Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

DSAnpUG-EU-2: Nach der Reform ist vor der Reform

Die DS-GVO verlangt umfangreiche Gesetzesänderungen

Vor ca. 1,5 Jahren wurde die Datenschutz-Grundverordnung (DS-GVO) verabschiedet, sie ist bereits in Kraft und ab 25.05.2018 wird sie nach zweijähriger Übergangsfrist zur Anwendung kommen. Zum selben Zeitpunkt wird das bisherige Bundesdatenschutzgesetz (BDSG) außer Kraft gesetzt und durch ein vollständig neues (BDSG-neu) ersetzt.

Regelungen nicht nur im BDSG

Soweit, so gut und bekannt. Vielen ist jedoch nicht bewusst, dass die Auswirkungen der DS-GVO weit über das alte BDSG hinausgehen. In ca. 200 Bundesgesetzen finden sich Referenzen auf das BDSG oder alternative Regelungen zum Datenschutz. Exemplarisch sei hier nur das SGB mit einem vollständigen eigenen Abschnitt zum Sozialdatenschutz genannt.

Sämtliche dieser Gesetze befinden sich aktuell in der Revision durch den Bundesgesetzgeber. Hintergrund ist, dass die DS-GVO den Datenschutz (mit einigen Ausnahmen in Form von Öffnungsklauseln) abschließend regelt. Sofern nicht – wie beispielsweise im Bereich des Beschäftigtendatenschutzes – nationale Regelungen ermöglicht werden, gilt im Regelfall die DS-GVO.

Bundesgesetze müssen überarbeitet werden

Die direkte Folge davon ist nun, dass die bisherigen, über zahlreiche Gesetze verstreuten Einzelregelungen, eliminiert oder an die Regelungen der DS-GVO angepasst werden müssen. Dies wird bis zum 25.05.2018 in einer zweiten Stufe der Datenschutz-Reform erfolgen und eine ganze Flut an Gesetzesänderungen mit sich bringen.

Bislang waren die Formulierungen präziser

In zahlreichen sogenannten Fachgesetzen sind Rechtsgrundlagen für eine Datenverarbeitung (häufig) öffentlicher Stellen enthalten. Diese sind nun auf Konformität zur DS-GVO zu prüfen und gegebenenfalls präziser zu formulieren. Darüber hinaus unterscheidet der Bundesgesetzgeber aktuell noch zwischen „erheben“, „verarbeiten“ und „nutzen“ von Daten und teilt den Begriff „verarbeiten“ noch auf in die Tätigkeiten „speichern“, „verändern“, „löschen“, „sperren“ und „übermitteln“. Die DS-GVO kennt lediglich den Begriff „verarbeiten“ ohne weitere Unterteilung. Die bestehenden Gesetzestexte sind nun daraufhin zu überprüfen, inwieweit durch diese weite Fassung des Begriffs „verarbeiten“ gegebenenfalls zusätzliche Befugnisse für einzelne Behörden hinzukämen und inwieweit diese gewünscht, bzw. zulässig wären.

Darüber hinaus sind in zahlreichen Bundesgesetzen auch Bußgeldtatbestände und Regelungen zum Schadenersatz definiert. Im Bereich des Datenschutzes gilt die DS-GVO hier allerdings abschließend und es ist nicht möglich, durch nationales Recht abweichende oder ergänzende Regelungen zu schaffen. Auch diese sind also aus den Bundesgesetzen zu entfernen. Dabei ist stets zu berücksichtigen, dass gegebenenfalls weitere bußgeldbewehrte Tatbestände, die nicht aus dem Bereich des Datenschutzes kommen, auch weiterhin geregelt werden können.

Was bedeutet das für die Praxis?

Für die Praxis bedeutet das zuallererst einmal, dass (hoffentlich) zukünftig weniger Gesetze nebeneinander gelegt werden müssen, um einen Sachverhalt im Bereich Datenschutz zu beurteilen. Es bedeutet aber auch, dass sich in den nächsten Monaten ca. 200 Gesetze des Bundesgesetzgebers ändern werden. Damit verbunden ist stets auch eine Einarbeitung aller Beteiligten in diese Gesetze und damit eine erneute Unsicherheit bezüglich der jeweiligen Auslegung.

Wir bleiben für Sie am Ball und informieren Sie auch zukünftig über Gesetzesänderungen, die relevant für den Datenschutz sind.