Am 27.04.2017 hat der Bundestag das Datenschutz-Anpassungsund -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. 

Erst am Vortag hatte der Innenausschuss seine Beschlussempfehlung an den Bundestag weitergeleitet, in der etliche Änderungen an dem ursprünglichen Entwurf aus dem Februar vorgenommen wurden. Das Gesetz bedarf noch der Zustimmung des Bundesrates, der sich voraussichtlich am 12.05.2017 mit dem Gesetz befassen wird. Einen wesentlichen Teil des Gesetzes bildet eine komplette Neufassung des Bundesdatenschutzgesetzes (BDSG-neu).

Die EU-Datenschutz-Grundverordnung („DS-GVO“) wird am 25.05.2018 in Deutschland unmittelbar anwendbares Recht. Die DS-GVO geht dabei als europäisches Recht nationalen deutschen Vorschriften vor. Mit dem DSAnpUG macht der Bundestag den ersten Schritt, das bestehende deutsche Recht an die DS-GVO anzupassen und Öffnungsklauseln in der DS-GVO für eigene nationale Regelungen zu treffen. Für Unternehmen sind vor allem folgende Regelungen von besonderer Bedeutung:

  • Unternehmen müssen nachweisen können, dass sie die datenschutzrechtlichen Vorgaben einhalten (sogenannte Rechenschaftspflicht).
  • Hohe Bußgelder von bis zu 20 Mio. Euro oder 4% des globalen Jahresumsatzes können verhängt werden, je nach dem, welcher Betrag höher ist. Lediglich Verstöße, die allein deutsches Recht betreffen, werden nur mit bis zu 50 Tsd. Euro geahndet. Erschwerend kommt hinzu, dass betroffene Personen auch Schadensersatzansprüche immaterieller Art (Schmerzensgeld) geltend machen können, was neu ist.
  • Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten bleibt für Unternehmen mit mehr als neun Beschäftigten verpflichtend.
  • Bei den Informations- und Auskunftspflichten gibt es u.a. eine Erleichterung für Unternehmen, die überwiegend analog Daten verarbeiten.
  • Der Beschäftigtendatenschutz wurde deutlich umfangreicher geregelt, als im heutigen § 32 BDSG. Dabei ist der Gesetzgeber aber überwiegend in dem Rahmen geblieben, der sich durch Literatur und Rechtsprechung bereits zum heute geltenden Recht entwickelt hatte.

Die konkreten Regelungen und ihre Wechselwirkungen mit der DS-GVO und anderen nationalen Gesetzen sind noch im Detail zu prüfen. Wir werden hierzu demnächst die wichtigsten Punkte in einer Sonderausgabe des IT-Tickers für Sie aufbereiten.

Das neue BDSG regelt auch die Organisation und Kompetenz der nationalen Aufsichtsbehörde und die Vertretung der deutschen Aufsichtsbehörden in europäischen Gremien. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat in einer ersten Stellungnahme kritisiert, dass die Einschränkung ihrer Kontrollbefugnisse beispielsweise hinsichtlich des Bundesnachrichtendienstes verfassungs- und europarechtwidrig sei.

Neben dem DSAnpUG muss Deutschland bis zur Anwendbarkeit der DS-GVO auch sämtliche bereichsspezifischen nationalen Datenschutzregelungen (z.B. im Telemedienrecht, im Sozialrecht, etc.) noch an die DS-GVO anpassen.