Seitens der Bundesregierung ist geplant – so Herr Eickelpasch, Referat Datenschutzrecht, Bundeministerium des Innern (BMI) , am 09 Juni 2016 auf einer Veranstaltung der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) – die notwendigen und möglichen nationalen Regelungen, die sich aus der Datenschutzgrundverordnung ergeben in zwei Paketen zu erledigen. Das erste Paket soll dabei bis Anfang nächstens Jahres – also rechtzeitig vor dem Bundestagswahlkampf – verabschiedet werden und das zweite Paket der neuen Bundesregierung überlassen werden. Es ist – wenn überhaupt – nicht vor Mitte/Ende 2018 mit dem zweiten Paket zu rechnen. Am 21.06.2016 gab es im BMI ein Gespräch zwischen einem Vertreter von Digitalcourage, einer Mitarbeiterin von Herrn Eickelpasch und mir zur Umsetzung der Datenschutzgrundverordnung. Auf Grund dieses Gespräches habe ich diesen Beitrag aktualisiert, die Ergänzungen sind kursiv gekennzeichnet.
BDSG-Ablösegesetz
Das erste Paket soll ein sogenanntes BDSG-Ablösegesetz (so zumindest ein Arbeitstitel) enthalten, mit dem zum einen das derzeit geltende BDSG zum 25. Mai 2018 aufgehoben wird und zum anderen die Regelungen getroffen werden, die erforderlich sind und solche, die politisch relativ leicht umzusetzen sind. Die Planungen des Bundesministerium des Innereren sehen derzeit wie folgt aus:
- Die Regelungen zur Bestellpflicht für betriebliche Datenschutzbeauftragte aus § 4f BDSG sollen erhalten bleiben. Dabei ist noch offen, ob als Grenzwert für die Bestellpflicht „mehr als neun Personen“ oder „mehr als 20 Personen“ übernommen werden soll, da die DSGVO nicht zwischen automatisierter und nicht automatisierter Verarbeitung unterscheidet.
- Im Bereich der automatisierten Einzelfallentscheidungen (§ 6a BDSG) soll durch Nutzung Art. 22 Abs. 2 Buchstabe b der Erlaubnistatbestand erhalten werden, dass eine automatisierte Einzelfallentscheidungzulässig ist, wenn sie für den Betroffenen von Vorteil ist.
- Es wird Regelungen zur Wahl und Ausstattung des/der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit geben.
- Zum Kapitel 7 DSGVO Zusammenarbeit und Kohärenz sind Regelungen erforderlich.
- Zu Kapitel 9 DSGVO Vorschriften für besondere Verarbeitungssituationen sind Regelungen vorgesehen, u.a.
- Erhalt der Regelungenaus § 42 BDSG für die Deutsche Welle (vgl. Art. 85)
- Erhalt von § 32 BDSG Beschäftigtendatenschutz (vgl. Art. 88)
- Regelungen zur Datenverarbeitung zu priviligierten Zwecken (ua. Forschung, § 40 BDSG, vgl. Art. 89)
- Es soll versucht werden, die Regelungen aus § 28a Datenübermittlung an Auskunfteien und § 28b Scoring zu erhalten, da dies sowohl von den Verbänden der Wirtschaft als auch von den Verbraucherschutzverbänden als hilfreich angesehen wird.
- Es sollen Regelungen zu Schadenersatz und Bußgeldvorschriften (soweit zulässig) sowie Strafvorschriften (soweit erforderlich) getroffen werden.
- In Bezug auf die Datenverarbeitung der Berufsgeheimnisträger sind Ausnahmeregelungen für die Auskunftsrechte und die Befugnisse der Aufsichtsbehörden vorgesehen, da uneingeschränkte Auskunftsrechte und Einsichtnahmen durch die Aufsichtsbehörden das Mandantengeheimnis gefährden könnten. Dies wird allerdings von Datenschutzverbänden und Aufsichtsbehörden kritisch gesehen!
Eine verbindliche Zeitplanung kann derzeit vom BMI noch nicht angegeben werden, da sich der Gesetzentwurf noch in der Ressortabstimmung befindet und auch der Bundesrat zu beteiligen ist. Eine Verbändeanhörung ist ebenfalls vvom BMI vorgesehen. Derzeit wird davon ausgegangen, dass diese im August 2016 statt finden wird.
Im Bereich des BMWI, das für TKG und TMG zuständig ist, wird eruiert, welche Regelungen erhalten werden können und welche durch die DSGVO obsolet werden. Datenschutzregelungen des TKG bleiben, da sie gänzlich auf der EU-e-Privacy-Richtlinie, die weiterhin gültig bleibt, beruhen. Von den Datenschutzregelungen des TMG bleiben nur die Regelungen erhalten, die auf der e-Privacy-Richtlinie beruhen, die anderen fallen weg.
Die spezifische Regelungen aus den SGB, insbesonder auch aus dem SGB X, dürfen gemäß der DSGVO erhalten bleiben, bei den Betroffenrechte können Änderungen erforderlich werden. Bei den Begriffsdefinitionen (Sozialdaten) wird ebenfalls Änderungsbedarf gesehen, da die Begriffsdefinitionen in Art. 4 der DSGVO als abschließend angesehen wird.
Pingback: Beitrag „BMI zur Neuregelung des Datenschutzes – Umsetzung der DSGVO“ aktualisiert | DSGVO – Expertenwissen für die Praxis
Pingback: EU-Datenschutzgrundverordnung: Die Umsetzung in deutsches Recht hat begonnen… – dieDatenschützer Rhein Main