DSGVO - BDSG - TTDSG. Группа авторов
Die DSGVO wurde am 14.4.2016 vom Parlament beschlossen und ist am 25.5.2018 in Kraft getreten. Der Bundesgesetzgeber hatte daher ein sehr enges Zeitfenster, um diesen grundlegenden Umbruch im Datenschutzrecht der Union im nationalen Recht umzusetzen. Im Herbst 2016 leakte ein erster Referentenentwurf des BMI zur Neuregelung des deutschen Datenschutzrechts. Am 23.11.2016 wurde dann der erste offizielle Referentenentwurf des BMI veröffentlicht,208 der als gemeinsamer Entwurf der Bundesregierung am 1.2.2017 in den Gesetzgebungsprozess eingebracht und am 27.4.2017 vom Bundestag als Teil des DSAnpUG-EU209 und als erstes mitgliedstaatliches Datenschutzgesetz zur Umsetzung der DSGVO verabschiedet wurde.210 Der Bundesrat hat dem DSAnpUG-EU am 12.5.2017 zugestimmt. Gemäß Art. 8 Abs. 1 DSAnpUG-EU trat das BDSG zeitgleich mit der DSGVO am 25.5.2018 in Kraft. Der Prozess zur Anpassung des bereichsspezifischen Datenschutzrechts war damit jedoch noch nicht abgeschlossen. Große Bereiche des fachspezifischen deutschen Datenschutzrechts wurden mit dem (Artikel-)Gesetz zur Umsetzung der RL (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die VO 2016/678 geregelt.211
2. Struktur des BDSG
58
Die Struktur des BDSG weicht erheblich von der Struktur des BDSG a.F. ab. Es gliedert sich in 4 Teile mit jeweils bis zu 7 Kapiteln.
59
Der erste Teil enthält gemeinsame Bestimmungen für den zweiten und dritten Teil, wie den Anwendungsbereich und Begriffsbestimmungen (erstes Kapitel), die Verarbeitung personenbezogener Daten durch öffentliche Stellen und die Videoüberwachung (zweites Kapitel), Regelungen für die oder den Bundesbeauftragte(n) für den Datenschutz und die Informationsfreiheit (viertes Kapitel), die Vertretung im Europäischen Datenschutzausschuss und die Zusammenarbeit der Aufsichtsbehörden (fünftes Kapitel) und Regelungen zu datenschutzrechtlichen Rechtsbehelfen (sechstes Kapitel).
60
Der zweite Teil enthält Regelungen zur Anpassung des deutschen Datenschutzrechts an die DSGVO im Hinblick auf Rechtsgrundlagen der Verarbeitung (erstes Kapitel), Rechte der Betroffenen (zweites Kapitel), Pflichten von Verantwortlichen und Auftragsverarbeitern (drittes Kapitel), Datenschutzaufsicht über nichtöffentliche Stellen (viertes Kapitel), Sanktionen für Datenschutzverstöße (fünftes Kapitel) und Rechtsbehelfe (sechstes Kapitel).
61
Der dritte Teil enthält Regelungen zur Anpassung des deutschen Datenschutzrechts an die Richtlinie EU 2016/680, nämlich zum Anwendungsbereich, zu Begriffsbestimmungen und Grundsätzen (erstes Kapitel), zu Rechtsgrundlagen der Verarbeitung (zweites Kapitel), Rechten der Betroffenen (drittes Kapitel), Pflichten von Verantwortlichen und Auftragsverarbeitern (viertes Kapitel), Datenübermittlungen an Drittstaaten und internationale Organisationen (fünftes Kapitel), zur Zusammenarbeit der Aufsichtsbehörden (sechstes Kapitel) und zu Haftung und Sanktionen (siebtes Kapitel).
62
Der vierte Teil des BDSG enthält nur die Regelung des § 85 BDSG für den Sonderfall, dass eine Verarbeitung weder dem zweiten, noch dem dritten Teil zugeordnet werden kann.
3. Gesetzgebungskompetenz
63
Eine ausdrückliche Regelung der legislativen Zuständigkeit findet sich für den Datenschutz nicht, sodass seine Normierung weder auf eine klare Kompetenz der Länder noch des Bundes gestützt werden kann. Will man diese ermitteln, so muss nach dem konkreten Regelungszusammenhang gefragt werden und dieser muss in die Zuständigkeitsregelungen gem. Art. 70ff. GG eingeordnet werden.212 Es gilt hierbei gem. Art. 30, 70 Abs. 1 GG der Grundsatz der Länderkompetenz. Abweichungen sind zulässig, soweit zu schaffende, datenschutzrechtliche Regelungen einen Zusammenhang zu einer Kompetenz des Bundes aufweisen.213 Zur Regelung des Datenschutzes für die Datenverarbeitung durch nichtöffentliche Stellen kann sich der Bund hierbei insbesondere auf seine Kompetenz zur konkurrierenden Gesetzgebung gem. Art. 74 Abs. 1 Nr. 1, Nr. 11 und Nr. 14 GG berufen, da eine einheitliche Regelung des Datenschutzrechts zur Wahrung der Rechts- und Wirtschaftseinheit erforderlich ist.214
64
Die Zuständigkeit des Bundes für den Erlass von Datenschutzvorschriften für Stellen der Judikative ergibt sich aus seiner Zuständigkeit für die Gerichtsverfassung und das gerichtliche Verfahren gem. Art. 74 Abs. 1 Nr. 1 GG. Für die Kompetenz zur Regelung des Datenschutzes in der öffentlichen Verwaltung gibt es darüber hinaus keine unmittelbar passende Kompetenzgrundlage. Regelungen des materiellen Datenschutzrechts dienen primär nämlich nicht der organisatorischen Anleitung der Verwaltung bei der Ausübung ihrer Tätigkeit, sondern dem Schutz der Betroffenen vor den Gefahren der Datenverarbeitung. Eine Bundeskompetenz kann sich daher nicht aus der Zuständigkeit für die Regelung des Verwaltungsverfahrens ergeben,215 sondern nur aus einer Annexkompetenz zu Art. 73 und 74 GG, wenn öffentliche Stellen personenbezogene Daten im Zusammenhang mit einer Materie verarbeiten, für die eine Bundeskompetenz besteht.216 Eine Ausnahme hiervon ergibt sich für die Bestellung eines Datenschutzbeauftragten des Bundes als besonderer Kontrollinstanz. In dieser Funktion unterscheidet sich der Bundesdatenschutzbeauftragte von den übrigen Behörden und öffentlichen Stellen des Bundes. Dennoch ist er diesen als Bestandteil der Organisationsgewalt des Bundes soweit angenähert, dass sich eine Zuständigkeit zur Regelung seiner Kompetenzen aus Art. 86 GG ergibt.217
4. Neue Datenschutzgesetze der Länder
65
Im Rahmen ihrer Zuständigkeiten haben sich auch die Länder für den Erlass eigener Datenschutzgesetze entschieden und entsprechend dem ursprünglichen deutschen Regelungsumfeld mit dem BDSG a.F. und den LDSG a.F. Gesetzgebungsverfahren zum Erlass neuer Landesdatenschutzgesetze auf den Weg gebracht. Sie gehen dabei durchaus unterschiedliche Wege. Teilweise passen die Länder das Datenschutzrecht mit dem neuen Landesdatenschutzgesetz an die DSGVO an und setzen zugleich die Rl 2016/680 um. Manche Länder teilen Anpassung und Umsetzung auf zwei Gesetze getrennt auf. Außerdem sind auf Landesebene zahlreiche Fachgesetze mit datenschutzrechtlichen Regelungen anzupassen.
66
Die Bundesländer haben Landesdatenschutzgesetze in Anpassung an die DSGVO und teilweise zur Umsetzung der Rl 680/2016 verabschiedet:
Baden-Württemberg
Landesdatenschutzgesetz (LDSG) vom 12.6.2018218
Bayern
Bayerisches Datenschutzgesetz (BayDSG) vom 15.5.2018,219 geändert durch § 6 Gesetz v. 18.5.2018220
Berlin
Gesetz zum Schutz personenbezogener Daten in der Berliner Verwaltung (Berliner Datenschutzgesetz – BlnDSG) vom 13.6.2018221
Brandenburg
Gesetz zum Schutz personenbezogener Daten im Land Brandenburg (Brandenburgisches Datenschutzgesetz – BbgDSG) vom 8.5.2018222
Bremen
Bremische Ausführungsgesetz zur EU-Datenschutz-Grundverordnung vom 11.5.2018223
Hamburg
Hamburgischen Datenschutzgesetz (HmbDSG) vom 18.5.2018224
Hessen
Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) vom 3.5.2018225
Mecklenburg-Vorpommern
Datenschutzgesetz für das Land Mecklenburg-Vorpommern (Landesdatenschutzgesetz – DSG M-V) vom 22.5.2018226
Niedersachsen
Niedersächsische