DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

EU-Daten­schutz: Umsetzung in Deutschland

Die EU-Daten­schutz­grund­ver­ordnung wird am 25. Mai 2018 anwendbar. Zu diesem Zeit­punkt ersetzt das soge­nannte Daten­schutz-Anpas­sungs- und Umset­zungs­gesetz (DSAnpUG-EU) die aktuelle Fassung des Bun­des­da­ten­schutz­ge­setzes. Der Beitrag gibt einen Über­blick über die dann gel­tenden Regeln. 

Das EU Daten­schutz­reform-Paket besteht aus der Daten­schutz-Grund­ver­ordnung (Ver­ordnung (EU) 2016/679 – kurz: DS-GVO) und der Daten­schutz-Richt­linie für Polizei und Justiz (Richt­linie (EU) 2016/680), die in Deutschland im Wesent­lichen durch das Daten­schutz-Anpas­sungs- und Umset­zungs­gesetz EU (DSAnpUG-EU) umge­setzt wird. Das DSAnpUG-EU wurde am 27. April 2017 vom Deut­schen Bun­destag ver­ab­schiedet. Das DSAnpUG-EU ein­schließlich der neuen Fassung des Bun­des­da­ten­schutz­ge­setzes (kurz: BDSG-neu) wird am 25. Mai 2018 in Kraft treten, während gleich­zeitig die aktuelle Fassung des Bun­des­da­ten­schutz­ge­setztes (kurz: BDSG) seine Gül­tigkeit ver­liert (Artikel 8).

Daten­schutz-Anpas­sungs-und Umset­zungs­gesetz ersetzt aktu­elles Bun­des­da­ten­schutz­gesetz

Das DSAnpUG-EU ersetzt in Artikel 1 die aktuelle gültige Fassung des Bun­des­da­ten­schutz­ge­setzes (BDSG) mit einem Gesetz gleich­lau­tenden Namens (wobei letz­teres der Ein­deu­tigkeit halber gerne als “BDSG-neu” oder “BDSG neue Fassung” bzw. “BDSG n.F.” bezeichnet wird). Des Wei­teren enthält das DSAnpUG-EU eine Reihe von wei­teren Gesetz­ge­bungs­än­de­rungen im Bereich von Polizei, Justiz und Nach­rich­ten­dienste (Artikel 2 bis 6). Ferner ergänzt das DSAnpUG-EU die neue Version des BDSG um ein Ver­fahren (Artikel 7), mit der nationale Daten­schutz­auf­sichts­be­hörden Anträge auf gericht­liche Ent­scheidung bei ange­nom­mener Rechts­wid­rigkeit eines Beschlusses der Euro­päi­schen Kom­mission stellen können (z.B. ange­mes­sener Schutz durch das Privacy Shield Abkommen für Daten­ex­porte in die USA).

Abb.: Daten­schutz-Anpas­sungs- und Umset­zungs­gesetz (DSAn­pUGEU) im Über­blick

Die neue Fassung des BDSG in Artikel 1 des DSAnpUG-EU ist in fol­gende Teile gegliedert:

  • Teil 1 enthält gemeinsame Bestim­mungen, die allen rele­vanten Daten­ver­ar­bei­tungen zugrunde gelegt werden sollen, unab­hängig davon ob diese zu Zwecken der Daten­schutz-Grund­ver­ordnung, der Daten­schutz-Richt­linie Polizei und Justiz oder anderen Zwecken (z.B. zur Abwehr von Gefahren für die nationale Sicherheit) erfolgen. In diesem Teil finden sich auch die all­ge­meinen Rechts­grund­lagen für Daten­ver­ar­bei­tungen durch öffent­liche Stellen sowie zur Video­über­wa­chung öffentlich zugäng­licher Räume, Rege­lungen zu den Daten­schutz­be­auf­tragten öffent­licher Stellen und zum Amt des oder der Bun­des­be­auf­tragten für den Daten­schutz und die Infor­ma­ti­ons­freiheit sowie zur deut­schen Ver­tretung im Euro­päi­schen Daten­schutz­aus­schuss.
  • Teil 2 enthält ergän­zende Bestim­mungen zu Daten­ver­ar­bei­tungen zu Zwecken der Daten­schutz-Grund­ver­ordnung. Diese Bestim­mungen umfassen u.a. Rege­lungen zur Ver­ar­beitung beson­derer Kate­gorien per­so­nen­be­zo­gener Daten, zur Wei­ter­ver­ar­beitung zu anderen Zwecken, zu Daten­über­mitt­lungen durch öffent­liche Stellen, zu Betrof­fe­nen­rechten, zu Ver­fah­rens­re­ge­lungen für Geld­bußen bei Ver­stößen gegen die Daten­schutz-Grund­ver­ordnung. Ferner enthält dieser Teil Rege­lungen zu beson­deren Ver­ar­bei­tungs­si­tua­tionen (z.B. für Zwecke des Beschäf­ti­gungs­ver­hält­nisses, zu wissenchaftlichen/historischen/statistischen Zwecken, für im öffent­lichen Interesse lie­genden Archi­vie­rungs­zweckem, bei Fällen von Geheim­hal­tungs­pflichten, Ver­brau­cher­kre­diten, Scoring und Boni­täts­aus­künften).
  • Teil 3 dient der Umsetzung der Daten­schutz-Richt­linie für Polizei und Justiz (soweit diese nicht gesondert im Fach­recht vor­ge­nommen wird) und enthält all­ge­meinen Rege­lungen zur Daten­ver­ar­beitung in diesem Bereich sowie ergän­zende Bestim­mungen zu Betrof­fe­nen­rechten, zu den Pflichten der Ver­ant­wort­lichen und Daten­über­mitt­lungen an Dritt­staaten.
  • Teil 4 enthält besondere Bestim­mungen für Daten­ver­ar­bei­tungen außerhalb des Anwen­dungs­be­reichs der Daten­schutz-Grund­ver­ordnung und der Daten­schutz-Richt­linie für Polizei und Justiz B. für Über­mitt­lungen von per­so­nen­be­zo­genen Daten aus zwin­genden Gründen der Ver­tei­digung oder zur Erfüllung über- oder zwi­schen­staat­licher Ver­pflich­tungen auf dem Gebiet der Kri­sen­be­wäl­tigung oder Kon­flikt­ver­hin­derung sowie für huma­nitäre Maß­nahmen.

Ver­gleich der aktu­ellen und der neuen Fassung des Bun­des­da­ten­schutz­ge­setzes

Mit der Ver­kün­digung des DSAn­pUGEU  am 5. Juli 2017 hat Deutschland das Ziel erreicht, das Gesetz­ge­bungs­ver­fahren für das DSAn­pUGEU noch vor den Bun­des­tags­wahlen im Sep­tember 2017 zum Abschluss gebracht und damit als erster EU-Mit­glied­staat in Europa die wesent­lichen Rege­lungen auf natio­naler Ebene an die EU-Daten­schutz­reform ange­passt zu haben. Auf diesem Weg wurden aller­dings einige Abkür­zungen genommen, Pas­sagen von der DS-GVO in die neue Fassung des BDSG kopiert und von Öff­nungs­klauseln in der DS-GVO in einer Weise Gebrauch gemacht, welche die Recht­spre­chung in naher Zukunft noch beschäf­tigen dürfte. Eine Pra­xis­hilfe zum Ver­gleich der aktu­ellen und neuen Fassung des Bun­des­da­ten­schutz­ge­setzes stellt die Gesell­schaft für Daten­schutz und Daten­si­cherheit e.V. (GDD) zur Ver­fügung.

Ver­gleich zwi­schen EU-Daten­schutz­grund­ver­ordnung und neuem Bun­des­da­ten­schutz­gesetz

Mit der Ver­kün­digung des DSAn­pUGEU ist die Anpassung der daten­schutz­recht­lichen Rege­lungen  in Deutschland an die EU-Daten­schutz­reform aller­dings noch nicht abge­schlossen. Zum einen sind noch die Daten­schutz­ge­setze der Bun­des­länder sowie daten­schutz­recht­liche Rege­lungen im Fach­recht an die Daten­schutz-Grund­ver­ordnung und Daten­schutz-Richt­linie für Polizei und Justiz anzu­passen.  Zum anderen muss die ePrivacy-Ver­ordnung, die maß­geblich in rele­vanten Fragen des digi­talen Mar­ke­tings sein wird, auch noch ihre Berück­sich­tigung finden muss (auch wenn stark zu bezweifeln ist, dass diese Ver­ordnung recht­zeitig in Kraft tritt, damit diese wie ursprünglich geplant zum gleichen Termin wie die Daten­schutz-Grund­ver­ordnung am 25. Mai 2018 anwendbar wird). Doch dies soll der der Gegen­stand eines Fol­ge­ar­tikels sein.

Eine eng­lisch­spra­chige Variante des oben­ste­henden Artikels ist hier ver­fügbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ernst O. Wilhelm, GFT Tech­no­logies SE

Seit mehr als 29 Jahren beschäftigt sich Dipl.-Inf. Ernst O. Wilhelm mit Software-Ent­wicklung und IT-Management und seit mehr als 14 Jahren spe­ziell mit dem Thema Daten­schutz und Daten­si­cherheit. Heute arbeitet er als Chief Privacy Officer der GFT Tech­no­logies SE und ist hier ver­ant­wortlich für das welt­weite Daten­schutz­pro­gramm des Unter­nehmens. Ein Her­zens­an­liegen von Herrn Wilhelm ist die stärkere Beachtung von Daten­schutz und Daten­schutz als not­wendige Vor­aus­setzung für die Digi­ta­li­sierung auf natio­naler wie auch inter­na­tio­naler Ebene sowie eine stärkere Ver­zahnung von recht­lichen und infor­ma­ti­ons­tech­ni­schen Aspekten bei der prak­ti­schen Umsetzung. Herr Wilhelm ist Mit­glied im German Chapter of the Asso­ciation of Com­puting Machinery (GChACM) als auch in der Gesell­schaft für Infor­matik (GI) und hier ins­be­sondere Prä­si­di­ums­ar­beits­kreis „Daten­schutz und IT-Sicherheit“ und im Lei­tungs­gremium der Regio­nal­gruppe Stuttart/Böblingen aktiv. Außerdem ist er Mit­glied in der Deut­schen Gesell­schaft für Recht und Infor­matik (DGRI) sowie der Gesell­schaft für Daten­schutz und Daten­si­cherheit (GDD) und von der GDD zer­ti­fi­zierter Daten­schutz­be­auf­tragter (GDDcert). Ferner ist Herr Wilhelm Ehren­mit­glied in der Ver­ei­nigung der ita­lie­ni­schen Daten­schutz­be­auf­tragten (ASSO DPO) und hier unter anderem im wis­sen­schaft­lichen Beirat tätig. Schließlich ist er Mit­glied und Fellow of Infor­mation Privacy (FIP) bei der Inter­na­tional Asso­ciation of Privacy Pro­fes­sionals (IAPP) und hier unter anderem aktiv als Trainer in der Inter­na­tional Training Faculty, als Leiter des tech­ni­schen Komitees im Training Advisory Board sowie als Chairman des Know­led­geNet Chapter Stuttgart sowie Inhaber der Zer­ti­fikate des CIPM, CIPP/E, CIPT Pro­gramms der IAPP

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.