Die Datenschutz-Grundverordnung (DSGVO) gilt als europäische Verordnung EU-weit und unmittelbar. Das bedeutet, dass die Mitgliedstaaten der Europäischen Union die Vorgaben nicht erst in nationale Gesetze gießen müssen, damit das neue Datenschutzrecht gilt. Dennoch sind Anpassungen des nationalen Rechts erforderlich. Zum einen ist es den Mitgliedstaaten verboten, Regelungspunkte der Verordnung zu wiederholen (Wiederholungsverbot). Insofern sind Streichungen notwendig. Zum anderen enthält die DSGVO zahlreiche Öffnungsklauseln, die Abweichungen und Beschränkungen durch nationale Regelungen zulassen. Die ersten Änderungen erfolgten schließlich mit dem ersten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) und betrafen das Bundesdatenschutzgesetz (BDSG). Nun soll das zweite DSAnpUG-EU kommen. Es enthält vornehmlich rechtstechnische bzw. redaktionelle Änderungen.
Das Omnibusverfahren: Zweites DSAnpUG-Gesetz im Express
Das zweite Anpassungsgesetz wird als Omnibusgesetz bezeichnet, da es im sog. Omnibusverfahren verabschiedet werden soll. Anders als üblich, soll mit einem Omnibusgesetz nicht nur ein Sachverhalt geregelt werden, sondern gleiche mehrere. Diese Sachverhalte müssen inhaltlich nicht zwingend miteinander zusammenhängen. Die Vorteile: Die Vorschläge können schneller verabschiedet werden und Abgeordnete, die im Rahmen eines separaten Gesetzgebungsverfahrens nicht allen Punkten zustimmen würden, akzeptieren diese im Omnibusverfahren viel eher – eine Art Kompromiss.
Änderungen von mehr als 154 Fach- und Bundesgesetzen fast aller Ressorts
Wurde mit dem ersten Anpassungsgesetz noch das genuine, nationale Datenschutzrecht (BDSG) angepasst, soll das zweite Anpassungsgesetz nun vor allem den bereichsspezifischen Datenschutz ins Auge fassen. Hierzu zählen die datenschutzrechtlichen Regelungen der Strafprozessordnung (StPO), der Sozialgesetzbücher (etwa SGB V und SGB XI), aber auch Regelungen weniger prominenter Gesetze wie dem Rindfleischetikettierungs- oder dem Agrarstatistikgesetz. Die Postdienste-Datenschutzverordnung von 2002 soll hingegen gänzlich aufgehoben werden.
Auch inhaltliche Änderungen sind geplant
Zwar heben die Befürworter des Gesetzesvorhabens immer wieder hervor, es handele sich nur um geringfügige Änderungen, die zudem bloß rechtstechnischer Natur seien. Das mag schwerpunktmäßig auch zutreffend sein. Es gibt jedoch tatsächlich auch inhaltliche Änderungen. So sollen zum Beispiel auch neue Rechtsgrundlagen geschaffen werden, die folgende Verarbeitungssituationen erfassen:
- Verarbeitung von personenbezogenen Daten zu Zwecken staatlicher Auszeichnungen
- Verarbeitung sensibler Informationen (etwa Religionsdaten) durch zivilgesellschaftliche Träger im Rahmen von Deradikalisierungsprogrammen und zur Weitergabe an Sicherheitsbehörden im Ernstfall
- Weiterverarbeitung personenbezogener Daten zum Zwecke der „Sammlung, Auswertung oder Untersuchung von Informationen über Sicherheitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik“ durch das BSI
- Verarbeitung besonderer Kategorien personenbezogener Daten durch das BSI (§ 3a Abs. 3 BSIG-E)
- „Umfängliche zusätzliche Datenspeicherungen“ durch die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS-Gesetz)
Verhältnis des TMG zur DSGVO weiterhin unklar
Auch das Telemediengesetz (TMG) enthält datenschutzrechtliche Regelungen, die die Verarbeitungsmöglichkeiten im Bereich der elektronischen Kommunikation, die Unternehmen nach der DSGVO eigentlich zustünden, teilweise an besondere Voraussetzungen knüpft. Besonders relevant sind diese Regelungen für den Einsatz von Cookies und das Tracking von Website-Besuchern zu Werbezwecken.
Nach Ansicht der Datenschutzkonferenz (DSK) seien die entsprechenden Paragraphen nicht mehr anwendbar, sondern nur die Vorgaben der DSGVO. Rechtsverbindlich ist diese Ansicht aber nicht. Und es gibt tatsächlich auch Stimmen, die sich dagegen aussprechen. Leider enthält der Gesetzesentwurf keine Klarstellung zu dieser Problematik.
Telekommunikationsdienstleister sollen dem BfDI unterstellt werden
Anders als bisher, sollen Telekommunikationsdienstleister in Zukunft einheitlich der Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) unterstehen. Zu diesem Zwecke soll § 9 BDSG reformiert werden. Das Telekommunikationsgesetz (TKG) soll in Zukunft nur noch Verarbeitungsvorgänge in Umsetzung der ePrivacy-Richtlinie regeln. Bestimmungen des TKG, die Bereiche betreffen, welche bereits die DSGVO regelt, sollen gestrichen werden. Welche dies im Einzelnen sein sollen, lässt der Gesetzesentwurf unbeantwortet. Im ursprünglichen Referentenentwurf waren daher auch umfangreiche Änderungen des TKG und TMG vorgesehen, um diese Rechtsunsicherheiten aus der Welt zu schaffen. Die Bundesregierung hat entsprechende Vorschläge jedoch aus bisher unbekannten Gründen verworfen.
Fazit
Die geplanten Änderungen durch das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind tatsächlich hauptsächlich rechtstechnischer Natur. So werden zahlreiche Begriffsbestimmungen und Verweise geändert. Aber auch die wenigen inhaltlichen Anpassungen sollten unseres Erachtens deutlicher kommuniziert werden.