Nachdem im Mai 2016 die Datenschutzgrundverordnung verabschiedet wurde, steht bald eine Reform des Bundesdatenschutzgesetzes an. Ein erster Entwurf der Bundesministerien wurde nun geleakt. Wir stellen einige der vorgeschlagenen Änderungen vor.

bdsg_entwurf

Die Datenschutzgrundverordnung (DSGVO) ist eine der grundlegendsten Reformen des Datenschutzrechts der letzten 20 Jahre. Einen Ausblick auf die Änderungen hatten wir bereits Ende letzten Jahres in einem Blogbeitrag veröffentlicht. Eine ausführlichere erste Orientierung bietet Ihnen das Whitepaper zur Datenschutzgrundverordnung.

Weshalb nun auch noch eine Reform des Bundesdatenschutzgesetzes?
Die DSGVO wird die Stellung des Bundesdatenschutzgesetzes (BDSG) verändern. Dies liegt daran, dass die Bestimmungen der Verordnung unmittelbar gelten, d.h. der nationale Gesetzgeber muss den europäischen Rechtsakt nicht erst noch in das BDSG einarbeiten, sondern es gelten ab Mai 2018 direkt die Regelungen der Datenschutzgrundverordnung. Bislang gab es nur eine europäische Datenschutzrichtlinie, deren Bestimmungen erst durch die Regelungen des BDSG für den Einzelnen Geltung erlangten.

Gleichwohl wird das BDSG nicht abgeschafft, da die Datenschutzgrundverordnung an vielen Stellen die Möglichkeit eröffnet, die Regelungen durch nationale Gesetze zu konkretisieren (sogenannte Öffnungsklauseln). Derartige Konkretisierungen ist auch eines der wesentlichen Ziele des nun aufgetauchten Entwurfs des Bundesinnenministeriums.

Auswahl geplanter Regelungen
Das reformierte BDSG soll neben der Konkretisierung der DSGVO auch der Umsetzung der Datenschutzrichtlinie für die Strafjustiz dienen. Wir beschränken uns auf die wichtigsten Vorschläge zur Konkretisierung der DSGVO:

  • Es sollen mit § 22 BDSG-Entwurf abweichend zur DSGVO weitere gesetzliche Erlaubnistatbestände geschaffen werden, bei deren Vorliegen die Verarbeitung besonderer Daten wie Gesundheitsdaten zulässig ist.
  • Nach Art. 6 Abs. 4 DSGVO dürfen Daten unter bestimmten Voraussetzungen zu anderen Zwecken verarbeitet werden als zu dem Zweck, zu dem sie erhoben wurden. § 23 BDSG-Entwurf führt diese weiteren Zwecke der Verarbeitung aus.
  • Die DSGVO klammert den Beschäftigtendatenschutz weitgehend aus und ermöglicht den Mitgliedstaaten, eigene Regelungen zu treffen (Art. 88 DSGVO). Diese Möglichkeit nutzt der Entwurf, indem er in § 24 die aktuellen Bestimmungen aus § 3 Abs. 11 und § 32 BDSG zusammenführt. Der Wortlaut entspricht weitgehend demjenigen der aktuellen Rechtslage.
  • In §§ 27, 28 BDSG-Entwurf sollen die bestehenden Regelungen zur Datenübermittlung an Auskunfteien (§ 28a BDSG) sowie zum Scoring (§ 28b BDSG) übernommen werden.
  • Die DSGVO verlangt – anders als aktuell § 4f Abs. 1 BDSG – nicht, dass ein betrieblicher Datenschutzbeauftragter ab einer bestimmten Mitarbeiterzahl bestimmt werden muss (Art. 37 Abs. 1 DSGVO). Die Mitgliedstaaten können dies aber vorschreiben, was der Entwurf nutzt: Ebenso wie nach der geltenden Rechtslage muss ein betrieblicher Datenschutzbeauftragter ab einer Zahl von zehn Personen bestellt werden, die sich ständig mit der Verarbeitung personenbezogener Daten beschäftigen (§ 36 BDSG-Entwurf).
  • §§ 57 ff. BDSG-Entwurf befassen sich ausführlich mit der Auftragsdatenverarbeitung. Dabei werden im Wesentlichen Bestimmungen des aktuell gültigen BDSG und der Datenschutzrichtlinie im Entwurf zusammengefasst.

Wie geht es nun weiter?
Die Vorversion des geleakten Entwurfs wurde nach erheblicher Kritik überarbeitet und führte zu dem aktuellen Entwurf. Dieser hat ebenfalls bereits einige Kritik erfahren, unter anderem von der Deutschen Vereinigung für Datenschutz. Das betrifft nicht nur Zweifel hinsichtlich der Verfassungs- und Europarechtskonformität, sondern auch die reichlich komplizierte Gesetzesstruktur. Dass der Entwurf noch einmal Anpassungen erfährt, bevor er in den Bundestag eingebracht wird, ist deshalb nicht ausgeschlossen. Wann das parlamentarische Verfahren beginnt, ist aber noch nicht klar.

Besteht schon jetzt Handlungsbedarf?
Da noch nicht absehbar ist, welche Änderungen am Entwurf der Bundesregierung im Laufe des Gesetzgebungsprozesses vorgenommen werden, wäre es verfrüht, bereits jetzt Maßnahmen zu ergreifen. Anders verhält es hinsichtlich der DSGVO. Deren Neuregelungen sind bereits bekannt und bedürfen zum Teil gravierender Anpassungen, um die Datenschutz-Compliance zu gewährleisten. Die Anpassungen kosten viel Zeit – nicht zuletzt, weil allein die Auflistung der verschiedenen Datenverarbeitungen von Kunden und Mitarbeitern extrem anspruchsvoll ist. Sobald das reformierte BDSG beschlossen ist, werden wir in unserem Blog berichten. Um nichts zu verpassen, können Sie auch unseren Newsletter abonnieren, indem Sie oben rechts unter Datenschutz-Update Ihre E-Mail-Adresse eintragen.


Verfasser: Malte Kröger ( (juristischer Mitarbeiter der Datenschutzkanzlei)