Keine starren Löschfristen unter der EU Datenschutz-Grundverordnung

Anders als derzeit in § 35 Abs. 2 S. 2 Nr. 4 BDSG vorgeschrieben, wird es im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) zumindest dem Grunde nach keine starren Löschfristen mehr für personenbezogene Daten geben. Auch das neue, ab dem 25.5.2018 anwendbare, BDSG sieht keine fixen Löschfristen vor.

Nach § 35 Abs. 2 S. 2 Nr. 4 BDSG sind personenbezogene Daten zu löschen, wenn sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist. Diese Vorgaben betreffen vor allem Auskunfteien.

Bereits im Juli dieses Jahres entschied das VG Karlsruhe (Urt. v. 6.7.2017 – 10 K 7698/16) in einem Verfahren zwischen der Aufsichtsbehörde in Baden-Württemberg und einer Auskunftei, dass sich die künftige Prüf- und Löschpraxis der Auskunfteien am Erforderlichkeitsmaßstab des Art. 5 Abs. 1 lit. e DSGVO messen lassen muss, der in Hinblick auf Fristlänge und Anknüpfungsmoment einen Spielraum eröffnet (hierzu mein Beitrag). Innerhalb des vorhandenen Spielraums sei eine gewisse Bandbreite an mit der DSGVO in Einklang stehenden Prüf- und Löschfristen zulässig.

Auch das Bayerische Staatsministerium des Inneren geht in einer nun veröffentlichen Antwort auf eine schriftliche Anfrage im Landtag davon aus, dass unter der DSGVO die Frage der Löschung von Daten nicht mit starren Fristen, sondern vom Ergebnis einer Interessenabwägung und Erforderlichkeitsbewertung abhängt (LT Drs. 17/17777, pdf).

Das Staatsministerium geht davon aus, dass mit Geltung der DSGVO keine unmittelbar aus dem Gesetz bzw. der Verordnung ableitbare starre Frist mehr gilt.

Die zulässige Speicherdauer ist damit künftig im Rahmen einer Interessenabwägung nach Art. 6 Abs.1 Buchst. f DSGVO zu bestimmen.

Diese Ansicht stützt die Regierung zudem auf eine Einschätzung des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Das BayLDA teilte auf Nachfrage mit, dass es die geltende dreijährige Löschfrist auch unter Geltung der DSGVO für sachgerecht halte und allenfalls anstrebe, ihren Ablauf künftig taggenau berechnen zu lassen.

Hinzuweisen ist darauf, dass Löschfristen in Zukunft aber vor allem noch im öffentlichen Sektor eine Rolle spielen können; insbesondere wenn die Löschung in bereichsspezifischen Datenschutzregelungen und auf der Grundlage der Öffnungsklauseln der DSGVO vorgesehen ist. Solche Neuregelungen in spezifischen Bereichen hat der Bundestag bereits im Sommer 2017, relativ unbemerkt von der Öffentlichkeit, beschlossen (hierzu mein Blogbeitrag). So wird etwa in § 29c Abs. 1 AO vorgesehen, dass Daten nach Beendigung einer bestimmten Maßnahme innerhalb eines Jahres gelöscht werden müssen. Diese Änderung tritt am 25.5.2018 in Kraft.

Neue Datenschutzaufsichtsbehörde für den Norddeutschen Rundfunk

Bekanntlich verpflichtet Art. 85 Abs. 1 DSGVO die Mitgliedstaaten dazu, durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen. Es handelt sich um einen Regelungsauftrag an die Mitgliedstaaten. In Deutschland sowohl an den Bund als auch die Länder. Nach Art. 85 Abs. 2 DSGVO müssen die Mitgliedstaaten Ausnahmen von den meisten Kapiteln der DSGVO vorsehen, wenn die Verarbeitung zu journalistischen Zwecken erfolgt und die Ausnahmen erforderlich sind, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

Bisher ist das sog. Medienprivileg in § 41 BDSG bzw. § 57 RStV geregelt. Im neuen, ab dem 25. Mai 2018 geltenden, BDSG wird eine solche Regelung bewusst fehlen. Dies bedeutet, dass in Deutschland die Bundesländer solche Ausnahmen schaffen müssen.

Derzeit wird länderübergreifend etwa der geltende Rundfunkstaatsvertrag (RStV) mit Blick auf die DSGVO überarbeitet.

Daneben sind jedoch auch einzelne Bundesländer mit Ergänzungen bzw. Anpassungen der rechtlichen Rahmenbedingungen für Rundfunkanstalten der Länder befasst. Hinsichtlich des Norddeutschen Rundfunks (NDR) haben sich die viel NDR-Staatsvertragsländer darauf geeinigt, die Umsetzung der DSGVO in einem eigenen „NDR-Datenschutz-Staatsvertrag“ vorzunehmen.

Der Entwurf dieses NDR-Datenschutz-Staatsvertrages vom 13.09.2017 ist nun öffentlich abrufbar (pdf). Die Unterzeichnung des NDR-Datenschutz-Staatsvertrages ist für Ende November / Anfang Dezember 2017 vorgesehen.

Mit dem Entwurf werden die datenschutzrechtlichen Normen im NDR-Staatsvertrag (§§ 41, 42) gestrichen und durch § 1 und § 2 Abs. 4 des neuen NDR-Datenschutz-Staatsvertrages ersetzt. Völlig neu sind hierbei die Regelungen in § 1 Abs. 1 bis 3 und die §§ 3 & 4 zur Ernennung des „Rundfunkbeauftragten für den Datenschutz beim NDR“ und sind gänzlich neu. Neben dem Datenschutzbeauftragten des NDR (der auch bisher schon existiert) wird ein Rundfunkbeauftragter für den Datenschutz beim NDR geschaffen. Er soll Behördenqualität erhalten und seine Funktion besteht darin, Datenschutzbeauftragten des NDR zu überwachen. Nach § 2 Abs. 1 soll der Rundfunkbeauftragte für den Datenschutz die zuständige Aufsichtsbehörde im Sinne des Art. 51 DSGVO sein. Nach § 3 Abs. 1 ist er in Ausübung seines Amtes unabhängig und nur dem Gesetz unterworfen. Er unterliegt auch keiner Rechts- oder Fachaufsicht. Hierdurch wird dem Erfordernis der völligen Unabhängigkeit der Datenschutzaufsichtsbehörden Rechnung getragen.

Hiermit soll also für den NDR eine eigene Datenschutzaufsichtsbehörde geschaffen werden, die von dem Datenschutzbeauftragten des NDR zu unterscheiden ist. Rundfunkbeauftragte für den Datenschutz überwacht die Einhaltung der Datenschutzvorschriften des Rundfunkstaatsvertrages, der DSGVO und anderer Vorschriften über den Datenschutz bei der gesamten Tätigkeit des NDR (§ 4 Abs. 1). Grundsätzlich sollen ihm auch alle Befugnisse nach Art. 57 und 58 Abs. 1 DSGVO zustehen. Geldbußen soll er gegenüber dem NDR jedoch nicht verhängen dürfen.

OVG Hamburg zur Datensicherheit: (Un)Verhältnismäßigkeit technischer & organisatorischer Maßnahmen

In einem Urteil vom 22.06.2017 (Az. 4 Bf 160/14) befasste sich das Hamburgische Oberverwaltungsgericht (OVG) unter anderem auch mit der Frage, welche technischen und organisatorischen Maßnahmen nach § 9 BDSG zu treffen sind, um die in der Anlage zum BDSG genannten Anforderungen zu gewährleisten.

Das Verfahren betraf im Kern kein datenschutzrechtliches Thema. Die Klägerin, ein Unternehmen aus Hamburg, begehrte die Erteilung einer Erlaubnis für die Vermittlung von Lotterien im Internet ohne beschränkende Nebenbestimmungen. In einem Bescheid aus 2012 erteilte die zuständige Behörde der Klägerin die Erlaubnis als gewerbliche Spielvermittlerin Glücksspiele unter ihrer Domain zu vermitteln. Weiter enthielt der Bescheid mehrere Nebenbestimmungen, u.a. auch folgende Nummer 14:

14. Bei der gegebenenfalls für die Vermittlungstätigkeit eingesetzten Hard- und Software hat die Datensicherheit bei der Abwicklung des Glücksspiels dem von Kreditinstituten im elektronischen Zahlungsverkehr eingehaltenen Stand der Technik zu entsprechen. Der Nachweis, dass ein entsprechender Standard eingehalten wird, gilt bei Vorlage eines Zertifikates nach ISO/IEC 27001:2005 als erbracht. Die vorliegende Erlaubnis wird mit der Auflage erteilt, dass unverzüglich ein entsprechendes Zertifikat nachgereicht oder ein gleichwertiger Nachweis erbracht wird.

U. a. gegen diese Nebenbestimmung ging die Klägerin vor, da sie sie als unverhältnismäßig ansah. Das Niveau der dort vorgesehenen Zertifizierung sei außerordentlich hoch und werde von den wenigsten Wirtschaftsunternehmen eingehalten.

Nach Auffassung des OVG ist die Regelung jedoch rechtmäßig.

Das Gericht begründet seine Ansicht damit, dass die die Auflage einerseits dem Ziel des § 1 Nr. 4 GlüStV diene, wonach sicherzustellen ist, dass Glücksspiele ordnungsgemäß durchgeführt werden und die Spieler vor betrügerischen Machenschaften geschützt werden.

Jedoch gehöre auch der allgemeine Datenschutz zum ordnungsgemäßen Ablauf des Glücksspiels. Mit anderen Worten: die Vorgaben des Datenschutzrechts, auch solche zu technischen und organisatorischen Maßnahmen, muss die Klägerin in jedem Fall beachten. Nach Ansicht des OVG ist  die Klägerin nach § 9 BDSG verpflichtet, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zum BDSG genannten Anforderungen, zu gewährleisten.

„Das geforderte Sicherheitsniveau ist auch nicht unverhältnismäßig. Bei dem Standard nach ISO/IEC 27001:2005 handelt es sich um den weltweit gültigen Standard für die Datensicherheit. Hierauf baut auch der IT-Grundschutz-Katalog des Bundesamtes für Sicherheit in der Informationstechnik auf, der im Übrigen u. a. auch den Anforderungen des § 9 BDSG i. V. m. der Anlage zu § 9 Satz 1 BDSG Rechnung trägt.“

Zu beachten ist, dass das Gesetz, also derzeit § 9 BDSG und in Zukunft Art. 32 DSGVO, keine spezifischen Vorgaben zu den umzusetzenden Maßnahmen machen, sondern allgemein beschreiben, welchen Anforderungen die Maßnahmen genügen müssen bzw. welche Zwecke mit ihnen erfüllt werde müssen. Nach § 9 S. 1 BDSG sind „technischen und organisatorischen Maßnahmen zu treffen“. Insbesondere sollen die in der Anlage zu § 9 BDSG genannten Anforderungen gewährleistet werden. § 9 S. 2 BDSG gibt zudem vor, dass Maßnahmen nur dann als erforderlich angesehen werden, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Bei der Umsetzung von technischen und organisatorischen Maßnahmen ist mithin auch stets die Verhältnismäßigkeit ihrer Implementierung in der konkreten Situation zu berücksichtigen.

Nach Ansicht des OVG ist dafür, dass der in der Nebenbestimmung angesprochene Standard für die Klägerin nicht erreichbar ist, nichts ersichtlich. Das Gericht verweist hierfür auch auf die Homepage der Klägerin, auf der, jedenfalls im Hinblick auf den Datenschutz, auf eine Zertifizierung nach ISO/IEC 27001 durch den TÜV Saarland hingewiesen wird. Nach Auffassung des OVG stellt die Anforderung, eine ISO/IEC 27001 Zertifizierung nachzuweisen (und natürlich vorher die Anforderungen zu erfüllen) also keine unverhältnismäßige Maßnahme dar. Hierbei muss aber beachtet werden, dass das Gericht nur die konkreten Umstände in diesem Fall beurteilte. Darauf zu schließen, dass § 9 BDSG nur erfüllt ist, wenn eine ISO/IEC 27001 Zertifizierung vorliegt, wäre daher nicht angemessen.

Auf diese vorhandenen alternativen Möglichkeiten geht auch das OVG ein. Zunächst stellt es jedoch fest, dass die Tatsache, dass zum Nachweis eine Zertifizierung gefordert werde, nicht zu beanstanden sei. Auch wenn eine Zertifizierung gesetzlich nicht vorgeschrieben sei, dürfe eine solche im Wege einer Auflage aufgegeben werden, wenn sie dem Zweck des Verwaltungsaktes in der Hauptsache bzw. den gesetzlichen Regelungen „dient“, die für den Erlass des Hauptverwaltungsaktes maßgeblich sind.

Zuletzt ist das Gericht der Ansicht, dass das Argument der Klägerin, dass die Pflicht zum Nachweis eines entsprechenden Zertifikats aufgrund der damit verbundenen Kosten unverhältnismäßig sei, nicht durchgreife, da dieser Gesichtspunkt als rein wirtschaftlicher hinter den mit der Auflage verfolgten schützenswerten Zielen zurücktreten muss. Im Übrigen dürfe die Klägerin zum Nachweis auch einen „gleichwertigen Nachweis“ vorlegen. Der letztgenannte Aspekt ist zu begrüßen, da das Gericht hiermit deutlich macht, dass die Umsetzung technischer und organisatorischer Maßnehmen eben gerade nicht an einem bestimmten Zertifikat hängt. Der Nachweis, dass solche Maßnahmen existieren, kann auch anders erbracht werden.

Kritisch betrachtet werden kann jedoch die Auffassung des OVG, dass die mit der Umsetzung der Maßnahmen verbundenen Kosten hinter den „verfolgten schützenswerten Zielen zurücktreten“ müssen. Leider wird nicht in Gänze deutlich, ob das OVG damit tatsächlich jegliche Abwägung im Rahmen der Frage der Angemessenheit der Maßnahmen ablehnt. Dies wäre mit den Vorgaben des § 9 BDSG nur schwer vereinbar. Eine Abwägung ist im Rahmen der Verhältnismäßigkeitsprüfung in jedem Fall vorzunehmen. Die Kosten für die Maßnahmen können als Abwägungskriterium nicht per se ausscheiden, weil die verfolgten Ziele schützenswert sind. Denn nach diesem Verständnis würden die Kosten niemals Eingang in die Abwägung nach § 9 S. 2 BDSG finden oder im Ergebnis ab einer gewissen Grenze überwiegen. Dieses Verständnis lässt sich jedoch dem Wortlaut des Gesetzes nicht entnehmen.

Das Urteil des OVG ist eine der wenigen Entscheidungen zu einer Einzelthematik des Datenschutzrechts und daher aus Praxissicht sicherlich willkommen. Zum Teil kann man die Auffassung des Gerichts jedoch mit guten Argumenten kritisch hinterfragen.

Bundesländer passen Datenschutzgesetze an – Aktueller Stand der Gesetzesvorhaben und Anmerkungen

Der Bundesgesetzgeber hat es (zumindest teilweise) bereits hinter sich: die Anpassung des nationalen Datenschutzrechts an die ab 25. Mai 2018 anwendbare EU Datenschutz-Grundverordnung (DSGVO). Am 25. Mai 2018 tritt das neue Bundesdatenschutzgesetz (pdf) in Kraft. Die Aufgabe ist nur teilweise erledigt, da der Bundesgesetzgeber noch eine Vielzahl von Bundesgesetzen und auch Verordnungen anpassen muss. Aus der Antwort von Staatssekretär Engelke vom 12.9.2017 (pdf, S. 10) auf eine Anfrage von Konstantin von Notz ergibt sich ein durchaus noch umfassender Anpassungsbedarf. Demnach wird derzeit auch an einem Arbeitsentwurf für ein Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) gearbeitet. Der Prozess der Anpassung der Bundesvorschriften an die DSGVO sei zudem noch nicht abgeschlossen.

Auch die Bundesländer müssen ihre Datenschutzregeln, vor allem die Landesdatenschutzgesetze, an die Vorgaben der DSGVO anpassen. Erst seit Mitte August gelangen allmählich die ersten offiziellen Entwürfe ans Tageslicht:

Brandenburg: Gesetz zur Anpassung des Allgemeinen Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (pdf)

Sachsen: Gesetz zur Anpassung landesrechtlicher Vorschriften an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (pdf) (Sächsisches Datenschutzdurchführungsgesetz)

Sachsen-Anhalt: Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz (pdf) (wobei dieser Gesetzentwurf nur einen sehr kleinen Teilbereich der Vorgaben der DSGVO abdeckt und sich auf die Stellung und Aufgaben des Landesdatenschutzbeauftragten beschränkt; vglö hierzu meinen älteren Blogbeitrag)

Update vom 4.10.2017:

Bayern: Gesetzentwurf der Staatsregierung für ein Bayerisches Datenschutzgesetz (pdf) (derzeit zunächst in der Verbandsanhörung)

Auffällig ist, dass sich die Landesgesetzgeber sehr stark an dem neuen BDSG und den Vorschriften für nicht öffentliche Stellen orientieren. Zum Teil sind jedoch auch ganz individuelle Abweichungen vorgesehen. Nachfolgend möchte ich einige Gesetzentwürfe und dort enthaltene Regelungen vorstellen und kritisch kommentieren.

Brandenburg:

In § 3 soll der Begriff des „Anonymisieren“ ergänzend zu Art. 4 DSGVO definiert werden. Der Ausdruck bezeichnet das Verändern personenbezogener Daten dergestalt, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Aufgrund der bindenden Wirkung der DSGVO und ihres grundsätzlich abschließenden Regelungscharakters wird man aber die Frage stellen müssen, ob der nationale Gesetzgeber den Begriff des „Anonymisierens“ legal definieren darf. Laut der Gesetzesbegründung ergebe sich die Regelungsbefugnis hierfür aus Art. 6 Abs. 2 und 3 DSGVO (diese beiden Vorschriften nutzt der Gesetzentwurf aus Brandenburg im Übrigen sehr extensiv für verschiedenste Regelungen). Danach dürfen Mitgliedstaaten Regelungen einführen oder beibehalten, die spezifischen Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten. In ErwG 26 erwähnt die DSGVO anonyme Informationen. Dies sind Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die DSGVO nutzt folglich zum einen eine andere Umschreibung als § 3. Zum anderen dürfte die nationale Regelung an sich schon nicht zulässig sein, da die DSGVO (zumindest in einem ErwG) den Begriff abschließend umschreibt.

In § 4 Abs. 3 sieht der Gesetzesentwurf, abweichend von Art. 30 Abs. 4 DSGVO, vor, dass das Verzeichnis der Verarbeitungstätigkeiten von jedermann eingesehen werden kann. Auch diese Regelung stützt der Gesetzesentwurf auf Art. 6 Abs. 2 und 3 DSGVO, da es um eine Vorgabe zur Transparenz der Datenverarbeitung geht. Auch hier stellt sich aber die Frage, ob der nationale Gesetzgeber die Vorgaben der DSGVO (hier Art. 30 Abs. 4 DSGVO) insoweit aufbrechen darf, dass die Pflicht zur Offenlegung des Verzeichnisses auf jedermann erweitert wird.

Extensiv nutzt der Gesetzesentwurf in § 6 Abs. 1 Nr. 1 bis 8 die Erlaubnis nach Art. 6 Abs. 4 iVm Art. 23 Abs. 1 DSGVO, eine nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem sie ursprünglich erhoben wurden, zu schaffen. Jedoch ergibt sich aus der Gesetzesbegründung nicht, welche in Art. 23 Abs. 1 DSGVO abschließend benannten Ziele die jeweilige Erlaubnis in § 6 Abs. 1 Nr. 1 bis 8 nutzt. So soll die zweckändernde Verarbeitung nach Nr. 8 etwa zulässig sein, wenn die Daten aus allgemein zugänglichen Quellen erhoben werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das Interesse der betroffenen Person an dem Ausschluss der Speicherung oder einer Veröffentlichung der gespeicherten Daten offensichtlich überwiegt. Es bleibt unklar, welche in Art. 23 Abs. 1 DSGVO benannte Ziel mit dieser Regelung verfolgt. Eine Möglichkeit zur Weiterverarbeitung von Daten aus allgemein zugänglichen Quellen listet Art. 23 Abs. 1 DSGVO aber nicht auf. Auch hier besteht also das Risiko einer Europarechtswidrigkeit.

Sachsen:

Anders als die finale Fassung des neuen BDSG sieht § 22 Abs. 1 die Möglichkeit vor, dass auch Mitarbeiter öffentlicher Stellen ordnungswidrig handeln und als Folge mit einem Bußgeld von bis zu 50.000 EUR (Abs. 2) geahndet werden können. Eine solche Regelung dürfte jedoch europarechtswidrig sein.

Denn nationale Bußgeldtatbestände, die Sanktionen gegen Mitarbeiter öffentlicher Stellen vorsehen würden, sind nicht mit Art. 83 DSGVO vereinbar. Art. 83 Abs. 7 DSGVO enthält zwar eine Öffnungsklausel für Bußgeldtatbestände, die öffentliche Stellen adressieren. Dem ausdrücklichen Wortlaut nach bezieht sich die Regelungsbefugnis der Mitgliedstaaten aber allein darauf, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Art. 83 Abs. 7 DSGVO erwähnt nicht die Mitarbeiter der öffentlichen Stellen.

Weitere Landesdatenschutzgesetze sind derzeit in Arbeit bzw. liegen in Referentenentwürfen vor. Man darf gespannt sein, ob jedes Bundesland bis zum 25.5.2018 ein angepasstes Landesdatenschutzgesetz vorweisen kann.

Anpassung an die DSGVO: Sachsen-Anhalt reformiert Stellung des Landesdatenschutzbeauftragten

Als soweit ersichtlich erstes Bundesand ist nun ein Gesetzentwurf der Landesregierung Sachsen-Anhalt zur Anpassung des geltenden Landesdatenschutzgesetzes (DSG LSA) veröffentlicht worden (LT-Drs. 7/1736, 15.08.2017, pdf).

Mit dem „Entwurf eines Gesetzes zur Organisationsfortentwicklung des Landesbeauftragten für den Datenschutz“ soll die Organisation des Landesbeauftragten für den Datenschutz in Sachsen-Anhalt an die Vorgaben der EU Datenschutz-Grundverordnung (DSGVO) angepasst werden.

Lau der Begründung zum Entwurf ist dieser Teil eines zweistufigen Verfahrens zur Anpassung des DSG LSA an das EU-Recht. In dem vorliegenden Entwurf sollen die organisationsrechtlichen Fragestellungen behandelt werden. Dabei ist es das Ziel, zum 1. Januar 2018 eine arbeitsfähige Aufsichtsstruktur zu schaffen. In der zweiten Stufe sollen die materiell-rechtlichen Anpassungen an die neuen europarechtlichen Vorgaben vorgenommen werden. Dies betrifft z. B. die Neuregelung von sogenannten Betroffenenrechten in einem die DSGVO ausfüllenden Landesgesetz.

Momentan ist die Geschäftsstelle des Landesbeauftragten für den Datenschutz ist noch bei der Präsidentin des Landtags angesiedelt. Die Beibehaltung dieses Status quo scheidet jedoch als europarechtlich nicht zulässig in Zukunft aus. Hierzu wird § 21 Abs. 3 DSG LSA neu gefasst. Mit der Änderung soll der gesetzgeberische Auftrag aus Art. 52 DSGVO umgesetzt werden. Nach Art. 52 Abs. 1 DSGVO handelt jede Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. Um diese „völlige“ Unabhängigkeit herzustellen, wird die Geschäftsstelle aus der Landtagsverwaltung herausgelöst und verselbständigt.

Ganz interessant ist, dass Sachsen-Anhalt laut der Gesetzesbegründung auch darüber nachgedacht hatte, eine große Datenschutzbehörde für die Bundesländer Sachsen, Sachsen-Anhalt und Thüringen zu schaffen. Diese Idee wird aber nicht weiter verfolgt, die entsprechende Bereitschaft von Sachsen und Thüringen nicht signalisiert worden ist.

Nachfolgend noch ein kurzer Überblick zu ein paar Neuerungen im DSG LSA.

In § 20 Abs. 1 S. 2 DSG LSA werden die Anforderungen an den Landesdatenschutzbeauftragten neu gefasst und der DSGVO angeglichen. So wird der Tatbestand der besonderen Sachkunde für das Mitglied der Aufsichtsbehörde aus Art. 53 Abs. 2 DSGVO übernommen und als Ernennungserfordernis für den Landesbeauftragten für den Datenschutz normiert. Nach der Gesetzesbegründung wird diese ein Berufsanfänger nicht haben. Zudem wird die Altersdiskriminierung hinsichtlich der Vollendung des 35. Lebensjahres wird gestrichen.

Der Landesbeauftragte wird durch eine entsprechende Regelung in § 21 DSG LSA sowohl Aufsichtsbehörde im Sinne der DSGVO als auch Aufsichtsbehörde für den Bereich von Polizei und Justiz bis hin zur Strafvollstreckung im Sinne der RL (EU) 2016/680.

Die Möglichkeit, Bußgelder gegenüber öffentlichen Stellen des Landes zu verhängen, soll in § 22 Abs. 1 DSG LSA ausgeschlossen werden. Diese Möglichkeit eröffnet Art. 83 Abs. 7 DSGVO. Nach dem geplanten § 22 Abs. 1 DSG LSA erfüllt der Landesbeauftragte für den Datenschutz gegenüber allen öffentlichen Stellen die Aufgaben aus Art. 57 DSGVO und dazu stehen ihm die Befugnisse aus Art. 58 DSGVO, also auch gegenüber öffentlichen Stellen, zu. Geldbußen können durch den Landesbeauftragten gegenüber öffentlichen Stellen aber nicht verhängt werden. Nach Auffassung der Landesregierung sollten die europarechtlich normierten Befugnisse (Art. 58 DSGVO) der Aufsichtsbehörde ausreichen, hier zu rechtmäßigem Verhalten bei den Behörden anzuhalten. Ob das in der Praxis tatsächlich der Fall sein wird, muss man wohl abwarten.

Klarstellend ist jedoch anzumerken, dass gegen öffentliche Stellen, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, wie auch derzeit Bußgelder nach den für nicht-öffentliche Stellen geltenden Vorschriften verhängt werden können.

Der neue § 31b Abs. 1 S. 1 DSG LSA konzentriert die Zuständigkeit für Streitigkeiten in Datenschutzangelegenheiten aus allen Verwaltungsgerichtsbezirken des Landes beim Verwaltungsgericht Magdeburg. Nach § 31b Abs. 3 DSG LSA kann auch eine Landesbehörde gegen eine sie betreffende Anordnung des Landesbeauftragten für den Datenschutz Anfechtungsklage erheben. Diese Regelung ist, aufgrund der Befugnisse des Datenschutzbeauftragten nach Art. 58 DSGVO, erforderlich. Soweit sich auf der Klägerseite das Land bzw. eine Landesbehörde und auf der Beklagtenseite der Landesbeauftragte gegenüberstehen, handelt es sich um einen Insichprozess. Diese sind u. a. dann statthaft, wenn der Gesetzgeber die Zulassung des Insichprozesses ausdrücklich normiert, was mit Abs. 3 geschieht.

Kaum beachtet: Bundestag beschließt Anpassungen vieler Spezialgesetze an die Datenschutz-Grundverordnung

In den letzten Monaten wurde öffentlich vor allen Dingen über die Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung im Zuge der Schaffung eines neuen BDSG berichtet und diskutiert. Relativ geräuschlos hat der Bundestag jedoch zudem am 1. Juni über einen Änderungsantrag (BT Drs. 18/12611, pdf) von CDU/CSU und SPD im Ausschuss für Arbeit und Soziales abgestimmt und weitreichende Änderungen in vielen Spezialgesetzen zur Anpassung bestehender gesetzlicher Vorgaben an die Datenschutz-Grundverordnung beschlossen.

Die durch den Änderungsantrag betroffenen Gesetze sind die folgenden:

  • Handelsgesetzbuch
  • Genossenschaftsgesetz
  • Patentgesetz
  • Gebrauchsmustergesetz
  • Markengesetz
  • Halbleiterschutzgesetz
  • Urheberrechtsgesetz
  • Verwertungsgesellschaftengesetz
  • Designgesetz
  • Finanzverwaltungsgesetz
  • Abgabenordnung
  • Zehntes Buch Sozialgesetzbuch

Insbesondere werden durch die Änderungen die Betroffenenrechte in den Artikel 12 – 22 Datenschutz-Grundverordnung beschränkt. Diesbezüglich ausdrücklich festzustellen, dass der deutsche Gesetzgeber nach Artikel 23 Datenschutz Grundverordnung zu einer solchen Beschränkung befugt ist. Die jeweilige Beschränkung muss aber der Sicherstellung eines der in Artikel 23 Abs.1 lit) a bis j) Datenschutz-Grundverordnung genannten Schutzzwecke dienen. Ob die nun beschlossenen Gesetzesänderungen in Gänze den die Vorgaben der Datenschutz-Grundverordnung erfüllen, wird sich erst in Zukunft zeigen. Viele der Änderungen betreffen insbesondere öffentliche Register, in denen personenbezogene Daten enthalten sein können. In diesen Fällen betreffen viele der nun beschlossenen Änderungen die Beschränkung des Auskunftsrechts betroffener Personen.

Die nun durch den Bundestag verabschiedeten Anpassungen sind aber nur ein kleiner Ausschnitt jener spezialgesetzlicher Regelungen in Deutschland, die aufgrund der Anwendbarkeit der Datenschutz-Grundverordnung ab 25. Mai 2018 geprüft und ggf. angepasst werden müssen.

Neue IT-Sicherheitspflichten für Cloud-Dienste und Online-Marktplätze

Heute verabschiedet der Bundestag den Entwurf des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (BT Drs. 18/11242, pdf).

Mit dem Gesetz wird, wie der Titel bereits erahnen lässt, die sog. NIS-Richtlinie umgesetzt. Diese trat am 8. August 2016 in Kraft und muss bis zum 9. Mai 2018 in nationales Recht umgesetzt werden.

Viele der Pflichten der NIS-Richtlinie wurden bereits 2015 durch das deutsche IT-Sicherheitsgesetz umgesetzt. Nun werden noch einige wenige, jedoch nicht minder relevante, Anpassungen im nationalen Recht vorgenommen, um die letzten offenen Pflichten umzusetzen. Neu eingeführt werden nun insbesondere Regelungen (vgl. § 8c BSIG) für digitalen Dienste. Das sind: Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Neu ist auch, dass die Begriffe „Online-Marktplatz“, „Online-Suchmaschine“ und „Cloud-Computing-Dienst“ nun in Deutschland legal definiert werden (vgl. § 2 Abs. 11 BSIG).

Von den Pflichten für digitale Dienste ausgenommen sind solche Dienste, die von einer natürlichen Person oder von Kleinstunternehmen oder kleinen Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission (pdf) angeboten werden. Hierunter fallen Unternehmen, die weniger als 250 Personen beschäftigen und entweder höchstens einen Jahresumsatz von 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

Neue Begriffsbestimmungen

Online-Marktplätze (Abs. 9 Nr. 1): Dienste, die es Verbrauchern oder Unternehmern ermöglichen, Kaufverträge oder Dienstleistungsverträge mit Unternehmern entweder auf der Website dieser Dienste oder auf der Website eines Unternehmers, die von diesen Diensten bereitgestellte Rechendienste verwendet, abzuschließen. Umfasst sind daher auch B2B-Plattformen. Nicht erfasst werden Online-Dienste, die lediglich den Zugang zu dritten Diensten vermitteln, bei denen ein Vertrag geschlossen werden kann. Der Online-Marktplatz muss also der endgültige Bestimmungsort für den Abschluss dieser Verträge sein und darf nicht als Vermittler agieren (so Erwägungsgrund 15 der NIS-Richtlinie). Nach der NIS-Richtlinie zählen zu den Online-Marktplätzen sls Online Stores tätige „Application Stores“, die den digitalen Vertrieb von Anwendungen oder Software-Programmen von Dritten ermöglichen (z. B. also die großen App-Stores).

Online-Suchmaschinen (Abs. 9 Nr. 2): Dienste, die es Nutzern ermöglichen, Suchen grundsätzlich auf allen Websites oder auf Websites in einer bestimmten Sprache anhand einer Abfrage zu einem beliebigen Thema in Form eines Stichworts, einer Wortgruppe oder einer anderen Eingabe vorzunehmen, die daraufhin Links anzeigen, über die der Abfrage entsprechende Inhalte abgerufen werden können. Nicht hiervon erfasst sind Online-Dienste und Funktionen in IT-Anwendungen, die Suchen jeweils nur auf bestimmte Websites oder Domains ermöglichen. Nach Erwägungsgrund 16 NIS-Richtlinie sind hier von auch nicht Online-Dienste erfasst, die die Preise für bestimmte Produkte oder Dienste bei verschiedenen Unternehmern miteinander vergleichen und den Nutzer anschließend an den bevorzugten Unternehmer weiterleiten, damit er das Produkt dort kauft.

Cloud-Computing-Dienste (Abs. 9 Nr. 3): Dienste, die den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen. „Rechenressourcen“ umfassen verschiedene Arten der Ressourcen, wie Netze, Server oder sonstige Infrastruktur, Speicher und Anwendungen. „Skalierbar“ bedeutet, dass Rechenressourcen unabhängig von ihrem geografischen Standort vom Anbieter des Cloud-Computing-Dienstes flexibel zugeteilt werden können, um Nachfrageschwankungen zu bewältigten.

Pflichten

Nach dem neuen § 8c Abs. 1 BSIG haben Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.

Die Schutzpflichten der Anbieter beziehen sich also etwa nicht auf Informationen oder in den Systemen gespeicherte Daten, sondern auf die „Sicherheit der Netz- und Informationssysteme“.

Nach § 8c Abs. 2 BSIG müssen diese Maßnahmen zur Bewältigung von Risiken für die Sicherheit der Netz- und Informationssysteme unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Das erforderliche Sicherheitsniveau ist also nicht als absolut zu verstehen, sondern es hängt von einer Verhältnismäßigkeitsprüfung im konkreten Fall ab. Die notwendigen Maßnahmen sollen noch durch  Durchführungsrechtsakte der Kommission nach Art. 16 Abs. 8 der NIS-Richtlinie näher bestimmt werden.

Nach § 8c Abs. 3 S. 1 BSIG sind die Anbieter digitaler Dienste zudem verpflichtet, jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Bußgelder

Zudem wird auch der bestehende § 14 BSIG angepasst und damit die Bußgeldvorschriften auf die Anbieter digitaler Dienste ausgeweitet. Bußgeldbewehrt (bis zu 50.000 EUR) soll es in Zukunft sein, wenn gegen §§ 8c Abs. 1 S. 1, 8c Abs. 3 S. 1 oder 8c Abs. 4 Nr. 1 oder Nr. 2 BSIG verstoßen wird, also etwa eine Meldung nach § 8c Abs. 3 S. 1 BSIG nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig vornimmt.

Die Bußgeldvorschriften gelten für alle Anbieter, die digitale Dienste innerhalb Deutschlands anbieten, sofern sie nicht ihre Hauptniederlassung in einem anderen Mitgliedstaat der Europäischen Union haben oder, sofern sie nicht in einem anderen Mitgliedstaat der Europäischen Union niedergelassen sind, dort einen Vertreter benannt haben und in diesem Mitgliedstaat dieselben digitalen Dienste anbieten.

Die vorgenannten Änderungen sollen nach § 15 BSIG ab dem 10. Mai 2018 anwendbar sein.

Datenschutzbehörde: Datenschutz-Grundverordnung verpflichtet Hersteller von IoT-Geräten zu Sicherheits-Updates

Gestern hat die Landesdatenschutzbeauftragte in Nordrhein-Westfalen ihren Tätigkeitsbericht (pdf) für das Jahre 2016 vorgestellt.

In ihrem Bericht befasst die Datenschutzbeauftragte auch ausführlich mit den „Risiken und Nebenwirkungen des Internet der Dinge“ (IoT). Nach Auffassung der Datenschützerin verarbeiten die unterschiedlichsten vernetzten Dinge (wie Kühlschrank, Waschmaschine oder Fernseher) zum Teil höchst sensible und persönliche Daten. Betroffen hiervon sind auch „personenbezogene Daten“ im Sinne des Datenschutzrechts. Für die Datenschutzbeauftragte spielt, neben den reinen datenschutzrechtlichen Anforderungen (also insbesondere die Frage, ob bestimmte Daten überhaupt verarbeitet werden dürfen) auch die IT-Sicherheit als „Basisvoraussetzung“ bei der Gewährleistung des Datenschutzes im Internet der Dinge eine entscheidende Bedeutung.

Zur Beurteilung des Datenschutzes ist nach Ansicht der Datenschutzbeauftragten in den Blick zu nehmen, welche Daten die Geräte im Einzelnen erheben und was mit ihnen geschieht. Zwar wünsche sie sich eigentlich die Speicherung und Nutzung der Daten ausschließlich lokal auf den Geräten – dies sei in der Praxis jedoch kaum durchführbar, da Hersteller die Einbindung des Gerätes in die Cloud verpflichtend ausgestalten. Dies kritisiert die Datenschutzbeauftragte: die technische Notwendigkeit hierfür sei nicht ersichtlich.

Die im Zusammenhang mit dem IoT stehenden Themen beträfen zentrale Elemente der ab Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO). Nach Ansicht der Landesdatenschutzbeauftragten verpflichtet die DSGVO (leider wird kein konkreter Artikel genannt) Hersteller dazu, angemessene Maßnahmen zu treffen, um die Einhaltung der Datenschutzgrundsätze sicherzustellen. Wahrscheinlich stellt die Datenschutzbeauftragte hier zum einen auf die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO ab. Danach ist der für die Datenverarbeitung  Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Datenschutzgrundsätze  verantwortlich und muss dessen Einhaltung nachweisen können. Zudem dürfte die Datenschutzbeauftragte Art. 24 Abs. 1 DSGVO im Blick haben, nach dem der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen muss, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.

Zum Umfang dieser DSGVO-Pflichten gehört es nach Ansicht der Datenschutzbeauftragten auch,

bei der Produktentwicklung auch die IT-Sicherheit zu berücksichtigen und notfalls zeitnah Updates bereitzustellen.

Diese Pflichten fasst die Datenschutzbeauftragte auch unter den „Datenschutz durch Technikgestaltung“ nach Art. 25 Abs. 1 DSGVO.

Die Datenschutzbeauftragte geht in ihrer Stellungnahme jedoch leider nicht auf die Problematik ein, dass sowohl Art. 25 Abs. 1 DSGVO als auch Art. 24 Abs. 1 DSGVO nicht per se den Produkthersteller adressieren, sondern allein der „Verantwortliche“ verpflichtet ist. In der Praxis kann es aber durchaus vorkommen, dass der Hersteller eines vernetzten Produktes gar nicht als Verantwortlicher für die spätere Datenverarbeitung agiert. In diesem Fall ist der Hersteller aber auch nicht nach der DSGVO verpflichtet. Nicht ohne Grund verweist wohl daher auch Erwägungsgrund 78 DSGVO darauf, dass

die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden

sollten, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen. Von einer Verpflichtung der Hersteller ist hier keine Rede.

Die Datenschutzbeauftragte informiert dennoch abschließend, dass die Hersteller, auch im Hinblick auf die DSGVO, gefordert sind, ihre Angebote auf Konformität mit dem Datenschutzrecht zu überprüfen und entsprechend anzupassen.

In der Zukunft wird man abwarten müssen, wie die Vorgaben der DSGVO, die nicht „Hersteller“ adressieren, durch die Aufsichtsbehörden und im Streitfall auch durch die Gerichte ausgelegt werden. Klar ist jedoch, dass Datenverarbeitungen im Internet der Dinge den Anforderungen der DSGVO genügen müssen.

EU-Datenschützer: Nicht jede Verarbeitung birgt ein hohes Risiko für Betroffene

Die Art. 29 Datenschutzgruppe hat den Entwurf für Leitlinien zur Datenschutz-Folgenabschätzung nach der EU-Datenschutz-Grundverordnung (DSGVO) veröffentlicht (pdf). Bis zum 23. Mai 2017 haben interessierte Kreise die Möglichkeit, den Entwurf der Leitlinien zu kommentieren.

Bekanntermaßen sieht die ab dem 25. Mai 2018 geltende DSGVO in Art. 35 Abs. 1 die Pflicht für den Verantwortlichen vor, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen, wenn diese Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Folgenabschätzung ist zu dokumentieren.

Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet, eine Liste der Verarbeitungsvorgänge, für die ihrer Ansicht nach eine Datenschutz-Folgenabschätzung durchzuführen ist, zu erstellen und zu veröffentlichen.

Mit den nun im Entwurf vorliegenden Leitlinien, möchten die europäischen Datenschützer ihre Interpretation der zum Teil doch recht offen gehaltenen Begrifflichkeiten darlegen und zudem erste Empfehlungen für datenverarbeitenden Stellen aussprechen, insbesondere auch zu der noch offenen Frage, wann die Aufsichtsbehörden wohl von einem „hohen Risiko“ für die Rechte und Freiheiten natürlicher Personen ausgehen.

In dem Entwurf benennen die Datenschützer zehn Kriterien, die Verantwortliche berücksichtigen könnten, wenn sie im Zuge der Prüfung einer Verarbeitung das Merkmal des „hohen Risikos“ interpretieren sollen. Hohe Risiken können aus Sicht der Datenschützer etwa bei der Erstellung von Profilen von Personen bestehen oder aber auch bei der Übermittlung von Daten in Länder außerhalb des EWR. Je mehr der zehn Kriterien erfüllt sind, desto eher sei von einem hohen Risiko der Verarbeitung auszugehen.

Die Datenschützer nennen auch einige Praxisbeispiele und ordnen diese nach den Kategorien „Folgenabschätzung erforderlich: ja/nein“ ein. So soll eine Folgenabschätzung etwa nötig sein, wenn Daten aus öffentlichen Profilen in sozialen Medien entnommen werden, um mit diesen eigene Profile zu erstellen, z. B. für Kontaktverzeichnisse. Keine Folgenabschätzung sei jedoch erforderlich, wenn ein Onlineshop-Betreiber eingeschränkt personalisierte Werbung auf seiner Webseite einblendet, die sich aus Daten aus vergangenem Kaufverhalten ergibt.

Zudem weisen die Datenschützer darauf hin, dass ihrer Ansicht nach aktuell vorgenommene Verarbeitungen grundsätzlich nicht einer Folgenabschätzung unterzogen werden müssen. Dies würde sich jedoch ändern, wenn sich etwa die Datenquantität oder die Verarbeitungszwecke ändern.

Ganz generell gehen die Datenschützer, meines Erachtens durchaus diskutabel, davon aus, dass eine Folgenabschätzung spätestens alle drei Jahre zu wiederholen sei. Aus der DSGVO selbst ergibt sich diese Frist von drei Jahren nicht.

Anhörung im Innenausschuss des Bundestages – Meine Stellungnahme zum BDSG-E

Am 27. März 2017 habe ich die Ehre als Sachverständiger im Innenausschuss des Bundestages zu dem Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) sprechen zu dürfen. Darüber freue ich mich sehr.

Meine Stellungnahme, in der ich (aufgrund der knappen Bearbeitungszeit) nur einige Themen anschneiden konnte, kann man über die Seite des Innenausschusses herunterladen (PDF).

Schwerpunktmäßig geht es natürlich um die Anpassung des BDSG an die Vorgaben der Datenschutz-Grundverordnung. In einem allgemeinen Teil gehe ich aber auch auf die europäischen Vorgaben zur Anpassung des deutschen Rechts ein und stelle meine Meinung zu dem Streitpunkt dar, ob nationale Datenschutzbehörden möglicherweise gegen EU-Vorgaben verstoßende nationale Norman nicht anwenden dürfen (oder können). Viel Spass bei der Lektüre.

Für die Anhörung kann man sich noch bis zum 23. März 2017 über die Adresse innenausschuss@bundestag.de anmelden.