Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
EU-Datenschutz: Umsetzung in Deutschland
Die EU-Datenschutzgrundverordnung wird am 25. Mai 2018 anwendbar. Zu diesem Zeitpunkt ersetzt das sogenannte Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG-EU) die aktuelle Fassung des Bundesdatenschutzgesetzes. Der Beitrag gibt einen Überblick über die dann geltenden Regeln.
Das EU Datenschutzreform-Paket besteht aus der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – kurz: DS-GVO) und der Datenschutz-Richtlinie für Polizei und Justiz (Richtlinie (EU) 2016/680), die in Deutschland im Wesentlichen durch das Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) umgesetzt wird. Das DSAnpUG-EU wurde am 27. April 2017 vom Deutschen Bundestag verabschiedet. Das DSAnpUG-EU einschließlich der neuen Fassung des Bundesdatenschutzgesetzes (kurz: BDSG-neu) wird am 25. Mai 2018 in Kraft treten, während gleichzeitig die aktuelle Fassung des Bundesdatenschutzgesetztes (kurz: BDSG) seine Gültigkeit verliert (Artikel 8).
Datenschutz-Anpassungs-und Umsetzungsgesetz ersetzt aktuelles Bundesdatenschutzgesetz
Das DSAnpUG-EU ersetzt in Artikel 1 die aktuelle gültige Fassung des Bundesdatenschutzgesetzes (BDSG) mit einem Gesetz gleichlautenden Namens (wobei letzteres der Eindeutigkeit halber gerne als “BDSG-neu” oder “BDSG neue Fassung” bzw. “BDSG n.F.” bezeichnet wird). Des Weiteren enthält das DSAnpUG-EU eine Reihe von weiteren Gesetzgebungsänderungen im Bereich von Polizei, Justiz und Nachrichtendienste (Artikel 2 bis 6). Ferner ergänzt das DSAnpUG-EU die neue Version des BDSG um ein Verfahren (Artikel 7), mit der nationale Datenschutzaufsichtsbehörden Anträge auf gerichtliche Entscheidung bei angenommener Rechtswidrigkeit eines Beschlusses der Europäischen Kommission stellen können (z.B. angemessener Schutz durch das Privacy Shield Abkommen für Datenexporte in die USA).
Die neue Fassung des BDSG in Artikel 1 des DSAnpUG-EU ist in folgende Teile gegliedert:
- Teil 1 enthält gemeinsame Bestimmungen, die allen relevanten Datenverarbeitungen zugrunde gelegt werden sollen, unabhängig davon ob diese zu Zwecken der Datenschutz-Grundverordnung, der Datenschutz-Richtlinie Polizei und Justiz oder anderen Zwecken (z.B. zur Abwehr von Gefahren für die nationale Sicherheit) erfolgen. In diesem Teil finden sich auch die allgemeinen Rechtsgrundlagen für Datenverarbeitungen durch öffentliche Stellen sowie zur Videoüberwachung öffentlich zugänglicher Räume, Regelungen zu den Datenschutzbeauftragten öffentlicher Stellen und zum Amt des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie zur deutschen Vertretung im Europäischen Datenschutzausschuss.
- Teil 2 enthält ergänzende Bestimmungen zu Datenverarbeitungen zu Zwecken der Datenschutz-Grundverordnung. Diese Bestimmungen umfassen u.a. Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Weiterverarbeitung zu anderen Zwecken, zu Datenübermittlungen durch öffentliche Stellen, zu Betroffenenrechten, zu Verfahrensregelungen für Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung. Ferner enthält dieser Teil Regelungen zu besonderen Verarbeitungssituationen (z.B. für Zwecke des Beschäftigungsverhältnisses, zu wissenchaftlichen/historischen/statistischen Zwecken, für im öffentlichen Interesse liegenden Archivierungszweckem, bei Fällen von Geheimhaltungspflichten, Verbraucherkrediten, Scoring und Bonitätsauskünften).
- Teil 3 dient der Umsetzung der Datenschutz-Richtlinie für Polizei und Justiz (soweit diese nicht gesondert im Fachrecht vorgenommen wird) und enthält allgemeinen Regelungen zur Datenverarbeitung in diesem Bereich sowie ergänzende Bestimmungen zu Betroffenenrechten, zu den Pflichten der Verantwortlichen und Datenübermittlungen an Drittstaaten.
- Teil 4 enthält besondere Bestimmungen für Datenverarbeitungen außerhalb des Anwendungsbereichs der Datenschutz-Grundverordnung und der Datenschutz-Richtlinie für Polizei und Justiz B. für Übermittlungen von personenbezogenen Daten aus zwingenden Gründen der Verteidigung oder zur Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung sowie für humanitäre Maßnahmen.
Vergleich der aktuellen und der neuen Fassung des Bundesdatenschutzgesetzes
Mit der Verkündigung des DSAnpUGEU am 5. Juli 2017 hat Deutschland das Ziel erreicht, das Gesetzgebungsverfahren für das DSAnpUGEU noch vor den Bundestagswahlen im September 2017 zum Abschluss gebracht und damit als erster EU-Mitgliedstaat in Europa die wesentlichen Regelungen auf nationaler Ebene an die EU-Datenschutzreform angepasst zu haben. Auf diesem Weg wurden allerdings einige Abkürzungen genommen, Passagen von der DS-GVO in die neue Fassung des BDSG kopiert und von Öffnungsklauseln in der DS-GVO in einer Weise Gebrauch gemacht, welche die Rechtsprechung in naher Zukunft noch beschäftigen dürfte. Eine Praxishilfe zum Vergleich der aktuellen und neuen Fassung des Bundesdatenschutzgesetzes stellt die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) zur Verfügung.
Vergleich zwischen EU-Datenschutzgrundverordnung und neuem Bundesdatenschutzgesetz
Mit der Verkündigung des DSAnpUGEU ist die Anpassung der datenschutzrechtlichen Regelungen in Deutschland an die EU-Datenschutzreform allerdings noch nicht abgeschlossen. Zum einen sind noch die Datenschutzgesetze der Bundesländer sowie datenschutzrechtliche Regelungen im Fachrecht an die Datenschutz-Grundverordnung und Datenschutz-Richtlinie für Polizei und Justiz anzupassen. Zum anderen muss die ePrivacy-Verordnung, die maßgeblich in relevanten Fragen des digitalen Marketings sein wird, auch noch ihre Berücksichtigung finden muss (auch wenn stark zu bezweifeln ist, dass diese Verordnung rechtzeitig in Kraft tritt, damit diese wie ursprünglich geplant zum gleichen Termin wie die Datenschutz-Grundverordnung am 25. Mai 2018 anwendbar wird). Doch dies soll der der Gegenstand eines Folgeartikels sein.
Eine englischsprachige Variante des obenstehenden Artikels ist hier verfügbar.
Ernst O. Wilhelm, GFT Technologies SE

Seit mehr als 29 Jahren beschäftigt sich Dipl.-Inf. Ernst O. Wilhelm mit Software-Entwicklung und IT-Management und seit mehr als 14 Jahren speziell mit dem Thema Datenschutz und Datensicherheit. Heute arbeitet er als Chief Privacy Officer der GFT Technologies SE und ist hier verantwortlich für das weltweite Datenschutzprogramm des Unternehmens. Ein Herzensanliegen von Herrn Wilhelm ist die stärkere Beachtung von Datenschutz und Datenschutz als notwendige Voraussetzung für die Digitalisierung auf nationaler wie auch internationaler Ebene sowie eine stärkere Verzahnung von rechtlichen und informationstechnischen Aspekten bei der praktischen Umsetzung. Herr Wilhelm ist Mitglied im German Chapter of the Association of Computing Machinery (GChACM) als auch in der Gesellschaft für Informatik (GI) und hier insbesondere Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ und im Leitungsgremium der Regionalgruppe Stuttart/Böblingen aktiv. Außerdem ist er Mitglied in der Deutschen Gesellschaft für Recht und Informatik (DGRI) sowie der Gesellschaft für Datenschutz und Datensicherheit (GDD) und von der GDD zertifizierter Datenschutzbeauftragter (GDDcert). Ferner ist Herr Wilhelm Ehrenmitglied in der Vereinigung der italienischen Datenschutzbeauftragten (ASSO DPO) und hier unter anderem im wissenschaftlichen Beirat tätig. Schließlich ist er Mitglied und Fellow of Information Privacy (FIP) bei der International Association of Privacy Professionals (IAPP) und hier unter anderem aktiv als Trainer in der International Training Faculty, als Leiter des technischen Komitees im Training Advisory Board sowie als Chairman des KnowledgeNet Chapter Stuttgart sowie Inhaber der Zertifikate des CIPM, CIPP/E, CIPT Programms der IAPP.

Neueste Kommentare