■ Deutschland ist damit europaweiter Vorreiter bei der Anpassung der Gesetze an die EU-Datenschutz-Grundverordnung
■ Unternehmen haben nur noch bis 25. Mai 2018 Zeit, die neuen Vorgaben umzusetzen
■ Bei Verstößen drohen Strafen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes
Das deutsche Datenschutzrecht wird an die EU-Vorgaben angepasst. Der Bundestag will morgen das Gesetz zur Anpassung des Datenschutzrechts an die EU-Datenschutz-Grundverordnung und zur Umsetzung der Richtlinie zur Datenverarbeitung bei Polizei und Justiz (DSAnpUG-EU) verabschieden, nachdem darüber heute noch einmal der Innenausschuss berät. Damit wird das bisherige Bundesdatenschutzgesetz komplett durch ein neues, abgespecktes Bundesdatenschutzgesetz ersetzt. Zwar kann der Bundesrat mit Blick auf einzelne Regelungen noch den Vermittlungsausschuss anrufen, da der Bundestag den Empfehlungen der Länderkammer weitgehend gefolgt ist, ist dies jedoch nicht zu erwarten. „Deutschland wird mit dem Beschluss Vorreiter bei der Anpassung seiner allgemeinen Datenschutzgesetze an die EU-Verordnung“, sagt Bitkom-Geschäftsleiterin Susanne Dehmel. „Der wesentliche zukünftige Rechtsrahmen für die Datenverarbeitung in Deutschland ist damit gesetzt. Es gibt also keinen Grund für Unternehmen, noch länger mit der Anpassung ihrer Verträge und Prozesse an die Datenschutz-Grundverordnung zu warten.“
Bitkom empfiehlt allen datenverarbeitenden Unternehmen, sich dringend mit dem Thema auseinanderzusetzen. Bereits in gut einem Jahr, ab dem 25. Mai 2018, endet die Übergangsfrist und es kommt nur noch das neue Datenschutzrecht nach der Datenschutz-Grundverordnung zur Anwendung, ergänzt durch die Regelungen des BDSG-neu und einige spezialgesetzliche Regelungen. Das bedeutet, dass dann auch deutlich höhere Strafen für Datenschutzverstöße verhängt werden können, die bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen.
Inhaltlich ist das BDSG-neu mit Blick auf die Unternehmen nach Ansicht des Verbandes weder ein großer Wurf noch besonders bedenklich. Dehmel: „Die wirklich wichtigen Fragen für die Datenverarbeitung im Unternehmen sind bereits abschließend in der EU-Verordnung geregelt, wie zum Beispiel das Gros der Rechtsgrundlagen für die Verarbeitung einschließlich der Bedingungen für die Einwilligung und auch alle Vorgaben zu Verträgen und den internen Datenschutzprozessen.“ Einzelne Beschränkungen sieht das nationale Gesetz bei den Betroffenenrechten vor, diese sind jedoch minimal. Ferner gibt es spezifische Verarbeitungsregeln für besondere Kategorien von personenbezogenen Daten wie etwa Gesundheitsdaten. „An dem grundsätzlichen Problem, dass die EU-Verordnung insgesamt zu bürokratisch und zu wenig zukunftsgerichtet ist, kann auch das nationale Gesetz nichts ändern“, so Dehmel. „Ärgerlich ist jedoch, dass das BDSG-neu in seiner Regelung zur Datenverarbeitung im Beschäftigtenverhältnis über die formalen Anforderungen der Verordnung hinausgeht und damit eher noch bürokratische Hürden aufbaut.“
Bitkom hatte sich dafür eingesetzt, die nationalen Regelungen möglichst schlank zu halten, um die europäische Rechtsharmonisierung nicht zu konterkarieren. Das ist teilweise gelungen, teilweise hält man an bereits aus dem alten BDSG bekannten Regelungen fest. Dehmel: „Durch die gemeinsame Umsetzung von EU-Verordnung und Richtlinie sowie der gleichzeitigen Schaffung von allgemeinen Datenschutzregeln für Bereiche, die gar nicht von der EU vorgegeben sind wie etwa für Geheimdienste, ist das Gesetz zudem sehr komplex und schwer lesbar geworden.“
Die Veränderungen beim Datenschutzrecht sind mit der erwarteten morgigen Verabschiedung im Bundestag noch nicht beendet. Der Bitkom weist darauf hin, dass in der kommenden Legislaturperiode noch viele spezialgesetzliche Regelungen sowie Länderregelungen zum Datenschutz angepasst werden müssen. In Brüssel wird außerdem bereits die E-Privacy Verordnung verhandelt, welche zusätzliche Regeln für Kommunikationsdaten enthalten soll.