Am gestrigen Donnerstag (27.4.2017) hat der Bundestag den Entwurf des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) in der Fassung der Beschlussempfehlung des Innenausschusses verabschiedet. Teil dieses DSAnpUG-EU ist das sog. BDSG-neu, das in Deutschland an die Stelle des bisher geltenden BDSG tritt. Für Datenschützer (insbesondere für Datenschutzbeauftragte) bedeutet dies, dass nun endlich Klarheit darüber herrscht, welches Gesetz in Deutschland ab Mai 2018 neben der DSGVO die wichtigste Gesetzesgrundlage sein wird. Aber wieviel Klarheit bringt der verabschiedete Gesetzesentwurf wirklich?
Was ist passiert?
Der Bundestag hat am 27.4.2017 in der 231. Sitzung (S. 135 ff. des Plenarprotokolls 18/231) das DSAnpUG-EU und damit auch das BDSG-neu in der geänderten Fassung nach der Beschlussempfehlung des Innenausschusses angenommen. Die Bundesregierung hat damit ihr Ziel der Verabschiedung der neuen Gesetze im Zusammenhang mit der DSGVO vor den Neuwahlen im September 2017 erreicht.
Was ist klar?
Mit der Verabschiedung ist nun klar, von welchen Öffnungsklauseln der Datenschutz-Grundverordnung (DSGVO) der deutsche Gesetzgeber Gebrauch macht. So trifft der deutsche Gesetzgeber beispielsweise ergänzende Regelungen im Bereich des Beschäftigtendatenschutzes (§ 26 BDSG-neu), erweitert die Fälle der Pflicht zur Benennung eines Datenschutzbeauftragten (§ 38 BDSG-neu), beschränkt die Informationspflichten der Art. 13 und 14 DSGVO (§ 32 BDSG-neu) und schafft neue Erlaubnistatbestände für die Verarbeitung besonderer Kategorien personenbezogener Daten (§ 22 BDSG-neu).
Was ist unklar?
Unklar ist an vielen Stellen, wie mit Verarbeitungen umzugehen ist, die nach bisherigem Recht zulässig sind. So heißt es beispielsweise bisher widersprüchlich vom Düsseldorfer Kreis (Beschluss vom 13./14. September 2016), dass bisher rechtswirksame Einwilligungen auch weiterhin wirksam sind, weil sie den Anforderungen der DSGVO entsprechen, was so nicht ganz richtig bzw. ungenau ist. Bisher rechtswirksame Einwilligung stehen demnach auf der To-Do-Liste der Verantwortlichen mit Sicherheit nicht an oberster Stelle, Klarheit bringt die Verabschiedung des DSAnpUG-EU allerdings nicht, sodass auch kein Häkchen hinter die Einwilligungen gesetzt werden kann. Auch ist nach wie vor nicht klar, ob auch Prozesse, für die bereits in der Vergangenheit eine Vorabkontrolle durchgeführt worden ist, einer Datenschutz-Folgenabschätzung unterzogen werden müssen.
Problematisch ist darüber hinaus die kürzlich erfolgte Einschaltung der EU-Kommission, die auf Anpassung des Gesetzesentwurfs drängte mit der Begründung, Deutschland mache von Öffnungsklauseln Gebrauch, die in der DSGVO gar nicht existieren. Wegen der Vorrangigkeit der DSGVO (folgt insbesondere aus dem Verordnungs-Charakter, Art. 288 Abs. 2 AEUV) wäre dann Vorschrift im BDSG-neu, die auf eine Öffnungsklausel zurück geht, die die DSGVO nicht vorsieht, unwirksam. Hielte man sich an derartige Vorschriften, die im Widerspruch zur DSGVO stehen, würde man sich ggf. rechtswidrig verhalten.
Was ist jetzt zu tun?
Nichtsdestotrotz bedeutet die Verabschiedung des DSAnpUG eine gewisse Planungssicherheit. Insbesondere größere DSGVO-Umsetzungs-Projekte hängen nun – zumindest was die deutsche Umsetzung der DSGVO angeht – nicht mehr zwischen „vielleicht“ und „wahrscheinlich“ fest. Die endgültigen Vorschriften können dementsprechend im Rahmen der Umsetzung zugrunde gelegt werden.
Sinnvoll ist allerdings schon im Rahmen der Planung und auch im Rahmen der Umsetzung der DSGVO in den öffentlichen und nicht-öffentlichen Stellen der Vermerk, soweit Abweichungen von der DSGVO getroffen werden, bezüglich derer – auf europäischer Ebene – ggf. noch nicht das letzte Wort gesprochen wurde.
Bei Fragen zur DSGVO, zum nun verabschiedeten BDSG-neu oder zur Umsetzungsplanung bei Ihnen im Unternehmen wenden Sie sich gerne an Sascha Kremer oder Jana Garsztecki, unsere Experten im Datenschutzrecht.