Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO

Transkript

1 Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO 8. Hessischer kommunaler Datenschutztag 12. Oktober 2016 Dr. Jost Onstein Referent im Bundesministerium des Innern

2 I. Die Datenschutz-Grundverordnung ein Überblick Regelungsziele mitgliedstaatliche Gestaltungsspielräume II. Abgleich mit dem dt. Datenschutzrecht eine Bestandsaufnahme Anpassungsbedarf? Anpassungsbedarf! Auswirkungen III. Das BDSG-Nachfolgegesetz (ABDSG) ein Werkstattbericht Regelungsziel und Inhalt Zeitplan Seite 1

3 I. Die Datenschutzgrundverordnung Regelungsziele Art. 1 Abs. 1 DS-GVO Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Regelungsziele der DS-GVO: Modernisierung der Datenschutzrichtlinie 95/46/EG Harmonisierung des Datenschutzrechts Seite 2

4 I. Die Datenschutzgrundverordnung Regelungsziele Modernisierung der Datenschutzrichtlinie 95/46/EG Erweiterung der Betroffenenrechte höhere Anforderungen an den technologischen Datenschutz Stärkung der Selbstregulierung (Zertifizierung, Codes of Conduct) Stärkung der Befugnisse der Datenschutzaufsicht Seite 3

5 I. Die Datenschutzgrundverordnung Regelungsziele Harmonisierung des Datenschutzrechts Marktortprinzip: Einbeziehung von Anbietern aus Drittstaaten One Stop Shop-Verfahren: Einheitlicher Ansprechpartner Europäischer Datenschutzausschuss: Einheitlicher Vollzug Rechtsinstrument der Verordnung EG 13: Damit in der Union ein gleichmäßiges Datenschutzniveau ( ) gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich ( ) Seite 4

6 I. Die Datenschutzgrundverordnung Mitgliedstaatliche Gestaltungsspielräume Art. 288 AEUV: Die Verordnung hat allgemeine Geltung. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat Aber: keine abschließende Regelung (wenige) Regelungsaufträge Zwingend umzusetzen bis Anwendbarkeit DSGVO (viele) Regelungsoptionen Aktivierung und deren Zeitpunkt steht MS frei Seite 5

7 I. Die Datenschutzgrundverordnung Mitgliedstaatliche Gestaltungsspielräume Regelungsaufträge ( Muss -Regelungen) v.a. institutionelle Aspekte und Verfahren Unabhängige Datenschutzaufsicht DEU Vertretung im Europäischen Datenschutzausschuss Rechtsschutz gegen aufsichtsbehördliche Maßnahmen Strafrechtliche Sanktionen Seite 6

8 I. Die Datenschutzgrundverordnung Mitgliedstaatliche Gestaltungsspielräume Regelungsoptionen ( Kann -Regelungen) v.a. materielle Aspekte der Datenverarbeitung Schaffung/Erhalt von Verarbeitungsgrundlagen im öffentl. Interesse Regelungen für zweckändernde Verarbeitungen Einschränkung der Betroffenenrechte Besondere Verarbeitungssituationen Beschäftigtendatenschutz Berufsgeheimnisträger Wissenschaft/Forschung/Archive Seite 7

9 II. Auswirkungen auf das dt. Datenschutzrecht Anpassungsbedarf? Anpassungsbedarf! Anpassungsbedarf im BDSG BDSG kann nicht unverändert stehen bleiben (Anwendungsvorrang DS-GVO) DS-GVO kann nicht in BDSG abgeschrieben werden (Wiederholungsverbot) Seite 8

10 II. Auswirkungen auf das dt. Datenschutzrecht Anpassungsbedarf? Anpassungsbedarf! Abgleich des dt. Datenschutzrechts mit Vorgaben der DS-GVO 1. Regelungsaufträge der DSGVO sind zwingend umzusetzen 2. Handlungsoptionen der DSGVO können umgesetzt werden 3. Nationales Recht, das DSGVO widerspricht, ist aufzuheben 4. Nationales Recht, das die DSGVO wiederholt, ist grds. aufzuheben Ergebnis: zu 1.: zu 2.: zu 3. und 4.: Teile müssen neu geschaffen werden Teile des BDSG können erhalten bleiben Teile des BDSG müssen gestrichen werden Seite 9

11 II. Auswirkungen auf das dt. Datenschutzrecht Folgen für BDSG 1. Regelungsaufträge der DSGVO sind zwingend umzusetzen Teile müssen im dt. Recht neu geschaffen werden, z.b.: dt. Vertretung im Europäischen Datenschutzausschuss Rechtsschutz gegen aufsichtsbehördliche Verfügungen ggü. Behörden Rechtsschutz gegen Bußgelder der Aufsichtsbehörden Seite 10

12 II. Auswirkungen auf das dt. Datenschutzrecht Folgen für BDSG Konsequenzen für das deutsche Datenschutzrecht 2. Handlungsoptionen der DSGVO können umgesetzt werden Teile des BDSG können modifiziert erhalten bleiben: Allg. Rechtsgrundlagen für DV durch öffentliche Stellen, 13ff. Einschränkung der Betroffenenrechte Beschäftigtendatenschutz, 32 BDSG behördlicher/betrieblicher Datenschutzbeauftragter: Kündigungsschutz, Verschwiegenheitspflicht, Voraussetzung der Bestellung Aber: Anpassung an Vorgaben der DS-GVO erforderlich (keine 1:1-Übernahme) BMI-Position: zwar optional, aber wichtig und daher umzusetzen! Seite 11

13 II. Auswirkungen auf das dt. Datenschutzrecht Folgen für BDSG 3. Nationales Recht, das DSGVO widerspricht, ist aufzuheben 4. Nationales Recht, das die DSGVO wiederholt, ist grds. aufzuheben Teile des BDSG müssen gestrichen werden, z.b.: Allg. Rechtsgrundlagen der Datenverarbeitung (Einwilligung, Vertrag, Interessenabwägung) Betroffenenrechte (Ausn.: Einschränkungen, Art. 23) Datenverarbeitung im nicht-öffentlichen Bereich ( 27ff.) Betreiberpflichten (technisch-organisatorische Maßnahmen, Vorabkontrolle, Meldepflichten, Verfahrensverzeichnis, Datenpannen ) Auftragsdatenverarbeitung Seite 12

14 II. Auswirkungen auf das dt. Datenschutzrecht Anpassungsbedarf? Anpassungsbedarf! viele Gestaltungsspielräume im öffentlichen Bereich Datenverarbeitung im öffentlichen Interesse i.s.d. Art. 6 Abs. 1 lit. e) DS-GVO Bereichsspezifische Regelungen können weitgehend erhalten bleiben, aber Rechtsbereinigung (Terminologie, Verweise) geringe Gestaltungsspielräume im nicht-öffentlichen Bereich weitgehende Harmonisierung auf europäischer Ebene Leitgedanke freier Datenverkehr Seite 13

15 II. Auswirkungen auf das dt. Datenschutzrecht Folgen für BDSG Folge: Struktur des BDSG wandelt sich grundlegend! weniger Rechtsgrundlagen (nur in Ergänzung zu DS-GVO) weniger Betreiberpflichten (nur in Ergänzung zu DS-GVO) weniger Betroffenenrechte (nur Einschränkung in Ergänzung zu DS-GVO) mehr institutionelle Regelungen (dt. Vertretung im Eur. Datenschutzausschuss) mehr verfahrensrechtliche Regelungen (Rechtsschutz, Bußgeldverfahren) Seite 14

16 II. Auswirkungen auf das dt. Datenschutzrecht Folgen für BDSG Folge: Struktur des BDSG wandelt sich grundlegend! Wichtig: Streichungen im nat. Recht = Rechtsbereinigung Absenkung des Datenschutzniveaus Regelungen, die im dt. Recht entfallen, sind unmittelbar in DS-GVO geregelt Seite 15

17 II. Auswirkungen auf das dt. Datenschutzrecht Folgen für BDSG Folge: Es bestehen künftig 3 Regelungsebenen DS-GVO gilt unmittelbar, sofern kein Spielraum für MS BDSG-Nachfolgegesetz allgemeine (Auffang-)Regelungen, sofern Spielraum für MS Bereichsspezifisches nationales Datenschutzrecht ergänzende, spezifische Regelungen, sofern Spielraum für MS Rechtsanwender müssen künftig mit mehreren Rechtsakten arbeiten Der erste Blick muss in die DS-GVO gehen, ergänzend in das dt. Recht Seite 16

18 III. Das BDSG-Nachfolgegesetz ABDSG Regelungsziel und Inhalt Grundlagen der Neukonzeption des Datenschutzrechts auf Bundesebene 1. Ablösung des BDSG durch ein Nachfolgegesetz ( ABDSG ) Klarheit für Rechtsanwender; DS-GVO-Ergänzungsgesetz 2. (vorerst) Beschränkung auf den wesentlichen Anpassungsbedarf Umsetzung der zwingenden Handlungsaufträge und (nur) der wichtigsten Regelungsoptionen der DS-GVO Seite 17

19 III. Das BDSG-Nachfolgegesetz ABDSG Regelungsziel und Inhalt Grundlagen der Neukonzeption des Datenschutzrechts auf Bundesebene 3. Entlastung des bereichsspezifischen Datenschutzrechts Vor-die-Klammer-Ziehen allg. Regelungen, z.b. Einschränkung Betroffenenrechte 4. ABDSG als Auffanggesetz für alle öffentlichen Stellen des Bundes Allg. Verwaltung, Polizei und Nachrichtendienste weitgehende Fortführung des bisherigen BDSG-Ansatzes Partielle Mit-Umsetzung der Datenschutzrichtlinie Polizei/Justiz Seite 18

20 III. Das BDSG-Nachfolgegesetz Zeitplan Zeitplan Anwendbarkeit DS-GVO: 25. Mai 2018 BT-Wahl Herbst 2017 weitgehende Ausnutzung der 18. LP DSAnpUG (EU) seit August 2016 in der Ressortabstimmung Ziel: ABDSG + Folgeänderungen im Fachrecht Anfang 19. LP als Puffer Verlauf 19. LP: Vorhaben mit hohem Abstimmungsbedarf z.b. Beschäftigtendatenschutz Seite 19

21 Vielen Dank für Ihre Aufmerksamkeit! Kontakt Bundesministerium des Innern Alt-Moabit 140, Berlin Dr. Jost Onstein -Referent für Datenschutzrecht Tel.: Seite 20