Editorial : Nach dem BDSG ist vor dem BDSG : aus der RDV 3/2016, Seite 109 bis 110
Mit rückschauend immer noch bemerkenswerter Zügigkeit wurde nach Beginn des Trilogs im Juni 2015 die die Zukunft des Europäischen Datenschutzes wohl über die kommenden Jahrzehnte bestimmende EU-Datenschutz-Grundverordnung verabschiedet und mit Wirkung vom 25.05.2016 in Kraft gesetzt. Geltung haben wird sie ab dem 25.05.2018 (Art. 99 DS-GVO). Der Titel Grundverordnung macht deutlich, dass auf europäischer und aber auch auf nationaler Ebene für ergänzende Regelungen Raum ist. Die je nach Zählweise für den nationalen Gesetzgeber ermittelten 50 – 60 sog. „Öffnungsklauseln“ zeigen ihn auf. Der Handlungsspielraum ist jedoch insofern begrenzt, da das mit der Verordnung gewollte Prinzip der Vollharmonisierung als unabdingbare Vorgabe gilt. Demgemäß sollte statt des möglicherweise zu weitreichende Regelungsspielräume vermuten lassenden Begriffs der Öffnungsklausel eher von ergänzenden Regelungsbefugnissen gesprochen werden. Einige von ihnen geben den Mitgliedsstaaten einen Handlungsauftrag; Andere – und das ist die Mehrzahl – eröffnen eine in das Ermessen der Staaten gestellte Handlungsoption.
Der Bundesgesetzgeber hat damit zunächst den Auftrag, das am 24.05.2018 außer Kraft tretenden BDSG insoweit durch gesetzliche Regelungen zu ersetzen, wie sie ihm von der Verordnung zur Vorgabe gemacht werden. Daneben hat er, bezogen auf das BDSG und auch im weiten Feld der bereichsspezifischen Datenverarbeitungsregelungen, die Vereinbarkeit mit der Verordnung zu überprüfen. Diesem Auftrag will er in zwei Schritten nachkommen und zwar indem er zunächst dem zur Ablösung durch die GVO anstehenden BDSG ein neues „abgespecktes“ BDSG unmittelbar nachfolgen lassen will, das zum einen den Regelungspflichten der Verordnung nachkommt und zum anderen aus dem BDSG „rettbare und rettwünschbare“, d.h. politisch weiterhin gewollte Bestimmungen beibehält. Das neue BDSG, dessen Entwurf noch vor der Sommerpause vorliegen soll, wird in 7 Kapitel gegliedert sein. Das als allgemeiner Teil konzipierte Kapitel I soll u.a. die Regelungen zur Bestellpflicht betrieblicher Datenschutzbeauftragter enthalten. Eine neue Zulässigkeitsnorm soll die Basis für in Art. 6 Abs. 1 lit. e DS-GVO zugelassene normenklare nationale Regelungen des öffentlichen Sektors bilden. Erhalten werden soll § 6a BDSG insoweit, als dass die automatisierte Einzelentscheidung über die Regelung in Art. 22 Abs. 2 lit. a DS-GVO hinaus auch bei einem sonstigen Rechtsverhältnis erlaubt sein soll. Auch §§ 28a, 28b und 29 Abs. 7 BDSG sollen, wobei über die Rechtsgrundlage hierfür noch diskutiert wird, fortbestehen. Fortgeschrieben werden soll ohne Änderungen auch § 32 BDSG, der damit den Beschäftigtendatenschutz nur partiell national regelt. Längerfristig wird es mit der Anpassung der außerhalb des BDSG angesiedelten Datenschutznormen dauern, wobei die Frist bis Mai 2018 hinsichtlich der anstehenden Mammutaufgabe durchaus kurz ist. An Diskussionsthemen zum Datenschutz wird es also nicht fehlen.
Prof. Peter Gola
Prof. Peter Gola Mitherausgeber und federführender Schriftleiter der Fachzeitschrift RDV sowie Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn