DA+

Aufsatz : Die zweite Stufe der Anpassung des Datenschutzrechts des Bundes an die EU-Datenschutz- Grundverordnung : aus der RDV 5/2017, Seite 219 bis 221

Lesezeit 7 Min.

Mit der am 5. Juli 2017 erfolgten Verkündung des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG-EU) im Bundesgesetzblatt konnte die 1. Stufe der Anpassungen des Bundesrechts an die EU-Datenschutzreform erfolgreich abgeschlossen werden. Die Schwierigkeit bestand dabei darin, ein möglichst kohärentes, für den Anwender praktikables System zu schaffen. Zentraler Kern des DSAnpUG-EU ist ein grundlegend neu konzipiertes BDSG (BDSG 2018).

Mit dem Abschluss der 1. Stufe der Anpassungsarbeiten steht den Verantwortlichen in Deutschland Zeit zur Verfügung, ihre Datenverarbeitung auf das allgemeine Datenschutzrecht, bestehend aus der Verordnung (EU) 2016/679 (DS-GVO), der Richtlinie (EU) 2016/680 (DS-RL) und dem BDSG 2018 umzustellen. Zudem hat der Bundesgesetzgeber das erforderliche Fundament gelegt, um nunmehr in einer zweiten Reformstufe das ausdifferenzierte bereichsspezifische Datenschutzrecht, das sich in ca. 200 Normen des Bundesrechts findet, an das künftige allgemeine Datenschutzrecht anzupassen.

I. Zentrale Aspekte der Anpassung des bereichsspezifischen Bundesrechts an die DS-GVO

Folgende Aspekte sind im Rahmen der Anpassungsgesetzgebung des Fachrechts von zentraler Bedeutung:

1. Rechtsgrundlagen für die Datenverarbeitung

Es finden sich aktuell in den Fachgesetzen unterschiedliche Ausgestaltungen der Rechtsgrundlagen für die Datenverarbeitung.

a) Allgemeine

Aufgabenzuweisungsnorm Teils wird im Fachrecht einer bestimmten Behörde eine konkrete Aufgabe zur Erledigung zugewiesen („Aufgabenzuweisungsnorm“), ohne dass das Fachgesetz eine Rechtsgrundlage für die Datenverarbeitung liefert. Dieser Ansatz kann im Einklang mit der DS-GVO fortgeführt werden. Dies ergibt sich aus Artikel 6 Absatz 3 Satz 1 DS-GVO, wonach die nationalen Gesetzgeber weiterhin die Rechtsgrundlagen für Verarbeitungen nach Artikel 6 Absatz 1 Buchstaben c und e DS-GVO setzen dürfen. Auch wenn dies in der aktuellen Diskussion um Spielräume der DS-GVO teilweise anders gesehen wird, ist der Verordnungstext nicht zuletzt in der englischen Textfassung eindeutig („The basis for the processing referred to in point c and e of paragraph 1 shall be laid down by…or Member state law“..). Die Rechtsgrundlage der Datenverarbeitung findet sich in diesen Fällen anknüpfend an die fachgesetzliche Aufgabenzuweisungsnorm künftig in dem allgemeinen Auffangtatbestand des § 3 BDSG 2018.

Diese Konstruktion kann aber nur in einfacher gelagerten Fällen tragen. Je grundrechtsintensiver eine Datenverarbeitung ist, desto präziser muss der Gesetzgeber weiterhin die Einzelheiten der Verarbeitung („welche Daten zu welchem Zweck verarbeitet werden“) gesetzlich normieren.

b) Konkrete Rechtsgrundlage für die Datenverarbeitung

Regelmäßig enthält das Fachrecht selbst eine konkrete Rechtsgrundlage für die Datenverarbeitung durch eine zuständige Behörde. Im Fachgesetz erlaubt der Gesetzgeber einer öffentlichen Stelle, bestimmte Daten zu einem konkreten Zweck verarbeiten zu dürfen. Diesen Ansatz kann der nationale Gesetzgeber ebenfalls beibehalten und sich dabei sowohl auf Artikel 6 Absatz 2 als auch auf Artikel 6 Absatz 3 Sätze 2 f. DS-GVO stützen. Die präzisen Regelungen im bereichsspezifischen Fachrecht sind im Übrigen mit Blick auf den strengen Gesetzesvorbehalt, den das BVerfG 1983 mit dem Volkszählungsurteil aufgestellt hat, verfassungsrechtlich weiterhin geboten.

c) Einwilligung als Rechtsgrundlage der Datenverarbeitung

In manchen bereichsspezifischen Gesetzen des Bundes wird als Rechtsgrundlage für die Datenverarbeitung durch öffentliche Stellen auch die Einwilligung aufgeführt. Dies erscheint europarechtlich ab Mai 2018 problematisch. Schließlich gilt auch für den sogenannten öffentlichen Bereich die Rechtsgrundlage „Einwilligung“ gemäß Artikel 6 Absatz 1 Buchstabe a DS-GVO unmittelbar.

2. Verweise

Die Ressorts prüfen derzeit die Verweise im Fachrecht auf das bis zum 24. Mai 2018 geltende BDSG. Teils können die Verweise ersetzt werden durch solche auf das BDSG 2018. Sollte sich der Inhalt der Norm des jetzigen BDSG ab dem 25. Mai 2018 aus der DS-GVO ergeben, wie z.B. für Definitionen, Auftragsverarbeitung, technisch-organisatorische Maßnahmen oder auch den Drittstaatentransfer, hat der Gesetzgeber zwei Möglichkeiten. Er kann den Verweis ersatzlos streichen, schließlich gilt die DS-GVO unmittelbar. Alternativ kann er, aus Gründen der Rechtsklarheit, auf die DS-GVO verweisen. Beide Varianten sind europarechtlich zulässig und sind im Übrigen auch im BDSG 2018 zu finden.

3. Begriffsbestimmungen

Die bisherigen nationalen Begriffsverwendungen sind an Artikel 4 DS-GVO anzupassen. Das klingt trivial. Ist es auch, soweit lediglich z.B. „Betroffener“ durch „betroffene Person“, „verantwortliche Stelle“ durch „Verantwortlicher“ oder der „Auftragsdatenverarbeiter“ durch „Auftragsverarbeiter“ zu ersetzen ist.

Anspruchsvoller gestaltet sich diese Prüfung aber im Zusammenhang mit dem Begriff der „Verarbeitung“.

Im EU-Recht umfasst die Definition der „Verarbeitung“ schon seit der Richtlinie 95/46/EG sämtliche Teilschritte der Verarbeitung. Die DS-GVO hat diesen weiten Verarbeitungsbegriff in Artikel 4 Ziffer 2 DS-GVO fortgeführt, indem unter „Verarbeitung“ eine nicht abschließende Liste der Teilschritte aufgeführt ist.

Hingegen unterscheidet der deutsche Gesetzgeber in § 3 Absätze 3 bis 5 des bis zum 24. Mai 2018 geltenden BDSG nach der Trias des „Erheben, Verarbeiten und Nutzen“ und zudem in § 3 Absatz 4 Ziffern 1 bis 5 BDSG nach den fünf Teilschritten „Speichern, Verändern, Übermitteln, Sperren und Löschen“ der Verarbeitung.

Bei der Prüfung des Fachrechts ist nun im Einzelfall zu entscheiden, ob man den Begriff des „Verarbeitens“ unverändert fortführt. Tut man dies, so gilt hier ab dem 25. Mai 2018 die weite Begriffsbestimmung des Artikels 4 Ziffer 2 DS-GVO. Konsequenz wäre, dass der Verantwortliche sehr viel mehr darf als heute nach der engen Definition des „Verarbeitens“ gemäß § 3 Absatz 4 BDSG. So hätte er nunmehr z.B. auch eine Rechtsgrundlage zum Erheben der Daten. Will man dies vermeiden, muss man konkret die Teilschritte der Verarbeitung benennen, zu denen der Verantwortliche berechtigt sein soll. Dabei kann man auf gewohnte Begriffe wie „Erheben“, „Speichern“, „Verändern“, „Übermitteln“ etc. aber zurückgreifen, wobei es keine nationale Begriffsbestimmung dieser Teilaspekte der Verarbeitung mehr geben wird. Die DS-GVO enthält keine entsprechenden Definitionen, und der nationale Gesetzgeber hat keinen Spielraum mehr, die Begriffe zu definieren.

4. Rechte der betroffenen Personen

Unmittelbar regelt ab dem 25. Mai 2018 die DS-GVO im Kapitel III die Rechte der betroffenen Personen. Ausnahmen von den einzelnen Rechten in den Artikeln 12 bis 22 DSGVO enthalten die DS-GVO selbst sowie punktuell und ergänzend das BDSG 2018. Ausnahmen im nationalen Recht müssen sich dabei an den Maßstäben in Artikel 23 DS-GVO messen lassen.

Im bereichsspezifischen Fachrecht des Bundes finden sich hinsichtlich der Rechte der betroffenen Personen aktuell unterschiedliche Ansätze: Teilweise hat der Gesetzgeber sowohl die Rechte der betroffenen Personen als auch die Ausnahmen spezifisch geregelt. Teils wird fachgesetzlich derzeit auf die Rechte aus dem BDSG verwiesen, um dann einzelne Ausnahmen neben den allgemeinen Ausnahmen nach dem BDSG vorzusehen. Nicht immer ergibt sich dabei rechtsklar aus den Normen des Bundesrechts, wie sich das Fachrecht und das BDSG zueinander verhalten.

In beiden genannten Fällen muss das Fachrecht an das neue allgemeine Datenschutzrecht aus DS-GVO und BDSG 2018 angepasst werden. Dabei ist zu berücksichtigen:

Geschaffen werden die Rechte der betroffenen Personen unmittelbar durch Kapitel III DS-GVO. Insofern enthält das BDSG 2018 hierzu auch keine Regelungen. Etwaige Verweise im Fachrecht auf Betroffenenrechte im jetzigen BDSG gehen damit ab dem 25. Mai 2018 ins Leere; schließlich wird das BDSG durch das BDSG 2018 ersetzt. Verweise auf die Rechte nach Kapitel III DS-GVO sind überflüssig. Die Rechte gelten unmittelbar.

Etwaige Ausnahmen von einzelnen Rechten sollten insbesondere mit Blick auf die an den spezifischen Verarbeitungskontext anknüpfenden Vorgaben des Artikels 23 Absatz 2 DS-GVO vorzugsweise bereichsspezifisch geregelt und konkret begründet werden.

5. Schadensersatz- und Bußgeldtatbestände

Die DS-GVO enthält in Artikel 82 bzw. Artikel 83 abschließende Regelungen zum Schadensersatz und zu Bußgeldtatbeständen. Bereichsspezifische Regelungen sind daher zu streichen. Lediglich in den Fällen, in denen nationale Bußgeldtatbestände nicht nur Datenschutzverstöße zum Gegenstand haben, könnten sie mit dem nichtdatenschutzrechtlichen Inhalt fortgeführt werden. Im Übrigen besteht bei Bußgeldtatbeständen Spielraum für den nationalen Gesetzgeber gemäß Artikel 83 Absatz 7 DS-GVO hinsichtlich der Frage, ob und in welcher Höhe Bußgelder gegen Behörden verhängt werden können. Das Verfahrensrecht steuert das BDSG 2018 bei.

II. Fazit und Ausblick

Die EU-Datenschutzreform hat für den deutschen Gesetzgeber umfangreichen Anpassungs- und, für den Anwendungsbereich der DS-RL, Umsetzungsbedarf zur Folge. Der hierfür zur Verfügung stehende Zeitraum von nur zwei Jahren ist ambitioniert.

Nach dem zügigen Abschluss der Arbeiten am DSAnpUG-EU im Juli 2017 ist in einer 2. Stufe das gesamte Fachrecht des Bundes an DS-GVO anzupassen. Im Vordergrund stehen in erster Linie rechtstechnische „Reparaturarbeiten“, die durch die DS-GVO und das BDSG 2018 erforderlich werden. Es handelt sich, wie aufgezeigt, jedoch nicht um eine rein schematische Bereinigung. An den Grundstrukturen des Fachrechts wird sich indes vergleichsweise wenig ändern. Dies zeigt das bereits abgeschlossene Gesetzgebungsverfahren zur Anpassung einzelner Vorschriften (insbesondere des Sozialgesetzbuches X und der Abgabenordnung).Die umfangreiche 2. Stufe erfolgt unter massivem Zeitdruck und sollte idealerweise bis zum 25. Mai 2018 abgeschlossen sein, um ein reibungsloses Zusammenspiel von DSGVO, BDSG 2018 und dem bereichsspezifischen Fachrecht sicherzustellen.

Über die 2. Stufe hinaus kann nicht ausgeschlossen werden, dass im Lichte der noch ausstehenden Anpassungsgesetze der anderen EU-Mitgliedstaaten die Frage aufkommen wird, ob der deutsche Gesetzgeber das BDSG 2018 punktuell überarbeiten sollte. Motiv könnte hierbei sein, auf nationaler Ebene der Spielräume der DS-GVO möglichst einheitlich zu nutzen, um die angestrebte Harmonisierung des Rechts insbesondere im privaten Bereich zu verwirklichen. Dies gilt z.B. hinsichtlich der Altersgrenze bei Einwilligungen von Minderjährigen gemäß Artikel 8 Abs. 1 DS-GVO oder auch für den Anwendungsbereich der nationalen Regelungen.

Ferner wird sich zu einem noch nicht absehbaren Zeitpunkt weiterer Anpassungsbedarf aus der e-Privacy-Verordnung er- geben, die EU-Parlament und Rat derzeit beraten. Insbesondere betroffen sind hier das Telekommunikationsgesetz und das Telemediengesetz.

 

Jörg Eickelpasch ist seit 2003 beschäftigt beim BMI. Zunächst eingesetzt als Referent in der Abteilung Öffentliche Sicherheit, dann als Personalreferent. Von September 2010 bis August 2015 Tätigkeit bei der Ständigen Vertretung der Bundesrepublik Deutschland bei der Europäischen Union in Brüssel (insbesondere ab Frühjahr 2012 Begleitung der Verhandlung über die EU-Datenschutzreform). Seit 2015 Einsatz im Referat „Datenschutzrecht, Reform des Datenschutzes in Deutschland und Europa“ des BMI, seit 2016 in der Funktion des Referatsleiters.