Text BT-Druchsache 18/11325 Vorblatt (DSAnpG-EU))

D-Bundestag 18.Wahlperiode	DSAnpUG-EU (1)	Drs 18/11325 24.02.17
	[ – ] [ I ] [ » ]	[ ‹ ]

(BT-Drucksache 18/11325 S.1-5)

Gesetzentwurf

der Bundesregierung

Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur
Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)

A. Problem und Ziel

Am 25. Mai 2018 wird die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union sein. Ziel der Verordnung (EU) 2016/679 ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten (Erwägungsgrund 10). Der Unionsgesetzgeber hat sich für die Handlungsform einer Verordnung entschieden, damit innerhalb der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist (Erwägungsgrund 13). Die Verordnung (EU) 2016/679 sieht eine Reihe von Öffnungsklauseln für den nationalen Gesetzgeber vor. Zugleich enthält die Verordnung (EU) 2016/679 konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge. Daraus ergibt sich gesetzlicher Anpassungsbedarf im nationalen Datenschutzrecht.

Darüber hinaus dient der vorliegende Gesetzentwurf der Umsetzung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89), soweit die der Richtlinie unterfallenden Staaten nach deren Artikel 63 verpflichtet sind, bis zum 6. Mai 2018 die Rechts- und Verwaltungsvorschriften zu erlassen, die erforderlich sind, um dieser Richtlinie nachzukommen. Die Umsetzung der Richtlinie (EU) 2016/680 wird über die im vorliegenden Gesetzentwurf enthaltenen relevanten Regelungen hinaus auch noch gesondert im Fachrecht erfolgen.

Um ein reibungsloses Zusammenspiel der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 mit dem stark ausdifferenzierten deutschen Datenschutzrecht sicherzustellen, ist es erforderlich, das bisherige Bundesdatenschutzgesetz (BDSG) durch ein neues Bundesdatenschutzgesetz abzulösen. Weiterer ge- Drucksache 18/11325 – 2 – Deutscher Bundestag – 18. Wahlperiode setzlicher Anpassungsbedarf ergibt sich hinsichtlich der bestehenden bereichsspezifischen Datenschutzregelungen des Bundes infolge der Änderungen im allgemeinen Datenschutzrecht durch die Verordnung (EU) 2016/679 und das sie ergänzende neu gefasste BDSG.

Im Interesse einer homogenen Entwicklung des allgemeinen Datenschutzrechts soll das neu gefasste Bundesdatenschutzgesetz, soweit nicht dieses selbst oder bereichsspezifische Gesetze abweichende Regelungen treffen, auch für die Verarbeitung personenbezogener Daten im Rahmen von Tätigkeiten öffentlicher Stellen des Bundes Anwendung finden, die außerhalb des Anwendungsbereichs des Unionsrechts liegen, wie etwa die Datenverarbeitung durch das Bundesamt für Verfassungsschutz, den Bundesnachrichtendienst oder den Militärischen Abschirmdienst oder im Bereich des Sicherheitsüberprüfungsgesetzes. Dies geht einher mit zusätzlichem gesetzlichen Änderungsbedarf in den jeweiligen bereichsspezifischen Gesetzen.

B. Lösung

Der Gesetzentwurf sieht folgende Gesetzesänderungen vor:

1. Neufassung des BDSG (Artikel 1), das für öffentliche Stellen des Bundes und der Länder (soweit nicht landesrechtliche Regelungen greifen) sowie für nichtöffentliche Stellen gilt, bestehend aus vier Teilen:

a. Gemeinsame Bestimmungen mit folgenden Regelungsschwerpunkten:

Schaffung allgemeiner Rechtsgrundlagen für die Datenverarbeitung durch öffentliche Stellen und für die Videoüberwachung (§§ 3, 4 BDSG);
Regelungen zu Datenschutzbeauftragten öffentlicher Stellen (§§ 5 bis 7 BDSG);
Ausgestaltung des Amtes, der Aufgaben und Befugnisse der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit der unabhängigen Datenschutzaufsichtsbehörden (§§ 8 bis 16 BDSG);
Festlegung der deutschen Vertretung im Europäischen Datenschutzausschuss; gemeinsamer Vertreter im Ausschuss ist die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit; als Stellvertreterin oder Stellvertreter wählt der Bundesrat die Leiterin oder den Leiter einer Aufsichtsbehörde eines Landes (§§ 17 bis 19 BDSG);
Rechtsbehelfe (§§ 20, 21 BDSG).

Die gemeinsamen Bestimmungen finden keine Anwendung, soweit das Recht der Europäischen Union unmittelbar gilt, insbesondere die Verordnung (EU) 2016/679. Sie finden Anwendung im Anwendungsbereich der Richtlinie (EU) 2016/680 sowie für die Bereiche, die außerhalb des Unionsrechts liegen.

b. Bestimmungen zur Ausgestaltung der Verordnung (EU) 2016/679 mit folgenden Regelungsschwerpunkten:

Schaffung einer Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten (§ 22 BDSG); Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/11325
Festlegung der Zulässigkeitsvoraussetzungen für Verarbeitungen zu anderen Zwecken durch öffentliche Stellen (§ 23 BDSG) und durch nichtöffentliche Stellen (§ 24 BDSG) sowie für Datenübermittlungen durch öffentliche Stellen (§ 25 BDSG);
Regelung weiterer besonderer Verarbeitungssituationen (§§ 26 bis 31 BDSG);
Regelungen zu den Betroffenenrechten (§§ 32 bis 37 BDSG);
Verhängung von Geldbußen bei Verstößen gegen die Verordnung (EU) 2016/679 (§§ 41, 43 BDSG).

c. Bestimmungen zur Umsetzung der Richtlinie EU 2016/680 mit folgenden Regelungsschwerpunkten:

Aussagen zu Rechtsgrundlagen der Verarbeitung, Zweckbindung und -änderung (§§ 47 bis 51 BDSG);
Ausformung der Betroffenenrechte (§§ 55 bis 61 BDSG);
Festlegung unterschiedlich akzentuierter Pflichten der Verantwortlichen

Anforderungen an Auftragsverarbeitungsverhältnisse (§ 62 BDSG);
Datensicherheit und Meldungen von Verletzungen des Schutzes personenbezogener Daten (§§ 64 bis 66 BDSG);
Instrumente zur Berücksichtigung des Datenschutzes (Datenschutz-Folgenabschätzung, Anhörung der oder des Bundesbeauftragten, Verzeichnis von Verarbeitungstätigkeiten, Protokollierung, §§ 67 bis 70 und 76 BDSG);
Berichtigungs- und Löschungspflichten (§ 75 BDSG);

Datenübermittlungen an Stellen in Drittstaaten und an internationale Organisationen (§§ 78 bis 81 BDSG).

d. Besondere Bestimmungen für Datenverarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten.

Änderungen des Bundesverfassungsschutzgesetzes, des MAD-Gesetzes, des BND-Gesetzes und des Sicherheitsüberprüfungsgesetzes (Artikel 2 bis 6) infolge der Ablösung des bisherigen Bundesdatenschutzgesetzes, die den Erfordernissen der außerhalb des Anwendungsbereichs des Unionsrechts fallenden Datenverarbeitungen im Bereich der nationalen Sicherheit Rechnung tragen.
Änderung des geltenden Bundesdatenschutzgesetzes (Artikel 7), die sicherstellt, dass das in § 21 BDSG geschaffene Antragsrecht gegen Beschlüsse der Europäischen Kommission bereits vor Geltung der Verordnung (EU) 2016/679 zur Verfügung steht.

C. Alternativen

Keine.

D. Haushaltsausgaben ohne Erfüllungsaufwand

Keine.

E. Erfüllungsaufwand

Die gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG L 281 vom 23.11.1995, S. 31) bereits bestehenden Betroffenenrechte, wie etwa Informationsund Auskunftsrechte gegenüber der betroffenen Person, das Recht auf Berichtigung und Löschung, das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht, werden durch die Verordnung (EU) 2016/679 gestärkt. Dadurch entsteht zusätzlicher Erfüllungsaufwand für die Bürgerinnen und Bürger, die Wirtschaft und die Verwaltung, der aber durch die Verordnung (EU) 2016/679 und nicht durch dieses Gesetz verursacht wird.

Das neu gefasste BDSG schränkt zugleich in dem durch Artikel 23 der Verordnung (EU) 2016/679 eröffneten Rahmen einzelne Betroffenenrechte ein. Dies führt bei den Unternehmen zu einer Reduzierung von Pflichten und einer Verringerung des Erfüllungsaufwandes. Die im BDSG zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen als Ausgleich für die Einschränkung der Betroffenenrechte von dem Verantwortlichen zu ergreifenden Schutzmaßnahmen, wie etwa das Nachholen einer Informationspflicht oder die Dokumentation, aus welchen Gründen von einer Information abgesehen wird, löst unmittelbaren Erfüllungsaufwand aus. Ohne diese beiden zusammenhängenden Maßnahmen wäre der durch die Verordnung (EU) 2016/679 ausgelöste Aufwand für die Wirtschaft deutlich höher.

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Für Bürgerinnen und Bürger entsteht kein neuer Erfüllungsaufwand.

E.2 Erfüllungsaufwand für die Wirtschaft

Das Gesetz verpflichtet die Wirtschaft, im Rahmen der Verarbeitung personenbezogener Daten Maßnahmen zum Schutz der betroffenen Person in den Fällen zu ergreifen, in denen sie davon absehen will, die betroffene Person nach den Artikeln 13 und 14 der Verordnung (EU) 2016/679 zu informieren. Dazu gehört etwa das Nachholen der Informationspflicht durch Bereitstellen der Information auf einer allgemein zugänglichen Webseite. Darüber hinaus hat der Verantwortliche zu dokumentieren, aus welchen Gründen von einer Information abgesehen werden soll.

Durch diese als Gegenmaßnahme für die Einschränkung der korrespondierenden Betroffenenrechte eingeführten neuen Pflichten entstehen für die Wirtschaft jährliche Bürokratiekosten aus Informationspflichten in Höhe von rund 17,2 Millionen Euro. Darüber hinaus fällt einmaliger Erfüllungsaufwand in Höhe von rund 58,9 Millionen Euro an.

Die Belastungen sind nicht im Rahmen der „One in, one out“-Regel der Bundesregierung zu kompensieren, da diese Änderungen aus einer 1:1-Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 resultieren.

E.3 Erfüllungsaufwand der Verwaltung

Für die Verwaltung des Bundes entstehen im Bereich der oder des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach derzeitiger Schätzung insgesamt jährlicher Erfüllungsaufwand in Höhe von rund 940.000 Euro sowie einmalige Umsetzungskosten in Höhe von rund 74.000 Euro. Diese Kosten resultieren im Wesentlichen aus der Wahrnehmung der Funktion des gemeinsamen Vertreters im Europäischen Datenschutzausschuss durch die oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie durch die bei der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit angesiedelte Einrichtung der zentralen Anlaufstelle. Dies konnte im Haushalt 2017 nicht berücksichtigt werden, weil der Gesetzentwurf bei Verabschiedung des Haushalts noch nicht etatreif war.

Weiterer neuer Erfüllungsaufwand für die Verwaltung entsteht durch Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 nicht. Die bestehenden allgemeinen wie bereichsspezifischen Regelungen im Datenschutzrecht, die öffentliche Stellen betreffen, können durch Ausnutzung der in der Verordnung (EU) 2016/679 enthaltenen Öffnungsklauseln fortbestehen.

Die im neu gefassten Bundesdatenschutzgesetz zur Umsetzung der Richtlinie (EU) 2016/680 geschaffenen Regelungen schaffen in Teilen gegenüber dem bestehenden Recht und der bestehenden Verwaltungspraxis neue Pflichten für die Verwaltung. Hiervon betroffen sind im Bereich des Bundes das Zollkriminalamt, die Zollverwaltung, die Bundespolizei, das Bundeskriminalamt, der Generalbundesanwalt und die Bundesgerichte. Diesen Pflichten stehen nach derzeitiger Schätzung ein jährlicher Erfüllungsaufwand in Höhe von rund 562.000 Euro sowie einmalige Umsetzungskosten in Höhe von rund 60.000 Euro gegenüber. Die Kosten entstehen im Wesentlichen im Zusammenhang mit Anforderungen an die Durchführung von Datenschutz-Folgenabschätzungen sowie durch Softwareanpassungen zur Protokollierung von Datenverarbeitungen.

Etwaiger Mehrbedarf an Sach- und Personalmitteln soll finanziell und stellenmä- ßig im jeweiligen Einzelplan ausgeglichen werden.

Für die Länder entsteht jährlicher Erfüllungsaufwand durch die Tätigkeit als Stellvertreter des gemeinsamen Vertreters im Europäischen Datenschutzausschuss und die Teilnahme am Verfahren der Zusammenarbeit der Aufsichtsbehörden des Bundes und der Länder in Höhe von insgesamt rund 1,98 Millionen Euro.

F. Weitere Kosten

Auswirkungen auf Einzelpreise und das Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind nicht zu erwarten.

Anlage 1 Gesetzentwurf

nicht abgebildet

[ – ]

Entwurf

[ » ] [ › ]

Saar-Daten-Bank (SaDaBa) – I n f o – S y s t e m – R e c h t – © H-G Schmolke 1998-2018
K-Adenauer-Allee 13, 66740 Saarlouis, Tel: 06831-988099, Email: hg@schmolke.com
Der schnelle Weg durch's Paragraphendickicht!
www.sadaba.de

§§§