BMI zur Neuregelung des Datenschutzes – Umsetzung der DSGVO (Update 21.06.2016)

Seitens der Bundesregierung ist geplant – so Herr Eickelpasch, Referat Datenschutzrecht, Bundeministerium des Innern (BMI) , am 09 Juni 2016 auf einer Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) – die notwendigen und möglichen nationalen Regelungen, die sich aus der Datenschutzgrundverordnung ergeben in zwei Paketen zu erledigen. Das erste Paket soll dabei bis Anfang nächstens Jahres – also rechtzeitig vor dem Bundestagswahlkampf – verabschiedet werden und das zweite Paket der neuen Bundesregierung überlassen werden. Es ist – wenn überhaupt – nicht vor Mitte/Ende 2018 mit dem zweiten Paket zu rechnen. Am 21.06.2016 gab es im BMI ein Gespräch zwischen einem Vertreter von Digitalcourage, einer Mitarbeiterin von Herrn Eickelpasch und mir zur Umsetzung der Datenschutzgrundverordnung. Auf Grund dieses Gespräches habe ich diesen Beitrag aktualisiert, die Ergänzungen sind kursiv gekennzeichnet.

BDSG-Ablösegesetz

Das erste Paket soll ein sogenanntes BDSG-Ablösegesetz (so zumindest ein Arbeitstitel) enthalten, mit dem zum einen das derzeit geltende BDSG zum 25. Mai 2018 aufgehoben wird und zum anderen die Regelungen getroffen werden, die erforderlich sind und solche, die politisch relativ leicht umzusetzen sind. Die Planungen des Bundesministerium des Innereren sehen derzeit wie folgt aus:

  • Die Regelungen zur Bestellpflicht für betriebliche Datenschutzbeauftragte aus § 4f BDSG sollen erhalten bleiben. Dabei ist noch offen, ob als Grenzwert für die Bestellpflicht „mehr als neun Personen“ oder „mehr als 20 Personen“ übernommen werden soll, da die DSGVO nicht zwischen automatisierter und nicht automatisierter Verarbeitung unterscheidet.
  • Im Bereich der automatisierten Einzelfallentscheidungen (§ 6a BDSG) soll durch Nutzung Art. 22 Abs. 2 Buchstabe b der Erlaubnistatbestand erhalten werden, dass eine automatisierte Einzelfallentscheidungzulässig ist, wenn sie für den Betroffenen von Vorteil ist.
  • Es wird Regelungen zur Wahl und Ausstattung des/der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit geben.
  • Zum Kapitel 7 DSGVO Zusammenarbeit und Kohärenz sind Regelungen erforderlich.
  • Zu Kapitel 9 DSGVO Vorschriften für besondere Verarbeitungssituationen sind Regelungen vorgesehen, u.a.
    • Erhalt der Regelungenaus § 42 BDSG  für die Deutsche Welle (vgl. Art. 85)
    • Erhalt von § 32 BDSG Beschäftigtendatenschutz (vgl. Art. 88)
    • Regelungen zur Datenverarbeitung zu priviligierten Zwecken (ua. Forschung, § 40 BDSG, vgl. Art. 89)
  • Es soll versucht werden, die Regelungen aus § 28a Datenübermittlung an Auskunfteien und § 28b Scoring zu erhalten, da dies sowohl von den Verbänden der Wirtschaft als auch von den Verbraucherschutzverbänden als hilfreich angesehen wird.
  • Es sollen Regelungen  zu Schadenersatz und Bußgeldvorschriften (soweit zulässig) sowie Strafvorschriften (soweit erforderlich) getroffen werden.
  • In Bezug auf die Datenverarbeitung der Berufsgeheimnisträger sind Ausnahmeregelungen für die Auskunftsrechte und die Befugnisse der Aufsichtsbehörden vorgesehen, da uneingeschränkte Auskunftsrechte und Einsichtnahmen durch die Aufsichtsbehörden das Mandantengeheimnis gefährden könnten. Dies wird allerdings von Datenschutzverbänden und Aufsichtsbehörden kritisch gesehen!

Eine verbindliche Zeitplanung kann derzeit vom BMI noch nicht angegeben werden, da sich der Gesetzentwurf noch in der Ressortabstimmung befindet und auch der Bundesrat zu beteiligen ist. Eine Verbändeanhörung ist ebenfalls vvom BMI vorgesehen. Derzeit wird davon ausgegangen, dass diese im August 2016 statt finden wird.

Im Bereich des BMWI, das für TKG und TMG zuständig ist, wird eruiert, welche Regelungen erhalten werden können und welche durch die DSGVO obsolet werden. Datenschutzregelungen des TKG bleiben, da sie gänzlich auf der EU-e-Privacy-Richtlinie, die weiterhin gültig bleibt, beruhen. Von den Datenschutzregelungen des TMG bleiben nur die Regelungen erhalten, die auf der e-Privacy-Richtlinie beruhen, die anderen fallen weg.

Die spezifische Regelungen aus den SGB, insbesonder auch aus dem SGB X, dürfen gemäß der DSGVO erhalten bleiben, bei den Betroffenrechte können Änderungen erforderlich werden. Bei den Begriffsdefinitionen (Sozialdaten) wird ebenfalls Änderungsbedarf gesehen, da die Begriffsdefinitionen in Art. 4 der DSGVO als abschließend angesehen wird.

Der Kurzlink für diesen Beitrag ist: https://dsgvo.expert/BMIDS

Über Werner Hülsmann

Geboren 1961; 1982 - 1988: Informatikstudium mit Schwerpunkt Datenschutzrecht, Abschluß Diplom; 1988 - 1991: SW-Entwickler bei Telenorma; 1992 - 1999: Referatsleiter Technik und wissenschaftlicher Mitarbeiter beim Landesbeauftragten für Datenschutz der Freien Hansestadt Bremen; seit 1999 selbständiger Datenschutzberater; seit 2004 anerkannter Datenschutzsachverständiger; seit 2013 intensiv mit der DSGVO beschäftigt. Seit 2010 Beiratsmitglied des FIfF e.V.; seit 2015 stellv. Vorsitzender der Deutschen Vereinigung für Datenschutz (DVD) e.V.
Dieser Beitrag wurde unter DSGVO-Allgemein abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.