anwendbar wird). Doch dies soll der der Gegenstand eines Folgeartikels sein.


Eine englischsprachige Variante des oben stehenden Artikels ist hier verfügbar.