Anpassung des deutschen Datenschutzrechts nach der Verabschiedung der DSGVO

Transkript

1 Datenschutztag 2016 am 20. September 2016, Köln Anpassung des deutschen Datenschutzrechts nach der Verabschiedung der DSGVO Michael Will, Leiter des Sachgebiets Datenschutz und Behördlicher Datenschutzbeauftragter im Bayerischen Staatsministerium des Innern, für Bau und Verkehr

2 Auswirkungen auf das deutsche Datenschutzrecht Anwendungsvorrang einer EU-Verordnung umfassende und unmittelbare Verbindlichkeit Spielräume für nationales Recht nur im Rahmen von Öffnungsklauseln und Regelungsaufträgen BDSG, BayDSG + Co. als Auslaufmodell? 2

3 Auswirkungen auf das deutsche Datenschutzrecht Die EUDSGVO im System des deutsches Datenschutzrechts: - Keine Geltung für nationale Sicherheit (VerfSchG, BNDG und Co.), Art. 2 Abs. 2 b) DSGVO - Keine Geltung im Anwendungsbereich der RL zum Datenschutz bei Polizei und Justiz, Art. 2 Abs. 2 d) DSGVO - Keine unmittelbare Geltung im Anwendungsbereich der e-privacy-rl (TKG!, TMG?), Art. 95 DSGVO - Keine Geltung für Datenverarbeitungen außerhalb des Anwendungsbereich des Unionsrechts (?), Art. 2 Abs. 2 a) - Keine Geltung für nicht automatisierte DV (Akten?), Art. 2 Abs. 1, Art. 4 Nr. 2+6 DSGVO => komplexe Schnittstellen für DSGVO-Anpassungsgesetzgebung 3

4 Deutsches Datenschutzrecht nach der EU-DSGVO: -grds. Wegfall der Subsidiarität des BDSG, stattdessen unmittelbare Geltung der DSGVO -Fortbestand der wesentlichen allgemeinen und der bereichsspezifischen Regelungen im öffentlichen Bereich, Restregelung außerhalb des Anwendungsbereichs der DSGVO -im nicht-öffentlichen Bereich dagegen weitgehende Deregulierung; Ausnahme: Datenverarbeitung im öffentlichen Interesse (Art. 6 Abs. 1 e) DSGVO); Musterbeispiel: Videoüberwachung, ex- 6b BDSG 4

5 Bundesrechtliche Regelungen zur Durchführung der DSGVO: Regelungsaufträge (nationale Soll -Regelungen): One-Stop-Shop/Kohärenzverfahren (insbes. Art. 68 Abs. 4 DSGVO) Verfahrensregeln für aufsichtsbehördliche Geldbußen, Art. 83 Abs. 8 DSGVO Sanktionen für Datenschutzverstöße außerhalb von EU- Verwaltungsstrafen, Art. 84 DSGVO Medienprivileg: Grundrecht auf Datenschutz mit der Meinungs- und Informationsfreiheit in Einklang bringen (Art. 85,86 DSGVO) 5

6 Zusammenarbeit, Kohärenz, One-Stop-Shop Umsetzung in DEU EW 119: Anlaufstelle für eine wirksame Beteiligung mehrerer Aufsichtsbehörden am Kohärenzverfahren Regelung zur Entsendung und innerstaatlichen Abstimmung des deutschen EDA-Vertreters, Art. 68 Abs. 3 Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, (...) so wird im Einklang mit den nationalen Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt. 6

7 Zusammenarbeit, Kohärenz, One-Stop-Shop Einzelfragen zur Umsetzung in DEU wer vertritt DEU im EDPB? nationale Kontaktstelle für Kooperations- und Kohärenzmechanismus? wessen Haltung bestimmt DEU Position im Fall deutscher Federführung? im Fall der Beteiligung durch federführende DPA eines anderen MS/im Fall unverbindlicher EDPB-Entscheidungen? bei Streit über die Anrufung des EDPB? bei Einlegung einer Klage? gilt der One-Stop Shop auch für rein innerdeutsche Fälle? Sollte auch für den öffentlichen Bereich das One-Stop-Shop-Prinzip geschaffen werden (E-Governement-Kooperationen)? 7

8 Öffnungsklauseln (nationale Kann -Regelungen): mehr als dreißig Ermächtigungen zu mitgliedstaatlichen Regelungen, die u.a. den Fortbestand nationalen Datenschutzrechts im öffentlichen Bereich legitimieren politisch besonders bedeutsame Ermächtigungen: Beschränkungen von Betroffenenrechten Ergänzende Anforderungen zur verpflichtenden Bestellungen betrieblicher Datenschutzbeauftragter Ausnahmen von Bußgeldsanktionen gegenüber Behörden Spezifische Regelungen zum Beschäftigtendatenschutz 8

9 Bund (Planung bis 09/2016): Aufteilung in zwei Phasen Erste Phase: Zwingend notwendige Anpassungen des allgemeinen Datenschutzrechts ( BDSG neu ) Zweite Phase: Sonstige Anpassungen des allgemeinen Rechts und Anpassungen des Fachrechts Zu Phase 1: Referentenentwurf vom

10 Bund (Planung bis 09/2016): Zeitplan für die erste Phase - Anfang Herbst 2016: Ressortabstimmung - Oktober/November 2016: Kabinett - Anschließend: Zuleitung Bundesrat/Bundestag - Mai 2017: Verkündung/Inkrafttreten Vortrag/Anlass - Autor - Datum - Ort 10

11 Bayern: Zeitplan für Anpassungsprozess - Bis September 2016: Normscreening (~ 200 Einzelnormen, bislang ca. 10% Anpassungsqote) - Januar 2017: Ministerrat, Einleitung Verbändeanhörung -> Ziel: Gesamtpaket für DSGVO und RL 680/16 - Bis Jahresende 2017: Verkündung/Inkrafttreten Andere Länder: große zeitliche und konzeptionelle Unterschiede, aber enge inhaltliche Abstimmung 11

12 Vorschau auf BDSG und BayDSG 2018 Streichpunkte: allgemeine Bestimmungen (z.b. Auftragsdatenverarbeitung, Drittstaatenübermittlungen, Vorab-Kontrolle) Betroffenenrechte, ggf. aber Beschränkungen BDSG-Regelungen zur Datenverarbeitung im nichtöffentlichen Bereich; str. zu Scoring/Auskunfteien umfassend zu nationalen Spielräumen: Kühling/Martini, Die Datenschutzgrundverordnung erste Überlegungen zum innerstaatlichen Regelungsbedarf 12

13 Vorschau auf BDSG und BayDSG 2018 Fortbestand: (spezifischere) Rechtsgrundlagen der Datenverarbeitung im öffentlichen Bereich (v.a. Videoüberwachung) und Zweckänderungstatbeständen Organisationsrecht (BfDI, LfD, u.a. künftig einschl. EU- Zusammenarbeit) Datenschutzbeauftragter 13

14 Vorschau auf BDSG auf BayDSG 2018 Neue Regelungsaufgaben + Prüfvorbehalte: Meldepflicht /Freigabe/Genehmigungspflicht Verwaltungssanktionen im öffentlichen Bereich Besondere Rechtsschutzregelungen für Eingriffsmaßnahmen im Rahmen der Datenschutzkontrolle im öffentlichen Bereich Klagebefugnisse gegen Adäquanz- und EDA- Entscheidungen 14

15 Danke für Ihre Aufmerksamkeit! Kontakt: 15