D-Bundestag 18.Wahlperiode |
DSAnpUG-EU (2) |
Drs 18/11325 24.02.17 |
---|---|---|
[ « ] [ I ] [ ] | [ ] |
(BT-Drucksache 18/11325 S.69-10)
Am 25.Mai 2018 wird die Verordnung (EU) 2016/679 des Europaischen Parlaments und des Rates vom 27. April 2016 zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L EU L 119 vom 4.5.2016, S. 1) unmittelbar geltendes Recht in allenMitgliedstaaten der Europaischen Union sein. Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau fur die Rechte und Freiheiten von naturlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten (Erwagungsgrund 10). Der Unionsgesetzgeber hat sich fur die Handlungsform einer Verordnung entschieden, damit innerhalb der Union ein gleichmasiges Datenschutzniveau fur naturliche Personen gewahrleistet ist (Erwagungsgrund 13). Die Verordnung (EU) 2016/679 sieht eine Reihe von Offnungsklauseln fur den nationalen Gesetzgeber vor. Zugleich enthalt die Verordnung (EU) 2016/679 konkrete, an die Mitgliedstaaten gerichtete Regelungsauftrage. Dies erfordert es, das allgemeine wie auch das bereichsspezifische Datenschutzrecht auf die Vereinbarkeit mit der Verordnung (EU) 2016/679 zu uberprufen und soweit notig anzupassen. Dem dient der vorliegende Gesetzentwurf.
Daruber hinaus dient der vorliegende Gesetzentwurf der teilweisen Umsetzung der Richtlinie (EU) 2016/680 des Europaischen Parlaments und des Rates vom 27. April 2016 zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten durch die zustandigen Behorden zum Zweck der Verhutung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. EU L 119 vom 4.5.2016, S. 89), soweit die Mitgliedstaaten nach Artikel 63 der Richtlinie verpflichtet sind, bis zum 6. Mai 2018 die Rechts- und Verwaltungsvorschriften zu erlassen, die erforderlich sind, um dieser Richtlinie nachzukommen. Die Umsetzung der Richtlinie (EU) 2016/680 wird uber die imvorliegenden Gesetzentwurf enthaltenen relevanten Regelungen hinaus gesondert auch im Fachrecht erfolgen.
Um ein reibungsloses Zusammenspiel der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustellen, ist es erforderlich, das bisherige Bundesdatenschutzgesetz (BDSG a. F.) durch ein neues Bundesdatenschutzgesetz (BDSG) abzulosen. Weiterer gesetzlicher Anpassungsbedarf ergibt sich hinsichtlich der bestehenden bereichsspezifischen Datenschutzregelungen des Bundes infolge der Anderungen im allgemeinen Datenschutzrecht durch die Verordnung (EU) 2016/679 und das sie erganzende neu gefasste BDSG. Die hierzu erforderlichen Anderungen werden im Rahmen eines gesonderten Gesetzesvorhabens umgesetzt.
Im Interesse einer homogenen Entwicklung des allgemeinen Datenschutzrechts findet das neu gefasste BDSG, soweit es nicht selbst oder bereichsspezifische Gesetze abweichende Regelungen treffen, auch fur die Verarbeitung personenbezogener Daten im Rahmen von Tatigkeiten offentlicher Stellen Anwendung, die auserhalb des Anwendungsbereichs des Unionsrechts liegen, wie etwa die Datenverarbeitung durch das Bundesamt fur Verfassungsschutz, den Bundesnachrichtendienst oder den Militarischen Abschirmdienst oder im Bereich des Sicherheitsuberprufungsgesetzes. Dies geht einher mit zusatzlichem gesetzlichen Anderungsbedarf in den jeweiligen bereichsspezifischen Gesetzen. Fur diejenigen Bereiche, die nicht unter die beiden EU-Rechtsakte fallen und die uber kein bereichsspezifisches Recht verfugen, wird die Verordnung (EU) 2016/679 und Teil 2 des neu gefassten BDSG fur anwendbar erklart, um entsprechend der Regelungssystematik des bisherigen BDSG ein datenschutzrechtliches Vollregime anzubieten.
Vor dem Hintergrund des Vorstehenden ergibt sich folgende Vierteilung des neu gefassten BDSG:
Teil 1 .Gemeinsame Bestimmungen¡§ enthalt Bestimmungen fur jegliche Datenverarbeitung, unabhangig davon, ob sie zu Zwecken der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 oder zu nicht von Drucksache 18/11325 ¡V 70 ¡V Deutscher Bundestag ¡V 18. Wahlperiode diesen beiden Unionsrechtsakten erfassten Zwecken (z. B. Datenverarbeitung durch Nachrichtendienste) erfolgt.
Teil 2 .Durchfuhrungsbestimmungen fur Verarbeitungen zu Zwecken gemas Artikel 2 der Verordnung (EU) 2016/679¡§ betrifft Regelungen, die sich allein auf den Anwendungsbereich der Verordnung (EU) 2016/679 beziehen.
Teil 3 .Bestimmungen fur Verarbeitungen zu Zwecken gemas Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680¡§ dient der Umsetzung der Richtlinie (EU) 2016/680.
Teil 4 .Besondere Bestimmungen fur Verarbeitungen von nicht unter den Anwendungsbereich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tatigkeiten¡§, mit dem Regelungsschwerpunkt, spezifischere Regelungen fur die Behorden des Bundesministeriums der Verteidigung zu schaffen.
Der Gesetzentwurf sieht folgende Gesetzesanderungen vor:
Neufassung des BDSG (Artikel 1), das fur offentliche Stellen des Bundes und der Lander (soweit nicht landesrechtliche Regelungen greifen) sowie fur nichtoffentliche Stellen gilt, bestehend aus vier Teilen:
a. Gemeinsame Bestimmungen mit folgenden Regelungsschwerpunkten:
Schaffung allgemeiner Rechtsgrundlagen fur die Datenverarbeitung durch offentliche Stellen und fur die Videouberwachung (§§ 3, 4 BDSG);
Regelungen zu Datenschutzbeauftragten offentlicher Stellen (§§ 5 bis 7 BDSG);
Ausgestaltung der unabhangigen Datenschutzaufsichtsbehorden (§§ 8 bis 16 BDSG);
Festlegung der deutschen Vertretung im Europaischen Datenschutzausschuss; gemeinsamer Vertreter im Ausschuss ist die oder der Bundesbeauftragte fur den Datenschutz und die Informationsfreiheit; als Stellvertreter wahlt der Bundesrat die Leiterin oder den Leiter einer Aufsichtsbehorde eines Landes (§§ 17 bis 19 BDSG);
Die gemeinsamen Bestimmungen finden keine Anwendung, soweit das Recht der Europaischen Union unmittelbar gilt, insbesondere die Verordnung (EU) 2016/679. Sie finden auserdem Anwendung im Anwendungsbereich der Richtlinie (EU) 2016/680 sowie fur die Bereiche, die auserhalb des Unionsrechts liegen.
b. Bestimmungen zur Durchfuhrung der Verordnung (EU) 2016/679 mit folgenden Regelungsschwerpunkten: „h Schaffung einer Rechtsgrundlage fur die Verarbeitung besonderer Kategorien personenbezogener Daten (§ 22 BDSG);
Festlegung der Zulassigkeitsvoraussetzungen fur Verarbeitungen zu anderen Zwecken durch offentliche Stellen (§ 23 BDSG) und durch nichtoffentliche Stellen (§ 24 BDSG) sowie fur Datenubermittlungen durch offentliche Stellen (§ 25 BDSG);
Regelung weiterer besonderer Verarbeitungssituationen (§§ 26 bis 31 BDSG);
Regelungen zu den Betroffenenrechten (§§ 32 bis 37 BDSG);
Verhangung von Geldbusen bei Verstosen gegen die Verordnung (EU) 2016/679 (§§ 41, 43 BDSG).
c. Bestimmungen zur Umsetzung der Richtlinie EU 2016/680 mit folgenden Regelungsschwerpunkten:
Aussagen zu Rechtsgrundlagen der Verarbeitung, Zweckbindung und -anderung (§§ 47 bis 51 BDSG);
Ausformung der Betroffenenrechte (§§ 55 bis 61 BDSG);
Festlegung unterschiedlich akzentuierter Pflichten der Verantwortlichen
o Anforderungen an Auftragsverarbeitungsverhaltnisse (§ 62 BDSG);
o Datensicherheit und Meldungen von Verletzungen des Schutzes personenbezogener Daten (§§ 64 bis 66 BDSG);
o Instrumente zur Berucksichtigung des Datenschutzes (Datenschutz-Folgenabschatzung, Anhorung der oder des Bundesbeauftragten, Verzeichnis von Verarbeitungstatigkeiten, Protokollierung, §§ 67 bis 70 und 76 BDSG);
o Berichtigungs- und Loschungspflichten (§ 75 BDSG);
Datenubermittlungen an Stellen in Drittstaaten und an internationale Organisationen (§§ 78 bis 81 BDSG).
d. Besondere Bestimmungen fur Datenverarbeitungen imRahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tatigkeiten.
Anderungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes, des BND-Gesetzes und des Sicherheitsuberprufungsgesetzes (Artikel 2 bis 6) infolge der Ablosung des bisherigen Bundesdatenschutzgesetzes, die den Erfordernissen der auserhalb des Anwendungsbereichs des Unionsrechts fallenden Datenverarbeitungen im Bereich der nationalen Sicherheit Rechnung tragen.
Anderung des geltenden Bundesdatenschutzgesetzes (Artikel 7), die sicherstellt, dass das Klagerecht gegen Beschlusse der Europaischen Kommission bereits vor Geltung der Verordnung (EU) 2016/679 zur Verfugung steht.
Keine.
Die Gesetzgebungskompetenz des Bundes folgt fur Regelungen des Datenschutzes als Annex aus den jeweiligen Sachkompetenzen der Artikel 73 bis 74 des Grundgesetzes (GG). Im Bereich der offentlichen Verwaltung bedarf es bundesrechtlicher Datenschutzbestimmungen, soweit dem Bund die Verwaltungskompetenz zusteht. Fur nichtoffentliche Stellen folgt die Gesetzgebungskompetenz des Bundes im Bereich des Datenschutzes als Annex aus Artikel 74 Absatz 1 Nummer 11 GG (Recht der Wirtschaft). Nach Artikel 72 Absatz 2 GG steht dem Bund die Gesetzgebungskompetenz in diesen Fallen unter anderem dann zu, wenn und soweit eine bundesgesetzliche Regelung zur Wahrung der Rechtseinheit im gesamtstaatlichen Interesse erforderlich ist. Eine bundesgesetzliche Regelung des Datenschutzes ist zur Wahrung der Rechtseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung dieserMaterie durch den Landesgesetzgeber wurde zu erheblichen Nachteilen fur die Gesamtwirtschaft fuhren, die sowohl im Interesse des Bundes als auch der Lander nicht hingenommen werden konnen. Insbesondere ware zu befurchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte erhebliche Wettbewerbsverzerrungen und storende Schranken fur die landerubergreifende Wirtschaftstatigkeit zur Folge hatten. Es bestunde die Gefahr, dass z .B. die Betroffenenrechte durch die verschiedenen Landesgesetzgeber unterschiedlich eingeschrankt wurden, mit der Folge, dass bundesweit agierende Unternehmen sich auf verschiedenste Vorgaben einrichten mussten.
Die Gesetzgebungskompetenz zu Teil 1 Kapitel 5 (Vertretung im Europaischen Datenschutzausschuss, zentrale Anlaufstelle, Zusammenarbeit der Aufsichtsbehorden des Bundes und der Lander in Angelegenheiten der Europaischen Union) folgt als Annexkompetenz aus Artikel 23 Absatz 1 Satz 2 GG und der Kompetenz des Bundes fur auswartige Angelegenheiten. Der Bund kann zur Verwirklichung eines vereinten Europas mit Zustimmung des Bundesrates durch Gesetz Hoheitsrechte auf die Europaische Union ubertragen (Artikel 23 Absatz 1 Drucksache 18/11325 ¡V 72 ¡V Deutscher Bundestag ¡V 18. Wahlperiode Satz 2 GG). Die allgemeine Zustandigkeit in Fragen der europaischen Integration ist Teil der Kompetenzmaterie der auswartigen Gewalt (Artikel 23, 24, 32, 59, 73 Nummer 1, 87a, 87b GG) und steht dem Bund zu.
Von seiner Kompetenz nach Artikel 23 Absatz 1 Satz 2 GG hat der Bund mit Zustimmung des Bundesrates mit der Ubertragung von Hoheitsrechten imBereich des Datenschutzes, insbesondere in Artikel 16 des Vertrages uber die Arbeitsweise der Europaischen Union (AEUV), Gebrauch gemacht, die in der Folge durch die Ubertragung verbindlicher Einzelfallentscheidungsbefugnisse auf den mit eigener Rechtspersonlichkeit ausgestatteten Europaischen Datenschutzausschuss durch Artikel 68 ff. der Verordnung (EU) 2016/679 (im Bereich der Richtlinie (EU) 2016/680 nach Masgabe des dortigen Artikels 51) ausgestaltet worden sind. Mit der Einrichtung eines Europaischen Datenschutzausschusses in Gestalt einer Einrichtung der Union mit eigener Rechtspersonlichkeit gemas Artikel 68 Absatz 1 der Verordnung (EU) 2016/679 und Artikel 51 der Richtlinie (EU) 2016/680 wird der einheitliche europaische Rechtsraum in demQuerschnittsbereich des Datenschutzrechts zu einem Raum einheitlicher Rechtsanwendung und -durchsetzung fortentwickelt.
Kann der Bund mit Zustimmung des Bundesrates Hoheitsrechte auf die Europaische Union ubertragen, so kann er als dessen Annex zugleich die Vertretung Deutschlands in einer Einrichtung der Union regeln, die diese Hoheitsrechte nach der Ubertragung ausubt. Die unionsrechtlich in Artikel 51 Absatz 3 und 68 Absatz 4 der Verordnung (EU) 2016/679 vorgeschriebene Bestimmung des gemeinsamen Vertreters der deutschen Aufsichtsbehorden bedarf zwingend der konkretisierenden Durchfuhrungsgesetzgebung auf nationaler Ebene. Fur die Aufgabenerfullung, insbesondere den Vollzug der durch den Europaischen Datenschutzausschuss ausgeubten unionsrechtlichen Hoheitsrechte, bedarf es zwingend derMitwirkung des deutschen Vertreters. Einrichtung und Besetzung des Europaischen Datenschutzausschusses stehen in unmittelbarem Zusammenhang.
Der Europaische Datenschutzausschuss ubt unionale und keine mitgliedstaatliche Verwaltungstatigkeit aus. Der Vertreter imAusschuss handelt, vergleichbar den mitgliedschaftlichen Vertretern imRat nach Artikel 16 Absatz 2 des Vertrages uber die Europaische Union (EUV), als Reprasentant seines Mitgliedstaats bzw. der nationalen Datenschutzbeauftragten und zugleich fur eine europaische Einrichtung, (vgl. Artikel 68 Absatz 1 der Verordnung (EU) 2016/679). Der Ausenvertretung des Bundes entspricht die Einstandspflicht der Bundesrepublik Deutschland als Vertragspartei der Unionsvertrage. Die europarechtliche Integrationskompetenz ist grundsatzlich auch dann Sache des Bundes, wenn innerstaatlich Zustandigkeiten der Lander betroffen sind. Gleichwohl hat der Bund den durch Kapitel VII der Verordnung (EU) 2016/679 in besonderem Mase beruhrten Verwaltungskompetenzen der Lander Rechnung zu tragen. Dem Grundsatz der kompetenzschonenden Kooperation wird uber das Zustimmungserfordernis des Bundesrates auf institutioneller Ebene sowie das Mitwirkungsrecht zur Wahrung der Landerbelange auf inhaltlicher Ebene Rechnung getragen. Es ist angelehnt an die Konzeption desArtikels 23 Absatz 2 bis 6 GG und das Gesetz uber die Zusammenarbeit von Bund und Landern in Angelegenheiten der Europaischen Union (EUZBLG), die vergleichbare Grundkonstellationen zu losen hatten. Im vorliegenden Gesetz wird die kompetenzschonende Kooperation verwirklicht durch die Bindung des gemeinsamen Vertreters an den mitMehrheitsentscheidung getroffenen gemeinsamen Standpunkt aller Aufsichtsbehorden sowie die unmittelbaren Mitwirkungs- und Beteiligungsrechte des Landervertreters im Ausschuss.
Die Gesetzgebungskompetenz des Bundes fur die Vorschriften zum gerichtlichen Rechtsschutz (Artikel 1 §§ 20, 44 und 61) und uber Rechtsbehelfe gegen Beschlusse der Europaischen Kommission (Artikel 1 § 21) beruht auf Artikel 74 Absatz 1 Nummer 1 GG (Gerichtsverfassung, gerichtliches Verfahren). Fur die Strafvorschriften und die Vorschriften uber die Verhangung von Geldbusen ergibt sich die Gesetzgebungskompetenz des Bundes ebenfalls aus Artikel 74 Absatz 1 Nummer 1 GG (Strafrecht).
Die Kompetenz fur die Anderung des Bundesverfassungsschutzgesetzes und des Artikel 10-Gesetzes ergibt sich aus Artikel 72 Absatz 1 Nummer 10b GG. Die Anderung des MAD-Gesetzes findet ihre Grundlage in Artikel 73 Absatz 1 Nummer 1 und Artikel 73 Absatz 1 Nummer 10b GG. Die Kompetenz des Bundes zur Anderung des BND-Gesetzes folgt aus Artikel 73 Absatz 1 Nummer 1 GG. Die Gesetzgebungskompetenz des Bundes fur das Sicherheitsuberprufungsgesetz ergibt sich aus der Natur der Sache und aus Artikel 74 Absatz 1 Nummer 11 GG. Nach Artikel 72 Absatz 2 GG in Verbindung mit Artikel 74 Absatz 1 Nummer 11 GG ist eine bundesgesetzliche Regelung erforderlich, weil es um sicherheitsempfindliche Tatigkeiten geht, die vom Bund zugewiesen beziehungsweise ubertragen werden oder zu denen der Bund ermachtigt. Bei der Festlegung, unter welchen Bedingungen eine Sicherheitsuberprufung vorgenommen wird, um den spezifischen staatlichen Sicherheitsinteressen des Bundes Rechnung zu tragen, handelt es sich um eine Angelegenheit, die nur vom Bund geregelt werden kann. Deutscher Bundestag ¡V 18. Wahlperiode ¡V 73 ¡V Drucksache 18/11325 Hinzu kommt, dass der Bund mit den Sicherheitsuberprufungen volkerrechtliche Verpflichtungen der Bundesrepublik Deutschland erfullt. Insofern ist es erforderlich, die Rechtseinheit zu wahren und eine Rechtszersplitterung zu vermeiden.
Der Gesetzentwurf ist mit demRecht der Europaischen Union und volkerrechtlichen Vertragen vereinbar. Er dient der Durchfuhrung der Verordnung (EU) 2016/679 und der Umsetzung der Richtlinie (EU) 2016/680. Die Verordnung (EU) 2016/679 hat gemas Artikel 288 Absatz 2 des Vertrags uber die Arbeitsweise der Europaischen Union (AEUV) allgemeine Geltung, ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Einer wiederholenden Wiedergabe von Teilen einer Verordnung setzt das sog. Wiederholungsverbot des Gerichtshofs der Europaischen Union (EuGH) Grenzen. Es soll verhindern, dass die unmittelbare Geltung einer Verordnung verschleiert wird, weil die Normadressaten uber den wahren Urheber des Rechtsaktes oder die Jurisdiktion des EuGH im Unklaren gelassen werden (EuGH, Rs. C-34/73, Variola, Rn. 9 ff.; EuGH, Rs. C-94/77, Zerbone, Rn. 22/27).
Die sich im vorliegenden Gesetzentwurf auf die Verordnung (EU) 2016/679 beziehenden punktuellen Wiederholungen und Verweisungen sind aber aufgrund der besonderen Ausgangslage mit dem Unionsrecht vereinbar:
Zwar formuliert die Verordnung (EU) 2016/679 in den Erwagungsgrunden (siehe Erwagungsgrunde 10, 9 und 13 Satz 1) das Ziel einer Vollharmonisierung, doch erreicht sie dieses Ziel nicht vollumfanglich. Die Verordnung ist als Grund-Verordnung erganzungsbedurftig und regelt den Datenschutz nur im Grundsatz abschliesend (z. B. regelt sie fur den offentlichen Bereich nicht die Rechtsgrundlagen der Verarbeitung). Sie schafft fur den nationalen Gesetzgeber Spielraume durch sogenannte Offnungsklauseln. In ca. 70 Fallen enthalt sie insoweit Regelungsgebote oder -optionen. Im Umfang dieser legislativen Spielraume ist sie ein Novum und ahnelt in wesentlichen Teilen einer Richtlinie. Durch die zahlreichen Ausgestaltungsspielraume fur den nationalen Gesetzgeber beschrankt bereits der Unionsgesetzgeber selbst die unmittelbare Wirkung. Bislang bekannte, vom nationalen Gesetzgeber auf der Grundlage einer Verordnung zu treffende Regelungen wie z. B. Zustandigkeitszuweisungen, Grenzwertfestsetzungen etc. bleiben erheblich hinter den komplexen Abwagungsentscheidungen zuruck, zu denen der nationale Gesetzgeber im Rahmen der Offnungsklauseln der Verordnung (EU) 2016/679 befugt bzw. verpflichtet ist (siehe z.B. das Gebot des Artikel 6 Absatz 3 der Verordnung, Rechtsgrundlagen der Verarbeitung uberhaupt erst durch nationale Bestimmungen zu schaffen).
Mit Erwagungsgrund 8 berucksichtigt der Unionsgesetzgeber den besonderen Charakter der Verordnung (EU) 2016/679. Er lasst Wiederholungen ausdrucklich zu, wenn sie (1) im sachlichen Zusammenhang mit Verordnungsbestimmungen stehen, die dem Mitgliedstaat die Moglichkeit nationaler Prazisierungen oder Einschrankungen einraumen, soweit dies erforderlich ist, um (2) Koharenz zu wahren und (3) die nationalen Vorschriften fur die Personen, fur die sie gelten, verstandlicher zu machen.
Der nationale Gesetzgebermuss bisMai 2018 das nationale Recht nicht nur an die Verordnung (EU) 2016/679 anpassen, sondern auch die Richtlinie (EU) 2016/680 umsetzen. Beide Unionsrechtsakte haben teils wortgleiche Regelungen (z. B. Begriffsbestimmungen nach Artikel 4 der Verordnung (EU) 2016/679 bzw. Artikel 3 der Richtlinie (EU) 2016/680); darauf war bei den Verhandlungen aus Koharenzgrunden geachtet worden. Zudem bestehen strukturelle Gemeinsamkeiten (z. B. bezuglich der Ausgestaltung der Rolle des Datenschutzbeauftragten und der Aufsichtsbehorden).
Die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 sind nicht in allgemein gesetzlicher Form trennscharf auseinanderzuhalten. Es ist im Einzelfall auslegungsfahig, ob eine Behorde Daten zu in der Verordnung oder der Richtlinie geregelten Zwecken verarbeitet. Die von der Aufteilung der Datenschutzreform in zwei Rechtsakte nahegelegte Trennung der Anforderungen an die Datenverarbeitung sowohl in formaler (beteiligte Behorden) als auch materieller Hinsicht (Annahme, dass Behorden entweder nur zu Verordnungs- oder nur zu Richtlinienzwecken Daten verarbeiten) entspricht nicht der Praxis. In Deutschland gibt es verschiedene Behorden, die zur Ausubung ihrer gesetzlichen Aufgaben sowohl Zwecke nach der Verordnung als auch der Richtlinie verfolgen. Dies erkennt Erwagungsgrund 19 der Verordnung (EU) 2016/679 ausdrucklich an. Dabei sind die Mitgliedstaaten gehalten, ihrer administrativen, verDrucksache 18/11325 ¡V 74 ¡V Deutscher Bundestag ¡V 18. Wahlperiode fassungsmasigen und organisatorischen Struktur Rechnung zu tragen Dies wiederum muss Wege fur ein koharentes, anwender- und betroffenenfreundliches nationales Recht eroffnen.
Es gibt kein unionsrechtliches Gebot, einen Unionsrechtsakt in einem einzigen nationalen Gesetz umzusetzen bzw. ihn dort anzupassen. D. h. es ist sowohl moglich, einen Rechtsakt mit verschiedenen Gesetzen als auch mehrere Rechtsakte mit einem nationalen Gesetz zu erfassen.
Es besteht daruber hinaus im Interesse eines koharenten und anwenderfreundlichen nationalen Datenschutzrechts ein Bedurfnis, mit einem und demselben Gesetzentwurf auch die Rechtsbereiche zu regeln, die auserhalb des Unionsrechts liegen und daher weder der Verordnung (EU) 2016/679 noch der Richtlinie (EU) 2016/680 unterfallen. So ist etwa allein der nationale Gesetzgeber regelungsbefugt fur den Bereich der nationalen Sicherheit, insbesondere fur die Nachrichtendienste (Artikel 4 Absatz 2 Satz 3 des Vertrages uber die Europaischen Union (EUV); in diesem Sinne auch Artikel 2 Absatz 2 Buchstabe a i. V. m. Erwagungsgrund 6 der Verordnung (EU) 2016/679; Artikel 2 Absatz 3 Buchstabe a i. V.m. Erwagungsgrund 14 der Richtlinie (EU) 2016/680).
Bereits aufgrund dieser Ausgangslage bestehen triftige Grunde, das Ausmas des sog. Wiederholungsverbots auf die vorliegende Anpassungs- und Umsetzungsgesetzgebung den oben genannten Aspekten entsprechend angemessen zu beurteilen und anzuwenden.
Uber diese Ausgangslage hinaus ist zu berucksichtigen, dass der EuGH auch bisher schon Ausnahmen vom Wiederholungsverbot fur rechtmasig erachtet hat. So hat der EuGH zunachst anerkannt, dass manche Bestimmungen einer Verordnung zu ihrer Durchfuhrung des Erlasses von Durchfuhrungsmasnahmen durch die Mitgliedstaaten bedurfen, wobei ihnen ein weiter Ermessensspielraum zustehe (EuGH, Rs. C-403/98,Monte Arcosu, Rn. 26, 28). Auch raumt der EuGH dem nationalen Gesetzgeber seit langem ein, eine zersplitterte Rechtslage ausnahmsweise durch den Erlass eines zusammenhangenden Gesetzeswerks zu bereinigen und hierbei im Interesse eines inneren Zusammenhangs und der Verstandlichkeit fur den Adressaten notwendige punktuelle Normwiederholungen vorzunehmen (EuGH, Rs. C-272/83, Kommission/Italien, Rn. 27). Denn die Mitgliedstaaten haben allgemein durch geeignete innerstaatliche Masnahmen die uneingeschrankte Anwendbarkeit einer Verordnung sicherzustellen (EuGH, Rs. C-72/85 Kommission/Niederlande, LS 2). Hierzu mussen die Mitgliedstaaten nicht nur ihr eigenes Recht anpassen bzw. bereinigen, sondern daruber hinaus eine so bestimmte, klare und transparente Lage schaffen, dass der Einzelne seine Rechte in vollem Umfang erkennen und sich vor den nationalen Gerichten darauf berufen kann (EuGH, Rs. C-162/99, Kommission/Italien, LS 3). Dies verdeutlicht, dass der Gerichtshof in seiner Rechtsprechung atypische Konstellationen berucksichtigt und Aspekten wie Verstandlichkeit und Koharenz Bedeutung beimisst.
Es ist daher im Interesse der Koharenz des Datenschutzrechts sowie der Erhohung der Verstandlichkeit und Ubersichtlichkeit fur den Rechtsanwender mit dem Unionsrecht vereinbar und zweckmasig, dass dieser Gesetzentwurf Wiederholungen einzelner Passagen bzw. Bestimmungen der Verordnung (EU) 2016/679 oder Verweisungen auf sie enthalt. Dies betrifft sowohl die Ausgestaltung der eingeraumten Offnungsklauseln als auch die in einem Allgemeinen Teil (Teil 1 .Allgemeine Bestimmungen¡§) zusammengefassten gemeinsamen Schnittmengen aus den Bereichen der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 und dem nicht unionsrechtlich geregelten Bereich. Durch diesen integrativen Ansatz des Gesetzentwurfs wird dem mit dem EU-Datenschutzpaket verbundenen Harmonisierungsziel in besonderer Weise und uber das reine Soll hinaus Rechnung getragen.
Der Entwurf sieht keine Rechts- und Verwaltungsvereinfachung vor.
Die Managementregeln und Indikatoren der Nationalen Nachhaltigkeitsstrategie wurden gepruft und, soweit einschlagig, beachtet.
Keine.
Die gemas der Richtlinie 95/46/EG des Europaischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz naturlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) bereits bestehenden Betroffenenrechte, wie etwa Informations- und Auskunftsrechte gegenuber der betroffenen Person, das Recht auf Berichtigung und Loschung, das Recht auf Einschrankung der Verarbeitung sowie das Widerspruchsrecht, werden durch die Verordnung (EU) 2016/679 gestarkt. Dadurch entsteht zusatzlicher Erfullungsaufwand fur die Burgerinnen und Burger, die Wirtschaft und die Verwaltung, der aber durch die Verordnung (EU) 2016/679 und nicht dieses Gesetz verursacht wird.
Das neu gefasste Bundesdatenschutzgesetz schrankt zugleich in dem durch Artikel 23 der Verordnung (EU) 2016/679 eroffneten Rahmen einzelne Betroffenenrechte ein. Dies fuhrt bei den Unternehmen zu einer Reduzierung von Pflichten und einer Verringerung des Erfullungsaufwandes. Die im Bundesdatenschutz zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen alsAusgleich fur die Einschrankung der Betroffenenrechte von dem Verantwortlichen zu ergreifenden Schutzmasnahmen, wie etwa das Nachholen einer Informationspflicht oder die Dokumentation, aus welchen Grunden von einer Information abgesehen wird, lost unmittelbaren Erfullungsaufwand aus. Ohne diese beiden zusammenhangenden Masnahmen ware der durch die Verordnung (EU) 2016/679 ausloste Aufwand fur die Wirtschaft deutlich hoher. Fur Burgerinnen und Burger entsteht kein neuer Erfullungsaufwand.
Das Gesetz verpflichtet die Wirtschaft im Rahmen der Verarbeitung personenbezogener Daten Masnahmen zum Schutz der betroffenen Person in den Fallen zu ergreifen, in denen sie davon absehen wollen, die betroffene Person nach Artikel 13 und 14 der Verordnung (EU) 2016/679 zu informieren. Dazu gehort etwa das Nachholen der Informationspflicht durch Bereitstellen der Information auf einer allgemein zuganglichen Webseite. Daruber hinaus hat der Verantwortliche zu dokumentieren, aus welchen Grunden von einer Information abgesehen werden soll.
Durch diese Masnahmen entstehen fur die Wirtschaft jahrliche Burokratiekosten aus Informationspflichten in Hohe von rund 17,2 Millionen Euro. Daruber hinaus fallt einmaliger Erfullungsaufwand in Hohe von rund 58,9 Millionen Euro an.
Burokratiekosten aus Informationspflichten fur die Wirtschaft
Nicht abgedruckt siehe BT-Drucksache 18/11325 S.75 ff
Auswirkungen auf Einzelpreise und das Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind nicht zu erwarten.
Auswirkungen von gleichstellungspolitischer Bedeutung Die Regelungen sind inhaltlich geschlechtsneutral. Auswirkungen von gleichstellungspolitischer Bedeutung sind nicht zu erwarten.
Das Vorhaben führt nicht zu finanziellen Belastungen für künftige Generationen.
Eine Befristung des Gesetzes ist nicht vorgesehen, weil auch die korrespondierenden EU-Rechtsakte nicht zeitlich befristet sind. Das Regelungsvorhaben wird spätestens drei Jahre nach dem Inkrafttreten evaluiert.
Die Vorschrift bestimmt den Anwendungsbereich des Gesetzes.
Nach Absatz 1 Satz 1 gilt das Gesetz, wie bisher auch das Bundesdatenschutzgesetz in der bisher geltenden Fassung (BDSG a. F.), für jede Form der Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes sowie durch öffentliche Stellen der Länder. Es hat also, wie bisher auch, einen weiteren Anwendungsbereich als die Verordnung (EU) 2016/679.
Für nichtöffentliche Stellen gilt das BDSG nach Absatz 1 Satz 2 im Rahmen des sachlichen Anwendungsbereichs der Verordnung (EU) 2016/679. Wer öffentliche Stelle des Bundes und der Länder und wer nichtöffentliche Stelle ist, ergibt sich aus § 2 Absatz 1 bis 4 BDSG.
Für die Verarbeitung personenbezogener Daten von Unternehmen und Hilfsunternehmen der Presse ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken fand das BDSG a. F. nach dem sogenannten Presseprivileg des § 41 Absatz 1 BDSG a. F. nur sehr eingeschränkt Anwendung. Für das Pressewesen sind nunmehr ausschließlich die Länder zuständig. Aus kompetenzrechtlichen Gründen kann § 41 Absatz 1 BDSG a. F. daher nicht beibehalten werden. Der Bundesgesetzgeber geht aber davon aus, dass die insofern zuständigen Landesgesetzgeber das Presseprivileg wie bisher absichern werden.
Soweit die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten öffentlicher Stellen des Bundes erfolgt, die weder vom Anwendungsbereich der Verordnung (EU) 2016/679 noch von der Richtlinie (EU) 680/2016 erfasst sind richtet sich das anzuwendende Datenschutzrecht allein nach nationalen Regelungen. So besitzt die Europäische Union etwa gemäß Artikel 4 Absatz 2 Satz 3 des Vertrages über die Europäischen Union (EUV) keine Regelungskompetenz für den Bereich der nationalen Sicherheit. Dies betrifft die Datenverarbeitung durch das Bundesamt für Verfassungsschutz, den Bundesnachrichtendienst, den Militärischen Abschirmdienst sowie den Bereich des Sicherheitsüberprüfungsgesetzes. Dies ist auch sekundärrechtlich klargestellt, Artikel 2 Absatz 2 Buchstabe a i. V. m. Erwägungsgrund 16 der Verordnung (EU) 2016/679; Artikel 2 Absatz 3 Buchstabe a i. V. m. Erwägungsgrund 14 der Richtlinie (EU) 2016/680. Das neu gefasste Bundesdatenschutzgesetz (BDSG) gibt für diese Bereiche außerhalb des Rechts der Europäischen Union allgemeine Regelungen vor. Soweit in bereichsspezifischen Gesetzen, wie etwa im Bundesverfassungsschutzgesetz, im Bundesnachrichtendienstgesetz, im Gesetz über den Militärischen Abwehrdienst oder im Sicherheitsüberprüfungsgesetz abweichende Regelungen getroffen werden, gehen sie gemäß § 1 Absatz 2 den Vorschriften des BDSG vor.
Absatz 2 Satz 1 bestimmt das Verhältnis dieses Gesetzes zu spezifischen datenschutzrechtlichen Vorschriften. Dieses Gesetz hat den Charakter eines „Auffanggesetzes“. Spezifische Rechtsvorschriften des Bundes genießen gegenüber den Vorschriften des BDSG grundsätzlich Vorrang. Dies wird durch die Formulierung in Satz 1 ausdrücklich klargestellt. Durch Satz 2 wird zusätzlich klargestellt, dass die jeweilige bereichsspezifische Spezialregelung nur vorrangig ist, wenn eine Tatbestandskongruenz vorliegt. Sie beurteilt sich im Einzelfall nach den Tatbeständen des jeweiligen bereichsspezifischen Gesetzes (für einen Vergleich heranzuziehen sind danach etwa der Sachverhalt „Datenverarbeitung“, ggf. in den jeweiligen Verarbeitungsphasen, oder bezogen auf sog. Individualoder Betroffenenrechte der Sachverhalt „Informationspflicht“, „Auskunftsrecht“, „Widerspruchsrecht“). Dies gilt unabhängig davon, ob in der tatbestandskongruenten Vorschrift eine im Vergleich zum BDSG weitergehende oder engere gesetzliche Regelung getroffen ist. Liegt allerdings keine bereichsspezifische Datenschutzregelung für einen vergleichbaren Sachverhalt vor, so übernimmt das BDSG seine lückenfüllende Auffangfunktion. Auch eine nicht abschließende (teilweise) Regelung oder das Schweigen eines bereichsspezifischen Gesetzes führt dazu, dass subsidiär auf die Vorschriften des BDSG zurückgegriffen werden kann. Bedeutsam ist dies insbesondere mit Blick auf die in Teil 2 Kapitel 2 des BDSG vorgenommenen Einschränkungen der Betroffenenrechte. Auf diese Regelungen kann als Auffangregelung zurückgegriffen werden, sofern im bereichsspezifischen Recht keine tatbestandskongruente Regelung vorgehalten ist. Dies gilt allerdings nicht, wenn spezifische Regelungen für einen bestimmten Bereich insgesamt umfassend und damit abschließend die Datenverarbeitung regeln und somit für das BDSG kein Anwendungsbereich verbleibt. Das ist z. B. für den im SGB X in Verbindung mit dem SGB I sowie in den übrigen Sozialgesetzbüchern geregelten Schutz von Sozialdaten oder etwa im Bereich der Abgabenordnung der Fall.
Absatz 2 Satz 2 entspricht der bisherigen Regelung des § 1 Absatz 3 Satz 2 BDSG a. F.
Absatz 3 entspricht der bisherigen Regelung des § 1 Absatz 4 BDSG a. F.
Nach Absatz 4 Satz 1 Nummer 1 findet das Gesetz auf Datenverarbeitung im Inland Anwendung. Absatz 4 Satz 1 Nummer 2 bestimmt, dass die Vorschriften des BDSG nur dann zur Anwendung kommen, wenn eine Datenverarbeitung durch eine in Deutschland ansässige Niederlassung vorliegt. Dies entspricht dem Harmonisierungsgedanken der Verordnung (EU) 2016/679. Absatz 4 Satz 1 Nummer 3 entspricht § 1 Absatz 5 Satz 2 BDSG a. F.
Absatz 5 berücksichtigt, dass der Verordnung (EU) 2016/679 im Rahmen ihres Anwendungsbereichs unmittelbare Geltung im Sinne des Artikels 288 Absatz 2 AEUV zukommt. Insoweit in diesem Kapitel punktuelle Wiederholungen von sowie Verweise auf Bestimmungen aus der Verordnung (EU) 2016/679 erfolgen, so geschieht dies aus Gründen der Verständlichkeit und Kohärenz und lässt die unmittelbare Geltung der Verordnung (EU) 2016/679 unberührt. Dies wird hiermit an herausgehobener Stelle klargestellt. Die punktuellen Wiederholungen und Verweise im BDSG sind außerdem dem komplexen Mehrebenensystem geschuldet, das sich aus dem Zusammenspiel zwischen der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 sowie dem nationalen allgemeinen und fachspezifischen Recht ergibt. In einem solchen hat es der EuGH dem nationalen Gesetzgeber eingeräumt, im Interesse eines inneren Zusammenhangs und der Verständlichkeit für den Adressaten notwendige punktuelle Normwiederholungen vorzunehmen (EuGH, Rs. C-272/83, Kommission/Italien, Rn. 27). Für den Bereich der Richtlinie (EU) 2016/680 sind damit einhergehende strengere Vorgaben möglich. Dies stellt ausdrücklich Erwägungsgrund 15 klar, wonach die Mitgliedstaaten nicht daran gehindert werden, zum Schutz der Rechte und Freiheiten der betroffenen Person bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden Garantien festzulegen, die strenger sind als die Garantien dieser Richtlinie. Durch den integrativen Ansatz, gemeinsame Bestimmungen „vor die Klammer“ zu ziehen, trägt der Gesetzgeber diesem hier besonderen Umstand Rechnung und mindert die Herausforderungen für den Rechtsanwender soweit europarechtlich vertretbar unter gleichzeitiger normökonomischer Entlastung des Fachrechts.
Die Absätze 6 und 7 dienen der Klarstellung, welche Staaten den Mitgliedstaaten der Europäischen Union gleich gestellt sind.
Absatz 8 bestimmt, dass für Verarbeitungen personenbezogener Daten im Rahmen von Tätigkeiten, die weder dem Anwendungsbereich der Verordnung (EU) 2016/679 noch der Richtlinie (EU) 2016/680 unterfallen, die Verordnung (EU) 2016/679 und Teil 1 und Teil 2 des BDSG Anwendung finden. Die Regelung gilt nur für öffentliche Stellen, denn nach § 1 Absatz 1 Satz 1 BDSG beschränkt sich der Geltungsbereich dieses Gesetzes nicht nur auf den sachlichen Anwendungsbereich der Verordnung (EU) 2016/679. Absatz 8 stellt sicher, dass auch für die nicht unter die beiden EU-Rechtsakte fallenden Bereiche entsprechend der bisherigen Regelungssystematik des BDSG a. F. ein datenschutzrechtliches Vollregime im Geltungsbereich des Grundgesetzes angeboten wird. Die besondere Erwähnung der Anwendbarkeit des Teils 1 BDSG erfolgt lediglich aus Gründen der Klarstellung, da die Anwendbarkeit sich bereits aus Absatz 1 Satz 1 unmittelbar ergibt.
§§§
Die Absätze 1 bis 4 der Regelung entsprechen § 2 BDSG a. F. Sie bestimmen, welche öffentlichen Stellen und nichtöffentlichen Stellen unter den Anwendungsbereich nach § 1 Absatz 1 BDSG fallen.
Absatz 5 vollzieht den Regelungsgehalt des § 27 Absatz 1 Satz 1 Nummer 2 BDSG a. F. nach, indem bestimmt wird, dass öffentliche Stellen des Bundes und öffentliche Stellen der Länder dann als nichtöffentliche Stellen im Sinne dieses Gesetzes gelten, soweit sie als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, und – im Fall öffentlicher Stellen der Länder – zudem Bundesrecht ausführen und der Datenschutz nicht durch Landesgesetz geregelt ist. Er dient damit auch der Klarstellung, auf welche Verarbeitungsbefugnisse bzw. Ausnahmen von Betroffenenrechte abzustellen ist, wenn eine Unterscheidung nach öffentlichen und nichtöffentlichen Stellen vorgenommen wird.
§§§
Die Vorschrift enthält eine allgemeine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch öffentliche Stellen.
Durch die Stellung im Teil 1 „Gemeinsame Bestimmungen“ dieses Gesetzes können Verantwortliche vorbehaltlich anderer bereichsspezifischer Regelungen auf die Regelung unabhängig davon zurückgreifen, zu welchen Zwecken die Datenverarbeitung erfolgt.
Wer zu dem Kreis der öffentlichen Stellen gehört, wird in § 2 Absatz 1 bis 3 BDSG bestimmt. Soweit nichtöffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung wahrnehmen (sog. Beliehene), gelten sie nach § 2 Absatz 4 Satz 2 BDSG als öffentliche Stellen und können ihre Datenverarbeitung daher ebenfalls auf die Befugnis in § 3 BDSG stützen.
Soweit die Vorschrift für Datenverarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 zur Anwendung kommt, wird mit ihr eine Rechtsgrundlage auf der Grundlage von Artikel 6 Absatz 1 Buchstabe e i. V. m. Artikel 6 Absatz 3 Satz 1 der Verordnung (EU) 2016/679 geschaffen. Dies ist rechtlich notwendig, da Artikel 6 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 selbst keine Rechtsgrundlage für die Verarbeitung von Daten schafft, was sich aus der Formulierung in Artikel 6 Absatz 3 Satz 1 der Verordnung (EU) 2016/679 ergibt. Der Unions- oder der nationale Gesetzgeber hat eine Rechtsgrundlage zu setzen. Diesem Regelungsauftrag kommt der deutsche Gesetzeber an dieser Stelle nach.
Die Verarbeitung personenbezogener Daten durch öffentliche Stellen ist nach der Vorschrift zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder wenn sie in Aus- übung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Beides kann sich sowohl aus nationalen Rechtvorschriften als auch aus EU-Vorgaben ergeben. Die Verarbeitung personenbezogener Daten ist allerdings nicht nur auf dieser Rechtsgrundlage zulässig ist, sondern auch auf der Grundlage der weiteren in Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Erlaubnistatbestände einschließlich der auf der Grundlage der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 erlassenen bereichsspezifischen Regelungen. So ist etwa die Zulässigkeit der Verarbeitung von Sozialdaten abschließend im SGB X in Verbindung mit dem SGB I sowie in den übrigen Sozialgesetzbüchern geregelt.
Die Regelung nimmt den bisher in §§ 13 Absatz 1 und 14 Absatz 1 BDSG a. F. enthaltenen Regelungsgehalt auf, unterscheidet aber nicht mehr zwischen den Phasen der Erhebung, Speicherung, Veränderung und Nutzung, sondern verwendet, dem Grundgedanken der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 folgend, allgemein den umfassenden Begriff der Verarbeitung. Wie nach geltendem Recht enthält § 3 eine subsidiäre, allgemeine Rechtsgrundlage für Datenverarbeitungen mit geringer Eingriffsintensität in die Rechte der betroffenen Person.
§§§
Die Vorschrift enthält eine § 6b BDSG a. F. weitgehend entsprechende Regelung zur Videoüberwachung in öffentlich zugänglichen Räumen unter Beibehaltung des Stufenverhältnisses der Beobachtung (Absatz 1) sowie der Speicherung oder Verwendung (Absatz 3) sowie der Kennzeichnungs-, Informations- und Löschungspflichten (Absatz 2, 4 und 5). Der Gebrauch des Begriffs „Verwendung“ in Absatz 3 statt – wie bisher im BDSG a. F. – „Nutzung“ entspricht einem Unterbegriff des unionsrechtlichen Verarbeitungsbegriffs des Artikels 4 Nummer 2 der Verordnung (EU) 2016/679, ohne dass damit ein Bedeutungsunterschied verbunden ist.
Absatz 1 Satz 2 schreibt die bisherige Regelung des § 6b Absatz 1 Satz 2 BDSG a. F. fort, die mit dem Entwurf eines Videoüberwachungsverbesserungsgesetzes in das BDSG a. F. aufgenommen werden soll. Soweit der Betreiber eine Videoüberwachung einsetzen möchte und die Schutzgüter Leben, Gesundheit oder Freiheit in den dort genannten Anlagen betroffen sein können, wird durch die Formulierung „gilt als…ein besonders wichtiges Interesse“ die Abwägungsentscheidung zugunsten der Zulässigkeit des Einsatzes einer Videoüberwachungsmaßnahme geprägt.
§§§
Kapitel 3 enthält Vorschriften für die Benennung, die Stellung und die Aufgaben der Datenschutzbeauftragten öffentlicher Stellen des Bundes. Die Rechtsstellung der behördlichen Datenschutzbeauftragten in der Bundesverwaltung sollte im Anwendungsbereich der Verordnung (EU) 2016/679, der Richtlinie (EU) 2016/680 und für die Bereiche außerhalb des Unionsrechts (z. B. für die Nachrichtendienste) einheitlich ausgestaltet sein.
§§§
In Umsetzung des Artikels 32 Absatz 1 der Richtlinie (EU) 2016/680 erfolgt in Absatz 1 eine Übernahme des Artikels 37 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679.
Die Absätze 2, 3 und 5 setzen Artikel 32 Absatz 2 bis 4 der Richtlinie (EU) 2016/680 um. Sie entsprechen Artikel 37 Absatz 3, 5 und 7 der Verordnung (EU) 2016/679.
Absatz 4 überträgt die Regelung des Artikels 37 Absatz 6 der Verordnung (EU) 2016/679, nach welcher sowohl interne als auch externe Datenschutzbeauftragte zulässig sind, auf den gesamten Bereich der Bundesverwaltung. Dies geht über die Vorgaben der Richtlinie (EU) 2016/680 hinaus.
§§§
Die Absätze 1 und 2 setzen Artikel 33 der Richtlinie (EU) 2016/680 um. Sie entsprechen Artikel 38 Absatz 1 und 2 der Verordnung (EU) 2016/679.
Die Absätze 3 und 5 Satz 1 übertragen die Vorgaben des Artikels 38 Absatz 3 und 4 der Verordnung (EU) 2016/679 auf alle öffentlichen Stellen des Bundes, unabhängig davon, zu welchem Zweck die Datenverarbeitung erfolgt. Dies geht über die Vorgaben der Richtlinie (EU) 2016/680 hinaus. Durch die Erstreckung der Vorgaben der Verordnung (EU) 2016/679 auf den Anwendungsbereich der Richtlinie (EU) 2016/680 und der Datenverarbeitung zu Zwecken, für die der Anwendungsbereich des Rechts der Europäischen Union nicht eröffnet ist (z. B. Nachrichtendienste), wird die Rechtsstellung der oder des behördlichen Datenschutzbeauftragten in öffentlichen Stellen des Bundes einheitlich ausgestaltet.
Absatz 4 entspricht der bisherigen Regelung des § 4f Absatz 3 Satz 4 bis 6 BDSG a. F. Bei dem besonderen Abberufungs- und Kündigungsschutz der oder des Datenschutzbeauftragten handelt es sich um eine arbeitsrechtliche Regelung, die ergänzend zu den Vorgaben der Verordnung (EU) 2016/679 beibehalten werden kann.
Die Regelung zur Verschwiegenheitspflicht in Absatz 5 Satz 2 entspricht § 4f Absatz 4 BDSG a. F. Die Verletzung von Privatgeheimnissen durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten ist gemäß § 203 Absatz 2a des Strafgesetzbuches zudem strafbewehrt. Das Zeugnisverweigerungsrecht in Absatz 6 sichert die Verschwiegenheitspflicht ab und entspricht § 4f Absatz 4a BDSG a. F. Die Regelungskompetenz für den Bereich der Verordnung (EU) 2016/679 folgt aus Artikel 38 Absatz 5 der Verordnung (EU) 2016/679. Die Regelung geht über die Vorgaben der Richtlinie (EU) 2016/680 hinaus und erfolgt zum Zweck einer kohärenten Rechtsstellung der oder des behördlichen Datenschutzbeauftragten in der gesamten Bundesverwaltung.
§§§
Absatz 1 Satz 1 setzt Artikel 34 der Richtlinie (EU) 2016/680 um. Um die Aufgaben der oder des Datenschutzbeauftragten öffentlicher Stellen für alle Verarbeitungszwecke einheitlich auszugestalten, entspricht die Norm unter lediglich redaktioneller Anpassung Artikel 39 der Verordnung (EU) 2016/679.
Absatz 1 Satz 2 stellt klar, dass die Aufgaben eines behördlichen Datenschutzbeauftragten eines Gerichtes sich nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit beziehen.
Absatz 2 stellt klar, dass die oder der behördliche Datenschutzbeauftragte weitere Aufgaben und Pflichten wahrnehmen kann, sofern diese nicht zu einem Interessenkonflikt führen. Die Regelung entspricht Artikel 38 Absatz 6 der Verordnung (EU) 2016/679, deren Regelungsgehalt auf den Anwendungsbereich der Richtlinie (EU) 2016/680 und der Datenverarbeitung außerhalb des Anwendungsbereichs des Rechts der Europäischen Union (z. B zu nachrichtendienstlichen Zwecken) erstreckt wird.
Absatz 3 entspricht Artikel 39 Absatz 2 der Verordnung (EU) 2016/679. Die Regelung hat keine Entsprechung in Artikel 34 der Richtlinie (EU) 2016/680, wird aber auch außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679 als allgemeiner Grundsatz festgeschrieben.
§§§
Kapitel 4 passt die Regelungen des BDSG a. F. zu der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (die oder der Bundesbeauftragte) an die Vorgaben der Verordnung (EU) 2016/679 an. Zugleich werden die Vorgaben der Richtlinie (EU) 2016/680 umgesetzt.
Die Regelungen der §§ 21 bis 26 BDSG a. F. werden inhaltlich weitgehend übernommen, aus Gründen der Lesbarkeit allerdings neu strukturiert unter Orientierung an dem Aufbau der Kapitel VI der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680. Im Einzelnen geregelt werden die Errichtung, die Zuständigkeit, die Deutscher Bundestag – 18. Wahlperiode – 83 – Drucksache 18/11325 Unabhängigkeit, die Ernennung und Amtszeit, das Amtsverhältnis, die Rechte und Pflichten, die Aufgaben und Befugnisse der oder des Bundesbeauftragten. Die Bundeskompetenz ergibt sich aus der Natur der Sache.
§§§
§ 8 Absatz 1 und 2 regelt in unveränderter Übernahme des bisherigen § 22 Absatz 5 BDSG a. F. die Errichtung und Einrichtung der oder des Bundesbeauftragten und die näheren Modalitäten. Hierdurch werden Artikel 54 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe a der Richtlinie (EU) 2016/680 durchgeführt bzw. umgesetzt, welche den Mitgliedstaaten vorgeben, Aufsichtsbehörden zu errichten.
Die Errichtung der oder des Bundesbeauftragten als oberste Bundesbehörde (Absatz 1 Satz 1) steht im engen Zusammenhang mit dem Erfordernis der völligen Unabhängigkeit der oder des Bundesbeauftragten. Die völlige Unabhängigkeit und Weisungsfreiheit der Aufsichtsbehörden sind unionsrechtlich vorgegeben (Artikel 16 Absatz 2 AEUV, Artikel 52 der Verordnung (EU) 2016/679 bzw. Artikel 42 der Richtlinie (EU) 2016/680). Zugleich wird hierdurch die dienstrechtliche Personalhoheit der oder des Bundesbeauftragten über die Beschäftigten sichergestellt (Artikel 52 Absatz 5 der Verordnung (EU) 2016/679, Artikel 42 Absatz 5 der Richtlinie (EU) 2016/680).
Die Festlegung des Dienstsitzes (Absatz 1 Satz 2) und die körperschaftliche Zuweisung der bei der oder dem Bundesbeauftragten beschäftigten Beamtinnen und Beamten als solche des Bundes (Absatz 2) stehen in unmittelbarem Sachzusammenhang zu der Errichtung und Ausstattung der Aufsichtsbehörden.
Absatz 3 schafft eine Rechtsgrundlage für die Übertragung von Aufgaben der Personalverwaltung und Personalwirtschaft von der oder dem Bundesbeauftragten auf andere Behörden und die damit einhergehende Übermittlungsbefugnis für die Beschäftigtendaten. Die Regelung ist an § 108 Absatz 5 Satz 1 und 2 BBG angelehnt und erweitert diesen auf Aufgaben außerhalb der Beihilfebearbeitung. Hierdurch ist es der oder dem Bundesbeauftragten als oberster Bundesbehörde ohne eigenen Geschäftsbereich möglich, bestimmte Aufgaben der Personalverwaltung und Personalwirtschaft, bei denen aufgrund des selbständigen Charakters der Aufgabenerledigung das Instrument der Auftragsdatenverarbeitung nicht in Betracht kommt, durch andere Behörden im Wege der Funktionsübertragung ausführen zu lassen. Betroffen sind beispielsweise Aufgaben der Reisevorbereitung, Reisekostenabrechnung, Gewährung von Trennungsgeld und Umzugskostenerstattung, Geltendmachung von Schadensersatzansprüchen gegenüber Dritten oder Unterstützung bei Stellenbesetzungsverfahren.
§§§
Artikel 51 Absatz 1 der Verordnung (EU) 2016/679 und Artikel 41 Absatz 1 der Richtlinie (EU) 2016/680 überlassen es den Mitgliedstaaten, eine oder mehrere Aufsichtsbehörden für die Überwachung der Anwendung der Datenschutz-Grundverordnung und der Richtlinie (EU) 2016/680 einzurichten. Artikel 55 Absatz 1 der Verordnung (EU) 2016/679 bestimmt zudem, dass jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Aus- übung der Befugnisse, die ihr mit der Verordnung (EU) 2016/679 übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig ist. Eine vergleichbare Regelung enthält Artikel 45 Absatz 1 der Richtlinie (EU) 2016/680.
Die Bundesrepublik verfügt mit ihrem föderalen Staatsaufbau über Datenschutzaufsichtsbehörden auf Bundes- und auf Länderebene. Es ist daher auch innerhalb der Bundesrepublik eine Abgrenzung der Zuständigkeiten der Aufsichtsbehörden erforderlich.
Absatz 1 legt die sachliche Zuständigkeit der oder des Bundesbeauftragten fest. Die oder der Bundesbeauftragte ist zuständig für die datenschutzrechtliche Aufsicht über alle öffentlichen Stellen des Bundes, gleich ob die Datenverarbeitung unter den Anwendungsbereich des Unionsrechts fällt oder nicht. Hierzu wird der bisherige § 24 Absatz 1 BDSG a. F. ohne inhaltliche Änderungen sprachlich an die Verordnung (EU) 2016/679 angepasst. Auch Stellen des Bundes im Sinne des § 2 Absatz 5, die als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen, unterfallen wie bisher (§ 27 Absatz 1 Satz 1 Nummer 2 Buchstabe a i. V. m. Satz 3 BDSG a. F.) der Zuständigkeit der oder des Bundesbeauftragten. Spezialgesetzliche Zuweisungen der Datenschutzaufsicht über nichtöffentliche Stellen an die Bundesbeauftragte oder den Bundesbeauftragten bleiben – wie bisher – von der Regelung unberührt. Satz 2 führt den bisherigen Verweis des § 11 Absatz 4 Nummer 1 BDSG a. F. (nichtöffentliche Auftragnehmer in öffentlicher Hand) fort.
Die justizielle Tätigkeit der Bundesgerichte unterliegt – wie bisher nach § 24 Absatz 3 BDSG a. F. – nicht der Aufsicht durch die Bundesbeauftragte oder den Bundesbeauftragten. Absatz 2 passt die bisherige Regelung, nach welcher die Bundesgerichte der Kontrolle der oder des Bundesbeauftragten nur unterliegen, soweit sie in Verwaltungsangelegenheiten tätig werden, an den Wortlaut der Verordnung (EU) 2016/679 bzw. der Richtlinie (EU) 2016/680 an. Hierdurch wird Artikel 45 Absatz 2 Satz 1 der Richtlinie (EU) 2016/680 umgesetzt; Artikel 55 Absatz 3 der Verordnung (EU) 2016/679 gilt hingegen unmittelbar. Auch bei anderen Einrichtungen mit verfassungsrechtlich garantierter Unabhängigkeit wie dem Bundesrechnungshof, soweit dessen Mitglieder im Rahmen ihrer richterlichen Unabhängigkeit handeln, sollte die oder der Bundesbeauftragte diese Unabhängigkeit achten und bei der Ausübung ihrer oder seiner Befugnisse wahren.
§§§
Absatz 1 setzt Artikel 42 Absatz 1 und 2 der Richtlinie (EU) 2106/680 zur völligen Unabhängigkeit der oder des Bundesbeauftragten um. Hierzu wird der bisherige § 22 Absatz 4 Satz 2 BDSG a. F. an den Wortlaut der Artikel 42 Absatz 1 und 2 der Richtlinie (EU) 2016/680 angepasst. Für den Bereich der Verordnung (EU) 2016/679 gilt Artikel 52 Absatz 1 und 2 unmittelbar. Insoweit wird auch auf die Erläuterungen zu § 1 Absatz 5 verwiesen.
Absatz 2 trägt Artikel 52 Absatz 6, erster Satzteil der Verordnung (EU) 2016/679 und Artikel 42 Absatz 6, erster Satzteil der Richtlinie (EU) 2016/680 Rechnung. Jeder Mitgliedstaat hat sicherzustellen, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt. Wie aus Erwägungsgrund 118 der Verordnung (EU) 2016/679 folgt, bedeutet die Unabhängigkeit der Aufsichtsbehörden nicht, dass sie hinsichtlich ihrer Ausgaben keinem Kontroll- oder Überwachungsmechanismus unterworfen sind. Jedoch findet die Finanzkontrolle ihre Grenzen in der Unabhängigkeit der Datenschutzaufsicht. Die Haushalts- und Wirtschaftsführung der oder des Bundesbeauftragten unterliegt der Prüfung des Bundesrechnungshofs daher nur soweit hierdurch die Unabhängigkeit der oder des Bundesbeauftragten nicht beeinträchtigt wird.
§§§
§ 11 regelt in Durchführung der Artikel 53 Absatz 1, Artikel 54 Absatz 1 Buchstabe c und e der Verordnung (EU) 2016/679 sowie in Umsetzung der Artikel 43 Absatz 1, 44 Absatz 1 Buchstabe c und e der Richtlinie (EU) 2016/680 das Verfahren der Ernennung und die Amtszeit der oder des Bundesbeauftragten. Hierzu wird der bisherige § 22 Absatz 13 BDSG a. F. unverändert übernommen. Im Anschluss an die Regelung zum Mindestalter (§ 22 Absatz 1 Satz 2 BDSG a. F.) wird die Vorschrift in Absatz 1 Satz 4 und 5 um weitere Anforderungen an die Qualifikation und sonstige Voraussetzungen für die Ernennung der oder des Bundesbeauftragten ergänzt (Artikel 53 Absatz 2, 54 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 und Artikel 43 Absatz 2, 44 Absatz 1 Buchstabe b der Richtlinie (EU) 2016/680).
Absatz 1 Satz 1 und 2 regelt das Verfahren der Wahl und Ernennung der oder des Bundesbeauftragten. Nach Artikel 53 Absatz 1 der Verordnung (EU) 2016/679 und Artikel 43 Absatz 1 der Richtlinie (EU) 2016/680 sehen die Mitgliedstaaten ein transparentes Ernennungsverfahren durch das Parlament, die Regierung, das Staatsoberhaupt oder eine unabhängige Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird, vor. Die Mitgliedstaaten haben zudem die Vorschriften und Verfahren für die Ernennung des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde zu schaffen (Artikel 54 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679, Artikel 44 Absatz 1 Buchstabe c der Richtlinie (EU) 2016/680). Dem entspricht die bisherige Rechtslage in § 22 Absatz 1 Satz 1 und 3 BDSG a. F.
Mit Absatz 1 Satz 3 bis 5 werden in Durchführung des Artikels 53 Absatz 2, 54 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 und in Umsetzung des gleichlautenden Artikels 43 Absatz 2, 44 Absatz 1 Buchstabe b der Richtlinie (EU) 2016/680 die Anforderungen an die Qualifikation und sonstigen Voraussetzungen für die Ernennung der oder des Bundesbeauftragten geregelt.
Das in Absatz 1 Satz 3 vorgesehene Mindestalter von 35 Jahren ist eine „sonstige“ Voraussetzung für die Ernennung im Sinne der vorbezeichneten Artikel. Die Regelung ist eine wortgleiche Übernahme des bisherigen § 22 Absatz 1 Satz 2 BDSG a. F. Absatz 1 Satz 4 setzt Artikel 43 Absatz 2 der Richtlinie (EU) 2016/680 um, nach welchem jedes Mitglied einer Aufsichtsbehörde über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen muss. Eine wortgleiche Regelung findet sich in Artikel 53 Absatz 2 der Verordnung (EU) 2016/679. Satz 5 konkretisiert die erforderlichen Qualifikationen der oder des Bundesbeauftragten, die oder der über durch einschlägige Berufserfahrung im Bereich des Datenschutzes praktisch belegbare Kenntnisse des deutschen und europäischen Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben muss.
In Absatz 2 wird die bisherige Regelung des § 22 Absatz 2 BDSG a. F. zum Amtseid unverändert übernommen. Der Amtseid der oder des Bundesbeauftragten ist eine Konkretisierung des mitgliedstaatlich zu regelnden Ernennungsverfahrens gemäß Artikel 54 Absatz 1 Buchstabe c Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe c der Richtlinie (EU) 2016/680.
Die in Absatz 3 unverändert aus § 22 Absatz 3 BDSG a. F. übernommene Regelung zur Länge der Amtszeit und zur einmaligen Wiederwahl entsprechen den Vorgaben des Artikels 54 Absatz 1 Buchstabe d und e der Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe d und e der Richtlinie (EU) 2016/680.
§§§
§ 12 regelt die Ausgestaltung, den Beginn und das Ende des Amtsverhältnisses der oder des Bundesbeauftragten.
In Absatz 1 wird der bisherige § 22 Absatz 4 Satz 1 BDSG a. F. unverändert übernommen. Die Ausgestaltung als öffentlich-rechtliches Amtsverhältnis eigener Art sichert die Unabhängigkeit der oder des Bundesbeauftragten dienstrechtlich ab. Es handelt sich um eine unionsrechtlich gemäß Artikel 54 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 und Artikel 42 Absatz 1 Buchstabe c der Richtlinie (EU) 2016/680 zulässige Konkretisierung der Amtsstellung der oder des Bundesbeauftragten.
Absatz 2 regelt den Beginn und das Ende der Amtszeit der oder des Bundesbeauftragten. Die Regelung entspricht den Vorgaben der Artikel 53 Absatz 3 und 4, 54 Absatz 1 Buchstabe c, d und f der Verordnung (EU) 2016/679 und der Artikel 43 Absatz 3 und 4, 44 Absatz 1 Buchstabe c, d und f der Richtlinie (EU) 2016/680 und konkretisiert diese.
Nach Absatz 2 Satz 1 beginnt das Amtsverhältnis der oder des Bundesbeauftragten in wortgleicher Übernahme des bisherigen § 23 Absatz 1 Satz 1 BDSG a. F. mit der Aushändigung der Ernennungsurkunde. Die Regelung ist eine nähere Ausgestaltung des Ernennungsverfahrens der Leiterin oder des Leiters der Aufsichtsbehörden, das nach Artikel 54 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe c der Richtlinie (EU) 2016/680 durch die Mitgliedstaaten zu regeln ist.
Absatz 2 Satz 2 bis 6 konkretisieren die Voraussetzungen und das Verfahren der Beendigung des Amtsverhältnisses und der Amtsenthebung (Artikel 53 Absatz 3 und 4, 54 Absatz 1 Buchstabe f letzter Satzteil der Verordnung (EU) 2016/679 und Artikel 43 Absatz 3 und 4, Artikels 44 Absatz 1 Buchstabe f letzter Satzteil der Richtlinie (EU) 2016/680). Diese orientieren sich unter Anpassung an die Anforderungen der genannten EU-Rechtsakte inhaltlich an der bisherigen Regelung des § 23 Absatz 1 Satz 2 bis 6 BDSG a. F.
Absatz 2 Satz 2 sieht in Übereinstimmung mit Artikel 53 Absatz 3 der Verordnung (EU) 2016/679 und Artikel 43 Absatz 3 der Richtlinie (EU) 2016/680 als Gründe der Beendigung des Amtsverhältnisses den Ablauf der Amtszeit und den Rücktritt der oder des Bundesbeauftragten vor. Die in Artikel 53 Absatz 3 der Verordnung (EU) 2016/679 und Artikel 43 Absatz 3 der Richtlinie (EU) 2016/680 als weiterer Beendigungsgrund vorgesehene verpflichtende Versetzung in den Ruhestand gemäß dem mitgliedstaatlichen Recht kommt wegen der Ausgestaltung des Amtes der oder des Bundesbeauftragten als öffentlich-rechtliches Amtsverhältnis eigener Art, wie nach bisheriger Rechtslage, nicht in Betracht.
Die bislang in § 23 Absatz 1 Satz 2 Nummer 2 BDSG a. F. geregelte Entlassung der oder des Bundesbeauftragten wird, der Systematik der Artikel 53 Absatz 3 und 4 der Verordnung (EU) 2016/679 und Artikel 43 Absatz 3 und 4 der Richtlinie (EU) 2016/680 folgend, künftig unter dem Begriff der Amtsenthebung in den Sätzen 3 bis 5 unter
Fortentwicklung der bisherigen Regelung des § 23 Absatz 1 Satz 3 bis 5 BDSG a. F. fortgeführt.
Satz 3 sieht – wie bisher – ein Amtsenthebungsverfahren durch die Bundespräsidentin oder den Bundespräsidenten auf Vorschlag
der Präsidentin oder des Präsidenten des Deutschen Bundestages vor. Der bislang in § 23 Absatz 1 Satz 3
BDSG a. F. vorgesehene Bezug auf die Entlassungsgründe bei einer Richterin oder einem Richter auf Lebenszeit
musste jedoch an Artikel 53 Absatz 4 der Verordnung (EU) 2016/679 bzw. Artikel 43 Absatz 4 der Richtlinie
(EU) 2016/680 angepasst werden, der eine Amtsenthebung nur bei einer schweren Verfehlung oder bei Nichterfüllung
der Voraussetzungen für die weitere Wahrnehmung des Amtes vorsieht.
Die Sätze 4 und 5 enthalten weitere, auf Artikel 54 Absatz 1 Buchstabe f letzter Satzteil der Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe f letzter Satzteil der Richtlinie (EU) 2016/680 beruhende Verfahrensregelungen, welche an § 23 Absatz 1 Satz 4 und 5 BDSG a. F. angelehnt sind.
Satz 6 regelt die bislang in § 23 Absatz 1 Satz 6 BDSG a. F. vorgesehene Pflicht der oder des Bundesbeauftragten zur Weiterführung des Amtes bis zur Ernennung einer Nachfolgerin oder eines Nachfolgers. Um dem ausscheidenden Amtswalter eine persönliche Perspektive und Planungssicherheit zu geben, wird die Pflicht zur Weiterführung des Amtes auf höchstens sechs Monate begrenzt. Nach Ablauf dieser Frist erfolgt die Vertretung durch die Leitende Beamtin oder den Leitenden Beamten gemäß Absatz 3.
Die Beendigung des Beschäftigungsverhältnisses der Bediensteten der oder des Bundesbeauftragten bestimmt sich nach allgemeinen beamten- und arbeitsrechtlichen Grundsätzen, so dass es weitergehender Regelungen nach Artikel 54 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe f der Richtlinie (EU) 2016/680 nicht bedarf.
Absatz 3 führt die bisherige Vertretungsregelung des § 22 Absatz 6 BDSG a. F. unverändert fort. Die Wahrnehmung der Rechte der oder des Bundesbeauftragten durch die Leitende Beamtin oder den Leitenden Beamten ist eine zweckmäßige, im engen Zusammenhang zu den Regelungsaufträgen des Artikel 54 Absatz 1 Buchstabe a und d der Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe a und d der Richtlinie (EU) 2016/680 stehende Regelung zur Gewährleistung der Funktionsfähigkeit und Aufgabenerfüllung bei Abwesenheit der oder des Bundesbeauftragten.
In Absatz 4 werden die Besoldung, Versorgung und sonstigen Bezüge der oder des Bundesbeauftragten unverändert unter wortgleicher Übernahme des bisherigen § 23 Absatz 7 BDSG a. F. beibehalten. Es handelt sich um eine notwendige mitgliedstaatliche Begleitregelung zur Regelung der Errichtung der Aufsichtsbehörden und des Verfahrens für die Ernennung der Leiterin oder des Leiters der Aufsichtsbehörde (Artikel 54 Absatz 1 Buchstabe a und c der Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe a und c der Richtlinie (EU) 2016/680).
§§§
§ 13 regelt die Rechte und Pflichten der oder des Bundesbeauftragten. Die bisherigen Regelungen des § 23 Absatz 2 bis 6 und 8 BDSG a. F. werden weitestgehend unverändert übernommen.
Absatz 1 Satz 1 enthält ein umfassendes Verbot sämtlicher nicht mit dem Amt zu vereinbarender Handlungen und
Tätigkeiten, gleich ob entgeltlich oder unentgeltlich. Der Wortlaut entspricht Artikel 52 Absatz 3 der Verordnung
(EU) 2016/679, der aus Gründen der Verständlichkeit und Kohärenz auch für Artikel 42 Absatz 3 der Richtlinie
(EU) 2016/680 gelten soll.
Satz 2 und 3 übernehmen die bisherige Regelung des § 23 Absatz 2 BDSG a. F. inhaltlich unverändert, gestalten diese nunmehr aber als Konkretisierung des allgemeinen Verbots der Ausübung
mit dem Amt nicht zu vereinbarender Handlungen und Tätigkeiten (Satz 1) aus. Hierdurch werden Artikel 54
Absatz 1 Buchstabe f zweiter Satzteil der Verordnung (EU) 2016/679 und Artikel 44 Absatz 1 Buchstabe f zweiter
Satzteil der Richtlinie (EU) 2016/680 umgesetzt.
Die Absätze 2 bis 6 entsprechen § 23 Absatz 3 bis 6 und 8 BDSG a. F.
Die Mitteilungspflicht der oder des Bundesbeauftragten über Geschenke (Absatz 2) ist eine Konkretisierung der aus Artikel 52 Absatz 3 und 54 Absatz 1 Buchstabe f zweiter Satzteil der Verordnung (EU) 2016/679 und Artikel 42 Absatz 3 und 44 Absatz 1 Buchstabe f zweiter Satzteil der Richtlinie (EU) 2016/680 folgenden mitgliedstaatlichen Regelungsspielräume zu den Pflichten und Handlungsverboten. Der bisherige § 23 Absatz 3 BDSG a. F. wird unverändert übernommen.
Absatz 3 regelt das Zeugnisverweigerungsrecht der oder des Bundesbeauftragten und ihrer Mitarbeiterinnen oder
seiner Mitarbeiter.
Als Konkretisierung der Ausgestaltung der Aufsichtsbehörden und sachgerechte Ergänzung
der aus Absatz 4 folgenden Verschwiegenheitspflicht sichert das Zeugnisverweigerungsrecht die effektive Aufgabenwahrnehmung
der oder des Bundesbeauftragten ab. Hierzu wird der bisherige § 23 Absatz 4 BDSG a. F.
wortgleich übernommen.
Absatz 4 setzt Artikel 54 Absatz 2 der Verordnung (EU) 2016/679 und Artikel 44 Absatz 2 der Richtlinie (EU) 2016/680 zur Verschwiegenheitspflicht um. Hierzu wird der bisherige § 23 Absatz 5 BDSG a. F. wortgleich übernommen.
In Absatz 5 (Zeugenaussage und dessen Einschränkungen) wird der bisherige § 23 Absatz 6 BDSG a. F. wortgleich übernommen. Das Recht zur Zeugenaussage steht in unmittelbarem Bezug zu dem Zeugnisverweigerungsrecht (Absatz 3) und der Verschwiegenheitspflicht (Absatz 4) der oder des Bundesbeauftragten.
Absatz 6 ist eine Kombination des Regelungsgehalts aus § 12 Absatz 3 und § 23 Absatz 8 BDSG a. F. zur Erstreckung des Zeugnisverweigerungsrechts und der Beistands- und Unterrichtungspflichten der oder des Bundesbeauftragten gegenüber den Finanzbehörden auf die Landesbeauftragten für den Datenschutz.
§§§
§ 14 Absatz 1 regelt die Aufgaben der oder des Bundesbeauftragten zum Zweck der Umsetzung des Artikels 46 der Richtlinie (EU) 2016/680. Zu diesem Zweck werden die in Artikel 57 der Verordnung (EU) 2016/679 vorgesehenen Aufgaben der Aufsichtsbehörden unter redaktioneller Anpassung des Wortlauts insoweit wiederholt, als sie inhaltlich deckungsgleich mit den Vorgaben der Richtlinie (EU) 2016/680 sind. Es handelt sich somit um die gemeinsame Schnittmenge der aus der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 resultierenden Aufgaben. Die Regelung gilt unbeschadet anderer Aufgaben nach der Verordnung (EU) 2016/679. Soweit sich die Auflistung in Absatz 1 Satz 1 nicht explizit nur auf die Verordnung oder die Richtlinie bezieht, gelten die Aufgaben der oder des Bundesbeauftragten – wie bisher § 24 Absatz 1 BDSG a. F. – auch für Datenverarbeitungen, die nicht in den Anwendungsbereich des Unionsrechts fallen. Satz 2 setzt Artikel 46 Absatz 1 Buchstabe g der Richtlinie (EU) 2016/680 um; dieser hat in Artikel 57 der Verordnung (EU) 2016/679 keine Entsprechung.
Soweit die oder der Bundesbeauftragte im Rahmen der Aufgabenwahrnehmung nach § 14 Absatz 1 Nummer 2 die Öffentlichkeit über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten speziell von Kindern sensibilisiert und aufklärt, kann dies insbesondere in Zusammenarbeit mit den für den Kinder- und Jugendschutz zuständigen Stellen des Bundes erfolgen.
Absatz 2 konkretisiert die Beratungsbefugnisse der oder des Bundesbeauftragten für den gesamten Anwendungsbereich
des BDSG. Hierdurch wird Artikel 47 Absatz 3 der Richtlinie (EU) 2016/680 umgesetzt. Zugleich wird
der Adressatenkreis des Artikels 58 Absatz 3 Buchstabe b der Verordnung (EU) 2016/679 konkretisiert, indem
klargestellt wird, dass im Einklang mit dem mitgliedstaatlichen Recht die Beratungsbefugnisse auch gegenüber
allen sonstigen Einrichtungen und Stellen sowie den Ausschüssen des Deutschen Bundestages und dem Bundesrat
als Teil des nationalen Parlaments bestehen.
Satz 2 greift § 26 Absatz 2 Satz 2 BDSG a. F. auf.
Absatz 3 und 4 setzt Artikel 46 Absatz 2 bis 4 der Richtlinie (EU) 2016/680 in Übereinstimmung mit der Regelung
des Artikels 57 Absatz 2 bis 4 der Verordnung (EU) 2016/679 um.
§§§
§ 15 bestimmt, dass die oder der Bundesbeauftragte einen jährlichen Bericht über ihre oder seine Tätigkeit zu erstellen hat. Der Jahresbericht gilt sowohl für Datenverarbeitungen im Rahmen von Tätigkeiten, die dem Unionsrecht unterfallen als auch für solche, die nicht dem Unionsrecht unterfallen. Die Abweichung von dem bisher (§ 26 Absatz 1 BDSG a. F.) vorgesehenen Berichtszeitraum von zwei Jahren beruht auf den Vorgaben des in Artikel 59 der Verordnung (EU) 2016/679 und Artikel 49 der Richtlinie (EU) 2016/680 genannten Tätigkeitsberichts (Jahresbericht). Dieser Zeitraum wird aus Gründen der Einheitlichkeit und Praktikabilität auf Datenverarbeitungen im Rahmen von Tätigkeiten, die nicht dem Unionsrecht unterfallen, ausgedehnt, so dass die oder der Bundesbeauftragte wie bisher einen einheitlichen Bericht erstellen kann.
Satz 2 konkretisiert die Empfänger des in Artikel 59 der Verordnung (EU) 2016/679 und Artikel 49 der Richtlinie (EU) 2016/680 genannten Tätigkeitsberichts (Jahresbericht). Auch der Bundesrat ist nach unionsrechtlichem Verständnis nationales Parlament im Sinne des Artikels 12 des Vertrags über die Europäische Union (EUV) und der Protokolle Nummer 1 und 2 des Lissabon-Vertrags. Der Bericht der Öffentlichkeit, der Europäischen Kommission und dem Europäischen Datenschutzausschuss zugänglich zu machen (Artikel 59 Satz 3 der Verordnung (EU) 2016/679 und Artikel 49 Satz 3 der Richtlinie (EU) 2016/680). Der oder dem Bundesbeauftragten steht es frei, den Tätigkeitsbericht darüber hinaus betroffenen oder interessierten Behörden zur Verfügung zu stellen.
§§§
§ 16 regelt für den gesamten Anwendungsbereich des BDSG die Befugnisse der oder des Bundesbeauftragten. Absatz 1 verweist für die Befugnisse und deren Ausübung im Anwendungsbereich der Verordnung (EU) 2016/679 auf Artikel 58 der Verordnung (EU) 2016/679. Absatz 2 regelt die Befugnisse der oder des Bundesbeauftragten bei Datenverarbeitungen, deren Zwecke außerhalb der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 liegen, auch wenn für diese durch die Regelung des § 1 Absatz 8 BDSG die Verordnung (EU) 2016/679 entsprechend anzuwenden ist, sowie bei Datenverarbeitungen im Geltungsbereich der Richtlinie (EU) 2016/680. Absatz 3 bis 5 gilt sowohl im Anwendungsbereich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 als auch außerhalb der Vorgaben des europäischen Rechts.
Absatz 1 Satz 1 nimmt im Anwendungsbereich der Verordnung (EU) 2016/679 aus Gründen der Klarstellung und Lesbarkeit auf die Befugnisse des Artikels 58 der Verordnung (EU) 2016/679 Bezug.
Satz 2 bis 4 enthält Verfahrensregelungen im Sinne des Artikels 58 Absatz 4 der Verordnung (EU) 2016/679. Danach erfolgt die Ausübung der den Aufsichtsbehörden übertragenen Befugnisse vorbehaltlich geeigneter Garantien, einschließlich ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten. Die bisherigen Regelungen des § 25 Absatz 1 BDSG a. F. werden aufgegriffen und modifiziert.
Hierdurch wird sichergestellt, dass von der oder dem Bundesbeauftragten festgestellte Verstöße gegen die Vorschriften des Datenschutzes der jeweils zuständigen Rechts- oder Fachaufsichtsbehörde mitgeteilt werden und diese vor der Ausübung der aufgezählten Abhilfebefugnisse des Artikels 58 Absatz 2 der Verordnung (EU) 2016/679 unter Setzung einer angemessenen Frist Gelegenheit zur Stellungnahme erhält. Bei den übrigen Abhilfebefugnissen des Artikel 58 Absatz 2 der Verordnung (EU) 2016/679 besteht hingegen kein Bedarf an einer vorherigen Information der Rechts- oder Fachaufsichtsbehörde. Durch die Mitteilung wird insbesondere gewährleistet, dass die zuständige Fachaufsichtsbehörde – unter den an § 28 Absatz 2 Nummer 1 und Absatz 3 VwVfG angelehnten Ausnahmen für Eilfälle und entgegenstehende zwingende öffentliche Interessen – Kenntnis von dem Verstoß erhält und vor der Ausübung weitergehender Befugnisse durch die oder den Bundesbeauftragten Anspruch auf rechtliches Gehör findet. Die Gefahr divergierender Anweisungen zwischen Datenschutzaufsicht und Recht- oder Fachaufsicht wird hierdurch reduziert. Widersprüchliche Auffassungen der Datenschutzaufsicht und der Fachaufsicht sind auf dem Gerichtsweg zu klären. Widerspricht die Verfügung der oder des Bundesbeauftragten der Rechtsauffassung der Fachaufsichtsbehörde, kann diese den Verantwortlichen zur gerichtlichen Klärung anweisen.
Absatz 2 regelt die Befugnisse der oder des Bundesbeauftragten bei Datenverarbeitungen, deren Zwecke außerhalb der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 liegen sowie Datenerarbeitungen im Geltungsbereich der Richtlinie (EU) 2016/680. Der oder dem Bundesbeauftragten werden nach der Regelungssystematik in diesem Gesetz keine Durchgriffsbefugnisse gegenüber Verantwortlichen gegeben, die für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten – wobei die Verfolgung von Straftaten den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit umfasst – zuständig sind und soweit sie zu diesen Zwecken Daten verarbeiten. Dies folgt aus der unterschiedlichen Ausgestaltung der Abhilfebefugnisse in der Verordnung (EU) 2016/679 einerseits und der Richtlinie (EU) 2016/680 und den dort bestehenden fachlichen Bedürfnissen andererseits, weshalb die Richtlinie mehr Flexibilität eröffnet. Im Bereich der Straftatenverhütung, -ermittlung und -verfolgung sowie der darauf bezogenen Gefahrenabwehr lassen sich Letztentscheidungs- und Anordnungsbefugnisse der oder des Bundesbeauftragten nicht mit der Sensibilität und Komplexität der entsprechenden Verarbeitungen und dem Bedürfnis nach ständiger Verfügbarkeit rechtmäßig erhobener Daten und Datenverarbeitungsanlagen in Einklang bringen. Dies gilt entsprechend für den nicht EU-rechtlich erfassten Bereich von Verarbeitungen zu Zwecken außerhalb beider Rechtsakte. Der oder dem Bundesbeauftragten stehen mit dem aus § 25 BDSG a. F. bekannten Instrument der Beanstandung, der aus Artikel 47 Absatz 2 Buchstabe a der Richtlinie (EU) 2016/680 entnommenen Warnung und sonstigen nicht regelungsbedürftigen Möglichkeiten, den als öffentliche Stelle an Recht und Gesetz gebundenen Verantwortlichen auf aus ihrer oder seiner Sicht rechtswidrige Verarbeitungen aufmerksam zu machen, ausreichend Möglichkeiten zur Verfügung, ihren Beitrag dazu zu leisten, aus ihrer oder seiner Sicht rechtswidrigen Zuständen abzuhelfen. Es bleibt dem Gesetzgeber unbenommen, in sicherheitsbehördlichen fachgesetzlichen Regelungen – wie etwa § 67 Absatz 2 BKAG-E – die in Absatz 2 genannten Befugnisse weiter auszugestalten und gegebenenfalls um Durchgriffsbefugnisse auch anzureichern.
In Absatz 3 wird für den gesamten Anwendungsbereich des BDSG der bisherige § 24 Absatz 2 Satz 1 und 2 BDSG a. F. weitgehend übernommen. Für Berufsgeheimnisträger findet sich im Anwendungsbereich der Verordnung (EU) 2016/679 eine Spezialregelung in § 29 BDSG.
Absatz 4 greift die bislang in § 24 Absatz 4 Satz 2 BDSG a. F. geregelten Zugangs- und Informationsrechte der oder des Bundesbeauftragten auf. Hierdurch wird Artikel 47 Absatz 1 der Richtlinie (EU) 2016/680 umgesetzt und die gemäß Artikel 58 Absatz 1 Buchstabe f der Verordnung (EU) 2016/679 zur Ausübung der Untersuchungsbefugnisse notwendigen mitgliedstaatlichen Verfahrensvorschriften für die Zugangs- und Betretensrechte von Grundstücken und Diensträumen geschaffen (Nummer 1).
Das umfassende Informationsrecht der oder des Bundesbeauftragten in Nummer 2 erfolgt in Umsetzung des Artikels 47 Absatz 1 der Richtlinie (EU) 2016/680 wortgleicher Anlehnung an Artikel 58 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679.
Absatz 5 enthält die bislang in § 26 Absatz 4 BDSG a. F. vorgesehene Hinwirkungsfunktion der oder des Bundesbeauftragten auf die Zusammenarbeit mit den Aufsichtsbehörden der Länder im öffentlichen und nichtöffentlichen Bereich.
Mitgliedstaaten mit mehr als einer Aufsichtsbehörde sind verpflichtet, im Einklang mit den nationalen Rechtsvorschriften eine Aufsichtsbehörde zu bestimmen, die als gemeinsamer Vertreter im Europäischen Datenschutzausschuss fungiert (Artikel 51 Absatz 3 und 68 Absatz 4 der Verordnung (EU) 2016/679).
§ 17 Absatz 1 Satz 1 setzt diesen Regelungsauftrag mit der Benennung der oder des Bundesbeauftragten zum gemeinsamen Vertreter der deutschen Aufsichtsbehörden um. Zugleich wird mit der Einrichtung einer zentralen Anlaufstelle bei der oder dem Bundesbeauftragten der Erwägungsgrund 119 der Verordnung (EU) 2016/679 aufgegriffen.
Die gesetzliche Bestimmung des gemeinsamen Vertreters setzt den Regelungsauftrag des Artikels 51 Absatz 3 und 68 Absatz 4 der Verordnung (EU) 2016/679 und des Artikels 41 Absatz 4 der Richtlinie (EU) 2016/680 um, garantiert die Kontinuität der Amtswahrnehmung und ist am besten geeignet, der Stimme der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss Gewicht zu verleihen. Die Regelung stellt eine strukturelle Parität zu den übrigen Mitgliedstaaten her, die fast ausschließlich nur über eine Aufsichtsbehörde verfügen. Die Ernennung der oder des Bundesbeauftragten entspricht dem Grundsatz der Außenvertretung des Bundes, wie er Artikel 23 des Grundgesetzes und dem Gesetz über die Zusammenarbeit von Bund und Ländern in Angelegenheiten der Europäischen Union (EUZBLG) zugrunde liegt. Aufgrund der Funktion der oder des Bundesbeauftragten in der Artikel 29-Gruppe, dem Vorgängergremium des Europäischen Datenschutzausschusses, verfügt die Dienststelle über jahrelange Erfahrungen und organisatorisch verfestigte Strukturen zur Wahrnehmung der Aufgabe.
Durch Absatz 1 Satz 1 wird zudem die zentrale Anlaufstelle bei der oder dem Bundesbeauftragten eingerichtet. Diese soll gemäß Erwägungsgrund 119 der Verordnung (EU) 2016/679 eine wirksame Beteiligung aller Aufsichtsbehörden am Kohärenzverfahren und eine rasche und reibungslose Zusammenarbeit mit den Aufsichtsbehörden der anderen Mitgliedstaaten, dem Europäischen Datenschutzausschuss und der Europäischen Kommission gewährleisten.
Die zentrale Anlaufstelle soll es den Aufsichtsbehörden der anderen Mitgliedstaaten, dem Europäischen Datenschutzausschuss und der Europäischen Kommission ermöglichen, ohne Kenntnis der innerstaatlichen Zuständigkeitsverteilung effektiv mit den deutschen Aufsichtsbehörden zu kommunizieren. Zu diesem Zweck leitet die zentrale Anlaufstelle alle ihr zugeleiteten Informationen und den bei ihr eingehenden Geschäftsverkehr an die hiervon betroffenen deutschen Aufsichtsbehörden weiter.
Umgekehrt können sich die Aufsichtsbehörden bei der Kommunikation mit dem Europäischen Datenschutzausschuss, der Europäischen Kommission und den Aufsichtsbehörden der übrigen Mitgliedstaaten der zentralen Anlaufstelle zur Weiterleitung zweckdienlicher Informationen bedienen. Insbesondere im Fall der Federführung einer deutschen Aufsichtsbehörde kann die zentrale Anlaufstelle bei der Identifizierung der betroffenen Aufsichtsbehörden in anderen Mitgliedstaaten unterstützend tätig sein.
Der zentralen Anlaufstelle kommt eine rein unterstützende Aufgabe zu. Sie übt keine hoheitlichen Verwaltungsaufgaben aus. Zu den Unterstützungsleistungen der zentralen Anlaufstelle zählt die Koordinierung der gemeinsamen Willensbildung unter den Aufsichtsbehörden des Bundes und der Länder. Die zentrale Anlaufstelle wirkt zudem auf die Einhaltung der von der Verordnung (EU) 2016/679 vorgesehenen Fristen und Verfahren des Informationsaustauschs, beispielsweise durch standardisierte Formate nach Artikel 67 der Verordnung (EU) 2016/679, hin. Die Unterstützungsfunktion der zentralen Anlaufstelle besteht über das in Erwägungsgrund 119 genannte Kohärenzverfahren hinaus für alle Angelegenheiten der Europäischen Union, insbesondere für das Verfahren der Zusammenarbeit der Artikel 60 bis 62 der Verordnung (EU) 2016/679.
Die zentrale Anlaufstelle wird bei der oder dem Bundesbeauftragten eingerichtet. Die Bündelung der Funktion der zentralen Anlaufstelle mit der Aufgabe des gemeinsamen Vertreters bei der oder dem Bundesbeauftragten ist effizient und daher zweckmäßig. Die zentrale Anlaufstelle ist der Dienststelle der oder des Bundesbeauftragten organisatorisch angegliedert. Ihre Aufgabe ist von den übrigen Aufgaben der oder des Bundesbeauftragten organisatorisch getrennt.
Absatz 1 Satz 2 trägt der innerstaatlichen Zuständigkeitsverteilung zwischen Bund und Ländern bei der Vertretung im Europäischen Datenschutzausschuss Rechnung. Er sieht vor, dass eine Leiterin oder ein Leiter einer Aufsichtsbehörde der Länder als Stellvertreter des gemeinsamen Vertreters fungiert (Artikel 68 Absatz 3 der Verordnung (EU) 2016/679). Der Stellvertreter hat nicht nur ein permanentes Anwesenheitsrecht, das Gewähr für die Wahrung der Länderbelange und die Sicherstellung des Informationsflusses zu den Aufsichtsbehörden der Länder bietet, sondern kann gemäß Absatz 2 von dem gemeinsamen Vertreter verlangen, die Übertragung der Verhandlungsführung und das Stimmrecht verlangen, sofern es sich um eine Angelegenheit handelt, für welche die Länder alleine das Recht zur Gesetzgebung haben oder welche die Einrichtung oder das Verfahren von Landesbehörden betreffen. Die Stellung des Stellvertreters geht daher über partielle Anwesenheitsrechte, wie sie das EUZBLG im ausschließlichen Zuständigkeitsbereich der Länder vorsieht, hinaus.
Die Benennung der oder des Bundesbeauftragten zum gemeinsamen Vertreter und deren oder dessen Vertretung durch eine Aufsichtsbehörde der Länder führt das bewährte Modell der deutschen Repräsentation in der Artikel 29-Gruppe fort.
Die Wahl des Stellvertreters erfolgt durch den Bundesrat. Sie erfolgt gemäß Absatz 1 Satz 3 für die Dauer von fünf Jahren. Scheidet der Stellvertreter früher aus dem Amt als Leiterin oder Leiter der Aufsichtsbehörde aus, endet zugleich die Funktion als Stellvertreter (Absatz 1 Satz 4). Eine mehrmalige Wiederbestellung des Vertreters ist zulässig (Absatz 1 Satz 5).
Absatz 2 sieht die Beteiligungsrechte des Stellvertreters bei der Außenvertretung der deutschen Aufsichtsbehörden im Europäischen Datenschutzausschuss vor. In Anlehnung an das und in Erweiterung des EUZBLG überträgt der gemeinsame Vertreter in Angelegenheiten, die die Wahrnehmung einer Aufgabe betreffen, für welche die Länder alleine das Recht zur Gesetzgebung haben, oder welche die Einrichtung oder das Verfahren von Landesbehörden betreffen, dem Stellvertreter auf dessen Verlangen die Verhandlungsführung und das Stimmrecht im Europäischen Datenschutzausschuss. Die Außenvertretung des Stellvertreters umfasst alle Angelegenheiten, die ausschließlich Gesetzgebungsbefugnisse der Länder oder die Datenverarbeitung durch Landesbehörden betreffen.
§§§
Die in Kapitel VII der Verordnung (EU) 2016/679 geregelten Verfahren der Zusammenarbeit und Kohärenz enthalten Zuständigkeitsverteilungen und Verfahrensregelungen zwischen den Aufsichtsbehörden verschiedener Mitgliedstaaten. Sie regeln aber nicht die Einzelheiten der innerstaatlichen Koordination und Willensbildung in Mitgliedstaaten mit mehr als einer Aufsichtsbehörde. Mitgliedstaaten, die wie die Bundesrepublik Deutschland über mehrere für die Überwachung der Anwendung der Verordnung (EU) 2016/679 zuständigen Aufsichtsbehörden verfügen, haben gemäß Erwägungsgrund 119 und Artikel 51 Absatz 3 der Verordnung (EU) 2016/679 die wirksame Beteiligung aller nationalen Aufsichtsbehörden und die Einhaltung der Regeln für das Kohärenzverfahren durch alle nationalen Aufsichtsbehörden innerstaatlich sicherzustellen.
Dieser Regelungsauftrag gilt über den unmittelbaren, auf das Kohärenzverfahren im Europäischen Datenschutzausschuss bezogenen Regelungsauftrag hinaus für alle Angelegenheiten des Europäischen Datenschutzausschusses nach Artikel 70 der Verordnung (EU) 2016/679 und Artikel 51 der Richtlinie (EU) 2016/680 sowie für das Verfahren der Zusammenarbeit der europäischen Aufsichtsbehörden nach den Artikeln 60 bis 62 der Verordnung (EU) 2016/679. § 18 Absatz 1 erfasst alle Fallgestaltungen, in denen aufgrund der Wirkung für und gegen die übrigen deutschen Datenschutzbehörden und deren Vollzugsentscheidungen eine inhaltliche Vorabstimmung erforderlich ist, also unter anderem auch die Fälle gemäß Artikel 60 Absatz 6 der Verordnung (EU) 2016/679, in denen eine betroffene Aufsichtsbehörde Einspruch gegen den Vorschlag der federführend zuständigen Aufsichtsbehörde in einem Einzelfall einlegt.
Das Verfahren der Zusammenarbeit ist dem Kohärenzverfahren nach Maßgabe des Artikels 65 Absatz 1 Buchstabe a und b der Verordnung (EU) 2016/679 strukturell vorgelagert. Auch hier müssen Mitgliedstaaten mit mehreren Aufsichtsbehörden die wirksame Beteiligung aller nationalen Aufsichtsbehörden und die Einhaltung der Regeln der Zusammenarbeit gewährleisten.
§ 18 regelt das Verfahren der innerstaatlichen Willensbildung zwischen den für die Überwachung und Durchsetzung der Verordnung (EU) 2016/679 zuständigen Aufsichtsbehörden des Bundes und der Länder.
Absatz 1 Satz 1 greift das in den Artikeln 51 Absatz 2, 60 Absatz 1 und 63 der Verordnung (EU) 2016/679 niedergelegte Prinzip der Zusammenarbeit zwischen den Aufsichtsbehörden der Mitgliedstaaten für die Aufsichtsbehörden von Bund und Ländern mit dem Ziel einer einheitlichen Anwendung der Verordnung auf. Das Prinzip der gegenseitigen Unterstützung und Kooperation der Aufsichtsbehörden auf Unionsebene wird hierdurch auf das Verhältnis der Aufsichtsbehörden des Bundes und der Länder untereinander übertragen. Auch eine divergierende Rechtspraxis zwischen den deutschen Aufsichtsbehörden ist dem Ziel einer einheitlichen Anwendung der Verordnung (EU) 2016/679 abträglich.
Die in Absatz 1 Satz 2 und 3 niedergelegten Pflichten der frühzeitigen Beteiligung und des Austauschs zweckdienlicher Informationen stehen in unmittelbarem Zusammenhang mit dem Prinzip der Zusammenarbeit und konturieren dieses inhaltlich. Die frühzeitige Einbindung aller Aufsichtsbehörden des Bundes und der Länder in den nationalen Willensbildungsprozess stellt im Sinne des Erwägungsgrundes 119 der Verordnung (EU) 2016/679 eine wirksame Beteiligung der nationalen Aufsichtsbehörden am Kohärenzverfahren und darüber hinaus sicher.
Normadressaten sind alle Aufsichtsbehörden, einschließlich der federführenden Aufsichtsbehörde im Sinne des § 19 Absatz 1. Auch die federführende Aufsichtsbehörde muss vor der Übermittlung eines Beschlussentwurfs an die betroffenen Aufsichtsbehörden der anderen Mitgliedstaaten im Verfahren der Zusammenarbeit nach Artikel 60 Absatz 3 der Verordnung (EU) 2016/679 die übrigen Aufsichtsbehörden des Bundes und der Länder einbinden und einen nach Maßgabe des Absatzes 2 festgelegten gemeinsamen Standpunkt ermitteln. Die frühzeitige Ermittlung eines gemeinsamen Standpunktes der Aufsichtsbehörden ist notwendig, um die Kontinuität des deutschen Standpunktes während des gesamten Verfahrens der Zusammenarbeit und Kohärenz sicherzustellen.
Der nach Absatz 1 Satz 3 vorgesehene Austausch aller zweckdienlichen Informationen schafft zwischen den Aufsichtsbehörden die rechtliche Grundlage für die Übermittlung personenbezogener Daten oder Informationen, die einem Betriebs- und Geschäftsgeheimnis unterliegen. Die Regelung ist an Artikel 60 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 sowie § 38 Absatz 1 Satz 4 BDSG a. F. angelehnt.
Absatz 1 Satz 4 verpflichtet die Aufsichtsbehörden des Bundes und der Länder dazu, die nach Artikel 85 und 91 der Verordnung (EU) 2016/679 eingerichteten spezifischen Aufsichtsbehörden an der Festlegung des gemeinsamen Standpunktes zu beteiligen, soweit diese von der Angelegenheit betroffen sind. Bei der Festlegung eines gemeinsamen Standpunktes berücksichtigen die Aufsichtsbehörden die Stellungnahmen der spezifischen Aufsichtsbehörden.
Absatz 2 regelt das Verfahren der Festlegung eines gemeinsamen Standpunktes der Aufsichtsbehörden des Bundes und der Länder, wenn kein Einvernehmen erzielt werden konnte. In Anlehnung an Artikel 60 Absatz 1 Satz 1 der Verordnung (EU) 2016/679 sollen die Aufsichtsbehörden des Bundes und der Länder einen Konsens anstreben. Sofern ein Einvernehmen nicht zu erreichen ist, legen die federführende Aufsichtsbehörde bzw. der gemeinsame Vertreter und sein Stellvertreter einen Vorschlag für einen gemeinsamen Standpunkt vor, der den Verhandlungen zu Grunde gelegt wird. Etwas anderes gilt gemäß Absatz 2 Satz 4, wenn die Aufsichtsbehörden des Bundes und der Länder einen Gegenvorschlag beschließen, der von der einfachen Mehrheit der mitwirkenden Aufsichtsbehörden unterstützt wird. Inhaltlich kann die Ausübung der Vertretungsfunktionen somit in jeder Phase des Verfahrens durch Weisungen auf Grundlage von Mehrheitsentscheidungen aller Datenschutzbehörden bestimmt werden. Der Bund und jedes Land haben gemäß Absatz 2 Satz 5 bei der Entscheidungsfindung eine Stimme. Länder mit mehr als einer Aufsichtsbehörde können die Stimme nur einheitlich ausüben. Insbesondere im Hinblick auf die von dem Verfahren der Zusammenarbeit und der Kohärenz, aber auch von den übrigen Entscheidungsmaterien des Europäischen Datenschutzausschusses ausgehenden Präjudiz- und Bindungswirkungen für alle Aufsichtsbehörden ist die Mitwirkung aller Aufsichtsbehörden an der Entscheidungsfindung sachgerecht. Eine Pflicht zur Mitwirkung bei der Entscheidungsfindung besteht nicht; die Aufsichtsbehörden können im Rahmen möglicher Schwerpunktsetzungen von ihrem Recht auf Stimmenthaltung (Absatz 2 Satz 6) Gebrauch machen.
Die in Absatz 2 und 3 differenziert geregelten Verfahrens- und Mitwirkungsrechte der Aufsichtsbehörden und des gemeinsamen Vertreters und seines Stellvertreters bei der Festlegung des gemeinsamen Standpunktes und der darauf beruhenden Verhandlungsführung im Europäischen Ausschuss tragen in Anlehnung an die in § 5 Absatz 2 und § 6 Absatz 2 EUZBLG entwickelten Mechanismen den innerstaatlichen Zuständigkeiten des Bundes und der Länder Rechnung und gewährleisten gleichzeitig eine effektive Vertretung der Aufsichtsbehörden im Europäischen Datenschutzausschuss. Bei der Festlegung des gemeinsamen Standpunktes ist die nach § 17 Absatz 1 Satz 1 eingerichtete zentrale Anlaufstelle eng einzubinden. Diese hat eine unterstützende Funktion bei der Koordinierung und Abfassung gemeinsamer Standpunkte und wirkt auf die Einhaltung der Fristen und vorgesehenen Verfahren des Informationsaustauschs hin.
Die Aufsichtsbehörden können die Einzelheiten des Verfahrens wie die fortlaufende Unterrichtung aller Aufsichtsbehörden durch den gemeinsamen Vertreter und dessen Stellvertreter oder die Möglichkeit der Anpassung des mehrheitlich festgelegten gemeinsamen Standpunktes im Verhandlungsfortgang durch interne Verfahrensregeln konkretisieren.
§§§
§ 19 trifft ergänzend zu den Verfahrensregelungen des § 18 Regelungen zur innerstaatlichen Zuständigkeit der Aufsichtsbehörden des Bundes und der Länder im Verfahren der Zusammenarbeit und Kohärenz nach Kapitel VII der Verordnung (EU) 2016/679. Die Zuständigkeit der nach Artikel 85 und 91 der Verordnung (EU) 2016/679 eingerichteten spezifischen Aufsichtsbehörden im Bereich der Presse, des Rundfunks und der Kirchen und religiösen Vereinigungen bleibt hiervon unberührt.
Die in der Verordnung (EU) 2016/679 enthaltenen Definitionen der Artikel 56 Absatz 1 i. V. m. Artikel 4 Nummer 16 (federführende Behörde) bzw. Artikel 4 Nummer 22 (betroffene Behörde) dienen der Zuständigkeitsabgrenzung zwischen den Aufsichtsbehörden verschiedener Mitgliedstaaten. Sie verhalten sich nicht zur innerstaatlichen Zuständigkeitsverteilung. Aus innerstaatlicher Perspektive adressiert die Verordnung (EU) 2016/679 daher die mitgliedstaatliche Aufsicht in ihrer Gesamtheit, nicht aber jede einzelne Aufsichtsbehörde in einem föderal strukturierten Mitgliedstaat. Auch wenn die Mitgliedstaaten bei der Festlegung der innerstaatlichen Zuständigkeiten die Möglichkeit zu Abweichungen haben, ist die Übertragung des von der Verordnung (EU) 2016/679 vorgesehenen Rollenkonzepts sachgerecht. Dies stellt den Gleichlauf zwischen der Verordnung und der innerstaatlichen Ausgestaltung der Zuständigkeiten in Verfahren grenzüberschreitender Datenverarbeitung her.
Mit Absatz 1 wird ein an Artikel 56 Absatz 1 i. V. m. Artikel 4 Nummer 16 (federführende Behörde) der Verordnung (EU) 2016/679 eng angelehntes Konzept zur innerstaatlichen Festlegung der federführenden Behörde etabliert. Innerhalb der sachlichen Zuständigkeit der Aufsichtsbehörden der Länder ist federführende Aufsichtsbehörde die Aufsichtsbehörde desjenigen Landes, in dem der für die Datenverarbeitung Verantwortliche seine Hauptniederlassung im Sinne des Artikel 4 Nummer 16 oder einzige Niederlassung in der Europäischen Union im Sinne des Artikel 56 der Verordnung (EU) 2016/679 hat (Satz 1). Satz 2 enthält eine Sonderregelung für die oder den Bundesbeauftragten. Die oder der Bundesbeauftragte ist in ihrem oder seinen sachlichen Zuständigkeitsbereich federführende Aufsichtsbehörde, wenn der Verantwortliche seine Hauptniederlassung oder einzige EUNiederlassung in der Bundesrepublik Deutschland hat. Artikel 56 der Verordnung (EU) 2016/679 findet daher entsprechende Anwendung. Satz 3 verweist im Fall von widersprüchlichen Standpunkten auf den in § 18 Absatz 2 vorgesehenen Entscheidungsmechanismus. Besteht kein Einvernehmen zwischen den Aufsichtsbehörden des Bundes und der Länder über die federführende Aufsichtsbehörde, legen der gemeinsame Vertreter und sein Stellvertreter einen Entscheidungsvorschlag vor. Besteht auch zwischen diesen Dissens, gibt die Stimme des gemeinsamen Vertreters den Ausschlag. Der gemeinsame Vorschlag kann durch die einfache Mehrheit der Aufsichtsbehörden des Bundes und der Länder ersetzt werden.
Der Bestimmung der federführenden Aufsichtsbehörde kommt eine Doppelfunktion zu. Innerstaatlich sind an den Status der federführenden Behörde Rechte (§ 18 Absatz 2 Satz 1) und Pflichten (§ 19 Absatz 2 Satz 1) geknüpft. Zugleich legt die Verordnung (EU) 2016/679 der federführenden Behörde zahlreiche Pflichten auf. Im Verfahren der Zusammenarbeit nach Artikel 60 hat die federführende Behörde Koordinierungs- und Informationspflichten. Nach Artikel 60 Absatz 6 im Verfahren der Zusammenarbeit und nach Artikel 65 Absatz 2 Satz 3 im Verfahren der Kohärenz gefasste Beschlüsse sind für die federführende Behörde und alle betroffenen Aufsichtsbehörden verbindlich und müssen nach Maßgabe des Artikels 60 Absatz 7 bis 9, gegebenenfalls in Verbindung mit Artikel 65 Absatz 6 der Verordnung (EU) 2016/679, vollzogen werden.
Artikel 51 Absatz 3 der Verordnung (EU) 2016/679 verpflichtet Mitgliedstaaten mit mehreren Aufsichtsbehörden dazu, sicherzustellen, dass alle innerstaatlichen Aufsichtsbehörden die Regeln für das Kohärenzverfahren einhalten. § 19 Absatz 1 legt daher fest, welche deutsche Aufsichtsbehörde den aus der Verordnung (EU) 2016/679 folgenden Verpflichtungen der federführenden Behörde nachzukommen hat.
Einer Bestimmung der innerstaatlich „betroffenen“ Aufsichtsbehörde bedarf es hingegen nicht. Sofern die Voraussetzungen des Artikels 4 Nummer 22 der Verordnung (EU) 2016/679 vorliegen, sind die Aufsichtsbehörden des Bundes und der Länder in ihrer Gesamtheit betroffen und an die Einhaltung der aus dem Verfahren der Zusammenarbeit und Kohärenz gemäß Kapitel VII der Verordnung (EU) 2016/679 erwachsenden Pflichten gebunden. Insbesondere sind Beschlüsse, die gemäß der Verordnung (EU) 2016/679 Bindungswirkung entfalten, für alle Aufsichtsbehörden des Bundes und der Länder im Rahmen ihrer Zuständigkeit verbindlich.
Absatz 2 trifft die innerstaatlich notwendige Festlegung, welche Aufsichtsbehörde gegenüber dem Beschwerdeführer, der bei einer deutschen Aufsichtsbehörde Beschwerde eingelegt hat, den Beschluss gemäß Artikel 60 Absatz 7 bis 9, ggf. in Verbindung mit Artikel 65 Absatz 6, der Verordnung (EU) 2016/679 zu erlassen hat. Die Verordnung (EU) 2016/679 bestimmt mit unmittelbarer Geltung, dass ein Beschwerdeführer, der bei einer deutschen Aufsichtsbehörde eine Beschwerde einlegt, von einer deutschen Aufsichtsbehörde beschieden werden muss. Die Verordnung (EU) 2016/679 ermöglicht jedoch die Berücksichtigung innerstaatlicher Zuständigkeiten und somit Abgaben von Beschwerden an die jeweils sachnächste Aufsichtsbehörde.
Satz 1 bestimmt, dass eingehende Beschwerden an die federführende Aufsichtsbehörde oder – nachrangig – an
die Aufsichtsbehörde einer Niederlassung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters
abzugeben sind. Besteht weder eine inländische Hauptniederlassung noch eine anderweitige Niederlassung
in der Bundesrepublik, gibt eine sachlich unzuständige Aufsichtsbehörde die Beschwerde an die sachlich zuständige
Aufsichtsbehörde am Wohnsitz des Beschwerdeführers ab (Satz 2). Wird hingegen eine Beschwerde bei
einer sachlich zuständigen Aufsichtsbehörde eingereicht, ist diese unabhängig davon, ob der Beschwerdeführer
in einem anderen Bundesland einen Wohnsitz hat, für die Bearbeitung der Beschwerde zuständig, sofern eine
Abgabe nach Satz 1 (Hauptniederlassung oder Niederlassung in einem anderen Bundesland) nicht in Betracht
kommt.
Satz 3 bestimmt, dass die nach Satz 1 und 2 die Beschwerde übernehmenden Aufsichtsbehörden für die gegenüber dem Beschwerdeführer nach Maßgabe der Verordnung (EU) 2016/679 zu erlassenden Beschlüsse zuständig sind.
§§§
§ 20 dient sowohl der Durchführung des Artikels 78 Absatz 1 der Verordnung (EU) 2016/679 als auch der Umsetzung des Artikels 53 Absatz 1 der Richtlinie (EU) 2016/680. Danach hat jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
§ 20 findet keine Anwendung, soweit durch bereichsspezifische Rechtsvorschriften des Bundes der Rechtsweg vor anderen Gerichten als den Gerichten der Verwaltungsgerichtsbarkeit eröffnet ist (siehe z. B. § 51 Sozialgerichtsgesetz für die Gerichte der Sozialgerichtsbarkeit; zudem behält sich der Gesetzgeber z. B. vor, für datenschutzrechtliche Fragen im Anwendungsbereich der Abgabenordnung in einem gesonderten Gesetzgebungsverfahren den Finanzrechtsweg zu eröffnen).
Absatz 1 Satz 2 stellt klar, dass von § 20 Absatz 1 Satz 1 das Bußgeldverfahren ausgenommen ist, da in dessen Anwendungsbereich nicht der Verwaltungsrechtsweg, sondern der Weg zu den Gerichten der ordentlichen Gerichtsbarkeit gegeben ist.
Durch Absatz 3 wird die örtliche Zuständigkeit beim Verwaltungsgericht am Sitz der Aufsichtsbehörde konzentriert.
Absatz 4 ist im Rahmen des Artikels 74 Absatz 1 Nummer 1 des Grundgesetzes eine kompetenzrechtlich zulässige Abweichung von § 61 Nummern 3 und 4 der Verwaltungsgerichtsordnung.
Nach Absatz 6 ist das Vorverfahren ausgeschlossen. Mangels einer der Aufsichtsbehörde übergeordneten Behörde würde der mit einem Vorverfahren angestrebte Devolutiveffekt nicht erreicht.
Nach Absatz 7 ist die Aufsichtsbehörde nicht befugt, durch Verwaltungsentscheidung die aufschiebende Wirkung der Anfechtungsklage einer anderen Behörde oder deren Rechtsträgers auszuschließen. Unbeschadet der Anordnungskompetenz der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit stehen sich die beteiligten Verwaltungsträger nicht in einem Subordinationsverhältnis gegenüber. Im Fall einer Verwaltungsstreitsache kann eine verbindliche Entscheidung allein durch das Verwaltungsgericht getroffen werden.
§§§
Nach Artikel 58 Absatz 5 der Verordnung (EU) 2016/679 und Artikel 47 Absatz 5 der Richtlinie (EU) 2016/680 sehen die Mitgliedstaaten durch Rechtsvorschriften vor, dass Aufsichtsbehörden befugt sind, gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen der Verordnung oder Richtlinie durchzusetzen.
§ 21 enthält erstmals eine Regelung zu Rechtsbehelfen der Aufsichtsbehörden des Bundes und der Länder gegen Angemessenheitsbeschlüsse der Europäischen Kommission nach Artikel 45 der Verordnung (EU) 2016/679 und Artikel 36 der Richtlinie (EU) 2016/680, gegen Genehmigungen von Standarddatenschutzklauseln und genehmigte Verhaltensregeln nach Artikel 46 Absatz 2 Buchstabe c bis e Verordnung (EU) 2016/679 sowie gegen Beschlüsse über die Allgemeingültigkeit von Verhaltensregeln nach Artikel 40 Absatz 9 der Verordnung (EU) 2016/679.
§ 21 dient insbesondere der Umsetzung des EuGH-Urteils vom 6. Oktober 2015 (Rs. C-362/14,Maximillian Schrems ./. Data Protection Commissioner), in dem der Europäische Gerichtshof die Angemessenheitsentscheidung der Europäischen Kommission [Entscheidung der Europäischen Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA (2000/520/EG)] für ungültig erklärt hat. In Rn. 65 des Urteils heißt es: „Hält die Kontrollstelle die Rügen der Person, die sich mit einer Eingabe zum Schutz ihrer Rechte und Freiheiten bei der Verarbeitung ihrer personenbezogenen Daten an sie gewandt hat, dagegen für begründet, muss sie nach Artikel 28 Absatz 3 Unterabsatz 1 dritter Gedankenstrich der Richtlinie 95/46 imLicht insbesondere von Artikel 8 Absatz 3 der Charta ein Klagerecht haben. Insoweit ist es Sache des nationalen Gesetzgebers, Rechtsbehelfe vorzusehen, die es der betreffenden nationalen Kontrollstelle ermöglichen, die von ihr für begründet erachteten Rügen vor den nationalen Gerichten geltend zu machen, damit diese, wenn sie die Zweifel der Kontrollstelle an der Gültigkeit der Entscheidung der Europäischen Kommission teilen, um eine Vorabentscheidung über deren Gültigkeit ersuchen.“ Ein nationales Gericht wird den Europäischen Gerichtshof im Wege des Vorabentscheidungsverfahren nach Artikel 267 AEUV befassen, wenn es die Zweifel der Kontrollstelle an der Gültigkeit des Beschlusses der Europäischen Kommission teilt; im Rahmen des § 21 kann sich die Aufsichtsbehörde nunmehr gerichtlich an das Bundesverwaltungsgericht wenden, dieses hat die nach Artikel 267 AEUV bestehende Prüfungskompetenz.
Absatz 4 Satz 2 ist § 47 Absatz 2 Satz 3 Verwaltungsgerichtsordnung,
Absatz 5 ist § 47 Absatz 4 Verwaltungsgerichtsordnung entlehnt.
§§§
Nach Artikel 9 Absatz 1 Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 sieht jedoch Ausnahmen von diesem Verbot vor. In den Fällen des Artikels 9 Absatz 2 Buchstaben b, g, h und i der Verordnung (EU) 2016/679 sind die Ausnahmen durch nationale Regelungen auszugestalten. Neben einem Ausnahmetatbestand ist im Übrigen stets erforderlich, dass eine Rechtsgrundlage für die Verarbeitung nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 vorliegt.
§ 22 Absatz 1 legt fest, unter welchen Voraussetzungen die Verarbeitung besonderer Kategorien personenbezogener Daten ausnahmsweise zulässig ist. Durch die Stellung im Teil 2 findet die Regelung nur Anwendung für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679. Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nicht nur auf dieser Rechtsgrundlage zulässig, sondern etwa auch auf der Grundlage der sich unmittelbar aus Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 ergebenden Ausnahmetatbestände einschließlich sonstiger auf der Grundlage der Verordnung (EU) 2016/679 erlassenen bereichsspezifischen Regelungen.
Auf Absatz 1 Nummer 1 kann die Verarbeitung besonderer Kategorien personenbezogener Daten durch öffentliche und nichtöffentliche Stellen gleichermaßen gestützt werden, während Absatz 1 Nummer 2 nur Ausnahmetatbestände für öffentliche Stellen enthält. Im Einzelnen wird mit der Vorschrift von den Öffnungsklauseln des Artikels 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679 (in Bezug auf Absatz 1 Nummer 1 Buchstabe a), des Artikels 9 Absatz 2 Buchstabe h i. V. m. Absatz 3 der Verordnung (EU) 2016/679 (in Bezug auf Absatz 1 Nummer 1 Buchstabe b), des Artikels 9 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679 (in Bezug auf Absatz 1 Nummer 1 Buchstabe c) und des Artikels 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 (in Bezug auf Absatz 1 Nummer 2 Buchstabe a bis d Gebrauch gemacht. Der zweite Halbsatz in Absatz 1 Nummer 1 Buchstabe c dient der Klarstellung in Umsetzung des Artikels 9 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679: Das deutsche Recht sieht bereits umfangreiche angemessene und spezifische Maßnahmen zum Schutz des Berufsgeheimnisses vor, insbesondere durch § 203 StGB und die einschlägigen Berufsordnungen. Daneben können auch die in § 22 Absatz 2 genannten Maßnahmen der Wahrung des Berufsgeheimnisses dienen.
Die Verarbeitung besonderer Kategorien personenbezogener nach Absatz 1 Nummer 2 erfordert zusätzlich eine Interessensabwägung, wie dies Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 vorsieht, indem die Verarbeitung in einem angemessenen Verhältnis zu dem verfolgten Zweck stehen und den Wesensgehalt des Rechts auf Datenschutz wahren muss.
Absatz 1 Nummer 1 Buchstabe b entspricht im wesentlichen § 13 Absatz 2 Nummer 7 und § 28 Absatz 7 BDSG a. F. und setzt Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 um. Auf eine explizite Nennung der Arbeitsmedizin wird verzichtet, da der Begriff der Gesundheitsvorsorge auch die arbeitsmedizinische Vorsorge beinhaltet. In Deutschland gibt es im Übrigen keine Verarbeitung besonderer Kategorien personenbezogener Daten zu Zwecken besonderer Facharztrichtungen, zum Beispiel zum Zweck der Arbeitsmedizin. Die Verarbeitung erfolgt jeweils entsprechend den inhaltlichen Zwecken, die sich aus Buchstabe b oder dem bereichsspezifischen Recht ergeben.
Mit der gewählten Formulierung wird klargestellt, dass ein Vertrag zwischen einem Patienten und einem Angehörigen eines Gesundheitsberufs, also der Behandlungsvertrag gemäß §§ 630a ff. BGB, gemeint ist. Daher findet die Regelung im Bereich der Humanmedizin für (Zahn-)Ärzte, Psychologische Psychotherapeuten, Kinder- und Jugendlichenpsychotherapeuten Anwendung. Darüber hinaus werden vom Behandlungsvertrag auch Angehörige anderer Heilberufe, deren Ausbildung nach Artikel 74 Absatz 1 Nummer 19 des Grundgesetzes durch Bundesgesetz (Hebammen, Masseure und medizinische Bademeister, Ergotherapeuten, Logopäden, Physiotherapeuten u. a.) geregelt ist, oder Heilpraktiker erfasst.
Soweit es nach § 22 Absatz 1 Nummer 1 b) zulässig ist, dass „diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt" sind auch die Erfüllungsgehilfen der genannten Gesundheits- und Heilberufe erfasst.
Absatz 1 Nummer 2 Buchstaben a bis d entsprechen imwesentlichen § 13 Absatz 1 Nummern 1, 5, 6 und 9 BDSG a. F. Ein erhebliches öffentliches Interesse nach Absatz 1 Nummer 2 Buchstabe a ist insbesondere in den Fällen anzunehmen, in denen biometrische Daten zu Zwecken der eindeutigen Identifikation Betroffener verarbeitet werden.
Absatz 2 Satz 1 und 2 setzt das Erfordernis aus Artikel 9 Absatz 2 Buchstabe b, g und i der Verordnung (EU) 2016/679 um, „geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person“ bzw. „angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person“ vorzusehen. Die in Absatz 2 Satz 2 aufgeführten Maßnahmen treffen jeden Verantwortlichen und damit auch jeden, der besondere Kategorien personenbezogener Daten verarbeitet.
Die in Artikel 9 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 unter Bezugnahme auf den Artikel 9 Absatz 3 der Verordnung (EU) 2016/679 geforderten besonderen Garantien sind unmittelbar durch Absatz 1 Nummer 1 Buchstabe b umgesetzt und werden daher mit Absatz 2 Satz 3 von Absatz 2 ausgenommen.
§§§
Die Vorschrift schafft für öffentliche Stellen imRahmen der jeweiligen Aufgabenerfüllung eine nationale Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch denselben Verarbeiter zu einem anderen Zweck als zu demjenigen, zu dem er sie ursprünglich erhoben hat (Weiterverarbeitung). Soweit eine der tatbestandlichen Voraussetzungen nach Absatz 1 erfüllt ist, kann die Weiterverarbeitung personenbezogener Daten durch öffentliche Stellen auf diese Vorschrift gestützt werden. Dies gilt unabhängig davon, ob die Zwecke der Weiterverarbeitung mit den Zwecken, für die die Daten ursprünglich erhoben wurden, nach Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 vereinbar sind.
Absatz 2 stellt für die Weiterverarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 klar, dass neben dem Vorliegen einer der tatbestandlichen Voraussetzungen des Absatzes 1 auch ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 vorliegen muss.
Mit der Vorschrift wird von dem durch die Verordnung (EU) 2016/679 eröffneten Regelungsspielraum Gebrauch gemacht, wonach die Mitgliedstaaten nationale Regelungen in Fällen, in denen der Zweck der Weiterverarbeitung nicht mit dem ursprünglichen Zweck vereinbar ist, erlassen dürfen, soweit die nationale Regelung eine „in einer demokratischen Gesellschaft notwendige und verhältnismäßigeMaßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt“.
Die Vorschrift orientiert sich an den Regelungen des § 13 Absatz 2 und des § 14 Absatz 2 bis 5 BDSG a. F.
§§§
Die Vorschrift schafft eine nationale Rechtsgrundlage für die Weiterverarbeitung personenbezogener Daten durch nichtöffentliche Stellen. Soweit eine der tatbestandlichen Voraussetzungen nach Absatz 1 erfüllt ist, kann die Weiterverarbeitung personenbezogener Datendurch die nichtöffentliche Stelle auf diese Vorschrift gestützt werden unabhängig davon, ob die Zwecke der Weiterverarbeitung mit den ursprünglichen Zwecken, für die die Daten ursprünglich erhoben wurden, nach Artikel 6 Absatz 4 der Verordnung (EU) 2016/679 vereinbar sind.
Absatz 2 stellt für die Weiterverarbeitung besonderer Kategorien personenbezogener Daten klar, dass neben dem Vorliegen einer der tatbestandlichen Voraussetzungen des Absatzes 1 auch ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 muss.
Mit der Vorschrift wird von dem durch die Verordnung (EU) 2016/679 eröffneten Regelungsspielraum Gebrauch gemacht, wonach dieMitgliedstaaten nationale Regelungen in Fällen, in denen der Zweck der Weiterverarbeitung nicht mit dem ursprünglichen Zweck vereinbar ist, erlassen dürfen, soweit die nationale Regelung eine „ in einer demokratischen Gesellschaft notwendige und verhältnismäßigeMaßnahme zum Schutz der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 genannten Ziele darstellt“.
Die Vorschrift orientiert sich an den Regelungen der § 28 Absatz 2 Nummer 2 Buchstabe b, § 28 Absatz 2 i. V. m. Absatz 1 Nummer 2 sowie § 28 Absatz 8 Satz 1 i. V. m. Absatz 6 Nummern 1 bis 3 und Absatz 7 Satz 2 BDSG a. F.
§§§
Die Vorschrift führt den präzisen Ansatz der §§ 15, 16 BDSG a. F. zur Datenübermittlung durch öffentliche Stellen fort und trägt damit demstrengen Gesetzesvorbehalt Rechnung. Die Vorschrift schafft materiell eine nationale Rechtsgrundlage für die Übermittlung personenbezogener Daten durch öffentliche Stellen soweit diese zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, erfolgt. Die Norm findet auch auf den Fall Anwendung, in denen eine öffentliche Stelle Daten, die sie ursprünglich zu Zwecken nach § 45 erhoben hat, an einen Dritten übermittelt, der die Daten zu Zwecken der Verordnung (EU) 2016/679 verarbeiten möchte.
Absatz 1 regelt die tatbestandlichen Voraussetzungen der Datenübermittlung an öffentliche Stellen. Die Regelung erfasst Datenübermittlungen, soweit diese zur Aufgabenerfüllung erforderlich sind. Eine Übermittlung ist gemäß dieser Vorschrift zulässig, wenn die Voraussetzungen für eine Verarbeitung zu einem anderen Zweck nach § 23 vorliegen. Die Regelung entspricht § 15 Absatz 1 und 3 BDSG a. F.
Absatz 2 regelt die tatbestandlichen Voraussetzungen der Datenübermittlung an nichtöffentliche Stellen. Die Regelung entspricht § 16 Absatz 1 und 4 BDSG a. F. Die bisher in § 16 Absatz 3 BDSG a. F. normierten Informationspflichten ergeben sich unmittelbar aus Artikel 13 Absatz 3 bzw. Artikel 14 Absatz 4 der Verordnung (EU) 2016/679.
Absatz 3 stellt für die Übermittlung besonderer Kategorien personenbezogener Daten klar, dass neben dem Vorliegen einer der tatbestandlichen Voraussetzungen der Absätze 1 oder 2 auch ein Ausnahmetatbestand nach Artikel 9 Absatz 2 der Verordnung (EU) 2016/679 oder nach § 22 Absatz 1 vorliegen muss.
§§§
Die Öffnungsklausel des Artikels 88 der Verordnung (EU) 2016/679 lässt nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext zu. Mit § 26 hat der Gesetzgeber hiervon Gebrauch gemacht. § 26 führt die spezialgesetzliche Regelung des § 32 BDSG a. F. fort. Der Wortlaut ist an die Terminologie der Verordnung (EU) 2016/679 angepasst. Der Gesetzgeber behält sich vor, Fragen des Datenschutzes im Beschäftigungsverhältnis innerhalb dieser Vorschrift oder im Rahmen eines gesonderten Gesetzes konkretisierend bestimmte Grundsätze, die im Rahmen der Rechtsprechung zum geltenden Recht bereits angelegt sind, zu regeln. Dies gilt insbesondere für das Fragerecht bei der Begründung eines Beschäftigungsverhältnisses, den expliziten Ausschluss von heimlichen Kontrollen im Beschäftigungsverhältnis, die Begrenzung der Lokalisierung von Beschäftigten sowie den Ausschluss von umfassenden Bewegungsprofilen, den Ausschluss von Dauerüberwachungen und die Verwendung biometrischer Daten zu Authentifizierungs- und Autorisierungszwecken.
Absatz 1 regelt – wie bisher § 32 Absatz 1 BDSG a. F. –, zu welchen Zwecken und unter welchen Voraussetzungen personenbezogene Daten vor, im und nach dem Beschäftigungsverhältnis verarbeitet werden dürfen, wenn dies zum Zweck des Beschäftigungsverhältnisses erforderlich ist.
Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessenmöglichst weitgehend berücksichtigt.
Absatz 1 Satz 1 in Verbindung mit Absatz 5 setzt auch Artikel 10 der Verordnung (EU) 2016/679 um, der es den Mitgliedsstaaten ermöglicht, die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln im Beschäftigungskontext zuzulassen. Der Arbeitgeber kann auf diese Weise beispielsweise sicherstellen, dass die Beschäftigten keinem Verbot nach § 25 Jugendarbeitsschutzgesetz unterliegen und mit der Beaufsichtigung, Anweisung oder Ausbildung von Jugendlichen beauftragt werden dürfen.
Ebenfalls von Satz 1 umfasst ist die Verarbeitung personenbezogener Daten zum Zweck des Beschäftigungsverhältnisses, wenn dies zur Ausübung oder Erfüllung der sich aus Gesetz oder Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Dies wird durch die Ergänzung am Ende des Satzes 1 gegenüber der bisherigen Fassung des § 32 Absatz 1 BDSG a. F. klargestellt. Unter Kollektivvereinbarungen sind Tarifverträge, Betriebsvereinbarungen und Dienstvereinbarungen zu verstehen (siehe Erwägungsgrund 155 der Verordnung (EU) 2016/679).
Satz 2 benennt die Voraussetzungen für die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten, die im Beschäftigungsverhältnis begangen worden sind.
Absatz 2 trägt der Besonderheit des Beschäftigungsverhältnisses als Abhängigkeitsverhältnis und der daraus resultierenden Situation der Beschäftigten Rechnung. Es handelt sich ebenfalls um eine spezifischere Vorschrift im Sinne von Artikel 88 Absatz 1 der Verordnung (EU) 2016/679. Nach Erwägungsgrund 155 der Verordnung (EU) 2016/679 können insbesondere Vorschriften über die Bedingungen erlassen werden, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage einer Einwilligung der Beschäftigten verarbeitet werden dürfen.
Bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, sind insbesondere die im Beschäftigungsverhältnis
grundsätzlich bestehende Abhängigkeit der oder des Beschäftigten vom Arbeitgeber und die Umstände
des Einzelfalls zu berücksichtigen. Neben der Art des verarbeiteten Datums und der Eingriffstiefe ist zumBeispiel
auch der Zeitpunkt der Einwilligungserteilung maßgebend. Vor Abschluss eines (Arbeits-)Vertrages werden Beschäftigte
regelmäßig einer größeren Drucksituation ausgesetzt sein, eine Einwilligung in eine Datenverarbeitung
zu erteilen.
Satz 2 legt fest, dass eine freiwillige Einwilligung insbesondere vorliegen kann, wenn die oder der
Beschäftigte infolge der Datenverarbeitung einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder Arbeitgeber
und Beschäftigter gleichgerichtete Interessen verfolgen. Die Gewährung eines Vorteils liegt beispielsweise in
der Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder der Erlaubnis zur
Privatnutzung von betrieblichen IT-Systemen. Auch die Verfolgung gleichgerichteter Interessen spricht für die
Freiwilligkeit einer Einwilligung. Hierzu kann etwa die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste
oder die Nutzung von Fotos für das Intranet zählen, bei der Arbeitgeber und Beschäftigter im Sinne eines
betrieblichen Miteinanders zusammenwirken.
Als formelle Voraussetzung einer Einwilligung ist grundsätzlich die Schriftform angeordnet, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Damit wird die Nachweispflicht des Arbeitgebers im Sinne von Artikel 7 Absatz 1 der Verordnung (EU) 2016/679 konkretisiert. Hinzu kommt die Pflicht des Arbeitgebers zur Aufklärung in Textformüber den Zweck der Datenverarbeitung und den jederzeit möglichen Widerruf durch den Beschäftigten sowie dessen Folgen nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679.
Absatz 3 dient (neben § 22 Absatz 1 Nummer 1 Buchstabe a) der Umsetzung von Artikel 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679. Im Einklang mit der Verordnung ist eine Verarbeitung besonderer Kategorien personenbezogener Daten zu Beschäftigungszwecken zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses kann auch die Verarbeitung von Daten zur Beurteilung der Arbeitsfähigkeit einschließen. Die Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten für andere Zwecke bleibt unberührt; zum Beispiel richtet sich diese im Fall der Verarbeitung zu Zwecken der Gesundheitsvorsorge nach § 22 Absatz 1 Nummer 1 Buchstabe b. Sollte eine Verarbeitung zugleich mehreren Zwecken dienen, gilt für den jeweiligen Zweck die jeweils einschlägige Verarbeitungsgrundlage. Neben der Verhältnismäßigkeitsprüfung im Rahmen der Erforderlichkeit darf wie bisher nach § 28 Absatz 6 BDSG a. F. kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der Betroffenen die Interessen der Verantwortlichen an der Verarbeitung überwiegen. Die Vorschriften des Absatzes 2 gelten auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten, wie z.B. von Gesundheitsdaten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. An die Freiwilligkeit einer Einwilligung in die Datenverarbeitung besonderer Kategorien personenbezogener Daten sind strenge Anforderungen zu stellen. Nach Artikel 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679 muss die nationale Regelung geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsehen. Dem trägt der Verweis auf § 22 Absatz 2 Rechnung.
Absatz 4 bestimmt, dass die Verarbeitung personenbezogener Beschäftigtendaten aufgrund von Kollektivvereinbarungen zulässig ist. Artikel 88 Absatz 1 der Verordnung (EU) 2016/679 ermöglicht es, spezifischere Regelungen zum Datenschutz im Beschäftigungskontext in Kollektivvereinbarungen zu treffen. Hinsichtlich besonderer Kategorien personenbezogener Daten beruht Absatz 4 auf Artikel 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679. Besonders Betriebs- und Dienstvereinbarungen sind nach bisherigem Recht wichtige Regelungsinstrumente im Bereich des Beschäftigtendatenschutzes. Absatz 4 stellt deshalb in Umsetzung des Artikel 88 Absatz 1 der Verordnung (EU) 2016/679 klar, dass Tarifverträge, Betriebsvereinbarungen oder Dienstvereinbarungen weiterhin die Rechtsgrundlage für Regelungen zum Beschäftigtendatenschutz bilden können. Sie sollen den Verhandlungsparteien der Kollektivvereinbarungen die Ausgestaltung eines auf die betrieblichen Bedürfnisse zugeschnittenen Beschäftigtendatenschutzes ermöglichen. Dabei steht ihnen ein Ermessensspielraum im Rahmen des geltenden Rechts einschließlich der Verordnung (EU) 2016/679 zu; Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 ist zu beachten. Damit wird auch den Anforderungen des Artikel 9 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679 bei der Verarbeitung besonderer Kategorien personenbezogener Daten Rechnung getragen.
Nach Absatz 5 muss der Verantwortliche geeignete Maßnahmen zur Wahrung der Grundrechte und Interessen des Beschäftigten vorsehen. Beispielsweise muss bei der Datenverarbeitung sichergestellt sein, dass sie auf rechtmäßige Weise, nach Treu und Glauben und in einer für den Beschäftigten nachvollziehbaren Weise erfolgt. Die Daten werden in einer Form gespeichert, die die Identifizierung des Beschäftigten nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Der Verantwortliche stellt sicher, dass die Verarbeitung in einer Weise erfolgt, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung. Er trifft sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze wie etwa die Datenminimierung wirksam umzusetzen. Der Verantwortliche unternimmt Schritte um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur aufgrund seiner Anweisung verarbeiten, es sei denn, diese sind rechtlich zur Verarbeitung verpflichtet. Damit wird insbesondere auch das Erfordernis aus Artikel 10 der Verordnung (EU) 2016/679 umgesetzt, geeignete Garantien für die Rechte und Freiheiten der Beschäftigten vorzusehen.
Absatz 6 entspricht dem § 32 Absatz 3 BDSG a. F. und stellt klar, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben.
Absatz 7 legt fest, dass die Absätze 1 bis 6 im Beschäftigungsverhältnis auch gelten, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Er geht dabei von der Beschreibung des Anwendungsbereichs in Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 aus und führt § 32 Absatz 2 BDSG a. F. fort.
Absatz 8 übernimmt weitgehend die bisher in § 3 Absatz 11 BDSG a. F. vorgesehenen Begriffsbestimmungen. In Nummer 1 wird klargestellt, dass Leiharbeitnehmer nicht nur im Verhältnis zum Verleiher, sondern auch im Verhältnis zum Entleiher als Beschäftigte gelten.
In Nummer 5 wurden die Ausführungen zum Jugendfreiwilligendienstegesetz redaktionell überarbeitet und um das Bundesfreiwilligendienstgesetz ergänzt.
§§§
Mit § 27 Absatz 1, der für die öffentliche und private Forschung durch öffentliche und nichtöffentliche Stellen gilt, wird von der Ermächtigung aus Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 Gebrauch gemacht. Nach Artikel 9 Absatz 1 Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Artikel 9 Absatz 2 der Verordnung sieht Ausnahmen von diesem Verbot vor. Die Ausnahmen gelten teilweise unmittelbar aus der Verordnung (z. B. die ausdrückliche Einwilligung nach Artikel 9 Absatz 2 Buchstabe a. Mit § 27 Absatz 1 wird darüber hinaus auf Basis von Artikel 9 Absatz 2 Buchstabe j eine zusätzliche Regelung im nationalen Recht für die Verarbeitung besonderer Kategorien personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken geschaffen. Die Verarbeitung nach § 27 Absatz 1 setzt dabei das Vorliegen einer Rechtsgrundlage nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679 voraus (z. B. gemäß Artikel 6 Absatz 1 Buchstabe f eines berechtigten Interesses des Verantwortlichen).
Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 erfordert, dass eine Forschungsklausel in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht. Dem trägt der Verweis auf § 22 Absatz 2 Satz 2 Rechnung.
§ 27 Absatz 1 gilt nur für die Verarbeitung von Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679. Die Verarbeitung von nicht unter Artikel 9 fallenden Daten richtet sich entweder unmittelbar nach der Verordnung (EU) 2016/679 (insbesondere Artikel 6 Absatz 1) oder nach im Einklang mit der Verordnung erlassenen Rechtsgrundlagen des Unions- oder nationalen Gesetzgebers. Nationale Vorschriften finden sich in diesem Gesetz oder im bereichsspezifischen Recht.
Für die Weiterverarbeitung personenbezogener Daten durch öffentliche und nichtöffentliche Stellen gilt: Nach Artikel 5 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 gilt eine Weiterverarbeitung für wissenschaftliche oder historische Forschungszwecke und für statistische Zwecke nicht als unvereinbar mit den ursprünglichen Zwecken. Da diese Zwecke bei der Weiterverarbeitung kompatibel mit dem Zweck der Erstverarbeitung sind, kann sich der Verantwortliche als Rechtsgrundlage erneut auf die Rechtsgrundlage stützen, die bereits für die Erstverarbeitung galt.
Dies trifft auch auf die Weiterverarbeitung besonderer Kategorien personenbezogener Daten zu, für die § 27 Absatz 1 als Ausnahmetatbestand von dem Verbot des Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 gilt. §§ 23, 24 finden insoweit keine Anwendung. Entsprechendes gilt für die Übermittlung besonderer Kategorien von Daten durch öffentliche Stellen zu wissenschaftlichen oder historischen und statistischen Forschungszwecken; § 25 findet insoweit keine Anwendung.
§ 27 Absatz 2 Satz 1 schränkt unter Ausnutzung der Öffnungsklausel des Artikel 89 Absatz 2 der Verordnung (EU) 2016/679 die Rechte nach den Artikeln 15, 16, 18 und 21 der Verordnung (EU) 2016/679 ein. Im Sinne des Absatzes 2 Satz 1 kann die Verwirklichung des Forschungszwecks in bestimmten Einzelfällen ohne Einschränkungen des Auskunftsrechts aus Artikel 15 der Verordnung (EU) 2016/679 z. B. dann unmöglich sein, wenn die zuständige Ethikkommission zum Schutz der betroffenen Person eine Durchführung des Projekts andernfalls untersagen würde. Darüber hinaus schränkt Absatz 2 Satz 2 in Anlehnung an § 33 Absatz 2 Satz 1 Nummer 5 i. V. m. § 34 Absatz 7 sowie § 19a Absatz 2 Nummer 2 BDSG a. F. das Auskunftsrecht für die Fälle unverhältnismäßigen Aufwands unterAusnutzung derÖffnungsklausel des Artikel 23 Absatz 1 Buchstabe i derVerordnung (EU) 2016/679 ein. Das kann beispielsweise dann der Fall sein, wenn ein Forschungsvorhaben mit besonders großen Datenmengen arbeitet.. Die Einschränkung der Betroffenenrechte in Absatz 2 gilt für alle Kategorien personenbezogener Daten.
Absätze 3 und 4 sind § 40 Absatz 2 und 3 BDSG a. F. entlehnt.
Soweit spezialgesetzliche Regelungen zur Datenverarbeitung aus dem bereichsspezifischen Recht anzuwenden sind, gehen sie § 27 vor (§ 1 Absatz 2 BDSG). Solche spezialgesetzlichen Regelungen finden sich derzeit etwa in den Sozialgesetzbüchern oder in medizinrechtlichen Gesetzen (z. B. Arzneimittelgesetz, Gendiagnostikgesetz, Transplantationsgesetz).
§§§
§ 28 gilt für die Verarbeitung personenbezogener Daten durch öffentliche und nichtöffentliche Stellen. Er bezieht sich sowohl auf öffentliches als auch privates Archivgut.
Mit § 28 Absatz 1 wird von der Ermächtigung aus Artikel 9 Absatz 2 Buchstabe j der Verordnung (EU) 2016/679 Gebrauch gemacht. Nach Artikel 9 Absatz 1 Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten grundsätzlich untersagt. Artikel 9 Absatz 2 der Verordnung sieht Ausnahmen von diesem Verbot vor. Die Ausnahmen gelten teilweise unmittelbar aus der Verordnung (z.B. die ausdrückliche Einwilligung nach Artikel 9 Absatz 2 Buchstabe a). Mit § 28 Absatz 1 wird darüber hinaus auf Basis von Artikel 9 Absatz 2 Buchstabe j im nationalen Recht ein zusätzlicher Ausnahmetatbestand für die Verarbeitung besonderer Kategorien personenbezogener Daten geschaffen. Der Verweis in Absatz 1 auf den Beispielskatalog des § 22 Absatz 2 Satz 2 hat nicht zur Folge, dass die Anwendung mindestens einer genannten Maßnahme bei der Verarbeitung besonderer Kategorien von Daten zu im öffentlichen Interesse liegenden Archivzwecken zwingend ist. Vielmehr können auch andere angemessene und spezifische Maßnahmen getroffen werden.
§ 28 Absatz 1 gilt nur für die Verarbeitung von Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679. Die Verarbeitung von nicht unter Artikel 9 fallenden Daten richtet sich entweder unmittelbar nach der Verordnung (EU) 2016/679 (insbesondere Artikel 6 Absatz 1) oder nach im Einklang mit der Verordnung erlassenen Rechtsgrundlagen des Unions- oder nationalen Gesetzgebers. Nationale Vorschriften finden sich in diesem Gesetz oder im bereichsspezifischen Recht.
Für die Weiterverarbeitung gilt: Nach Artikel 5 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 gilt eine Weiterverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken nicht als unvereinbar mit den ursprünglichen Zwecken. Daher kann sich der Verantwortliche hinsichtlich der Rechtsgrundlage für die Weiterverarbeitung erneut auf die Rechtsgrundlage stützen, die bereits für die Erstverarbeitung galt. §§ 23, 24 und 25 finden keine Anwendung. Will der Verantwortliche aber besondere Kategorien von Daten weiterverarbeiten, benötigt er nicht nur eine Rechtsgrundlage, sondern auch einen Ausnahmetatbestand von dem Verbot des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679. Er muss mithin auch bei der Weiterverarbeitung § 28 Absatz 1 beachten.
In den Absätzen 2 bis 4 werden unter Ausnutzung der Öffnungsklausel des Artikels 89 Absatz 3 der Verordnung (EU) 2016/679 die Rechte gemäß der Artikel 15, 16, 18, 20 und 21 der Verordnung (EU) 2016/679 eingeschränkt. Die Ausnahme gemäß Absatz 2 bezieht sich auf sämtliche durch Artikel 15 der Verordnung (EU) 2016/679 gewährten Rechte, insbesondere auch auf das Recht auf Erhalt einer Kopie. Die Absätze 2 bis 4 gelten für die Verarbeitung sämtlicher personenbezogenen Daten, einschließlich besonderer Kategorien personenbezogener Daten.
§§§
Auf der Grundlage der Öffnungsklausel des Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679 beschränkt Absatz 1 wie bisher nach dem BDSG a. F. gegenüber Geheimnisträgern das Recht auf Information (§ 19a Absatz 3 i. V. m. § 19 Absatz 4 Nummer 3; § 33 Absatz 2 Satz 1 Nummer 3 BDSG a. F.) und Auskunft § 19 Absatz 4 Nummer 3; § 34 Absatz 7 BDSG a. F.
Satz 2 beschränkt die Betroffenenrechte auch für die Fälle, in denen Informationen „nach einer Rechtsvorschrift“ geheim gehalten werden müssen;
Satz 1 bezieht sich nicht auf diese nach Rechtsvorschriften bestehenden Geheimhaltungspflichten, da die Informationspflicht hier bereits unmittelbar
durch Artikel 14 Absatz 5 Buchstabe d der Verordnung (EU) 2016/679 beschränkt wird.
Sätze 3 und 4 beziehen sich auf eine Beschränkung der Benachrichtigungspflicht nach Artikel 34 der Verordnung (EU) 2016/679.
Absatz 2 dient dem Schutz der ungehinderten Kommunikation zwischen Mandant und Berufsgeheimnisträger. Wirtschaftsprüfer und Rechtsanwälte werden oftmals nicht (nur) mit der Verfolgung von Rechtsansprüchen (vgl. hierzu § 32 Absatz 1 Nummer 4), sondernmit vielfältigen Beratungsdienstleistungen (Steuerberatung; Begleitung von Unternehmenstransaktionen; Gutachter- und Sachverständigentätigkeit etc.) beauftragt. Es widerspräche dem besonderen Schutz des Mandatsverhältnisses, wenn der Mandant in jedem Fall sämtliche durch die Datenübermittlung an den Berufsgeheimnisträger betroffenen Personen über die Zwecke der Datenübermittlung, die Identität der beauftragten Berufsgeheimnisträger etc. informieren müsste. Durch die in Absatz 2 letzter Halbsatz eingefügte Abwägungsklausel wird den Rechten der Betroffenen angemessen Rechnung getragen. Die Einschränkung der Informationspflicht beruht auf der Öffnungsklausel des Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679.
Absatz 3 Satz 1 macht von der Öffnungsklausel des Artikels 90 der Verordnung (EU) 2016/679 Gebrauch, ihr entspricht Erwägungsgrund 164 der Verordnung. Nach Artikel 58 Absatz 1 Buchstaben e und f der Verordnung (EU) 2016/679 haben die Aufsichtsbehörden die Befugnis, von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu erhalten zu allen für die Erfüllung ihrer Aufgaben notwendigen personenbezogenen Daten und
Informationen sowie zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte. Artikel
90 Absatz 1 Verordnung (EU) 2016/679 eröffnet den Mitgliedstaaten die Möglichkeit, die Befugnisse der
Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber Geheimnisträgern zu regeln.
Mit Absatz 3 Satz 1 wird diese Möglichkeit insbesondere dergestalt umgesetzt, dass eine Aufsichtsbehörde entgegen
Artikel 58 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 dann keinen Zugang zu Daten und Informationen
hat, soweit dadurch die Geheimhaltungspflicht verletzt würde. Ohne eine Einschränkung der Befugnisse
der Aufsichtsbehörden käme es zu einer Kollision mit Pflichten des Geheimnisträgers. Gerade bei den freien
Berufen schützt die berufsrechtliche Schweigepflicht das Vertrauen des Mandanten und der Öffentlichkeit in den
Berufsstand. Nach bundesverfassungsgerichtlicher Rechtsprechung darf das Mandatsverhältnis nicht mit Unsicherheiten
hinsichtlich seiner Vertraulichkeit belastet sein (vgl. BVerfG, Urteil vom 12. April 2005 – 2 BvR 1027/02).
Absatz 3 Satz 2 verlängert die Geheimhaltungspflicht auf die Aufsichtsbehörde. Berufsgeheimnisträger
bedienen sich vermehrt externer IT-Dienstleister und verpflichten diese als Auftragsverarbeiter vertraglich zur
Verschwiegenheit. Um zu vermeiden, dass die Auftragsverarbeiter vertragsbrüchig werden, wenn sie die ihnen
anvertrauten Daten gegenüber den Aufsichtsbehörden offenlegen müssten, umfasst Absatz 3 auch den Auftragsverarbeiter.
§§§
Die Vorschrift entspricht § 29 Absatz 6 und 7 BDSG a. F. Mit diesen Absätzen war Artikel 9 der Verbraucherkreditrichtlinie 2008/48/EG umgesetzt worden. Um der Umsetzungspflicht gemäß dieser Richtlinie weiterhin nachzukommen, ist § 30 erforderlich.
§§§
Die Vorschrift erhält den materiellen Schutzstandard der §§ 28a und 28b BDSG a. F. Die in der bisherigen Fassung des BDSG enthaltenen Regelungen zu Auskunfteien und Scoring dienen dem Schutz des Wirtschaftsverkehrs und besitzen für Betroffene wie auch für die Wirtschaft eine überragende Bedeutung. Verbraucher vor Überschuldung zu schützen, liegt sowohl im Interesse der Verbraucher selbst als auch der Wirtschaft. Die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften bilden das Fundament des deutschen Kreditwesens und damit auch der Funktionsfähigkeit der Wirtschaft.
Die Regelung übernimmt die in § 28b BDSG a. F. festgelegten Voraussetzungen und konkretisiert, welche Voraussetzungen ein von einer Auskunftei ermittelter Score-Wert im Hinblick auf sog. Negativ-Merkmale erfüllen muss, damit er im Wirtschaftsverkehr verwendet werden darf. Für die Verwendung des Score-Wertes wird auf die Kriterien der derzeitigen § 28a Absatz 1 und § 28b zurückgegriffen, die die im Wirtschaftsleben bedeutsame Tätigkeit von Auskunfteien sowie die Ermittlung von Score-Werten grundsätzlich ermöglichen. Die Kriterien des § 28a Absatz 1 und des § 28b begrenzen die Zulässigkeit der Ermittlung von Score-Werten in bestimmten Fällen und schaffen so einen angemessenen Ausgleich der widerstreitenden Interessen, beispielsweise dadurch, dass Auskunfteien offene Forderungen nur dann gemeldet werden dürfen und dort verarbeitet werden können, wenn sie unbestritten oder tituliert sind. § 29a Absatz 2 BDSG lässt die Vorschriften des allgemeinen Datenschutzrechts über die Zulässigkeit der Verarbeitung von personenbezogenen Daten unberührt. Dies betrifft etwa unter anderem auch die Übermittlung und Verwendung für die Ermittlung von Wahrscheinlichkeitswerten von personenbezogenen Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses eines Geschäfts mit finanziellem Ausfallrisiko (Positivdaten).
Insoweit wird für alle Beteiligten Sicherheit in der Weise geschaffen, dass Scoringverfahren und Kreditinformationssysteme mit der Einmeldung von Positiv- und Negativdaten, die z. B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder Leasinggesellschaften erfolgt, prinzipiell weiter zulässig bleiben. Sie werden nach wie vor als wichtige Voraussetzungen für das Wirtschaftsleben angesehen.
§§§
Artikel 23 der Verordnung (EU) 2016/679 sieht vor, dass die Rechte und Pflichten gemäß den Artikeln 12 bis 22 und Artikel 34 sowie die in Artikel 5 geregelten Grundsätze für die Verarbeitung personenbezogener Daten, sofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, durch Rechtsvorschriften der Union oder der Mitgliedstaaten beschränkt werden können.
Die Beschränkung muss den Wesensgehalt der Grundrechte und Grundfreiheiten achten und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellen, um die in Artikel 23 Absatz 1 Buchstaben a bis j aufgezählten Ziele sicherzustellen.
Artikel 23 der Verordnung (EU) 2016/679 verlangt besondere Maßnahmen zum Schutz der Grundrechte und Grundfreiheiten der von der Beschränkung betroffenen Person. Insbesondere muss gemäß Artikel 23 Absatz 2 der Verordnung (EU) 2016/679 jede Gesetzgebungsmaßnahme „insbesondere gegebenenfalls spezifische Vorschriften“ zumindest in Bezug auf die in Artikel 23 Absatz 2 der Verordnung (EU) 2016/670 Buchstaben a bis h aufgezählten Maßnahmen enthalten.
Die in Kapitel 2 vorgenommenen Einschränkungen der Betroffenenrechte und Pflichten des Verantwortlichen und Auftragsverarbeiters ergänzen die in der Verordnung (EU) 2016/679 unmittelbar vorgesehenen Ausnahmen.
Die Beschränkungen der Betroffenenrechte in Kapitel 2 finden auch Anwendung auf die in Artikel 89 der Verordnung (EU) 2016/679 geregelte Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken. Zwar bestimmt Artikel 89 Absatz 2 und 3, dass bei einer Verarbeitung zu den dort genannten Forschungs- und statistischen Zwecken Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18 und 21 sowie bei der Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken zusätzlich Artikel 19 und 20 vorsehen können, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. Eine Beschränkung der Betroffenenrechte muss jedoch nicht nur nach Artikel 89 Absatz 2 und 3, sondern auch nach Artikel 23 der Verordnung (EU) 2016/679 möglich sein, da die Verarbeitung zu den in Artikel 89 genannten Zwecken andernfalls gegenüber sonstigen Verarbeitungen schlechter gestellt wäre, obwohl der Verordnungsgeber die Verarbeitung zu Archiv-, Forschungs- und Statistikzwecken ausweislich der Sonderreglung in Kapitel IX der Verordnung (EU) 2016/679 privilegieren wollte.
§§§
Die in Absatz 1 vorgesehene Beschränkung der Informationspflicht gilt nur für die in Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 vorgesehene Fallgruppe, dass der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die Daten bei der betroffenen Person erhoben wurden. Die Informationspflicht aus Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 wird demgegenüber nicht beschränkt.
Die mit der Verordnung (EU) 2016/679 erstmals eingeführte (Folge-)Informationspflicht des Verantwortlichen bei beabsichtigter Zweckänderung findet im BDSG a. F. bislang keine Entsprechung. In dieser Konstellation besteht im Gegensatz zu der in Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679 vorgesehenen Informationspflicht zum Zeitpunkt der Erhebung der Daten typischerweise kein unmittelbarer Kontakt zwischen dem Verantwortlichen und der betroffenen Person.
In diesen Fällen kann sich die Information der betroffenen Person als unverhältnismäßig erweisen. Absatz 1 Nummer 1 sieht daher eine Ausnahme von der Informationspflicht nach Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 vor, wenn und soweit die Erteilung der Information einen unverhältnismäßigen Aufwand erfordern würde und das Interesse der betroffenen Person an der Informationserteilung nach den Umständen des Einzelfalls, insbesondere wegen des Zusammenhangs, in dem die Daten erhoben wurden, als gering anzusehen ist. Ein unverhältnismäßiger Aufwand kann beispielsweise vorliegen, wenn die Kontaktdaten des Betroffenen dem Verantwortlichen nicht bekannt und auch nicht ohne Weiteres zu ermitteln sind. Als Anhaltspunkte für die Beurteilung der Unverhältnismäßigkeit können die Anzahl der betroffenen Personen, das Alter der Daten oder das Bestehen geeigneter Garantien einbezogen werden (Erwägungsgrund 62 der Verordnung (EU) 2016/679). Ebenso ist die Art der zur Verfügung stehenden Kommunikationswege zu berücksichtigen.
Die Nummern 2 und 3 enthalten speziell für öffentliche Stellen geltende Einschränkungen der Informationspflicht, wenn die Erteilung der Information über die beabsichtigte Weiterverarbeitung die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben gefährden (Nummer 2) oder die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde (Nummer 3). Einschränkende Voraussetzung ist in beiden Fällen, dass die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen.
Nummer 4 sieht eine Einschränkung zur Sicherstellung der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor (Artikel 23 Absatz 1 Buchstabe j der Verordnung (EU) 2016/679).
Nummer 5 schützt die vertrauliche Übermittlung von Daten an öffentliche Stellen (Artikel 23 Absatz 1 Buchstabe e der Verordnung 2016/679). Erfasst sind beispielsweise Fallgruppen, in denen die Information der betroffenen Person über die Weiterverarbeitung zu einer Vereitelung oder ernsthaften Beeinträchtigung des – legitimen – Verarbeitungszwecks führen würde, etwa wenn die zuständige Strafverfolgungsbehörde über den Verdacht einer Straftat informiert werden soll.
Absatz 2 legt fest, dass der Verantwortliche geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person zu treffen hat, wenn eine Information der betroffenen Person nach Maßgabe des Absatzes 1 unterbleibt. Hierdurch werden die nach Artikel 23 Absatz 2 der Verordnung (EU) 2016/679 erforderlichen Schutzmaßnahmen beachtet. Zu den geeignetenMaßnahmen zählt die Bereitstellung dieser Informationen für die Öffentlichkeit. Eine Veröffentlichung in allgemein zugänglicher Form kann etwa die Bereitstellung der Information auf einer allgemein zugänglichen Webseite des Verantwortlichen sein (Erwägungsgrund 58 Satz 2 der Verordnung (EU) 2016/679). Die Information hat in Entsprechung zu Artikel 12 Absatz 1 der Verordnung (EU) 2016/679 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen.
Der Verantwortliche hat schriftlich zu fixieren, aus welchen Gründen er von einer Information abgesehen hat. Die Stichhaltigkeit der Gründe unterliegt der Kontrolle durch die zuständige Aufsichtsbehörde, die durch die Dokumentationspflicht ermöglicht wird. Die in Absatz 2 Satz 1 und 2 zum Schutz der berechtigten Interessen der betroffenen Person geforderten Maßnahmen des Verantwortlichen finden im Fall des Absatz 1 Nummer 4 und 5 keine Anwendung. Andernfalls könnten die in Satz 1 und 2 geforderten Maßnahmen zu einer Vereitelung oder ernsthaften Beeinträchtigung des – legitimen – Verarbeitungszwecks führen.
Absatz 3 bestimmt, dass der Verantwortliche die Information der betroffenen Person zeitnah nachzuholen hat, wenn die Ausschlussgründe des Absatzes 1 nur vorübergehend vorliegen.
§§§
§ 33 Absatz 1 enthält in Ergänzung der in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 und § 29 Absatz 1 Satz 1 genannten Ausnahmen Einschränkungen der Informationspflicht des Verantwortlichen aus target="_blank">Artikel 14 Absatz 1, 2 und 4 der Verordnung (EU) 2016/679.
Absatz 1 Nummer 1, der nur für öffentliche Stellen gilt, ist eng angelehnt an die Ausnahmeregelungen des § 19a Absatz 3 i. V. m. § 19 Absatz 4 Nummer 1 und 2 BDSG a. F. Es wird auf die Begründung zu § 31 Absatz 1 Nummer 2 und 3 verwiesen.
Absatz 1 Nummer 2 gilt nur für nichtöffentliche Stellen. Nummer 2 Buchstabe a entspricht im Wesentlichen § 33 Absatz 2 Satz 1 Nummer 7b) BDSG a. F. Der Ausnahmetatbestand ist eng auszulegen; dieMöglichkeit des Scheiterns einzelner Geschäfte des Verantwortlichen, etwa das Zustandekommen oder die Abwicklung eines Vertrags mit der betroffenen Person, begründen keine Ausnahme von der Informationspflicht. Notwendig ist vielmehr, dass die allgemein anerkannten Geschäftszwecke des Verantwortlichen insgesamt gefährdet werden. Für den Begriff „Geschäftszweck“ gilt dasselbe Verständnis wie bisher, die neu eingefügte Ergänzung „allgemein anerkannt“ dient der Eingrenzung. Einen Anwendungsfall können Datenverarbeitungen zur Verfolgung zivilrechtlicher Ansprüche darstellen (Artikel 23 Absatz 1 Buchstabe j der Verordnung (EU) 2016/679).
Absatz 1 Nummer 2 Buchstabe b ist an § 33 Absatz 2 Satz 1 Nummer 6 BDSG a. F. angelehnt. Die im konkreten Umfang (Artikel 23 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679) vorgesehene Beschränkung der Informationspflicht dient den Zielen der nationalen Sicherheit (Artikel 23 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679), der Landesverteidigung (Artikel 23 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679), der öffentlichen Sicherheit (Artikel 23 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679), der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Artikel 23 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679) sowie sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder der Bundespublik Deutschland (Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679).
Absatz 2 entspricht § 32 Absatz 2 Satz 1 und 2. Auf die dortige Begründung wird verwiesen. Absatz 3 betrifft den bislang in § 19a Absatz 3 i. V. m. § 19 Absatz 3 BDSG a. F. geregelten Fall der Informationserteilung bei Datenübermittlung durch öffentliche Stellen an die dort aufgeführten Behörden zu Zwecken der nationalen Sicherheit.
§§§
§ 34 Absatz 1 enthält ergänzend zu den in § 27 Absatz 2, § 28 Absatz 2 und § 29 Absatz 1 Satz 2 genannten Ausnahmen Einschränkungen des Auskunftsrechts der betroffenen Person. Die Absätze 2 und 3 regeln, anknüpfend an die bisherige Regelung des § 19 Absatz 5 und 6 BDSG a. F., Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person und weiten diese im Vergleich zur bisherigen Rechtslage aus.
Absatz 1 Nummer 1 verweist für das Auskunftsrecht auf die Beschränkungen des § 33 Absatz 1 und 3. Durch den Verweis werden die bislang bestehenden Einschränkungen des Auskunftsrechts der betroffenen Person aus § 19 Absatz 3 und 4 Nummer 1 und 2 sowie § 34 Absatz 7 i. V. m. § 33 Absatz 2 Satz 1 Nummer 6 und 7b BDSG a. F. modifiziert übernommen.
Absatz 1 Nummer 2 führt § 19 Absatz 2 und § 33 Absatz 2 Satz 1 Nummer 2 BDSG a. F. im Wesentlichen fort. In Erweiterung der bisherigen Rechtslage hat der Verantwortliche jedoch sicherzustellen, dass durch geeignete technische und organisatorische Maßnahmen eine Verwendung der Daten zu anderen Zwecken ausgeschlossen ist. Bei der Ermittlung des Aufwands hat der Verantwortliche die bestehenden technischen Möglichkeiten, gesperrte und archivierte Daten der betroffenen Person im Rahmen der Auskunftserteilung verfügbar zu machen, zu berücksichtigen. Werden die Daten ausschließlich aufgrund von Aufbewahrungsvorschriften gespeichert, ist die Verarbeitung der Daten einzuschränken (§ 35 Absatz 3).
Die Dokumentationspflicht und die Begründungspflicht nach Absatz 2 sind Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Personen im Sinne des Artikels 23 Absatz 2 Buchstaben c, d, g und h der Verordnung (EU) 2016/679. Hierdurch wird die betroffene Person in die Lage versetzt, die Ablehnung der Auskunftserteilung nachzuvollziehen und gegebenenfalls durch die zuständige Aufsichtsbehörde prüfen zu lassen. Ergänzend hierzu hat der Verantwortliche nach Artikel 12 Absatz 4 der Verordnung (EU) 2016/679 die betroffene Person auf die Möglichkeit der Beschwerde bei der zuständigen Aufsichtsbehörde und des gerichtlichen Rechtsschutzes hinzuweisen (bislang § 19 Absatz 5 Satz 2 BDSG a. F.). Satz 3 enthält die bisher in § 34 Absatz 5 BDSG a. F. enthaltene strenge Zweckbindung der zum Zweck der Auskunftserteilung und zu deren Vorbereitung gespeicherten Daten.
Absatz 3 entspricht § 19 Absatz 6 BDSG a. F. Die Beschränkung dient dem Schutz der öffentlichen Sicherheit (Artikel 23 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679) und der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten (Artikel 23 Absatz 1 Buchstabe d der Verordnung (EU) 2016/679).
Absatz 4 führt die nach bisherigem Recht (§ 19 Absatz 1 Satz 3 BDSG a. F.) bestehende Einschränkung des Auskunftsrechts für personenbezogene Daten fort, die durch öffentliche Stellen weder automatisiert verarbeitet noch – ohne automatisiert verarbeitet zu werden – in einem Dateisystem gespeichert sind oder werden sollen. Diese Form der Datenverarbeitung ist zwar nach Artikel 2 Absatz 1 der Verordnung (EU) 2016/679 nicht von deren sachlichen Anwendungsbereich erfasst, jedoch gilt nach § 1 Absatz 8 die Verordnung (EU) 2016/679 – und mithin auch das Auskunftsrecht nach deren Artikel 15 – auch für diese Form der Datenverarbeitung. Unter Absatz 4 fallen insbesondere Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind (vgl. Erwägungsgrund 15 Satz 3 der Verordnung (EU) 2016/679). Die Einschränkung liegt daher außerhalb des Anwendungsbereichs der Verordnung (EU) 2016/679.
Das Auskunftsrecht besteht nur unter der Voraussetzung, dass die betroffene Person Angaben macht, die dem Verantwortlichen das Auffinden der Daten ermöglichen. Ferner darf der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von der betroffenen Person geltend gemachten Informationsinteresse stehen. Beide Voraussetzungen bestehen bereits im geltenden Recht (§ 19 Absatz 1 Satz 3 BDSG a. F.), dessen Schutzstandard erhalten bleibt.
§§§
§ 35 schränkt das Recht der betroffenen Person auf Löschung und die damit korrespondierende Pflicht des Verantwortlichen aus Artikel 17 Absatz 1 der Verordnung (EU) 2016/679 ein. Die in Artikel 17 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahmen bleiben von der Vorschrift unberührt. Die Regelung gilt sowohl für öffentliche als auch nichtöffentliche Stellen. Die bisherige Rechtslage (§§ 20 Absatz 3, 35 Absatz 3 BDSG a. F.) wird weitgehend fortgeführt.
Unter den Voraussetzungen der Absätze 1 bis 3 tritt an die Stelle der Löschung die Einschränkung der Verarbeitung (Artikel 18 der Verordnung (EU) 2016/679).
Hierdurch wird die Beschränkung des Rechts auf bzw. der Pflicht zur Löschung personenbezogener Daten auf das erforderliche Ausmaß imSinne des Artikel 23 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679 begrenzt. Artikel 18 Absatz 2 und 3 sowie Artikel 19 der Verordnung (EU) 2016/679 vermitteln effektive Garantien gegen Missbrauch und unrichtige Übermittlung im Sinne des Artikels 23 Absatz 2 Buchstabe d der Verordnung (EU) 2016/679.
Absatz 1 Satz 1 und 2 entspricht der bisherigen Regelung des § 20 Absatz 3 Nummer 3 und § 35 Absatz 3 Nummer
3 BDSG a. F. Der vertretbare Aufwand für den Verantwortlichen bemisst sich nach dem jeweiligen Stand
der Technik und erfasst insbesondere nicht oder nur mit unverhältnismäßig hohem Aufwand veränderbare oder
löschbare Datenspeicher.
Einschränkend gilt dies nach Satz 3 nicht für die Fallgruppe des Artikels 17 Buchstabe d der Verordnung (EU) 2016/679, da der Verantwortliche bei einer unrechtmäßigen Datenverarbeitung nicht
schutzwürdig ist und sich nicht auf einen unverhältnismäßig hohen Aufwand der Löschung wegen der von ihm
selbst gewählten Art der Speicherung berufen kann.
Absatz 2 Satz 1 sieht eine Beschränkung zur Wahrung schutzwürdiger Interessen der betroffenen Person vor (Artikel 23 Absatz 1 Buchstabe i der Verordnung (EU) 2016/679). Die Ausnahme entspricht § 20 Absatz 3 Nummer 2 und § 35 Absatz 3 Nummer 2 BDSG a. F. Sie ergänzt in den Fällen, in denen der Verantwortliche die Daten der betroffenen Person nicht länger benötigt oder unrechtmäßig verarbeitet hat (Artikel 17 Absatz 1 Buchstabe a und d der Verordnung (EU) 2016/679) die Regelung des Artikel 18 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679. Nach Artikel 18 Absatz 1 Buchstabe b der Verordnung (EU) 2016/679 erfolgt die Einschränkung der Verarbeitung unrechtmäßig verarbeiteter Daten nur auf entsprechendes Verlangen der betroffenen Person. Artikel 18 Absatz 1 Buchstabe c der Verordnung (EU) 2016/679 lässt eine Einschränkung der Verarbeitung nicht länger benötigter Daten auf Verlangen der betroffenen Person nur zu, wenn die betroffene Person sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. Absatz 2 sieht demgegenüber auch ohne entsprechendes Verlangen der betroffenen Person eine generelle Pflicht des Verantwortlichen zur Einschränkung der Verarbeitung vor, wenn er Grund zu der Annahme hat, dass durch die Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden. Die Regelung ist notwendig, da der Verantwortliche nach Artikel 17 der Verordnung (EU) 2016/679 grundsätzlich verpflichtet ist, nicht mehr erforderliche oder unrechtmäßig verarbeitete Daten zu löschen.
Die Einschränkung der Verarbeitung anstelle der Löschung soll die betroffene Person in die Lage versetzen, ihr Verlangen auf Einschränkung der Verarbeitung gegenüber dem Verantwortlichen zu äußern oder sich für eine Löschung der Daten zu entscheiden. Dies wird durch die Unterrichtungspflicht nach Satz 2, welche zugleich eine Maßnahme zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person nach Artikel 23 Absatz 2 Buchstabe h der Verordnung (EU) 2016/679 darstellt, gewährleistet. In der Regel wird es sich daher nur um eine vorübergehende Beschränkung der Löschungspflicht des Verantwortlichen handeln (Artikel 23 Absatz 2 Buchstabe c der Verordnung (EU) 2016/679).
Absatz 3 sieht eine Beschränkung für den Fall vor, dass einer Löschung nicht mehr erforderlicher Daten satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen. Die in § 20 Absatz 3 Nummer 1 und § 35 Absatz 3 Nummer 1 BDSG a. F. vorgesehene ergänzende Einschränkung der gesetzlichen Aufbewahrungsfrist ist in § 35 über die sich unmittelbar aus der Verordnung (EU) 2016/679 ergebende Ausnahme des Artikels 17 Absatz 3 Buchstabe b – Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Union oder der Mitgliedstaaten – erfasst. Die Ausnahme schützt den Verantwortlichen vor einer Pflichtenkollision.
§§§
§ 36 schränkt das Recht auf Widerspruch nach Artikel 21 Absatz 1 der Verordnung (EU) 2016/679 gegenüber einer öffentlichen Stelle ein, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet. § 36 setzt öffentliche Interessen des Verantwortlichen im Sinne des Artikel 23 Absatz 1 Buchstabe e der Verordnung (EU) 2016/679 voraus, die im konkreten Einzelfall zwingend sein und Vorrang vor den Interessen der betroffenen Person haben müssen. Darüber hinaus ist das Recht auf Widerspruch ausgeschlossen, wenn eine Rechtsvorschrift zur Verarbeitung verpflichtet. § 27 Absatz 2 und § 28 Absatz 4 enthalten spezifische Einschränkungen des Widerspruchsrechts für die Datenverarbeitung zu Forschungszwecken, statistischen Zwecken und im öffentlichen Interesse liegenden Archivzwecken.
§§§
§ 37 trägt den spezifischen Belangen der Versicherungswirtschaft Rechnung. Absatz 1 erlaubt eine automatisierte Einzelentscheidung über die in Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 genannten Fälle hinaus, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht. Es müssen die in den Nummern 1 und 2 genannten alternativen Voraussetzungen erfüllt sein.
Die Regelung beruht auf Artikel 22 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679, welcher den Mitgliedstaaten die Möglichkeit einräumt, über nach Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 hinausgehende Zulässigkeitstatbestände für automatisierte Entscheidungen im Einzelfall zu schaffen. Auch der spezialgesetzlich geregelte automatisierte Erlass von Verwaltungsakten (§ 35a VwVfG) im Rahmen vollautomatisierter Verwaltungsverfahren kann auf Artikel 22 Absatz 2 Buchstabe b der Verordnung (EU) 2016/679 gestützt werden.
Im Gegensatz zu Artikel 22 Absatz 2 Buchstabe a der Verordnung (EU) 2016/679 ist das Bestehen eines Vertragsverhältnisses zwischen der von der automatisierten Entscheidung betroffenen Person und dem Verantwortlichen keine zwingende Voraussetzung des Absatzes 1. Es genügt vielmehr, dass die automatisierte Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht.
Durch Absatz 1 Nummer 1 bleiben die bislang nach § 6a Absatz 2 Nummer 1 BDSG a. F. zulässigen automatisierten Einzelentscheidungen im Rahmen außervertraglicher Rechtsverhältnisse („sonstige Rechtsverhältnisse“) weiterhin möglich. Absatz 1 Nummer 1 ermöglicht insbesondere die automatisierte Schadensregulierung zwischen der Kfz-Haftpflichtversicherung des Schädigers und dem Geschädigten. Voraussetzung ist, dass dem Begehren des Antragstellers, der gleichzeitig datenschutzrechtlich die betroffene Person ist, entsprochen wird. In diesen Fällen ist eine Rechtsbeeinträchtigung der betroffenen Person nicht ersichtlich.
Absatz 1 Nummer 2 ermöglicht die automatisierte Entscheidung über Versicherungsleistungen der Privaten Krankenversicherung bei der Anwendung verbindlicher Entgeltregelungen für Heilbehandlungen. Auch wenn dem Begehren des Antragstellers als von der Entscheidung betroffener Person nicht oder nicht vollständig stattgegeben wird, ist die automatisierte Rechnungsprüfung durch die Private Krankenversicherung – wie bisher nach § 6a Absatz 2 Nummer 2 BDSG a. F. – zulässig, wenn der Verantwortliche angemessene Maßnahmen zur Wahrung der berechtigten Interessen der betroffenen Person trifft. Hierzu zählt zumindest das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunktes und auf Anfechtung der Entscheidung. Über diese Rechte ist die betroffene Person zu informieren. Die aufgeführtenMaßnahmen entsprechen den Schutzmechanismen des Artikels 22 Absatz 3 der Verordnung (EU) 2016/679, so dass zwischen § 37 Absatz 1 Nummer 2 und den Zulässigkeitstatbeständen des Artikel 22 Absatz 2 Buchstabe a und c der Verordnung (EU) 2016/679 ein harmonisiertes Konzept der Schutzmechanismen besteht.
Beantragt hingegen ein Versicherungsnehmer mit personenbezogenen Daten eines Dritten, namentlich eines im Rahmen der Privaten Krankenversicherung mitversicherten Angehörigen, eine Leistung, liegt keine Entscheidung imSinne des Artikels 22 Absatz 1 derVerordnung (EU) 2016/679 gegenüber der datenschutzrechtlich betroffenen Person – dem Dritten – vor. Vielmehr entscheidet die Versicherung ausschließlich automatisiert über Ansprüche aus dem Versicherungsvertrag mit dem Antragsteller als Versicherungsnehmer. Hierbei werden personenbezogene Daten des Dritten automatisiert verarbeitet, wofür es einer Rechtsgrundlage nach Artikel 6 Absatz 1 der Verordnung (EU) 2016/679, jedoch keiner Ausnahmeregelung vom grundsätzlichen Verbot der automatisierten Entscheidung im Einzelfall bedarf.
Absatz 2 Satz 1 erlaubt Versicherungsunternehmen im Rahmen automatisierter Entscheidungen nach Absatz 1 eine Verarbeitung von Gesundheitsdaten im Sinne des Artikel 4 Nummer 15 der Verordnung (EU) 2016/679. Dies ist insbesondere bei der automatisierten Abrechnung von Leistungsansprüchen durch die Private Krankenversicherung notwendig. Absatz 2 beruht auf Artikel 22 Absatz 4 in Verbindungmit Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679. Die Gewährleistung eines bezahlbaren und funktionsfähigen Krankenversicherungsschutzes in der Privaten Krankenversicherung ist als gewichtiges Interesse des Gemeinwohls anerkannt. Eine wirtschaftliche Leistungsbearbeitung im Massenverfahren setzt den Einsatz von automatisierten Verfahren voraus, insbesondere wenn es um die Anwendung gesetzlicher und somit standardisierter Gebührenordnungen (zum Beispiel GOÄ) geht.
Nach Artikel 9 Absatz 2 Buchstabe g der Verordnung (EU) 2016/679 muss die nationale Regelung in angemessenem Verhältnis zu dem verfolgten Ziel stehen, den Wesensgehalt des Rechts auf Datenschutz wahren und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsehen. Dem trägt der Verweis in Absatz 2 Satz 2 auf § 22 Absatz 2 Satz 2 Rechnung.
§§§
§ 38 trifft unter Nutzung der durch Artikel 37 Absatz 4 Satz 1 Halbsatz 2 und Artikel 38 Absatz 5 der Verordnung (EU) 2016/679 vermittelten Gestaltungsspielräume Regelungen zur Benennungspflicht und zur Verschwiegenheitspflicht bzw. dem Zeugnisverweigerungsrecht von Datenschutzbeauftragten in nichtöffentlichen Stellen. Diese ergänzen die Vorgaben der Artikel 37 bis 39 der Verordnung (EU) 2016/679 zu der Benennung, der Stellung und den Aufgaben betrieblicher Datenschutzbeauftragter.
In Absatz 1 wird von der Öffnungsklausel des Artikels 37 Absatz 4 Satz 1 Halbsatz 2 der Verordnung (EU) 2016/679 Gebrauch gemacht.
Satz 1 ist inhaltlich an den bisherigen § 4f Absatz 1 Satz 4 BDSG a. F. angelehnt. Danach haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Satz 2 entspricht inhaltlich im Wesentlichen der bisherigen Regelung des § 4f Absatz 1 Satz 6 BDSG a. F.
Absatz 2 verweist für die betrieblichen Datenschutzbeauftragten, sofern aufgrund der Verordnung (EU) 2016/679 oder Absatz 1 eine Pflicht zur Benennung besteht, auf den besonderen Kündigungsschutz des § 6 Absatz 4. Die in § 6 Absatz 5 Satz 2 und Absatz 6 vorgesehenen Regelungen zur Verschwiegenheitspflicht und zum Zeugnisverweigerungsrecht, die auf Artikel 38 Absatz 5 der Verordnung (EU) 2016/679 beruhen, finden auch für betriebliche Datenschutzbeauftragte stets Anwendung.
§§§
Artikel 43 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 sieht vor, dass die für die Zertifizierung von Verantwortlichen oder Auftragsverarbeitern zuständigen Zertifizierungsstellen durch die Aufsichtsbehörden und/oder die gemäß Verordnung (EG) 765/2008 benannten nationalen Akkreditierungsstellen akkreditiert werden. Die Mitgliedstaaten haben sicherzustellen, dass die Akkreditierung durch eine oder beide dieser Institutionen erfolgt. Die Deutsche Akkreditierungsstelle (DAkkS) ist die gemäß der Verordnung (EG) 765/2008 benannte nationale Akkreditierungsstelle.
§ 39 sieht in Ausübung des durch Artikel 43 Absatz 1 Satz 2 der Verordnung (EU) 2016/679 eröffneten mitgliedstaatlichen Gestaltungsspielraums eine Akkreditierung der Zertifizierungsstellen auf der Grundlage des Akkreditierungsgesetzes vor. Die Akkreditierung durch die DAkkS ist sachgerecht, weil die DAkkS über hohe Kompetenz und Erfahrung bei der Akkreditierung und über eine etablierte und erprobte Akkreditierungsinfrastruktur verfügt. Die Regelung stellt ein bundeseinheitliches Akkreditierungsverfahren sicher, dass eine europaweite und im Rahmen von Gegenseitigkeitsabkommen auch internationale Anerkennung der Akkreditierungen sicherstellt. Um die gebotene Einwirkungsmöglichkeit der zuständigen Aufsichtsbehörde in die Akkreditierungsentscheidung der DAkkS zu gewährleisten, erhalten die Aufsichtsbehörden des Bundes und der Länder durch Satz 1 die Zuständigkeit als Befugnis erteilende Behörde im Sinne des § 1 Absatz 2 Satz 1 des Akkreditierungsstellengesetzes. Durch Satz 2 werden diejenigen Normen des Akkreditierungsstellengesetzes für entsprechend anwendbar erklärt, die die gebotene Beteiligung und Mitsprache der Aufsichtsbehörden an der Akkreditierungsentscheidung durch die DAkkS gewährleisten. Danach trifft die DAkkS die Akkreditierungsentscheidung im Einvernehmen mit der zuständigen Aufsichtsbehörde (§ 4 Absatz 3 Akkreditierungsstellengesetz).
§§§
§ 40 regelt die Zuständigkeit und in Ergänzung und Konkretisierung des Artikels 58 Absatz 6 der Verordnung (EU) 2016/679 die Befugnisse der Aufsichtsbehörden der Länder über die nichtöffentlichen Stellen. Die Regelung orientiert sich weitgehend an der bisherigen Regelung des § 38 BDSG a. F. Die Regelungen zur Amtshilfe (§ 38 Absatz 1 Satz 5 BDSG a. F.), zum Beschwerderecht (§ 38 Absatz 1 Satz 8 erste Alternative BDSG a. F.), zur Registerführung meldepflichtiger Datenverarbeitungen (§ 38 Absatz 2 BDSG a. F.), zum Einsichtsrecht geschäftlicher Unterlagen (§ 38 Absatz 4 Satz 2 BDSG a. F.) und zu den Anordnungs- und Beseitigungsverfügungen (§ 38 Absatz 5 Satz 1 und 2 BDSG a. F.) waren aufgrund unmittelbar geltender Vorgaben der Verordnung (EU) 2016/679 zu streichen. Ebenso wurde die überkommene Regelung der Bestimmung der zuständigen Aufsichtsbehörden durch die Landesregierungen (§ 38 Absatz 6 BDSG a. F.) nicht übernommen.
§§§
Gemäß § 2 Absatz 2 Satz 2 des Gesetzes über Ordnungswidrigkeiten gilt das Gesetz für Ordnungswidrigkeiten nach Bundes- und Landesrecht. Davon abweichend erstreckt § 41 Absatz 1 das Gesetz über Ordnungswidrigkeiten grundsätzlich auch auf Verstöße nach Artikel 83 Absatz 4 bis 6 der Verordnung (EU) 2016/679.
§ 41 geht davon aus, dass von den in den Absätzen 4 und 5 des Artikels 83 der Verordnung (EU) 2016/679 genannten „Verstößen gegen die folgenden Bestimmungen“ auch dann gesprochen werden kann, wenn die Mitgliedstaaten bezüglich der in den Absätzen 4 und 5 der Verordnung genannten Bestimmungen nationale Regelungen aufgrund von Öffnungsklauseln erlassen haben. Dass „Verstöße gegen diese Verordnung“ auch Verstöße gegen solche nationalen Bestimmungen erfasst, ergibt sich ausdrücklich im Bereich des Schadensersatzes aus Erwägungsgrund 146 Satz 5 der Verordnung und im Bereich der Strafvorschriften aus Erwägungsgrund 149 Satz 1.
Gemäß Absatz 1 Satz 2 finden §§ 17, 35 und 36 des Gesetzes über Ordnungswidrigkeiten finden keine Anwendung. § 17 des Gesetzes über Ordnungswidrigkeiten kommt nicht zur Anwendung, da die Verordnung (EU) 2016/679 die Bußgeldhöhe abschließend regelt. §§ 35 und 36 des Gesetzes über Ordnungswidrigkeiten werden nicht angewendet, da sich bereits aus Artikel 83 der Verordnung (EU) 2016/679 ergibt, dass die Aufsichtsbehörden für die Verhängung von Geldbußen zuständig sind.
Die Verordnung selbst regelt das Bußgeld- und Strafverfahren nicht. An den bisherigen Grundzügen des datenschutzrechtlichen Bußgeld- und Strafverfahrens wird festgehalten, da insbesondere Artikel 83 Absatz 8 Verordnung (EU) 2016/679 ausdrücklich fordert, dass die Mitgliedstaaten angemessene Verfahrensgarantien vorsehen. § 41 Absatz 2 Satz 1 regelt, dass die Vorschriften des Gesetzes über Ordnungswidrigkeiten und der allgemeinen Gesetze über das Strafverfahren grundsätzlich Anwendung finden.
Gemäß Absatz 2 Satz 2 finden §§ 56 bis 58, 87, 88, 99, 100 des Gesetzes über Ordnungswidrigkeiten keine Anwendung. Die Anwendung der §§ 56 bis 58 des Gesetzes über Ordnungswidrigkeiten ist ausgeschlossen, da die Verwarnung bereits in Artikel 58 Absatz 2 Buchstabe b Verordnung (EU) 2016/679 geregelt ist. Indem die §§ 87, 88, 99, 100 für nicht anwendbar erklärt werden, ist die Anwendung einzelner Vorschriften zu Geldbußen gegen eine juristische Person und zu Nebenfolgen sowie zur Vollstreckung von Bußgeldentscheidungen ausgeschlossen.
Absatz 2 Satz 3 bestimmt, dass die Staatsanwaltschaft im Zwischenverfahren das Verfahren nur mit Zustimmung der Aufsichtsbehörde einstellen kann, die den Bußgeldbescheid erlassen hat, wird der Bedeutung der Geldbußen in der Verordnung (EU) 2016/679 und der Unabhängigkeit der Datenschutzaufsicht Rechnung getragen. Im Gegensatz zu anderen Behörden ist die Unabhängigkeit der Datenschutzaufsicht primärrechtlich verankert und durch die Rechtsprechung des EuGH bestätigt worden.
§§§
Artikel 84 Absatz 1 der Verordnung (EU) 2016/679 berechtigt und verpflichtet dieMitgliedstaaten, „andere Sanktionen“ für Verstöße gegen die Verordnung festzulegen. Artikel 84 ist damit insbesondere eine Öffnungsklausel, um neben Geldbußen im Sinne des Artikels 83 mitgliedstaatlich strafrechtliche Sanktionen vorzusehen. Hiervon macht § 42 Gebrauch.
Mit Blick auf Straftaten, die vor Geltung der Verordnung (EU) 2016/679 begangen wurden, ist klarstellend insbesondere auf Artikel 49 Absatz 1 Satz 3 der Charta der Grundrechte der Europäischen Union hinzuweisen, wonach dann, wenn nach Begehung einer Straftat durch Gesetz eine mildere Strafe eingeführt wird, diese zu verhängen ist.
Absatz 3 entspricht § 44 Absatz 2 BDSG a. F.
Absatz 4 dient dem verfassungsrechtlichen Verbot einer Selbstbezichtigung und ist § 42a Satz 6 BDSG a. F. entlehnt. Die Regelung kann auf die Öffnungsklausel des Artikels 84 Absatz 1 der Verordnung (EU) 2016/679 gestützt werden, wonach die Mitgliedstaaten Vorschriften für Verstöße gegen diese Verordnung festlegen und alle zu deren Anwendung erforderlichen Maßnahmen treffen.
§§§
Absatz 1 gibt die Bußgeldtatbestände des § 43 Absatz 1 Nummer 7a und b BDSG a. F. wieder; mit diesen Tatbeständen war Artikel 9 der Verbraucherkreditrichtlinie 2008/48/EG umgesetzt worden.
Absatz 2 behält den bisherigen Bußgeldrahmen (§ 43 Absatz 3 Satz 1 BDSG a. F.) bei.
Mit Absatz 3 wird von der Öffnungsklausel des Artikels 83 Absatz 7 der Verordnung (EU) 2016/679 Gebrauch gemacht, national zu regeln, ob und in welchem Umfang gegen Behörden und sonstige öffentliche Stellen Geldbußen verhängt werden können. Absatz 2 verweist nicht auf öffentliche Stellen im Sinne des § 2 Absatz 5, denn öffentliche Stellen, die im Rahmen ihrer Tätigkeit im Wettbewerb mit anderen Verarbeitern stehen, sollen bei der Verhängung von Geldbußen gegenüber ihren Wettbewerbern nicht bessergestellt werden.
Absatz 4 dient dem verfassungsrechtlichen Verbot einer Selbstbezichtigung und ist § 42a Satz 6 BDSG a. F. entlehnt. Die Regelung kann auf die Öffnungsklausel des Artikels 83 Absatz 8 der Verordnung (EU) 2016/679 gestützt werden, wonach angemessene Verfahrensgarantien geschaffen werden müssen.
§§§
§ 44 Absatz 1 dient der Durchführung von Artikel 79 Absatz 2 Verordnung (EU) 2016/679. Danach können Klagen wegen eines Verstoßes gegen die Regelungen der Verordnung (EU) 2016/679 vor den Gerichten des Mitgliedstaats erhoben werden, in dem der beklagte Verantwortliche oder Auftragsverarbeiter seine Niederlassung hat oder – sofern die Beklagte nicht als Behörde in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist – vor den Gerichten des Mitgliedstaats, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat.
Artikel 79 Absatz 2 Verordnung (EU) 2016/679 regelt nur die internationale Zuständigkeit und geht insoweit der Verordnung (EU) 1215/2012 vor (vgl. Erwägungsgrund 147 Verordnung (EU) 2016/679 und Artikel 67 Verordnung (EU) 1215/2012). Artikel 79 Absatz 2 der Verordnung regelt aber nicht die örtliche Zuständigkeit. Diese richtet sich bei zivilrechtlichen Ansprüchen grundsätzlich nach den §§ 12 ff. der Zivilprozessordnung (ZPO). Es sind zur Durchführung der Verordnung (EU) 2016/679 ergänzende Regelungen der örtlichen Zuständigkeit erforderlich.
Zum einen ist der Gerichtsstand der Niederlassung (§ 21 Absatz 1 ZPO) auf Klagen beschränkt, die einen Bezug zum Geschäftsbetrieb der Niederlassung haben; Artikel 79 Absatz 2 Satz 1 Verordnung (EU) 2016/679 enthält diese Beschränkung nicht. Dies wird umgesetzt durch die Schaffung eines besonderen Gerichtsstands der Niederlassung in § 44 Absatz 1 Satz 1.
Zum anderen wäre nicht in allen Fällen nach der ZPO eine örtliche Zuständigkeit in Deutschland begründet, wenn der Betroffene hier seinen gewöhnlichen Aufenthaltsort hat. Eine örtliche Zuständigkeit nach den §§ 12 ff. ZPO fehlt etwa, wenn der Beklagte keine Niederlassung in Deutschland hat, kein Gerichtsstand des Vermögens nach § 23 ZPO begründet ist und auch ein Gerichtsstand aus unerlaubter Handlung gemäß § 32 ZPO nicht begründet ist, weil die rechtswidrige Datenverarbeitung keine Auswirkungen im Inland hat. § 44 Absatz 1 Satz 2 schafft daher kumulativ einen besonderen Gerichtsstand am Ort des gewöhnlichen Aufenthalts der betroffenen Person.
Eine Ausnahme von den örtlichen Gerichtsständen des Absatzes 1 sieht § 44 Absatz 2 für Klagen gegen Behörden vor, die in Ausübung hoheitlicher Befugnisse tätig geworden sind. Diese Ausnahme entspricht zum einen Artikel 79 Absatz 2 Verordnung (EU) 2016/679 und berücksichtigt zum anderen, dass sich die örtliche Zuständigkeit für Klagen gegen Behörden, die in Ausübung hoheitlicher Befugnisse tätig geworden sind, nach den Verfahrensordnungen der zuständigen Fachgerichte richtet.
Inhaltlich erfasst die örtliche Zuständigkeit nach § 44 Absatz 1 alle Klagen, die auf datenschutzrechtlichen Vorschriften im Anwendungsbereich der Verordnung (EU) 2016/679 basieren. Datenschutzrechtliche Regelungen sind alle Vorschriften, die demSchutz natürlicher Personen bei derVerarbeitung personenbezogenerDaten dienen (vgl. Artikel 1 Absatz 1 Verordnung (EU) 2016/679). Erfasst werden hiervon neben den Regelungen der Verordnung (EU) 2016/679 auch delegierte Rechtsakte und Durchführungsrechtsakte und andere Beschlüsse der Europäischen Kommission, die auf der Basis der Verordnung (EU) 2016/679 oder der Richtlinie 95/46/EG erlassen worden sind oder erlassen werden, sowie mitgliedstaatliche Regelungen im Anwendungsbereich der Verordnung (EU) 2016/679, die z.B. im Rahmen der Öffnungsklauseln der Konkretisierung der Vorgaben der Verordnung (EU) 2016/679 dienen. Erfasst sind sowohl Klagen wegen Verstößen gegen datenschutzrechtliche Bestimmungen als auch auf Erfüllung von darin enthaltenen Rechten der betroffenen Person (z. B. auf Auskunft oder Berichtigung).
Gemäß Artikel 27 Absatz 1 Verordnung (EU) 2016/679 ist ein Verantwortlicher oder Auftragsverarbeiter, der gemäß Artikel 3 Absatz 2 Verordnung (EU) 2016/679 in deren Anwendungsbereich fällt, also keine Niederlassung in der Europäischen Union hat, verpflichtet, einen Vertreter in der Europäischen Union zu benennen. Dieser dient gemäß Artikel 27 Absatz 4 Verordnung (EU) 2016/679 den betroffenen Personen sowie den Aufsichtsbehörden als Anlaufstelle. Es ist daher sachgerecht, ihn auch als bevollmächtigt anzusehen, Zustellungen in Zivilgerichtsverfahren vor deutschen Gerichten gemäß § 171 ZPO für den Verantwortlichen oder Auftragsverarbeiter entgegenzunehmen. Hierdurch werden insbesondere die praktischen Schwierigkeiten bei der grenzüberschreitenden Zustellung einer Klage vermieden. Es bleibt dem zuständigen Gericht allerdings unbenommen, einen in einem Drittstaat ansässigen Verantwortlichen oder Auftragsverarbeiter – insbesondere bei unklarer Sach- und Rechtslage – ausdrücklich aufzufordern, einen Zustellungsbevollmächtigten im Inland gemäß § 184 Absatz 1 ZPO zu benennen. Diese Möglichkeit besteht bei Beklagten in einem Mitgliedstaat der Europäischen Union nicht.
§§§
Der Dritte Teil dient imWesentlichen der Umsetzung der Richtlinie (EU) 2016/680. § 45 regelt den Anwendungsbereich des Dritten Teils. Er gilt nur für Verarbeitungen durch öffentliche Stellen und, vgl. Artikel 3 Absatz 7 Buchstabe b der Richtlinie (EU) 2016/680 und § 2 Absatz 4 BDSG, insoweit, als öffentliche Stellen geltende Beliehene, die für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit zuständig sind und auch nur, soweit sie zu diesen Zwecken Daten verarbeiten. Dies sind insbesondere die Polizeibehörden, die Staatsanwaltschaften sowie der Zoll und die Steuerfahndung, soweit sie die Daten zu den genannten Zwecken verarbeiten. Dies schließt Gefahrenabwehrzwecke ein.
Für die Eröffnung desAnwendungsbereichs desDritten Teils und damit auch der Richtlinie (EU) 2016/680 genügt also eine Verarbeitung zu den o. g. Zwecken allein nicht; daneben muss auch eine grundsätzliche Befugnis- und Aufgabenzuweisung (Zuständigkeit) für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit vorliegen.
Die Ermittlung, Verfolgung, Ahndung und Vollstreckung von Ordnungswidrigkeiten ist vomAnwendungsbereich umfasst; dies wird durch Erwägungsgrund 13 der Richtlinie (EU) 2016/680 unterstützt. Hierdurch wird insbesondere erreicht, dass die polizeiliche Datenverarbeitung einheitlichen Regeln folgt, unabhängig davon, ob eine Straftat oder eine Ordnungswidrigkeit in Rede steht. Aus dem Ziel, dem Ordnungswidrigkeitenverfahren einheitliche datenschutzrechtliche Regeln gegenüberzustellen, folgt, dass somit auch in Bezug auf die Datenverarbeitung durch Behörden, die nicht Polizeibehörden sind, soweit sie aber Ordnungswidrigkeiten verfolgen, ahnden und vollstrecken, der Teil 3 des vorliegenden Gesetzes gilt und die Datenverarbeitung auch sonst Regeln folgen muss, welche die Richtlinie (EU) 2016/680 umsetzen. Daraus folgt, dass die Datenverarbeitung bei Verwaltungsbehörden wie z. B. Waffen-, Hygiene- oder Passbehörden, deren Aufgabenzuweisung nicht mit den in § 45 genannten Zwecken übereinstimmt, grundsätzlich solange und soweit nicht in den Anwendungsbereich der Richtlinie und damit des Dritten Teils dieses Gesetzes fällt, wie die von ihnen geführten Verfahren nicht in ein konkretes Ordnungswidrigkeitenverfahren übergehen.
Auftragsverarbeiter – ob öffentliche oder nichtöffentliche Stellen – , deren Tätigkeit sich grundsätzlich dadurch auszeichnet, dass sie Daten zur Erfüllung einer Auftragsverarbeitungsvereinbarung und nicht aufgrund eigener Aufgabenzuschreibung verarbeiten, sind durch die Regelungen des Dritten Teils nur adressiert, sofern sie konkret angesprochen sind. Die von ihnen durchgeführten Verarbeitungen richten sich im Übrigen nach den Regelungen der Verordnung (EU) 2016/679 bzw. dem diese ausformenden Teilen 1 und 2 dieses Gesetzes. Das schließt nicht aus, dass durch den Dritten Teil angesprochene Verantwortliche auch als Auftragsverarbeiter tätig sein können.
§§§
Die Begriffsbestimmungen in den Nummern 1 bis 15 sind zum Zweck der Umsetzung der Richtlinie (EU) 2016/680 aufgenommen worden. Sie schließen an die Begriffsbestimmungen in Artikel 3 der Richtlinie (EU) 2016/680 an. Zum Zweck der Übersichtlichkeit wurde die in Artikel 10 der Richtlinie (EU) 2016/680 enthaltene Definition besonderer personenbezogener Daten als Nummer 14 aufgenommen. Zudem wurde die in § 51 angesprochene Einwilligung unter Übernahme der Definition aus der Verordnung (EU) 2016/679 in Nummer 17 aufgenommen.
§§§
§ 47 dient der Umsetzung von Artikel 4 Absatz 1 der Richtlinie (EU) 2016/680 und führt einige allgemeine Verarbeitungsgrundsätze, die in Teilen an späterer Stelle noch einmal aufgenommen werden, an zentraler Stelle zusammen.
§§§
§ 48 dient der Umsetzung von Artikel 10 der Richtlinie (EU) 2016/680. Absatz 1 legt fest, dass die Verarbeitung
besonderer Kategorien personenbezogener Daten zulässig ist, wenn sie zur Aufgabenerfüllung unbedingt erforderlich
ist und schafft damit eine eigene Rechtsgrundlage für diese Verarbeitungen. Das kann auch die Verarbeitung
in den in Artikel 10 Buchstaben b) und c) genannten Zusammenhängen, d. h. zur Wahrung lebenswichtiger
Interessen der betroffenen oder eines Dritten oder wenn Daten verarbeitet werden sollen, die die betroffene Person
offensichtlich öffentlich gemacht hat, umfassen.
In Absatz 2 wird in Satz 1 klargestellt, dass bei der Verarbeitung
geeignete Garantien für die Rechtsgüter der betroffenen Personen beachtet werden müssen.
In Satz 2 werden Aussagen zu möglichen Maßnahmen zur Umsetzung dieser Vorgabe getroffen. Die Aufzählung gibt unverbindliche
Beispielsfälle wieder, wie geeignete Garantien aussehen können. Die konkrete Ausgestaltung der Maßnahmen
kann also von Einzelfall zu Einzelfall variieren.
§§§
Satz 1 setzt Artikel 4 Absatz 2 der Richtlinie (EU) 2016/680 um. Somit wird klargestellt, dass Verantwortliche Daten so lange und so weit zu anderen Zwecken, als zu denen sie ursprünglich erhoben wurden, verarbeiten dürfen, so lange es sich bei diesen anderen Zwecken um einen der in § 45 genannten Zwecke handelt und diese Verarbeitung erforderlich und verhältnismäßig ist. Grundsätzlich eröffnet Artikel 4 Absatz 2 der Richtlinie (EU) 2016/680 stets die Möglichkeit, die Daten für einen der in § 45 genannten Zwecke zu verarbeiten und innerhalb der Palette der genannten Zwecke auch Zweckänderungen vorzunehmen, wobei der EU-Gesetzgeber offen lässt, ob in diesen Fällen überhaupt eine Zweckänderung vorliegt. Zusätzliche Anforderungen an die Zweckänderung innerhalb der in § 45 genannten Zwecke aufgrund nationalen Verfassungsrechts (so etwa der Grundsatz der hypothetischen Datenneuerhebung, vgl. BVerfG, Urteil vom 20. April 2016 – 1 BvR 966/09 und 1 BvR 1140/06) werden in den Fachgesetzen umgesetzt.
Satz 2 betrifft die Weiterverarbeitung von zu Zwecken des § 45 erhobenen Daten zu anderen als in § 45 genannten Zwecken. Eine solche ist zulässig, wenn dies in einer Rechtsvorschrift vorgesehen ist. Eine solche findet sich beispielsweise für einen typischen Fall einer solchen Weiterverarbeitung durch Datenübermittlung an nicht für Zwecke der Richtlinie zuständige Behörden in § 25.
§§§
§ 50 greift Artikel 4 Absatz 3 der Richtlinie (EU) 2016/680 auf, wonach Verantwortliche Daten auch zu wissenschaftlichen, statistischen und historischen Zwecken verarbeiten dürfen, solange diese Verarbeitung unter die in § 45 genannten Zwecke gefasst werden kann. Als Beispiel kann hier die im Bundeskriminalamt durchgeführte kriminologische oder kriminaltechnische Forschung angeführt werden. Voraussetzung hierfür ist das Vorliegen geeigneter Vorkehrungen zugunsten der Rechtsgüter der betroffenen Person; hierzu können insbesondere die gemessen am konkreten Forschungszweck so zeitnah wie möglich erfolgende Anonymisierung von Daten oder die räumliche und organisatorische Abtrennung der Forschung betreibenden Stellen gehören. Diese Vorkehrungen werden im einschlägigen Fachrecht, etwa in § 21 Bundeskriminalamtgesetz, weiter ausdifferenziert.
§§§
In § 51 finden sich die Voraussetzungen für eine wirksame Einwilligung. Hierbei wurden Elemente aus Artikel 7 der Verordnung (EU) 2016/679 mit dort nicht enthaltenen Elementen des § 4a BDSG a. F. kombiniert.
Absatz 1 entspricht Artikel 7 Absatz 1, Absatz 2 Artikel 7 Absatz 2 und Absatz 3 Artikel 7 Absatz 3 der Verordnung (EU) 2016/679.
In Absatz 4 wurde der Ansatz aus § 4a Absatz 1 BDSG a. F. mit dem Gedanken aus Artikel
7 Absatz 4 der Verordnung (EU) 2016/679 angereichert, wonach für die Beurteilung der Frage, ob die Freiwilligkeit
der Einwilligung vorliegt, wesentlich auf die Umstände der Erteilung abzustellen ist.
Absatz 5 entspricht § 4a Absatz 3 BDSG a. F.
§§§
§ 52 setzt Artikel 23 der Richtlinie (EU) 2016/680 um.
§§§
§ 53 greift die Regelung des § 5 BDSG a. F. auf.
§§§
§ 54 setzt Artikel 11 der Richtlinie (EU) 2016/680 um und regelt das Verbot automatisierter, insbesondere auf Profiling basierender Einzelentscheidungen. Um eine in Absatz 1 genannte, nur unter bestimmten Umständen zulässige, „Entscheidung, die eine nachteilige Rechtsfolge für die betroffene Person hat“, zu sein, muss es sich bei einer solchen Entscheidung um einen Rechtsakt mit Außenwirkung gegenüber der betroffenen Person – regelmäßig einen Verwaltungsakt – handeln. Interne Zwischenfestlegungen oder -auswertungen, die Ausfluss automatisierter Prozesse sind, fallen nicht hierunter.
§§§
§ 55 dient der Umsetzung von Artikel 13 Absatz 1 der Richtlinie (EU) 2016/680. Es geht hier um aktive Informationspflichten des Verantwortlichen gegenüberbetroffenen Personen unabhängig von der Geltendmachung von Betroffenenrechten. Dieser Informationspflicht sollen Verantwortliche in allgemeiner Form nachkommen können. Durch die explizit in Erwägungsgrund 42 der Richtlinie (EU) 2016/680 aufgenommene Möglichkeit der Information über die Internetseite des Verantwortlichen wird im Zusammenhang der Sinn und Zweck der Regelung klargestellt: Betroffene Personen sollen sich unabhängig von der Datenverarbeitung im konkreten Fall in leicht zugänglicher Form einen Überblick über die Zwecke der beim Verantwortlichen durchgeführten Verarbeitungen verschaffen können und eine Übersicht über die ihnen zu Gebote stehenden Betroffenenrechte bekommen.
§§§
§ 56 betrifft Fälle, in denen in fachgesetzlichen Regelungen eine aktive Benachrichtigung betroffener Personen vorgesehen ist. Eine Festlegung dieser in Artikel 13 Absatz 2 der Richtlinie (EU) 2016/680 so bezeichneten „besonderen Fälle“ ist nicht verallgemeinernd auf Ebene des Bundesdatenschutzgesetzes möglich und muss somit im Fachrecht geleistet werden. Leitend für die Entscheidung, ob eine Benachrichtigung unabhängig von der Geltendmachung eines Betroffenenrechts angezeigt ist, dürfte z. B. sein, ob die Verarbeitung mit oder ohne Wissen der betroffenen Person, ggf. in Verbindung mit einer erhöhten Eingriffstiefe, erfolgt. In letztgenannten Fällen ist eine aktive, ggf. nachträgliche Benachrichtigung die einzige Möglichkeit für die betroffene Person, von der Verarbeitung Kenntnis zu erlangen und ggf. deren Rechtmäßigkeit mithilfe der Geltendmachung von Betroffenenrechten zu prüfen.
Absatz 1 stellt klar, welche Informationen betroffenen Personen von dem Verantwortlichen in diesen Fällen aktiv übermittelt werden müssen und dient dabei der Umsetzung von Artikel 13 Absatz 2 der Richtlinie (EU) 2016/680.
Absatz 2 ermöglicht es in Umsetzung von Artikel 13 Absatz 3 der Richtlinie (EU) 2016/680, zu den dort genannten Zwecken von der Bereitstellung der in Absatz 1 genannten Informationen abzusehen, sie einzuschränken oder sie aufzuschieben. Die Vorschrift geht zum Schutz der betroffenen Person über das durch die Richtlinie (EU) 2016/680 Gebotene hinaus, indem tatbestandlich jeweils eine Gefährdung – gegenüber einer in der Richtlinie angesprochenen Beeinträchtigung – der genannten Rechtsgüter oder Zwecke vorausgesetzt wird. Den Ausnahmen ist der Gedanke gemein, dass die Auskunftserteilung nicht zur Gefährdung der ordnungsgemäßen Erfüllung der Aufgaben des Verantwortlichen führen soll.
Absatz 3 statuiert ein § 19 Absatz 3 BDSG a. F. entnommenes Zustimmungserfordernis der dort genannten Stellen, wenn sich die Benachrichtigung auf die Übermittlung an diese Stellen (nach Absatz 1 Satz 1 Nummer 4) bezieht. Insofern besteht ein der Situation der aktiven Geltendmachung von Betroffenenrechten vergleichbarer Sachverhalt, weshalb die Übernahme geboten ist. Die Nutzung der Möglichkeit, von der Bereitstellung der in Absatz 1 genannten Informationen abzusehen, sie einzuschränken oder aufzuschieben, muss Verhältnismäßigkeitsgrundsätzen genügen, mithin in ein angemessenes Verhältnis zur Bedeutung der Betroffeneninformation für die spätere Geltendmachung von Betroffenenrechten gebracht werden. So hat der Verantwortliche im Einzelfall zu prüfen, ob die Bereitstellung etwa nur teil- oder zeitweise eingeschränkt werden kann („solange und soweit“).
§§§
§ 57 thematisiert das Auskunftsrecht als zentrales Betroffenenrecht und normiert gleichzeitig dessen Einschränkungen. Die Vorschrift dient mithin der Umsetzung der Artikel 14 (Bestehen des Auskunftsrechts) und 15 (Ausnahmen) der Richtlinie (EU) 2016/680. Das Auskunftsrecht setzt – im Gegensatz zu in § 56 angesprochenen aktiven Benachrichtigungspflichten – einen entsprechenden Antrag der betroffenen Person voraus.
Absatz 1 legt den Umfang des der betroffenen Person zustehenden Auskunftsrechts fest. Der in den Nummern 1 und 4 genannte Begriff „Kategorie“ ermöglicht dem Verantwortlichen eine angemessene Generalisierung der Angaben zu den verarbeiteten personenbezogenen Daten sowie zu den Übermittlungsempfängern. Die Angaben nach Nummer 1 zu den verarbeiteten personenbezogenen Daten können im Sinne einer zusammenfassenden Übersicht in verständlicher Form gemacht werden. Die Angaben müssen also nicht in einer Form gemacht werden, welche Aufschluss über die Art und Weise der Speicherung oder Sichtbarkeit der Daten beim Verantwortlichen (im Sinne einer Kopie) zulässt. Ebenso bedeutet die Pflicht zur Angabe der verfügbaren Informationen zur Datenquelle nicht, dass die Identität natürlicher Personen oder gar vertrauliche Informationen preisgegeben werden müssen. Der Verantwortliche muss sich bei der Angabe zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, letztlich von dem gesetzgeberischen Ziel leiten lassen, bei der betroffenen Person ein Bewusstsein über Umfang und Art der verarbeiteten Daten zu erzeugen und es ihr zu ermöglichen, aufgrund dieser Informationen zu ermessen, ob die Verarbeitung rechtmäßig ist und – wenn Zweifel hieran bestehen – ggf. die Geltendmachung weitere Betroffenenrechte auf diese Informationen stützen zu können.
Absatz 2 überführt den Rechtsgedanken des § 19 Absatz 2 BDSG a. F. in das BDSG und sorgt darüber hinaus für einen Gleichlauf mit § 33 Absatz 1 Nummer 2.
Absatz 3 überführt die Regelung des § 19 Absatz 1 Satz 3 BDSG a. F.
Absatz 4 normiert, zu welchen Zwecken das Auskunftsrecht durch den Verantwortlichen vollständig oder teilweise eingeschränkt werden darf. Die Vorschrift geht zum Schutz der betroffenen Person über das durch die Richtlinie (EU) 2016/680 Gebotene hinaus, indem tatbestandlich jeweils eine Gefährdung – gegenüber einer in der Richtlinie angesprochenen Beeinträchtigung – der genannten Rechtsgüter oder Zwecke vorausgesetzt wird. Den Ausnahmen ist der Gedanke gemein, dass die Auskunftserteilung nicht zur Gefährdung der ordnungsgemäßen Erfüllung derAufgaben desVerantwortlichen führen soll. Die Nutzung derMöglichkeit, von derAuskunftserteilung vollständig oder teilweise abzusehen, muss Verhältnismäßigkeitsgrundsätzen genügen und ihr muss eine nachvollziehbare Interessenabwägung vorausgehen. Die durch das teilweise oder vollständige Absehen von der Auskunftserteilung geschützten Rechtsgüter müssen mithin in ein angemessenes Verhältnis zur Bedeutung der Auskunftserteilung für die spätere Geltendmachung weiterer Betroffenenrechte gebracht werden. So hat der Verantwortliche im Einzelfall zu prüfen, ob die Auskunft etwa nur teilweise eingeschränkt oder zu einem späteren Zeitpunkt erteilt werden kann.
Absatz 5 nimmt § 19 Absatz 3 BDSG a. F. auf.
Absatz 6 Sätze 1 und 2 dient der Umsetzung von Artikel 15 Absatz 3 Sätze 1 und 2 der Richtlinie (EU) 2016/680.
Hierdurch wird dem Verantwortlichen – auch gemeinsam mit der sich aus Absatz 4 ergebenden Variante, die
Frage nach dem „Ob“ der Verarbeitung nicht zu beantworten, die Möglichkeit gegeben, das Auskunftsverlangen
unbeantwortet zu lassen („neither confirm nor deny“).
Satz 3 nimmt in Bezug auf das Absehen von einer Begründung
der Auskunftsverweigerung zusätzlich einen aus § 19 Absatz 5 Satz 1 BDSG a. F. entnommenen Gedanken
auf.
Absatz 7 thematisiert die Möglichkeiten, die der betroffenen Person im Fall des Absehens von einer Begründung
für die vollständige oder teilweise Einschränkung des Auskunftsrechts oder im Fall der überhaupt ausbleibenden
Beantwortung des Auskunftsverlangens bleiben.
Nach Satz 1 kann die betroffene Person ihr Auskunftsrecht nach
Auskunftsverweigerung durch den Verantwortlichen über die oder den Bundesbeauftragten ausüben. Dies dient
der Umsetzung von Artikel 17 Absatz 1 der Richtlinie (EU) 2016/680 und kommt einer deklaratorischen Wiederholung
des im BDSG a. F. und nun auch in § 60 enthaltenen Grundsatzes gleich, wonach betroffene Personen
jederzeit die Bundesbeauftragte oder den Bundesbeauftragten anrufen können.
Satz 2 sieht in Umsetzung von
Artikel 17 Absatz 2 der Richtlinie (EU) 2016/680 eine entsprechende Unterrichtung durch den Verantwortlichen
vor, die allerdings nicht auf Fälle Anwendung findet, in denen der Verantwortliche nach Absatz 6 berechtigt ist,
von einer Information des Antragstellers ganz abzusehen. Satz 3 nimmt § 19 Absatz 6 Satz 1 BDSG a. F. auf.
Sätze 4 und 5 betreffen den Inhalt der betroffenen Person seitens der oder dem Bundesbeauftragten zur Verfügung
gestellten Informationen im Ergebnis der dort durchgeführten Prüfung; hier wird Artikel 17 Absatz 3 Satz 1 der
Richtlinie (EU) 2016/680 umgesetzt und zur Stärkung der Betroffenenrechte in Satz 5 über das von der Richtlinie
Geforderte hinausgegangen, indem die Mitteilung die Information enthalten darf, ob datenschutzrechtliche Verstöße
festgestellt wurden, mithin die Auskunftsverweigerung oder teilweise Einschränkung der Auskunft rechtmäßig
war. Satz 6 und 7 nimmt § 19 Absatz 6 Satz 2 BDSG a. F. auf. Satz 8 setzt Artikel 17 Absatz 3 Satz 2 der
Richtlinie (EU) 2016/680 um.
Absatz 8 setzt Artikel 15 Absatz 4 der Richtlinie (EU) 2016/680 um.
§§§
In § 58 werden die Betroffenenrechte auf Berichtigung, Löschung und Einschränkung der Verarbeitung und deren Ausnahmen zusammengeführt. § 58 dient der Umsetzung von Artikel 16 der Richtlinie (EU) 2016/680 in seiner Ausformung als Betroffenenrecht.
Absatz 1 betrifft das Recht auf Berichtigung unrichtiger bzw. auf Vervollständigung unvollständiger Daten. Hier wird Artikel 16 Absatz 1 der Richtlinie (EU) 2016/680 umgesetzt. In Satz 2 wird ein in Erwägungsgrund 47 der Richtlinie (EU) 2016/680 enthaltener Gedanke aufgenommen, wonach zur Vorbeugung massenhafter und nicht erfolgversprechender Anträge klargestellt wird, dass sich die Berichtigung auf die betroffene Person betreffende Tatsachen bezieht und nicht etwa auf den Inhalt von Zeugenaussagen; Gleiches gilt etwa für polizeifachliche Bewertungen. In Satz 3 wird Artikel 16 Absatz 3 Satz 1 Buchstabe a der Richtlinie (EU) 2016/680 umgesetzt. Zwar sieht der Richtlinientext im beschriebenen Fall die Verarbeitungseinschränkung als Alternative zur Löschung vor. Da die Richtlinie allerdings im Fall der Verarbeitung unrichtiger Daten deren Berichtigung, aber nicht deren Löschung vorsieht, wird der in der Richtlinie beschriebene Sachverhalt systematisch korrekt in Absatz 1 verortet, indem für Fälle, in denen nach Bestreiten der Richtigkeit der Daten deren Richtigkeit oder Unrichtigkeit nicht festgestellt werden kann, an die Stelle der Berichtigung eine Verarbeitungseinschränkung tritt. Für das Bestreiten der Richtigkeit der beimVerantwortlichen verarbeiteten Daten durch die betroffene Person reicht die reine Behauptung der Unrichtigkeit nicht aus; vielmehr müssen die Zweifel an der Unrichtigkeit durch Beibringung geeigneter Tatsachen substantiiert werden. Dies dient dem Schutz der polizeifachlichen Arbeit und der Vermeidung unverhältnismäßigen Prüfaufwands.
Absatz 2 statuiert das Betroffenenrecht auf Löschung und dient der Umsetzung von Artikel 16 Absatz 2 der Richtlinie (EU) 2016/680, in dem sowohl die unabhängig von der Geltendmachung des Betroffenenrechts durch die betroffene Person bestehende Löschungspflicht des Verantwortlichen als auch das entsprechende Betroffenenrecht angesprochen sind.
Absatz 3 betrifft die Voraussetzungen, unter denen an die Stelle einer Löschung nach Absatz 2 eine Verarbeitungseinschränkung treten kann. Es werden Elemente aus dem bisherigen § 20 Absatz 3 BDSG a. F. (Absatz 3 Satz 1 Nummern 1 und 3), ergänzt um Artikel 16 Absatz 3 Satz 1 Buchstabe b der Richtlinie (EU) 2016/680 (Absatz 3 Satz 1 Nummer 2) aufgenommen. Absatz 3 Satz 1 Nummer 1 übernimmt zudem einen in Erwägungsgrund 47 Satz 4 der Richtlinie (EU) 2016/680 enthaltenen Gedanken. Die Möglichkeit, von der Löschung wegen unverhältnismäßigen Aufwands abzusehen, ist als restriktiv auszulegende Ausnahmeregelung anzusehen. Im Grundsatz sollte die bei Verantwortlichen zum Einsatz kommende IT-Infrastruktur darauf ausgelegt sein, eine Löschungsverpflichtung auch technisch nachvollziehen zu können.
Satz 2 nimmt einen in § 32 Absatz 2 Satz 3 BKAG enthaltenen Gedanken zur Möglichkeit der Verarbeitung in ihrer Verarbeitung eingeschränkter Daten auf.
Absatz 4 fordert, dass die Verarbeitungseinschränkung im Kontext automatisierter Verarbeitung erkennbar sein muss.
Die in Absatz 5 enthaltene Verpflichtung zur Meldung der Berichtigung an Stellen, von denen die unrichtigen Daten stammen, setzt Artikel 16 Absatz 5 der Richtlinie (EU) 2016/680 um. Eine spiegelbildliche Verpflichtung ist in § 75 Absatz 1 für Fälle enthalten, in denen der Verantwortliche von sich aus, also unabhängig von der Geltendmachung eines Betroffenenrechts, eine Berichtigung durchführt. Darüber hinausverweist Absatz 5 Satz 3 im Hinblick auf die Benachrichtigung von Stellen, an die Daten übermittelt wurden, über die Berichtigung, Löschung oder Verarbeitungseinschränkung auf § 72 Absatz 4.
Absatz 6 dient der Umsetzung von Artikel 16 Absatz 4 der Richtlinie (EU) 2016/680 und betrifft das zur Anwendung
kommende Verfahren, wenn der Verantwortliche einem Antrag auf Berichtigung oder Löschung nicht oder
nur eingeschränkt nachkommt.
Die Vorschrift ist § 57 Absatz 6 nachgebildet; folgerichtig wird – so auch in Absatz 7 – weitgehend auf die entsprechenden Vorschriften in § 57 zur vollständigen oder teilweisen Einschränkung
des Auskunftsrechts verwiesen.
§§§
In § 59 werden Elemente des Artikels 12 der Richtlinie (EU) 2016/680 umgesetzt.
Absatz 1 setzt Artikel 12 Absatz 1, Absatz 2 setzt Artikel 12 Absatz 3, Absatz 3 setzt Artikel 12 Absatz 4 und Absatz 4 setzt Artikel 12 Absatz 5 der Richtlinie (EU) 2016/680 um.
Wenngleich es Absatz 5 der Richtlinie (EU) 2016/680 dem Verantwortlichen in begründeten Zweifelsfällen ermöglicht, zusätzliche Informationen zur Identitätsklärung anzufordern, ist hierdurch keine Änderung der bisherigen verbreiteten Praxis angezeigt, den Nachweis der Identität auch weiterhin als Grundvoraussetzung für die Antragsstellung anzusehen.
§§§
§ 60 stellt auch für den Bereich der Verarbeitung durch Verantwortliche zu den in § 45 genannten Zwecken klar,
dass sich Betroffene mit Beschwerden über die bei Verantwortlichen durchgeführte Verarbeitung an die oder den
Bundesbeauftragten wenden können. Insbesondere mit Absatz 1 dieser Vorschrift werden gleichzeitig Artikel 52
der Richtlinie (EU) 2016/680 umgesetzt als auch § 21 BDSG a. F. in das BDSG überführt.
Absatz 2 setzt Artikel
52 Absatz 2 der Richtlinie (EU) 2016/680 um.
§§§
§ 61 setzt Artikel 53 Absatz 1 der Richtlinie (EU) 2016/680 um und bestimmt, dass Adressaten von verbindlichen Entscheidungen der oder des Bundesbeauftragten Rechtsschutz gegen diese suchen können. In Erwägungsgrund 86 der Richtlinie (EU) 2016/680 wird betont, dass sich der Rechtsschutz insbesondere auf die Ausübung von Untersuchungs-, Abhilfe und Genehmigungsbefugnissen oder die Ablehnung oder Abweisung von Beschwerden bezieht durch die oder den Bundesbeauftragten bezieht; für reine Stellungnahmen oder Empfehlungen hingegen soll der Anwendungsbereich nicht eröffnet sein. Auf die sich aus seiner systematischen Stellung ergebene Anwendbarkeit von § 20 in Bezug auf das Rechtsschutzverfahren wird hingewiesen. In Absatz 2 wird – im Umsetzung von Artikel 53 Absatz 2 der Richtlinie (EU) 2016/680 – der Rechtsschutz auf Fälle der Untätigkeit der oder des Bundesbeauftragten ausgedehnt.
§§§
§ 62 dient der Umsetzung von Artikel 22 der Richtlinie (EU) 2016/680 und stellt Anforderungen auf, wenn der Verantwortliche Auftragsverarbeitungsverhältnisse eingehen will. Gleichzeitig werden Elemente des § 11 BDSG a. F. überführt. Am bisherigen Regelungsansatz, wonach der Verantwortliche für die Datenübermittlung an den Auftragsverarbeiter keiner gesonderten Rechtsgrundlage bedarf, ändert sich durch die Richtlinienumsetzung nichts.
Absatz 1 greift die Regelung des § 11 Absatz 1 BDSG a. F. auf.
Absatz 2 beschreibt an den Auftragsverarbeiter zu stellende Anforderungen und setzt Artikel 22 Absatz 1 der Richtlinie (EU) 2016/680 um.
In Absatz 3 werden Voraussetzungen für die Eingehung von Unterauftragsverarbeitungsverhältnissen normiert und dadurch Artikel 22 Absatz 2 der Richtlinie (EU) 2016/680 umgesetzt.
In Absatz 4 wird in Übernahme von Elementen aus Artikel 28 Absatz 4 der Verordnung (EU) 2016/679 die Überführung von den Auftragsverarbeiter treffenden Pflichten auf einen Unterauftragnehmer thematisiert.
In Absatz 5 werden die erforderlichen Inhalte einer der Auftragsverarbeitung zugrundeliegenden Vereinbarung niedergelegt. Diese Inhalte sind sowohl Artikel 22 Absatz 3 der Richtlinie (EU) 2016/680, Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 als auch § 11 Absatz 2 und 3 BDSG a. F. entnommen; so werden in Satz 2 Nummer 1 Elemente aus Artikel 28 Absatz 3 Buchstabe a der Verordnung (EU) 2016/679 und § 11 Absatz 3 Satz 2 BDSG a. F., in Nummer 5 Elemente aus Artikel 28 Absatz 3 Buchstabe h, in Nummer 7 Elemente aus Artikel 28 Absatz 3 Buchstabe c und in Nummer 8 Elemente aus Artikel 28 Absatz 3 Buchstabe f der Verordnung (EU) 2016/679 aufgenommen.
Absatz 6 trifft in Umsetzung von Artikel 22 Absatz 4 der Richtlinie (EU) 2016/680 Aussagen zur Form der Vereinbarung.
Absatz 7 dient der Umsetzung von Artikel 22 Absatz 5 der Richtlinie (EU) 2016/680.
§§§
§ 63 dient der Umsetzung von Artikel 21 der Richtlinie (EU) 2016/680. Zur beispielhaften Konkretisierung der infrage kommenden Fälle wird zudem eine Formulierung aus § 6 Absatz 2 BDSG a. F. übernommen.
§§§
§ 64 dient der Umsetzung von Artikel 29 der Richtlinie (EU) 2016/680. Er verpflichtet den Verantwortlichen dazu, erforderliche technisch-organisatorische Maßnahmen zu treffen. Gleichzeitig wird klargestellt, dass die Ausgestaltung der Maßnahmen Ergebnis eines Abwägungsprozesses sein soll, in den insbesondere der Stand der verfügbaren Technik, die entstehenden Kosten, die näheren Umstände der Verarbeitung und die in Aussicht zu nehmende Gefährdung für die Rechtsgüter der betroffenen Person einzustellen sind. Weiterhin wird klarstellend geregelt, dass bei der Festlegung der technisch-organisatorischen Maßnahmen die einschlägigen Standards und Empfehlungen, insbesondere Technische Richtlinien, des Bundesamts für Sicherheit in der Informationstechnik zu berücksichtigen sind.
Absatz 1 liegt der schon in § 9 Satz 2 BDSG a. F. enthaltene Gedanke zugrunde, wonach die Erforderlichkeit der Maßnahmen daran zu bemessen ist, ob ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht, aufgenommen.
In Absatz 2 werden Inhalte aus Artikel 32 Absatz 1 Buchstaben a bis c Verordnung (EU) 2016/679 übernommen.
Absatz 3 nimmt den wesentlichen Inhalt von § 9 BDSG a. F. und dem Anhang zu § 9 Satz 1 BDSG a. F. auf und
überführt ihn in das BDSG. Er benennt die Ziele, die im Hinblick auf automatisierte Verarbeitungen durch die
Etablierung geeigneter technisch-organisatorischerMaßnahmen verfolgt und erreicht werden sollen.
Satz 2 nimmt den in Satz 3 der Anlage zu § 9 Satz 1 BDSG a. F. enthaltenen Gedanken auf.
§§§
§ 65 dient der Umsetzung von Artikel 30 der Richtlinie (EU) 2016/680 und legt den Umfang und die Modalitäten der Meldung von „Verletzungen des Schutzes personenbezogener Daten“ nach § 46 Nummer 10 an die oder den Bundesbeauftragten fest. Ansatzpunkt der Meldung sind, wie sich auch aus der systematischen Stellung der Vorschrift im Bereich Sicherheit der Verarbeitung ergibt, Vorfälle wie etwa Datenabflüsse.
Die in Absatz 5 geforderte Dokumentation muss in Qualität und Quantität so beschaffen sein, dass sie der oder dem Bundesbeauftragten die Überprüfung der Einhaltung der gesetzlichen Vorgaben ermöglicht.
In Absatz 7 wird durch einen Verweis auf § 43 Absatz 2 der in § 42a Satz 6 BDSG a. F. enthaltene Gedanke überführt, wonach die Motivation zur Meldung einer Verletzung des Schutzes personenbezogener Daten nicht dadurch verringert werden soll, dass die durch dieMeldung verfügbar werdenden Informationen zur Verarbeitung zur Einleitung eines Strafverfahrens führen können.
Absatz 8 stellt klar, dass die in § 61 enthaltene Meldepflicht an die oder den Bundesbeauftragten andere Meldepflichten, etwa solche an das Bundesamt für Sicherheit in der Informationstechnik als Meldestelle des Bundes für IT-Sicherheitsvorfälle (vgl. § 4 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik), nicht ausschließt bzw. diesen nicht vorgeht.
§§§
§ 66 setzt Artikel 31 der Richtlinie (EU) 2016/680 um. In Absatz 6 wird – parallel zu § 65 Absatz 7 – durch einen Verweis auf § 43 Absatz 2 der in § 42a Satz 6 BDSG a. F. enthaltene Gedanke überführt, wonach auch bei einer Benachrichtigung der betroffenen Person die Motivation zu dieser Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten nicht dadurch verringert werden soll, dass die durch die Meldung verfügbar werdenden Informationen zur Verarbeitung zur Einleitung eines Strafverfahrens führen können.
§§§
§ 67 dient der Umsetzung von Artikel 27 der Richtlinie (EU) 2016/680. Die Datenschutz-Folgenabschätzung ist ein zentrales Element der strukturellen Stärkung des Datenschutzes. Die Voraussetzungen zur Durchführung einer Datenschutz-Folgenabschätzung können nur unvollkommen gesetzlich konkret ausgestaltet werden. So lässt sich dennoch feststellen, dass hinsichtlich des Umfangs der Verarbeitung nicht eine Einzelverarbeitung, sondern lediglich die Verwendung maßgeblicher Systeme und Verfahren zur Verarbeitung personenbezogener Daten mithilfe einer Datenschutz-Folgenabschätzung vorab in den Blick genommen werden müssen. Insoweit lässt sich – abseits der prozeduralen Verbindung – eine Vergleichbarkeit mit den Voraussetzungen der Durchführung einer Anhörung der oder des Bundesbeauftragten begründen. Kriterien für die Entscheidung, ob die vorgesehene Verarbeitung qualitativ erhöhte Gefahren für die Rechtsgüter der betroffenen Person in sich birgt, können beispielsweise der Kreis der betroffenen Personen, die Art der zur Datenerhebung eingesetzten Mittel oder der Kreis der zugriffsberechtigten Personen, mithin die Eingriffsintensität der mit der Verarbeitung verbundenen Maßnahmen im Sinne einer Gesamtwürdigung sein.
Die Konkretisierung der in Absatz 1 genannten Voraussetzungen obliegt letztlich der Praxis. Bei diesem Konkretisierungsvorgang wird allerdings zu beachten sein, dass die entstehenden Aufwände angemessen und beherrschbar bleiben müssen. Ferner ist festzuhalten, dass das Erfordernis einer Datenschutz-Folgenabschätzung nur für neue Verarbeitungssysteme oder wesentliche Veränderungen an bestehenden gilt.
Absatz 2 nimmt Artikel 35 Absatz 1 Nummer 2, Absatz 3 Artikel 35 Absatz 2 der Verordnung (EU) 2016/679
auf.
Absatz 4 legt den Inhalt der Folgenabschätzung fest und konkretisiert die in Artikel 27 Absatz 2 enthaltenen
allgemeinen Angaben unter Übernahme der Angaben aus Artikel 35 Absatz 7 der Verordnung (EU) 2016/679
enthaltenen Punkte.
Absatz 5 nimmt Artikel 35 Absatz 11 der Verordnung (EU) 2016/679 auf.
§§§
§ 68 setzt Artikel 26 der Richtlinie (EU) 2016/680 um. Die hier angesprochene Pflicht des Verantwortlichen zur Zusammenarbeit mit der oder dem Bundesbeauftragten fasst die ohnehin sich aus anderen Vorschriften ergebenden Kooperationsverpflichtungen und Kooperationsbeziehungen zwischen Verantwortlichem und der oder dem Bundesbeauftragten zusammen.
§§§
§ 69 dient der Umsetzung von Artikel 28 der Richtlinie (EU) 2016/680. Die Vorkonsultation – hier als Anhörung bezeichnet – der oder des Bundesbeauftragten dient der datenschutzrechtlichen Absicherung in Bezug auf beabsichtigte Verarbeitungen in neu anzulegenden Dateisystemen, die ein erhöhtes Gefährdungspotential für Rechtsgüter der betroffenen Personen in sich bergen. Insofern besteht eine enge inhaltliche Verbindung zum Instrument der Datenschutz-Folgenabschätzung (§ 67). Prozedural wird diese Verbindung dadurch hergestellt, dass nach Absatz 1 Nummer 1 eine Anhörung durchzuführen ist, wenn im Ergebnis einer Datenschutz-Folgenabschätzung eine erhöhte Gefährdung angenommen wird und der Verantwortliche hierauf nicht mit Maßnahmen zur Gefährdungsminimierung reagiert.
Der Umfang der der oder dem Bundesbeauftragten vorzulegenden Unterlagen wird in Absatz 2 durch Zusammenführung der Vorgaben aus Artikel 28 Absatz 4 der Richtlinie (EU) 2016/680 und Artikel 36 Absatz 3 der Verordnung (EU) 2016/679 angeglichen.
Artikel 28 der Richtlinie (EU) 2016/680 knüpft an die Einleitung der Konsultation an, setzt aber nicht voraus,
dass diese zwingend abgeschlossen sein muss, bevor personenbezogene Daten entsprechend verarbeitet werden.
Zwar wird man im Regelfall den Abschluss der Konsultation im Interesse der Betroffenen abwarten. Im Ausnahmefall
können jedoch Abweichungen geboten sein.
Die in Absatz 4 vorgesehene Eilfallregelung trägt solchen
operativen und (polizei-)fachlichen Erfordernissen in Abweichung von Absatz 3 Satz 1 Rechnung. Die Nutzung
der Eilfallregelung entbindet den Verantwortlichen gleichwohl nicht davon, die Empfehlungen der oder des Bundesbeauftragten
nach pflichtgemäßem Ermessen zu prüfen und die Verarbeitung gegebenenfalls daraufhin anzupassen.
Weiterhin schmälert die Eilfallregelung nicht die der oder dem Bundesbeauftragten zur Verfügung stehenden
Befugnisse.
§§§
§ 70 dient der Umsetzung von Artikel 24 der Richtlinie (EU) 2016/680 und verpflichtet den Verantwortlichen zur Führung eines Verzeichnisses über bei ihm durchgeführte Kategorien von Datenverarbeitungstätigkeiten. Dieses Verzeichnis dient vor allem der oder dem Bundesbeauftragten dazu, einen Überblick über die beim Verantwortlichen durchgeführten Datenverarbeitungen zu erhalten. Das Zusammenspiel von Anhörung der Datenschutzaufsicht (§ 69), Einsicht in das Verzeichnis (§ 70 Absatz 3) und Zurverfügungstellung von Protokolldaten (§ 76 Absatz 5) gewährt der oder dem Bundesbeauftragten ein umfassendes Bild über die beim Verantwortlichen durchgeführten Datenverarbeitungen. Dies ermöglicht es ihr oder ihm, ihre oder seine Aufgaben und Befugnisse im Hinblick auf den jeweiligen Verantwortlichen zielgerichtet, effizient und verhältnismäßig auszurichten und zu nutzen. Die Beteiligung der oder des Bundesbeauftragten wird arrondiert und ergänzt durch die interne Beratungsund Kontrolltätigkeit des oder der Beauftragten für den Datenschutz gemäß § 7 und die in § 16 Absatz 4 enthaltene Regelung zum umfassenden Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Das durch § 70 eingeführte Verzeichnis ist von dem System der Errichtungsanordnungen für Dateien zu unterscheiden und muss diese fachgesetzlich in einigen Bereichen vorgesehene Möglichkeit der Vorbereitung, Planung und Vorprüfung vorgesehener Verarbeitungen nicht.
In Absatz 1 werden die in das Verzeichnis aufzunehmenden Angaben benannt. Die Begrifflichkeit „Kategorien von Datenverarbeitungstätigkeiten“ stellt hierbei klar, dass sich das Verzeichnis nicht auf einzelne Datenverarbeitungsvorgänge, sondern auf sinnvoll abgrenz- und kategorisierbare Teile der beim Verantwortlichen durchgeführten Datenverarbeitungen bezieht. Es kann sich anbieten, die nach Satz 1 Nummer 2 aufzunehmenden Angaben zu den Zwecken derVerarbeitung an den gesetzlichen Aufgabenzuschreibungen der betreffenden öffentlichen Stelle auszurichten.
Absatz 2 verpflichtet den Verantwortlichen, ein Verzeichnis, wenngleich in geringerem Umfang, auch für Verarbeitungen zu führen, wenn er personenbezogene Daten im Auftrag verarbeitet.
In Absatz 3 werden Aussagen zur Form des Verzeichnisses getroffen.
Nach Absatz 4 wird das Verzeichnis und seine Aktualisierungen der oder dem Bundesbeauftragten auf Anfrage zur Verfügung gestellt.
§§§
Durch § 71 soll Artikel 20 der Richtlinie (EU) 2016/680 umgesetzt werden, der generische Anforderungen an die datenschutzfreundliche Gestaltung von Datenverarbeitungssystemen (Privacy by Design) und die Implementierung datenschutzfreundlicher Grundeinstellungen (Privacy by Default) formuliert. Der Norm liegt der Gedanke zugrunde, dass der Aufwand zur Verfolgung der hier formulierten Ziele und Anforderungen im Sinne effizienten Mitteleinsatzes in einem angemessenen Verhältnis zum angestrebten Schutzzweck stehen sollte. Zur Konkretisierung und Handhabbarmachung der Vorgaben wurden in Absatz 1 Elemente des § 3a BDSG a. F. aufgenommen.
Die in Absatz 2 angesprochene Anforderung, die automatisierte umfassende Zugänglichmachung personenbezogener Daten zu verhindern, mündet letztlich in die Anforderung, eine solche Zugänglichmachung stets durch menschliches Zutun einer Prüfung zu unterziehen.
§§§
§ 72 dient der Umsetzung von Artikel 6, bei Absatz 2 der Umsetzung von Artikel 7 Absatz 1 der Richtlinie (EU) 2016/680. Die konkreten Rechtsfolgen der vorgesehenen Unterscheidung bei der Verarbeitung, etwa der Unterscheidung entsprechende Aussonderungsprüffristen, Rechte- und Rollenkonzepte oder besondere Maßnahmen der Datensicherheit werden dem Fachrecht überlassen.
§§§
§ 73 dient der Umsetzung von Artikel 7 Absatz 1 der Richtlinie (EU) 2016/680. Die konkreten Rechtsfolgen der vorgesehenen Unterscheidung bei der Verarbeitung, etwa der Unterscheidung entsprechende Aussonderungsprüffristen, Rechte- und Rollenkonzepte oder besondere Maßnahmen der Datensicherheit werden dem Fachrecht überlassen.
§§§
Absatz 1 dient der Umsetzung von Artikel 7 Absatz 2 der Richtlinie (EU) 2016/680. Im Hinblick auf die Vervollständigung unvollständiger Daten als möglichem Sinn und Zweck einer Datenübermittlung wurden die in der Richtlinie (EU) 2016/680 enthaltene Vermeidung der Übermittlung „unvollständiger“ Daten nicht übernommen. Ferner ist bei der Anwendung und Auslegung der Anforderungen des § 74 zu beachten, dass die Frage nach der „Aktualität“ von Daten und der damit verbundenen Vorgabe, keine „nicht mehr aktuellen“ Daten zu übermitteln bzw. bereitzustellen, stets nur im konkreten Ermittlungszusammenhang und unter Beachtung des konkreten Verarbeitungszwecks beantworten lässt. In bestimmten Ermittlungszusammenhängen kann auch die Übermittlung nicht (mehr) aktuelle Daten wie alte Meldeadressen, alte (Geburts-)namen etc. bedeutsam und für die Aufgabenerfüllung erforderlich sein.
Absatz 2 wiederum setzt Artikel 9 Absatz 3 der Richtlinie (EU) 2016/680 um. Beispiele für die im Fachrecht vorgesehene Mitgabe besonderer Bedingungen können Zweckbindungsregelungen bei der Weiterverarbeitung durch den Empfänger, das Verbot der Weiterübermittlung ohne Genehmigung oder Konsultationserfordernisse vor der Beauskunftung betroffener Personen durch den Empfänger sein.
Absatz 3 Setzt Artikel 9 Absatz 4 der Richtlinie (EU) 2016/680 um.
§§§
§ 75 dient der Umsetzung von Artikel 16 der Richtlinie (EU) 2016/680 in seiner Ausformung als Pflicht des Verantwortlichen. Systematisch werden in § 75 Pflichten des Verantwortlichen zur Berichtigung und Löschung personenbezogener Daten sowie zur Einschränkung ihrer Verarbeitung thematisiert, die unabhängig davon bestehen, ob eine betroffene Person darum nachsucht. Die spiegelbildlich bestehenden Rechte der betroffenen Person auf Berichtigung, Löschung personenbezogener Daten sowie auf Einschränkung der Verarbeitung durch den Verantwortlichen finden sich in § 58.
In Absatz 1 wird neben der Pflicht des Verantwortlichen zur Berichtigung Artikel 16 Absatz 5 der Richtlinie (EU) 2016/680 umgesetzt.
Absatz 2 dient der Umsetzung von Artikel 16 Absatz 2 der Richtlinie (EU) 2016/680, in dem gleichzeitig das Betroffenenrecht auf Löschung als auch die unabhängig davon bestehende Pflicht des Verantwortlichen zur Löschung erwähnt wird. Die Erweiterung des Katalogs der Tatbestände, bei deren Vorliegen eine Verarbeitungseinschränkung an die Stelle einer Löschung treten kann, um Satz 2 Nummer 2 nimmt ein entsprechendes Element aus Artikel 16 Absatz 3 Buchstabe b der Richtlinie (EU) 2016/680 auf und versteht den dort verwendeten Begriff „Beweiszwecke“ im Sinne von „Zwecke eines gerichtlichen Verfahrens“. Im Übrigen wird auf die Ausführungen zu § 58 Absatz 3 verwiesen.
Absatz 3 dient der Umsetzung von Artikel 5 der Richtlinie (EU) 2016/680.
Absatz 4 dient der Umsetzung von Artikel 16 Absatz 6 und Artikel 7 Absatz 3 der Richtlinie (EU) 2016/680.
§§§
§ 76 dient der Umsetzung von Artikel 25 der Richtlinie (EU) 2016/680 und statuiert in Absatz 1 eine umfassende Pflicht des Verantwortlichen zur Protokollierung der unter seiner Verantwortung durchgeführten Datenverarbeitungen.
Absatz 2 enthält konkrete Vorgaben an den Inhalt der Protokolle,
Absatz 3 Verwendungsbeschränkungen, wobei von der durch die Richtlinie (EU) 2016/680 eröffneten Möglichkeit, die Protokolldaten über die Datenschutzkontrolle, Eigenüberwachung und Aufrechterhaltung der Datensicherheit hinaus auch im Zusammenhang mit der
Verhütung oder Verfolgung von Straftaten Gebrauch gemacht.
In Absatz 4 wird eine Löschfrist für die Protokolldaten generiert.
In Absatz 5 wird festgelegt, dass die Protokolle dem Datenschutzbeauftragten und der oder dem Bundesbeauftragten zum Zweck der Datenschutzkontrolle zur Verfügung stehen müssen.
§§§
§ 77 dient der Umsetzung von Artikel 48 der Richtlinie (EU) 2016/680. Der Verantwortliche hat im Zusammenhangmit derMeldung von Verstößen sowohl verantwortlicheninterneMeldungen als auch Hinweise von betroffenen Personen oder sonstigen Dritten in den Blick zu nehmen. Für beide Stränge bietet sich als Kontakt- und Beratungsstelle der Datenschutzbeauftragte an.
§§§
§ 78 dient der Umsetzung von Artikel 35 der Richtlinie (EU) 2016/680 und statuiert Voraussetzungen, die bei
jeder Datenübermittlung an Stellen in Drittstaaten oder an internationale Organisationen vorliegen müssen. Darüber
hinaus enthält die Vorschrift zusätzliche Anforderungen an die Datenübermittlung an Stellen in Drittstaaten
oder an internationale Organisationen – auch an die insbesondere nach den §§ 79 bis 81 erforderliche Abwägungsentscheidung
– aufgrund der Rechtsprechung des Bundesverfassungsgerichts (so etwa in BVerfG, Urteil vom 20.
April 2016 – 1 BvR 966/09 u. 1 BvR 1140/06).
In besonderer Ausprägung dessen fordert Absatz 2 ein Unterbleiben
der Übermittlung, wenn im Einzelfall Anlass zur Besorgnis besteht und diese Besorgnis auch nach einer
Prüfung durch den Verantwortlichen weiter besteht, dass ein elementaren rechtsstaatlichen Grundsätzen genügender
Umgang mit den übermittelten Daten nicht gesichert ist; hierbei ist – unter Übernahme eines Gedanken aus
§ 14 Absatz 7 BKAG a. F. – besonders zu berücksichtigen, wenn der Empfänger einen angemessenen Schutz der
Daten garantiert.
§§§
§ 79 dient der Umsetzung von Artikel 37 der Richtlinie (EU) 2016/680. In § 79 werden § 78 ergänzende Voraussetzungen
für Datenübermittlungen an Stellen in Drittstaaten, zu denen die Europäische Kommission keinen Angemessenheitsbeschluss
gemäß Artikel 36 gefasst hat, formuliert. Bei solchen Konstellationen kommt dem Verantwortlichen
– insbesondere nach § 79 Absatz 1 Absatz 1 Nummer 2 – die Aufgabe zu, das Vorliegen geeigneter
Garantien für den Schutz personenbezogener Daten beim Empfänger zu beurteilen. Die etwa beim Bundeskriminalamt
bestehende Praxis, nach einer solchen Beurteilung die Datenübermittlung mit der Mitgabe von Verarbeitungsbedingungen
– etwa Löschverpflichtungen nach Zweckerreichung, Weiterübermittlungsverbote, Zweckbindungen
– zu verbinden, ist dazu geeignet, diese Beurteilung zu dokumentieren und ihr Ergebnis zu sichern.
Im Zusammenhang mit dem auch hier anwendbaren § 78 Absatz 2 entfaltet der dort erwähnte Gesichtspunkt der
Einzelfallgarantie des Empfängerstaats bei der Prüfung des Vorhandenseins geeigneter Garantien besondere Bedeutung.
Absatz 2 dient der Umsetzung von Artikel 37 Absatz 3 der Richtlinie (EU) 2016/680 zur Dokumentation der
Übermittlungen nach § 79.
Absatz 3 dient der Umsetzung von Artikel 37 Absatz 2 der Richtlinie (EU) 2016/680, der die Unterrichtung der oder des Bundesbeauftragten über Kategorien von Übermittlungen vorsieht, die ohne Vorliegen eines Angemessenheitsbeschlusses der Kommission, aber wegen Bestehens geeigneter Garantien für den Schutz personenbezogener Daten im Drittstaat nach entsprechender Beurteilung durch den übermittelnden Verantwortlichen erfolgen.
§§§
§ 80 dient der Umsetzung von Artikel 38 der Richtlinie (EU) 2016/680 und beleuchtet Konstellationen, in denen weder ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt noch die in § 79 erwähnten Garantien in Form eines rechtsverbindlichen Instruments oder nach Beurteilung durch den übermittelnden Verantwortlichen bestehen.
§§§
§ 81 dient der Umsetzung von Artikel 39 der Richtlinie (EU) 2016/680. Die hier geregelte Konstellation zeichnet
sich dadurch aus, dass der Kreis der möglichen Empfänger über öffentliche Stellen, die im Rahmen der Strafverfolgung
tätig sind, hinaus auf sonstige öffentliche Stellen und Private ausgeweitet wird. Abgebildet werden etwa
Ersuchen an Finanzinstitutionen oder Telekommunikationsdienstleister, die notwendigerweise mit der Übermittlung
personenbezogener Daten verbunden sind. Für solche Übermittlungen „im besonderen Einzelfall“ gelten die
in § 81 Absatz 1 genannten strengen Voraussetzungen.
In Absatz 4 ist eine verstärkte Zweckbindung der gemäß § 81 übermittelten Daten vorgesehen.
§§§
§ 82 dient der Umsetzung des Artikels 50 der Richtlinie (EU) 2016/680.
§§§
Die Vorschrift setzt Artikel 56 der Richtlinie (EU) 2016/680 um.
§§§
Die Vorschrift setzt Artikel 57 der Richtlinie (EU) 2016/680 um. Durch § 81 wird keine dem deutschen Recht grundsätzlich fremde Strafbarkeit öffentlicher Stellen eingeführt.
Um das gesetzgeberische Ziel des Gleichlaufs der Sanktionsmöglichkeiten gegenüber öffentlichen Stellen bzw. deren Bediensteten und der bei diesen Stellen Beschäftigten unabhängig vom mit der Verarbeitung verfolgten Zweck herzustellen, wird auch für den Dritten Teil dieses Gesetzes mit § 41 Absatz 2 davon ausgegangen, dass gegen Behörden keine Geldbußen verhängt werden. Im Hinblick auf die Strafbarkeit von Handlungen wird – ebenso von dem o. g. Ziel eines Gleichlaufs geleitet – auf den für den Zweiten Teil maßgeblichen § 42 abgestellt.
§§§
Die Vorschrift enthält spezifischere Regelungen für Verarbeitungen personenbezogener Daten im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten.
Absatz 1 enthält eine dem bisherigen § 4b Absatz 2 BDSG a. F. entsprechende Übermittlungsvorschrift an Drittstaaten und über- und zwischenstaatliche Stellen ausschließlich zur Erfüllung der in der Vorschrift genannten Zwecke. Durch den Regelungszusammenhang mit § 1 Absatz 8 i. V. m. Absatz 2 BDSG wird klargestellt, dass diese Ausnahmeregelung für alle nicht spezialgesetzlich geregelten Datenübermittlungen gilt, die nicht unter die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen.
Absatz 2 entspricht der Regelung des § 24 Absatz 4 Satz 4 BDSG a. F. Sie findet nur Anwendung für Dienststellen im Geschäftsbereich des Bundesministeriums der Verteidigung. Für das Bundesamt für Verfassungsschutz, den Bundesnachrichtdienst und den Militärischen Abschirmdienst sind vergleichbare bereichsspezifische Regelungen in den jeweiligen Spezialgesetzen aufgenommen.
Absatz 3 Satz 1 enthält einen speziellen Ausschluss von den Informationspflichten gemäß Artikel 13 Absatz 1 und 2 der Verordnung (EU) 2016/679, der nur für öffentliche Stellen gilt, die nicht in den Anwendungsbereich der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallen, soweit keine spezialgesetzliche Regelung besteht. Der Ausschluss ist notwendig, um bei Verarbeitungen personenbezogener Daten im Bereich der nationalen Sicherheit und der Erfüllung über- oder zwischenstaatlicher Verpflichtungen auf dem Gebiet der Krisenbewältigung oder Konfliktverhinderung, die nicht spezialgesetzlich geregelt sind, die bisherigen Ausnahmen von den Informationspflichten aus § 19a Absatz 3 i. V. m. § 19 Absatz 4 BDSG a. F. zu erhalten. Nach Satz 2 ist das Recht auf Auskunft ausgeschlossen, wenn eine Informationspflicht nicht besteht. Satz 3 bestimmt, dass die Regelungen nach § 32 Absatz 2 und § 33 Absatz 2 BDSG bei Unterbleiben der Informierung bzw. Auskunft bei Verarbeitungen nach Satz 1 keine Anwendung finden.
§§§
Die Änderungen sind überwiegend Folgeänderungen der neuen Begriffsdefinitionen in § 46 des BDSG (Artikel 1) zum Umgang mit personenbezogenen Daten.
Es handelt sich um eine Folgeregelung zum neuen § 27 Nummer 2.
§ 8 Absatz 1 Satz 1 wird um einen Halbsatz ergänzt, der die Verarbeitung auch nach Einwilligung regelt. Damit wird einem fundamentalen Grundsatz des Datenschutzrechts Rechnung getragen, wie er bislang in § 4 Absatz 1 BDSG a. F. geregelt war und nunmehr in Artikel 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 niedergelegt ist. Die Einzelheiten der Einwilligung sind in § 51 BDSG geregelt, der über § 27 Nummer 2 entsprechende Anwendung findet (ohne § 51 Absatz 5 BDSG, der bereichsspezifisch nicht passt, weil der Umgang mit solchen Daten für das Bundesamt für Verfassungsschutz geradezu aufgabentypisch ist). Im Bereich öffentlicher Verwaltung steht nicht erst nötigender Druck der Freiwilligkeit entgegen (§ 51 Absatz 4 BDSG), vielmehr besteht auch ein Koppelungsverbot, wonach Vor- oder Nachteile nicht sachwidrig von einer Datenverarbeitungserlaubnis abhängen dürfen. Dies ist jedoch insbesondere dann nicht der Fall, wenn die Datenverarbeitung sachgemäß die Voraussetzungen der betreffenden Folge sicherstellen soll, beispielsweise ein Dateiabgleich zum Betroffenen für eine Risikoüberprüfung vor Zutrittsgewährung in einen besonders geschützten Bereich. Praktisch bedeutsam wird die Einwilligung vor allem in Akkreditierungsfällen.
Die Änderungen sind Folgeänderungen der neuen Begriffsdefinitionen in § 46 des BDSG (Artikel 1) zum Umgang mit personenbezogenen Daten.
Die Ergänzung greift die Regelung des § 70 BDSG bereichsspezifisch im Bundesverfassungsschutzgesetz auf.
Die Änderung ist eine Folgeänderung der neuen Begriffsdefinitionen in § 46 des BDSG (Artikel 1) zum Umgang mit personenbezogenen Daten.
Es handelt sich um eine Folgeänderung zum neuen § 27 Nummer 2.
Es handelt sich um Folgeänderungen der neuen §§ 26a, 27 Nummer 2.
Die Änderung ist eine Folgeänderung der neuen Begriffsdefinitionen in § 46 Nummer 2 und 3 des BDSG (Artikel 1) zum Umgang mit personenbezogenen Daten.
Der neue § 26a BVerfSchG übernimmt die bisherigen Regelungen in § 21 und § 24 Absatz 1, Absatz 2 Satz 3 sowie Absatz 4 BDSG a. F., die sich auch in ihrer Ausprägung als bereichsspezifische Gestaltung der Datenschutzkontrolle im Bereich der nationalen Sicherheit (Artikel 4 Absatz 2 Satz 3 EUV) bewährt haben und daher im Aufgabenbereich des Bundesamtes für Verfassungsschutz beibehalten bleiben.
Absatz 2 Satz 2 enthält allerdings eine redaktionelle Klarstellung. Entgegen der bisherigen Gesetzesformulierung sind nicht personenbezogene Daten Kontrollgegenstand, sondern der Umgang der Verwaltung mit diesen Daten (am Maßstab der anzuwendenden Datenschutzvorschriften). Die Zuständigkeitsabgrenzung soll lediglich Doppelzuständigkeiten – mit dem Risiko konträrer Ergebnisse – ausschließen, anders als der bisherige § 24 Absatz 2 Satz 3 BDSG a. F. jedoch nicht vor Kenntnisnahme durch den oder die Bundesbeauftragte schützen, soweit solche Kenntnis für seine bzw. ihre – anderen – Kontrollaufgaben erforderlich ist. Mit der jetzt gewählten Formulierung werden somit Kontrolllücken klarer ausgeschlossen. Die G 10-Kommission ist die Fachbehörde zum Schutz des Artikels 10 GG, sie prüft folglich nicht die Einhaltung von Vorschriften, soweit sie nicht den Schutz des Postoder Fernmeldegeheimnisses bezwecken. Am Beispiel der Regelungen einer Dateianordnung (§ 14 BVerfSchG) bedeutet dies, dass die oder der Bundesbeauftragte deren Einhaltung auch in Bezug auf die Speicherung von G 10-Aufkommen prüfen kann, soweit die Regelungen nicht spezielle Festlegungen zu Daten aus solchen Maßnahmen enthalten. Dies gilt beispielsweise für die allgemeinen Voraussetzungen zur Speicherung von Kontaktpersonen. Wenn die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit eine dies betreffende Querschnittsprüfung durchführt, kann sie oder er dabei an diesem Maßstab auch Datensätze einbeziehen, die unter Verwendung von G 10-Erkenntnissen angelegt worden sind.
Die Regelung ist nicht auf die Durchführung des Bundesverfassungsschutzgesetzes beschränkt, sondern bezieht beispielsweise auch Speicherungen des Bundesamtes für Verfassungsschutz in der Antiterrordatei ein. Zudem wird mit Absatz 4 die gesamte Aufgabenwahrnehmung einbezogen, also beispielsweise auch die Personalverwaltung oder Beschaffungssachen. Ergänzend eingeschlossen sind Tätigkeiten Dritter für Aufgaben des Bundesamtes für Verfassungsschutz, zum Beispiel Übermittlungen nach § 18 BVerfSchG. Hierunter fällt auch die Fachaufsicht durch das Bundesministerium des Innern. Im Ergebnis beschränkt sich die Bereichsregelung also nicht auf die Behörde, sondern schließt deren Sachaufgabe und die wirksame Aufgabenwahrnehmung ein.
Die Neufassung des § 27 BVerfSchG ist eine Folgeregelung zur Neufassung des BDSG.
Die Differenzierung des Absatzes 1 in zwei Nummern folgt dem Regelungssystem des neu gefassten BDSG. Dessen Teile 1 und 4 gelten auch außerhalb des Anwendungsbereichs von Gemeinschaftsrecht. In § 27 Nummer 1 BVerfSchG werden zu diesen Teilen des BDSG folglich – wie bisher – Anwendungsausschlüsse bestimmt, soweit das Bundesverfassungsschutzgesetz bereichsspezifische Spezialregelungen trifft, die damit als abschließend im Sinne des § 1 Absatz 2 BDSG klargestellt werden. Dies betrifft § 4 und § 16 Absatz 4 BDSG, zu denen das Bundesverfassungsschutzgesetz mit § 8 Absatz 2 i. V. m. § 9 und § 26a Absatz 3 bereichsspezifische Regelungen trifft. Dies ist unionsrechtskonform möglich, da die Verordnung (EU) 2016/679 nur im Kompetenzrahmen der Europäischen Union gilt, die gemäß Artikel 4 Absatz 2 Satz 3 EUV keine Regelungskompetenz zum Bereich des Verfassungsschutzes besitzt. Die weiteren in Nummer 1 aufgeführten Vorschriften des BDSG sind bereits nach ihrem Regelungsinhalt auf den Anwendungsbereich der Verordnung (EU) 2016/679 bzw. der Richtlinie (EU) 2016/680 beschränkt, mithin hier nicht anwendbar. Zur Vermeidung von Missverständnissen, werden sie hier gleichwohl klarstellend mit aufgeführt. Ebenso klarstellend ist auch § 85 BDSG von der Anwendung ausgenommen, der Aufgaben regelt, die nicht in die Zuständigkeit des Bundesamtes für Verfassungsschutz fallen (zudem enthält das Bundesverfassungsschutzgesetz für die Regelungsgegenstände des § 85 BDSG eigene bereichsspezifische Regelungen).
Schließlich wird klarstellend § 1 Absatz 8 BDSG von der Anwendung ausgenommen, da das Bundesverfassungsschutzgesetz ein bereichsspezifisches Datenschutzvollsystem für die Aufgabenwahrnehmung nach § 3 BVerfSchG bildet, das keinen Raum für die Anwendung des Teils 2 des BDSG oder der Datenschutzgrundverordnung belässt. Der Anwendungsausschluss des § 1 Absatz 8 BDSG lässt die grundsätzliche Anwendbarkeit des Teils 1 BDSG unberührt (da sich diese bereits aus § 1 Absatz 1 BDSG ergibt; die Aufführung des Teils 1 in § 1 Absatz 8 BDSG ist insoweit rein deklaratorisch). Die nicht in § 27 Nummer 1 BVerfSchG aufgeführten Regelungen des Teils 1 sind also anwendbar.
Teil 3 des neu gefassten BDSG ist bereits im BDSG auf den Anwendungsbereich der Verordnung (EU) 2016/679 bzw. der Richtlinie (EU) 2016/680 beschränkt. Einige dort getroffene Regelungen sind aber auch im besonderen Aufgabenbereich des § 3 BVerfSchG angemessen. Diese Regelungen gelten daher nach § 27 Nummer 2 entsprechend. Der Einbezug von § 46 BDSG erfolgt vornehmlich im Hinblick auf dessen Nummern 2 und 3 die in der entsprechend angepassten Begrifflichkeit des Bundesverfassungsschutzgesetzes im Interesse einer einheitlichen Datenschutzterminologie aufgegriffen werden. Daneben hält das Bundesverfassungsschutzgesetz auch an im deutschen Recht etablierten Fachbegriffen – soweit sie nicht mit der neuen, EU-geprägten Terminologie kollidieren – weiter fest, so am Begriff der Datei.
§§§
Es handelt sich zum einen um eine Folgeänderung der neuen Begriffsdefinition in § 46 BDSG (Artikel 1) zum Umgang mit personenbezogenen Daten.
Zum anderen entspricht die hier vorgenommene Ergänzung des § 4 Absatz 1 Satz 1 MAD-Gesetz um die Zulässigkeit einer Verarbeitung auf der rechtlichen Grundlage einer Einwilligung der entsprechenden Änderung des neuen § 8 Absatz 1 Satz 1 BVerfSchG (Artikel 2 Nummer 2), indem dieser fundamentale Grundsatz des Datenschutzrechts mit Ausnahme der Aufgabenwahrnehmung nach § 1 Absatz 2 auch für den Militärischen Abschirmdienst übernommen wird.
Daneben geht mit der Neufassung des § 4 Absatz 1 MAD-Gesetz eine im Wesentlichen redaktionelle Änderung einher, die aus Anlass der Anpassungsgesetzgebung aufgegriffen und wie folgt gesondert begründet wird: Durch das Gesetz zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes vom 17. November 2015 (BGBl I S. 1938) wurde § 8 Absatz 2 BVerfSchG geändert. Auf Grund der Einfügung der neuen Sätze 2 und 3 wurden die bisherigen Sätze 2 und 3 der Vorschrift zu den Sätzen 4 und 5. Die auf § 8 Absatz 2 Sätze 2 und 3 BVerfSchG verweisende Vorschrift des § 4 Absatz 1 Satz 3 MAD-Gesetz blieb jedoch unverändert. Die Neufassung der Vorschrift im Rahmen der Anpassungsgesetzgebung trägt der vorerwähnten Änderung des Bundesverfassungsschutzgesetzes nunmehr durch Streichung der fehllaufenden Verweisung Rechnung.
Es handelt sich um eine Folgeänderung der neuen Begriffsdefinition in § 46 BDSG (Artikel 1) zum Umgang mit personenbezogenen Daten.
Durch das Erste Gesetz zur Änderung des MAD-Gesetzes vom 8. März 2004 (BGBl. I S. 334) wurde der Militä- rische Abschirmdienst ermächtigt, personenbezogene Daten auf der rechtlichen Grundlage von § 10 Absatz 2 Satz 2 MAD-Gesetz aus dem damaligen Personalführungs- und Informationssystem (PERFIS) der Bundeswehr abzurufen, um seine Zuständigkeit gemäß § 1 Absatz 1 MAD-Gesetz feststellen zu können. Im Zusammenhang mit der Einführung des Datenfelds „Personenkennziffer/ Personalnummer“ im Rahmen des Gesetzes zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes vom 17. November 2015 (BGBl I S. 1938) ist das noch in der Erstfassung der Vorschrift enthaltene Datenfeld „Geburtsdatum“ entfallen. Mit der (Wieder-) Aufnahme des Datenfelds „Geburtsdatum“ in den Katalog des § 10 Absatz 2 Satz 2 MADG wird gelegentlich der Anpassungsgesetzgebung im Interesse der datenschutzrechtlichen Bestimmtheit der Norm klargestellt, dass das Geburtsdatum als (unvollständiger) Teil der Personenkennziffer auch weiterhin eigenständig abgefragt werden darf. Insoweit wird die Bedeutung des Datenfelds für eine zuverlässige Identifizierung im Rahmen der Zuständigkeitsfeststellung besonders unterstrichen; eine inhaltliche Änderung der Vorschrift ist damit nicht verbunden.
Durch den neuen § 12a MAD-Gesetz wird hinsichtlich der Ausgestaltung der Datenschutzkontrolle mit der Maß- gabe, dass an die Stelle des Bundesministeriums des Innern das Bundesministerium der Verteidigung tritt, in vollem Umfang auf den entsprechend anwendbaren neuen § 26a BVerfSchG (Artikel 2 Nummer 10) verwiesen. Wie im Aufgabenbereich des Bundesamtes für den Verfassungsschutz wird die bewährte Gestaltung der Datenschutzkontrolle damit auch im Aufgabenbereich des Militärischen Abschirmdienstes beibehalten.
Über die entsprechende Anwendbarkeit des neuen § 26a Absatz 4 BVerfSchG werden von der Regelung nicht nur die Aufgaben des Militärischen Abschirmdienstes nach § 1 Absatz 1 bis 3, § 2 und § 14 des MAD-Gesetzes umfasst, sondern sein gesamtes Aufgabenspektrum, wie beispielsweise auch Beschaffungssachen. Es wird ergänzend ferner sichergestellt, dass datenverarbeitende Tätigkeiten Dritter – die insoweit mithin selbst auf dem Gebiet der nationalen Sicherheit handeln – für Aufgaben des Militärischen Abschirmdienstes gleichfalls eingeschlossen sind.
Es handelt sich um eine Folgeregelung zur Neufassung des BDSG, die die entsprechenden Änderungen des neu gefassten § 27 BVerfSchG (Artikel 2 Nummer 10) aus den aus der dortigen Begründung ersichtlichen und auch hier geltenden Erwägungen auf den Militärischen Abschirmdienst überträgt.
§§§
Die Änderungen sind überwiegend Folgeänderungen der neuen Begriffsdefinitionen in § 46 des BDSG zum Umgang mit personenbezogenen Daten.
Die Änderung ist eine Folgeänderung der neuen Begriffsdefinition in § 46 des BDSG (Artikel 1) zum Umgang mit personenbezogenen Daten.
§ 2 Absatz 1 wird um einen Satz ergänzt, der die Verarbeitung auch nach einer erfolgten Einwilligung regelt. Damit wird einem fundamentalen Grundsatz des Datenschutzrechts Rechnung getragen, wie er bislang in § 4 Absatz 1 BDSG a. F. geregelt war und nunmehr in Artikel 6 Absatz 1 Buchstabe a der Verordnung (EU) 2016/679 niedergelegt ist. Die Einzelheiten der Einwilligung sind in § 51 BDSG geregelt, der über § 32a Nummer 2 entsprechende Anwendung findet (ohne § 51 Absatz 5 BDSG, der bereichsspezifisch nicht passt, weil der Umgang mit solchen Daten für den Bundesnachrichtendienst geradezu aufgabentypisch ist).
Die Änderungen sind Folgeänderungen der neuen Begriffsdefinitionen in § 46 des BDSG (Artikel 1) zum Umgang mit personenbezogenen Daten.
Die Änderung ist eine Folgeänderung aus der Umstrukturierung des BDSG.
Für die Kontrolle der Einhaltung der Vorschriften über den Datenschutz beim Bundesnachrichtendienst durch die Bundesbeauftragte oder den Bundesbeauftragten gilt § 26a Bundesverfassungsschutzgesetz mit der Maßgabe entsprechend, dass an die Stelle des Bundesministeriums des Innern das Bundeskanzleramt tritt. § 16 Absatz 5 BDSG ist dabei für die datenschutzrechtliche Kontrolle des Bundesnachrichtendienstes ohne Belang, da es keine Landesbehörden gibt, die vergleichbare Zuständigkeiten wie der Bundesnachrichtendienst haben.
Das in § 26a Absatz 3 Nummer 2 Bundesverfassungsschutzgesetz geregelte Zutrittsrecht zu allen Diensträumen bezieht sich nur auf die vom Bundesnachrichtendienst genutzten Räume. Räume, welche beispielsweise bei gemeinsam genutzten Dienststellen ausschließlich durch andere Einrichtungen genutzt werden, sind keine Diensträume des Bundesnachrichtendienstes. Insoweit besteht folglich auch kein Betretungsrecht nach dieser Vorschrift.
Es handelt sich um eine Folgeregelung zur Neufassung des BDSG. Dessen Teil 1 gilt ohne Beschränkung auf den Anwendungsbereich von Gemeinschaftsrecht. In § 32a Nummer 1a) BNDG werden folglich – wie bisher – Anwendungsausschlüsse bestimmt, soweit das Gesetz über den Bundesnachrichtendienst bereichsspezifische Spezialregelungen trifft, die damit als abschließend im Sinne des § 1 Absatz 2 BDSG klargestellt werden. Dies betrifft § 4 und § 16 Absatz 4 BDSG, zu denen das BNDG mit § 5 BNDG in Verbindung mit § 8 Absatz 2 und § 9 BVerfSchG bereichsspezifische Regelungen trifft. Dies ist unionsrechtskonform möglich, da die Verordnung (EU) 2016/679 nur im Kompetenzrahmen der Europäischen Union gilt, die gemäß Artikel 4 Absatz 2 Satz 3 EUV keine Regelungskompetenz zum Bereich der Nachrichtendienste besitzt. Die weiteren in Nummer 1a) aufgeführten Vorschriften des BDSG sind bereits nach ihrem Regelungsinhalt auf den Anwendungsbereich der Verordnung (EU) 2016/679 bzw. der Richtlinie (EU) 2016/680 beschränkt, mithin hier nicht anwendbar. Zur Vermeidung von Missverständnissen werden sie hier gleichwohl klarstellend mit aufgeführt. Ebenso wird klarstellend § 1 Absatz 8 BDSG von der Anwendung ausgenommen, da das BND-Gesetz ein bereichsspezifisches Datenschutzvollsystem für die Aufgabenwahrnehmung des Bundesnachrichtendienstes bildet, das keinen Raum für die Anwendung des Teil 2 des BDSG oder der Datenschutzgrundverordnung belässt.
Der § 14 Absatz 2 BDSG wird in Nummer 1b) mit der Maßgabe für anwendbar erklärt, dass sich die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit nur an die für die Kontrolle des Bundesnachrichtendienstes zuständigen Gremien wenden darf (PKGr, G10-Kommission, Vertrauensgremium und Unabhängiges Gremium). Dies führt zu einem einheitlichen Kontrollansatz, denn damit ist sichergestellt, dass den Bundesnachrichtendienst betreffende Sachverhalte nach Abschluss der Stellungnahmefrist des § 16 Absatz 2 Satz 1 BDSG nur in den Gremien besprochen werden, die für die Kontrolle gesetzlich vorgesehen sind und auch entsprechend mit den zur Verfügung gestellten eingestuften Unterlagen umgehen. Weiterhin soll verhindert werden, dass zum Beispiel ein nicht abgeschlossener Kontrollvorgang durch die frühzeitige Befassung der Gremien kompromittiert wird.
Die Teile 2 und 3 des BDSG sind bereits im BDSG auf den Anwendungsbereich der Verordnung (EU) 2016/679 bzw. der Richtlinie (EU) 2016/680 beschränkt. Einige dort getroffene Regelungen sind aber auch im besonderen Aufgabenbereich des Bundesnachrichtendienstes angemessen. Diese Regelungen gelten daher nach § 32a Nummer 2 BNDG entsprechend. Entsprechende Anwendung bedeutet, dass nachrichtendienstliche Besonderheiten berücksichtigt werden. Das bedeutet z. B. dass die „entsprechende“ Anwendung der Vorschrift des § 64 BDSG dem gesetzlichen Auftrag des BND gemäß § 1 Absatz 2 BNDG Rechnung tragen muss. Danach ist es gerade Aufgabe des Bundesnachrichtendienstes (personenbezogene) Informationen zur Gewinnung von Erkenntnissen über das Ausland, die von außen- oder sicherheitspolitischer Bedeutung sind, zu sammeln und auszuwerten, weshalb zwangsläufig auch die in § 64 Absatz 1 Satz 1 BDSG angesprochenen „besonderen Kategorien personenbezogener Daten“ i. S. d. § 48 Absatz 2 BDSG einbezogen sind und zulässigerweise verarbeitet werden dürfen. Spezielle Regelungen zur Thematik im BND-Gesetz (etwa § 20 BNDG) sind gemäß § 1 Absatz 2 BDSG vorrangig. § 85 BDSG in Teil 4 findet aufgrund vorrangiger Spezialregelungen auf den Bundesnachrichtendienst keine Anwendung. Für die fachneutralen Verwaltungsaufgaben des Bundesnachrichtendienstes gilt gemäß § 1 Absatz 8 BDSG auch der Teil 2 des BDSG sowie die Datenschutzgrundverordnung. Für die unabhängige Datenschutzkontrolle gilt im Interesse eines einheitlichen Systems zum Bundesnachrichtendienst auch insoweit § 26a BVerfSchG (i. V. m. § 32 BNDG) entsprechend.
§§§
Es handelt sich um Folgeänderungen zu den Nummern 5 und 6.
Die Änderungen sind überwiegend Folgeänderungen der neuen Begriffsdefinitionen in § 46 des BDSG zum Umgang mit personenbezogenen Daten.
Die Änderungen sind überwiegend Folgeänderungen der neuen Begriffsdefinitionen in § 46 des BDSG zum Umgang mit personenbezogenen Daten.
Die Änderungen sind überwiegend Folgeänderungen der neuen Begriffsdefinitionen in § 46 des BDSG zum Umgang mit personenbezogenen Daten.
Die Änderungen sind überwiegend Folgeänderungen der neuen Begriffsdefinitionen in § 46 des BDSG zum Umgang mit personenbezogenen Daten.
Es handelt sich um eine Folgeregelung zur Neufassung des BDSG a. F.
Dessen Teil 1 gilt ohne Beschränkung auf den Anwendungsbereich von Gemeinschaftsrecht. In § 36 Satz 1 Nummer 1 SÜG werden folglich Anwendungsausschlüsse bestimmt, soweit das SÜG bereichsspezifische Spezialregelungen trifft, die damit abschließend im Sinne von § 1 Absatz 2 BDSG sind. Dies betrifft § 16 Absätze 1 und 4 BDSG, zu denen das SÜG mit § 36a eine bereichsspezifische Regelung trifft. Dies ist gemeinschaftsrechtskonform möglich, da die Verordnung (EU) 2016/679 nur im Kompetenzrahmen der Europäische Union gilt, die gemäß Artikel 4 Absatz 2 Satz 3 EUV keine Regelungskompetenz im Bereich des Sicherheitsüberprüfungsgesetzes besitzt. Die weiteren in Nummer 1 aufgeführten Vorschriften des BDSG sind bereits nach ihrem Regelungsinhalt auf den Anwendungsbereich der Verordnung (EU) 2016/679 bzw. der Richtlinie (EU) 2016/680 beschränkt, mithin hier nicht anwendbar. Zur Vermeidung von Missverständnissen, werden sie hier gleichwohl klarstellend mit aufgeführt. Ebenso werden klarstellend die §§ 1 Absatz 8 und 85 BDSG von der Anwendung ausgenommen, da das SÜG ein bereichsspezifisches Datenschutzvollsystem für den Bereich der Sicherheitsüberprüfungen bildet, das keinen Raum für die Anwendung des Teil 2 des BDSG oder der Datenschutzgrundverordnung belässt.
Die Teile 2 und 3 des BDSG sind bereits nach dem BDSG auf den Anwendungsbereich der Verordnung (EU) 2016/679 bzw. der Richtlinie (EU) 2016/680 beschränkt. Einige dort getroffene Regelungen sind aber auch im Anwendungsbereich des SÜG angemessen. Diese Regelungen gelten daher nach § 36 Satz 1 Nummer 2 entsprechend. Entsprechende Anwendung bedeutet, dass die Besonderheiten im Bereich des SÜG berücksichtigt werden.
Der neue § 36a SÜG übernimmt die bisherigen Regelungen in § 21 und § 24 Absatz 1, Absatz 2 Satz 3 sowie Absatz 4 BDSG a. F., die sich auch in ihrer Ausprägung als bereichsspezifische Gestaltung der Datenschutzkontrolle im Bereich der nationalen Sicherheit (Artikel 4 Absatz 2 Satz 3 EUV) bewährt haben und daher im Anwendungsbereich des SÜG beibehalten bleiben.
Absatz 2 Satz 2 enthält allerdings eine redaktionelle Klarstellung. Entgegen der bisherigen Gesetzesformulierung sind nicht personenbezogene Daten Kontrollgegenstand, sondern der Umgang der Verwaltung mit diesen Daten (am Maßstab der anzuwendenden Datenschutzvorschriften). Die Zuständigkeitsabgrenzung soll lediglich Doppelzuständigkeiten – mit dem Risiko konträrer Ergebnisse – ausschließen, anders als der bisherige § 24 Absatz 2 Satz 4 BDSG a. F. jedoch nicht vor Kenntnisnahme durch den Bundesbeauftragten bzw. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit schützen, soweit solche Kenntnis für seine bzw. ihre – anderen – Kontrollaufgaben erforderlich ist. Mit der jetzt gewählten Formulierung werden somit Kontrolllücken klarer ausgeschlossen. Die G 10-Kommission ist die Fachbehörde zum Schutz des Artikels 10 GG, sie prüft folglich nicht die Einhaltung von Vorschriften, soweit sie nicht den Schutz des Post- oder Fernmeldegeheimnisses bezwecken.
§§§
Die Änderungen sind Folgeänderungen der neuen Begriffsdefinitionen in § 46 Nummer 2 und 3 des BDSG zum Umgang mit personenbezogenen Daten. Im Interesse einer einheitlichen Datenschutzterminologie werden die Begriffe über den Anwendungsbereich des Teils 3 BDSG hinaus auch im Artikel 10-Gesetz aufgegriffen. Nummer 1 Buchstabe b trifft zudem Klarstellungen zum Regelungsinhalt des § 4 Absatz 4 Artikel 10-Gesetz und seinem Verhältnis zu anderen Vorschriften.
§ 4 regelt in Absatz 2 Satz 3 die Verwendung der Daten, also in der bisherigen Terminologie das Verarbeiten und Nutzen (§ 3 Absatz 5 BDSG a. F.). Darüber hinaus enthält Absatz 4 spezielle Regelungen für die Übermittlung zu den dort genannten Zwecken. Gemeint ist damit die Weitergabe u. a. an Exekutivbehörden. Die weitere Verwendung zur nachrichtendienstlichen Aufklärung der gemäß § 1 Absatz 1 Nummer 1 drohenden Gefahren ist dagegen in Absatz 2 Satz 3 auch für den Fall der Übermittlung geregelt. Eine Landesbehörde für Verfassungsschutz darf die von ihr erhobenen Daten für die in § 1 Absatz 1 Nummer 1 genannten Zwecke verwenden. Erkennt sie ihre örtliche Unzuständigkeit, darf sie im gleichen Rahmen die Daten zuständigkeitshalber auf der Grundlage von Absatz 2 Satz 3 abgeben. Das Verhältnis der Absätze 2 und 4 zueinander wird mit der Einfügung in Absatz 4 klarer.
Im Übrigen ist § 4 Absatz 4 auch in Bezug auf Auslandsübermittlungen als unklar empfunden worden. Die Regelung trifft eine bereichsspezifische Zweckbindung. Sie ist insoweit Ergänzungsnorm der allgemeinen Übermittlungsvorschriften, für das Bundesamt für Verfassungsschutz in § 19 BVerfSchG und für den BND in § 24 Absatz 2 BNDG in Verbindung mit § 19 Absatz 2 bis 5 BVerfSchG. Die Befugnis des Bundesamtes für Verfassungsschutz zur Übermittlung an ausländische öffentliche Stellen folgt aus § 19 Absatz 3 BVerfSchG, ist bei G 10-Erkenntnissen jedoch speziell beschränkt durch § 4 Absatz 4 G 10. Eine Klarstellung erfolgt nunmehr durch Bezug auf § 19 Absatz 3 Sätze 2 und 4 BVerfSchG. Damit wird zugleich verdeutlicht, dass – selbstverständlich – auch bei der Übermittlung von G 10-Erkenntnissen überwiegende schutzwürdige Betroffeneninteressen zu beachten sind. Eine Verweisung auf § 19 Absatz 3 Satz 1 und 3 BVerfSchG erübrigt sich wegen der speziellen Regelungen in § 4 Absatz 4 und Absatz 5 Satz 3 G 10, insbesondere ist die Zweckbindung in § 4 Absatz 4 G 10 bereits enger als die in § 19 Absatz 3 Satz 1 BVerfSchG vorausgesetzten erheblichen Sicherheitsinteressen des Empfängers, da danach nur bestimmte erhebliche Sicherheitsinteressen übermittlungstragend sein können.
§§§
Es handelt sich um eine Folgeänderung zu Nummer 3.
Der eingefügte Absatz 5a in § 22 BDSG stellt sicher, dass eine Rechtsgrundlage für die Übertragung von Aufgaben der Personalverwaltung und Personalwirtschaft von der oder dem Bundesbeauftragten auf andere Behörden und für die damit einhergehende Übermittlungsbefugnis für die Beschäftigtendaten schon unmittelbar nach Verkündung und nicht erst mit der Neufassung des BDSG durch Artikel 1 mit Wirkung vom 25. Mai 2018 zur Verfügung steht. Auf die Begründung zu Artikel 1 § 8 Absatz 3 wird verwiesen.
Mit der Einfügung des § 42b in das BDSG wird gewährleistet, dass das Klagerecht den Aufsichtsbehörden schon vor der Anwendbarkeit der Verordnung (EU) 2016/679, also vor dem 25. Mai 2018, zur Verfügung steht. Drucksache 18/11325 – 128 – Deutscher Bundestag – 18. Wahlperiode
Da die Verordnung (EU) 2016/679 nach Artikel 99 Absatz 2 der Verordnung ab dem 25. Mai 2018 unmittelbar geltendes Recht in Deutschland ist, treten mit Absatz 1 das neue, sie ergänzende Bundesdatenschutzgesetz (Artikel 1) und die weiteren Artikel (mit Ausnahme von Artikel 7) zu diesem Zeitpunkt in Kraft. Gleichzeitig tritt das geltende BDSG außer Kraft.
Mit Absatz 2 wird gewährleistet, dass das Klagerecht den Aufsichtsbehörden schon vor der Geltung der Verordnung (EU) 2016/679, also vor dem 25. Mai 2018, zur Verfügung steht.
§§§
[ « ] | Entwurf | [ ] [ ] |
Saar-Daten-Bank (SaDaBa) I n f o S y s t e m R e c h t © H-G Schmolke 1998-2018
K-Adenauer-Allee 13, 66740 Saarlouis, Tel: 06831-988099, Fax: 06831-988066, Email: info@sadaba.de
Der schnelle Weg durch's Paragraphendickicht!
www.sadaba.de
§§§