Entwurf des 2. Datenschutz-Anpassungsgesetzes

Neuigkeiten für Datenschutzbeauftragte

05.12.2018
Von    und Sharon Sitzer
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Seit dem 5. September 2018 liegt ein Entwurf der Bundesregierung zum 2. DSAnpUG-EU vor. Welche Neuerungen dieser Entwurf für Unternehmen im Bereich der Datenschutzpraxis mit sich bringt, soll dieser Beitrag veranschaulichen.
Schutz auf nationaler Ebene. Das soll das zweite Datenschutz-Anpassungsgesetz den Bürgern bezüglich ihrer persönlichen Daten bringen.
Schutz auf nationaler Ebene. Das soll das zweite Datenschutz-Anpassungsgesetz den Bürgern bezüglich ihrer persönlichen Daten bringen.
Foto: BPTU - shutterstock.com

Weitere Anpassungen auf nationaler Ebene

Bereits im vergangenen Jahr wurde das erste Datenschutz-Anpassungsgesetz verabschiedet und hatte eine komplette Erneuerung des ursprünglichen Bundesdatenschutzgesetz ("BDSG") zur Folge. Nun soll das zweite Datenschutz-Anpassungsgesetz nachrücken und auf seinen 553 Seiten weitere nationale Gesetze an die Anforderungen der Datenschutz-Grundverordnung ("DSGVO") angleichen.

Die DSGVO enthält diverse Öffnungsklauseln und Regelungsaufträge, welche die Gesetzgeber aller Mitgliedstaaten zu berücksichtigen haben. Deswegen müssen die nationalen Gesetzgeber den bereichsspezifischen Datenschutz aller nationalen Gesetze auf die Vereinbarkeit mit der DSGVO überprüfen und bei Bedarf anpassen. Primär handelt es sich dabei um die Änderung von Begriffsbestimmungen und das Einfügen von Verweisungen, aber auch die Umsetzung allgemeiner Vorgaben der DSGVO, wie beispielsweise Betroffenenrechte. Diese Anpassungen sollen in Deutschland durch den neuen Gesetzesentwurf in die Tat umgesetzt werden. Betroffen sind rund 154 Bundesgesetze.

Das ändert sich im BDSG- Ein Überblick

Nachdem das BDSG am 30. Juni 2017 durch das 1. DSAnpUG-EU neu gefasst wurde, soll der aktuelle Gesetzesentwurf zum 2. DSAanpUG-EU nachbessern. Neben einer redaktionellen Änderung des Gesetzestextes soll eine Regelung zur Datenverarbeitung für die Verleihung öffentlicher Auszeichnungen eingefügt werden, sowie zwei inhaltliche Änderungen erfolgen.

Neue Regelung für Anbieter von Telekommunikationsdiensten

Die erste inhaltliche Änderung betrifft die Zuständigkeitsregelung in § 9 BDSG. Durch die Neuerung sollen Unternehmen, die im Bereich gewerblicher Telekommunikationsdienstleistungen tätig sind, künftig einheitlich von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beaufsichtigt werden und zwar auch dann, wenn die Zuständigkeit nicht aus §115 TKG folgt.

Weiterhin soll das Telekommunikationsgesetz (TKG) zukünftig nur noch Regelungen zur Umsetzung der ePrivacy-Richtlinie enthalten. Bereiche, die unmittelbar durch die DSGVO geregelt sind, werden aus dem TKG gestrichen. Welche Regelungsgegenstände im Einzelnen davon betroffen sein werden, ist, ebenso wie die Abgrenzung der Anwendungsbereiche von TKG und DSGVO, noch unklar. Der Entwurf beinhaltet auch keine Angleichung des Telemediengesetzes (TMG) an die DSGVO. Somit bleibt die Abgrenzung zwischen DSGVO und TMG weiterhin offen.

Neuer Erlaubnistatbestand für Datenverarbeitung

Durch die Änderung von § 22 BDSG wird ein neuer Erlaubnistatbestand für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 9 Abs. 1 DSGVO) geschaffen. Auch nicht öffentliche Stellen dürfen in Zukunft solche Daten verarbeiten, sofern dies aus "Gründen erheblichen öffentlichen Interesses zwingend erforderlich" ist. Ein erhebliches öffentliches Interesse soll vorliegen, wenn privatrechtliche Träger für Präventions- und Deradikalisierungsprogramme Religionsdaten verarbeiten, um religiösen Extremismus vorzubeugen oder zum Katastrophenschutz.


Dagegen können sich nicht-öffentliche Stellen, die besondere Kategorien personenbezogener Daten "im Rahmen eigener gewerblicher Geschäftsmodelle verarbeiten", nicht auf § 22 BDSG stützen. Diese Neuregelung wird somit für die Unternehmenspraxis vermutlich folgenlos bleiben.

So es weiter geht

Bislang handelt es sich nur um einen Regierungsentwurf, welcher sich aller Wahrscheinlichkeit nach noch ändern wird, da zum einen noch drei Lesungen im Bundestag durchgeführt werden und zum anderen auch der Bundesrat zustimmen muss. Gemäß des derzeitigen Entwurfs soll das angepasste Gesetze einen Tag nach der Verkündung Inkraft treten. Wann dies genau ist, ist jedoch noch nicht terminiert.

Die Geltung vereinzelter Änderungen ist daneben ab dem 1. Januar 2019 beziehungsweise dem 1. Januar 2020 zu erwarten. Sollte ein Unternehmen sektorspezifischen Datenschutzregeln unterliegen, ist zeitig zu überprüfen, ob sich datenschutzrechtlich durch das 2. DSAnpUG-EU etwas an der Unternehmenspraxis ändern wird. Es ist allerdings zu erwarten, dass die Datenschutzpraxis von Unternehmen größtenteils unverändert bleiben wird, da es keine wesentlichen Änderungen des BDSG mehr geben wird.