Es bedarf eines fleißigen Juristen, um die immerhin 563 Seiten des Gesetzentwurfs der Bundesregierung mit dem kryptischen Namen zweites DSAnpUG-EU (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU) zu analysieren. Für netzpolitik.org nimmt der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Stefan Brink, das Vorhaben der Bundesregierung unter die Lupe. Er beschreibt einerseits die darin versteckte neue Vorratsdatenspeicherung für Verkehrsdaten sowie Grundrechtseinschränkungen für Minderheiten, andererseits aber die Erfolge von Lobbyisten, um ihre Bußgelder einzuschränken.
Seit dem 25. Mai 2018 reguliert europäisches Recht den Datenschutz. In den 1970er Jahren in Deutschland entwickelt und seit 1995 mit einer umsetzungsbedürftigen europäischen Richtlinie ausgestaltet, endet so die jahrzehntelange Reise der Idee von der individuellen Entscheidung über persönliche Informationen – seit 1983 „Grundrecht auf informationelle Selbstbestimmung“ genannt – an einem absoluten Ziel- und Höhepunkt: Durch europäische Verordnung (DSGVO, Datenschutzgrundverordnung) sind jetzt alle Informationsbeziehungen zwischen Privatpersonen auf der einen und Unternehmen und Behörden auf der anderen Seite eindeutig und abschließend geregelt. Und zwar durch unmittelbar geltendes, in der ganzen Europäischen Union gleichlautendes und mit Anwendungsvorrang vor nationalen Normen ausgestattetes Recht.
Damit ist die „Reise nach Europa“ für den Datenschutz aber noch nicht an ihrem Ende. Denn gerade wegen des Anwendungsvorrangs der europäischen Verordnung müssen jetzt noch nationale Altbestände des Datenschutzrechts aus dem Weg geräumt werden – in Deutschland waren dies etwa das „gute alte“ Bundesdatenschutzgesetz und die – zeitlich noch älteren – Landesdatenschutzgesetze.
Es ist kompliziert, Liebling
Soweit – so einfach. Aber das Reisen in Europa ist aus zweierlei Gründen doch etwas komplizierter als das einfache Umsteigen vom nationalen D-Zug in den Trans-Europa-Express: Zum einen ist das neue europäische Verordnungsrecht sachlich nicht umfassend anwendbar, es spart etwa Bereiche wie die Datenverarbeitung durch Parlamente (Art. 2 Abs. 2 lit. a DSGVO), durch Privatpersonen für persönliche Tätigkeiten (lit. c, etwa das Fotografieren fürs Familienalbum) oder durch Behörden zum Zwecke der Strafverfolgung oder Strafvollstreckung (lit. d) aus. Hier wird weiter national geregelt.
Zum anderen ist die DSGVO leider gar keine Vollregelung. Sie lässt zahlreiche Lücken, deren Ausfüllung sie ausdrücklich den Mitgliedsstaaten der EU überlässt (sog. „Öffnungsklauseln“). Damit stellt die DSGVO ihr großes Ziel, gleiches Recht in Europa gleichmäßig anzuwenden, zwar in Frage; aber so entlasteten sich Europäisches Parlament und Rat im ohnehin langwierigen und fragilen Gesetzgebungsprozess. Anstatt eine europaweit einheitliche Lösung für die Fragen der Verarbeitung von Beschäftigtendaten oder für die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten zu finden, überließ man es den Mitgliedsstaaten, hier jeweils nationale Antworten zu geben. Daraus erklärt sich, warum es auch nach dem 25. Mai 2018 noch nationales Datenschutzrecht gibt – und im föderalen Deutschland gleich in doppelter Ausführung, nämlich im Bund und in sechzehn Bundesländern.
1. Aufschlag: Germany
In einem ersten Aufschlag haben die Deutschen Gesetzgeber (mit leichter Verspätung) schon mal die dicksten nationalen Brocken von der Straße geschoben, sie haben das Bundesdatenschutzgesetz und die entsprechenden Ländergesetze an die Vorgaben der DSGVO angepasst und von den verbliebenen Regulierungsmöglichkeiten ausgiebig Gebrauch gemacht.
Dabei haben die nationalen Gesetzgeber allerdings nicht nur gut geräumt, sie haben auch ganz erhebliche Kollateralschäden am Straßenkörper verursacht: Die Strecke nach Europa wurde nicht schneller, sondern holperiger. Zu nennen wären da etwa ganz offensichtliche Kompetenzüberschreitungen zu Lasten der DSGVO, etwa mit § 4 BDSG zur Videoüberwachung. Mit dieser Vorschrift wird jetzt jeder Parkplatzbetreiber zum Terrorfahnder heraufgestuft und die Arbeit der Aufsichtsbehörden in den Ländern ganz erheblich (und gezielt) erschwert. Zu nennen ist auch die absurde Vorschrift des § 43 Abs. 4 BDSG, wonach Bußgelder bei Datenpannen nur noch verhängt werden können, wenn der Verantwortliche dem zustimmt (!). Auch beim Versuch, die wackeren Rechtsanwälte, Ärzte und Steuerberater dem Zugriff der furchtbaren Landesdatenschützer zu entziehen (§ 29 BDSG) leistete der Bundesgesetzgeber ganze Arbeit – die nun vom Europäischen Gerichtshof in mühsamer Kleinarbeit wieder glattgezogen werden muss. Vertragsverletzungsverfahren sind dem deutschen Gesetzgeber schon mal sicher.
Ansonsten nutzte der Bundestag tatsächliche oder vermeintliche Öffnungsklauseln dazu, die Rechte der Betroffenen wo immer möglich weiter einzuschränken (§§ 32 ff. BDSG); lediglich bei der Bestellpflicht eines betrieblichen Datenschutzbeauftragten überbot der nationale Gesetzgeber die laschen Vorgaben der DSGVO (Art. 37 f.), was er aber jetzt schon wieder bereut.
Als tröstlich mag man empfinden, dass noch eindeutigere Verstöße gegen Wortlaut und Geist der DSGVO anderen Regierungen überlassen blieben, etwa Österreich mit der Freistellung von Erstverstößen von der Bußgeldpflicht (Art. 83 DSGVO) oder dem bayerischen Kabinett mit der rechtsgrundlosen Herausnahme von Vereinen aus der Bestellpflicht von Datenschutzbeauftragten. Hier endet die Reise nach Europa offensichtlich in der Sackgasse.
Second Serve: Deutschland
Mit weitaus erheblicherer Verspätung – mehr als ein halbes Jahr nach Wirksamwerden der DSGVO – bemüht sich nun die Bundesregierung darum, in einem zweiten (und vermeintlich letzten) Anlauf die gesamte bundesdeutsche Restrechtsmaterie DSGVO-konform zu gestalten. Sie tut dies in einem vom Innenministerium federführend zu verantwortenden „Omnibus-Gesetz“, das in einem Artikelgesetz mehr als hundertfünfzig Bundesgesetze Huckepack nimmt und abändert. Es dient der Anpassung sogenannter „bereichsspezifischer Datenschutzvorschriften“ des Bundes an die DSGVO, mit dabei sind Gesetze aus allen Ressortbereichen der Bundesregierung. Dass es sich beim Datenschutzrecht mittlerweile um eine echte Querschnittsmaterie handelt, erfährt jeder, der die 563 Seiten der Bundesrats-Drucksache 430/18 vom 7. September 2018 durchblättert. Betroffen sind so unterschiedliche Rechtsmaterien wie das Antiterrordatei-Gesetz, das Anti-Doping-Gesetz und das Prostituiertenschutz-Gesetz.
Dieser Mammut-Regierungsentwurf wurde am 5. September 2018 vom Bundeskabinett beschlossen und zunächst dem Bundesrat zur Beratung zugeleitet, die erste Lesung im Deutschen Bundestag (BT-Drucksache 19/4674 vom 1. Oktober 2018) fand am 12. Oktober 2018 statt.
Wohin geht die Reise?
Großteils bestehen die Änderungen lediglich darin, die bisherigen Vorschriften an die Terminologie der DSGVO anzupassen. Wenig spektakulär, aber absolut notwendig sind etwa die Ersetzung der Wörter „erheben, speichern, verändern und nutzen“ durch das Wort „verarbeiten“. Dieser DSGVO-Sprech betrifft nicht nur die Gesetzesfassade, er verdeutlicht auch den fundamentalen Wechsel der Rechtsquelle, der mit dem 25. Mai vollzogen wurde: Wir alle wenden nicht länger wohlbekanntes deutsches Recht an, das der Verwaltung vertraut vorkommt, von zahlreichen Kommentatoren ausgeleuchtet und von nationalen Gerichten ausgeformt wurde. Wir ergründen die europäische Bedeutung nur scheinbar bekannter Rechtsbegriffe. „Verarbeiten“ nach § 3 Abs. 4 Bundesdatenschutzgesetz alter Fassung ist eben nicht identisch mit der „Verarbeitung“ des Artikel 4 Nr. 2 DSGVO. Das alte Verständnis aus den Köpfen der erfahrenen Datenschützer herauszubekommen und Platz zu machen zumindest für die Bereitschaft, vermeintlich Wohlbekanntes neu und richtig zu verstehen, ist eine Herausforderung.
Materielle Änderungen finden sich im Gesetzentwurf natürlich auch: Wieder nutzt die Bundesregierung die Öffnungsklauseln der DSGVO, um Betroffenenrechte auf Auskunft oder Löschung einzuschränken. Dabei ist wie bereits beim ersten Anpassungsgesetz nicht immer ganz klar, ob die Voraussetzungen für diese Beschränkungen, wie sie in Artikel 23 Absatz 1 DSGVO festgelegt sind, auch in jedem Falle vorliegen. Solche Unterschreitungen des Schutzniveaus der DSGVO sind nämlich nur dann zulässig, „sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt“.
Das wäre in jedem Einzelfall zu prüfen. Zudem muss jede einschränkende Gesetzgebungsmaßnahme „insbesondere gegebenenfalls spezifische Vorschriften enthalten“, jedenfalls hinsichtlich der Zwecke der Verarbeitung und mittels Garantien gegen Missbrauch oder unrechtmäßige Übermittlung der Daten (Art. 23 Abs. 2 DSGVO). Es liegt sehr nahe, dass der EuGH in den kommenden Jahren klare Vorgaben für solche Rechtsbeschränkungen entwickeln wird – und dass auch der deutsche Gesetzgeber hiervon betroffen sein wird.
Erster Kandidat für solche Korrekturen wird der im zweiten DSAnpUG-EU an zahlreichen Stellen zu findende Ausschluss des Auskunftsrechts nach Artikel 15 DSGVO sein, der unser Bürgerrecht auf Kenntnis von Verarbeiter und Verarbeitung bereits dann einschränkt, „wenn die Auskunftserteilung die ordnungsgemäße Aufgabenerfüllung gefährden würde“. Dieser Maßstab ist offensichtlich so niedrig angesetzt, dass zahllose Datenverarbeitungen durch öffentliche Stellen künftig „unter dem Radar“ segeln würden. Das kann nicht richtig sein – und ist von der DSGVO auch nicht gewollt. Wie schon beim ersten DSAnpUG-EU verpasst die Bundesregierung damit erneut die Chance, den Datenschutz als Grundrechtsschutz auf ein insgesamt höheres Niveau zu heben.
Darüber hinaus finden sich breit über die 563 Seiten des Gesetzentwurfs verteilt Einzelbestimmungen zu Datenverarbeitungen, die der Bundesregierung schon immer „ein Anliegen“ waren. Aus der Vielzahl problematischer Einzelregelungen seien nur die datenschutzrechtlich problematischsten hervorgehoben:
- Teilweise werden bei Gelegenheit der Rechtsanpassung eigenständige Rechtsgrundlagen mit dem Ziel geschaffen, weitreichendere Verarbeitungen personenbezogener Daten zu gestatten als bislang erlaubt, etwa nach dem Telekommunikationsgesetz. Mit § 19 Absatz 4 des Gesetzes über die Errichtung einer Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS-Gesetz) soll so zugunsten der Bundesanstalt für den Digitalfunk eine Vorratsdatenspeicherung für Verkehrsdaten eingeführt werden, die sage und schreibe alle Daten der vergangenen 75 Tage umfasst. Das ist eine – auch mit Blick auf vorliegende und noch ausstehende Entscheidungen des Bundesverfassungsgerichts und des EuGH zur Grundproblematik jeder anlasslosen massenhaften Datenspeicherung – steile Ansage.
- Zumindest unschön ist eine Neuregelung im Soldatengesetz, die vorsieht, dass Meldebehörden personenbezogene Daten deutscher Staatsangehöriger, die im nächsten Jahr volljährig werden, an das Bundesamt für Personalmanagement der Bundeswehr übermitteln dürfen. Gedanklich scheint die Bundesregierung die Abschaffung der allgemeinen Wehrpflicht also noch nicht realisiert zu haben. Dass Betroffene der Übermittlung vorab widersprechen können, ist da nur ein schwacher Trost.
- Ähnlich unsauber ist die vorgesehene Neuregelung im IHK-Gesetz, wonach die Industrie- und Handelskammern personenbezogene Daten ihrer Kammermitglieder an nicht-öffentliche Stellen übermitteln dürfen, wenn die Kammermitglieder dem nicht widersprechen. Zu Zeiten, in denen der Kammerzwang keineswegs völlig akzeptiert ist, tun sich die IHKs mit solchen Eingriffen in Mitgliederrechte sicherlich keinen Gefallen.
- Manchesmal ist auch das Schweigen des Gesetzentwurfes beredt: Anders als noch im Referentenentwurf vorgesehen findet sich im Regierungsentwurf zur Änderung des SGB V nicht mehr die Möglichkeit, gegen die gesetzlichen Krankenkassen bei Datenschutzverstößen erhebliche Bußgelder zu verhängen. Glückwunsch an die erfolgreichen Lobbyisten!
- Das gilt auch für den mit Blick auf die gerade scheiternden Verhandlungen zur ePrivacy-Verordnung besonders relevanten Anpassungen und Neuregelungen des Telekommunikationsgesetzes TKG. Anders als noch im Referentenentwurf vorgesehen findet man im Entwurf nun keinerlei Regelungen zum Verhältnis von TKG und DSGVO mehr – und damit hängt eine unabhängige Datenschutzaufsicht in diesem wichtigen Bereich weiter in der Luft.
- Mehrfach wird die durch die DSGVO grundsätzlich verbotene Verarbeitung sensitiver Daten (vgl. Art. 9 Abs. 1 DSGVO) durchbrochen. So sollen nun auch nicht-öffentliche Stellen zur Verarbeitung solcher Daten grundsätzlich befugt sein, wenn dies aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich ist (§ 22 Abs. 1 Nr. 1 lit. d BDSG). Damit werden etwa die Voraussetzungen dafür geschaffen, dass sensible Informationen durch zivilgesellschaftliche Träger im Rahmen von Deradikalisierungsprogrammen verarbeitet und im Einzelfall an die Sicherheitsbehörden weitergegeben werden können. Auch wenn man dies vom Grundansatz als legitimes Interesse ansieht, lässt die ungewöhnlich weite sprachliche Fassung erheblich weitergehende Anwendungsbereiche erwarten und befürchten.
Im Asylgesetz und im Aufenthaltsgesetz soll zudem die Verarbeitung sensitiver Daten freigegeben werden, „soweit dies im Einzelfall zur Aufgabenerfüllung erforderlich ist“. Diese weite und strukturlose Formulierung widerspricht eindeutig der Öffnungsklausel des Artikel 9 Abs. 1 lit. g DSGVO. Zudem sind nirgends spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der Betroffenen vorgesehen.
Auch hier zeigt sich wieder: Wer Grundrechte einschränken möchte, fängt damit bei Außenseitergruppen an: bei Straftatverdächtigen, Asylsuchenden, Ausländern. Der weitere Weg solcher Grundrechtsverluste ist dann vorgezeichnet: über „extensive“ Grundrechtsnutzer wie Demonstranten, Meinungsinhaber und Reisende bis hinein in den Kern unserer Gesellschaft.
Und nun?
Insgesamt gesehen bleiben beim geneigten Leser dieses Werkes drei Eindrücke hängen:
1. Ein solches Mammutprojekt vollständig zu durchdringen ist weder dem Parlament noch der kritischen Öffentlichkeit möglich. Ob dies nun der komplexen Materie oder dem überschießenden Regulierungsinteresse der Bundesregierung geschuldet ist, bleibt letztlich gleich. Rationale Gesetzgebung wird so nicht funktionieren. Abhilfe wäre nur möglich, indem sich die Regierung jeder materiellen Nutzung von Öffnungsklauseln enthält (ja, das wäre durchaus möglich!) oder zumindest eine klare Trennung von terminologischen und ideologischen Änderungsanliegen vornimmt.
2. Anstatt den Schwung der DSGVO aufzugreifen und zu begreifen, dass die Zukunft der Datenverarbeitung aus europäischer Sicht und als globales Alleinstellungsmerkmal nur in einer unauflöslichen Verbindung von Digitalisierung und Datenschutz liegen kann, ergeht sich der Entwurf in einem Kleinklein der Beschränkung von Betroffenenrechten. So agieren nicht inspirierte Gestalter, so agieren Kleinkrämer.
3. Der lange Weg des Datenschutzes nach Europa kann nur gelingen, wenn die nationalen Straßen von Ballast und Unrat geräumt werden und der „Omnibus zur EU“ freie Fahrt bekommt. Dabei sind alle nationalen Vorschriften, die nicht EU-rechtskonform ausgestaltet sind, von Übel, denn sie verzögern, wo Tempo gefragt ist, und sie verunsichern, wo Klarheit Not tut. Auch mit diesem zweiten Gesetzentwurf steht die Bundesregierung weiter auf der Bremse.
Sehr oberflächlich/aufgeregt. Ich habe aufgehört zu lesen bei: „Zu nennen ist auch die absurde Vorschrift des § 43 Abs. 4 BDSG, wonach Bußgelder bei Datenpannen nur noch verhängt werden können, wenn der Verantwortliche dem zustimmt (!).“ Man muss weder Jurist sein, noch einen Kommentar studieren, um vielmehr dieses Verständnis der Vorschrift als absurd zu erkennen. Ein Bußgeld darf verhängt werden, es darf nur nicht die nach Art. 33 verpflichtende Meldung selbst als Beweismittel genutzt werden. Das trägt dem in der EMRK verankerten „fair trial“-Grundsatz Rechnung. Niemand muss sich selbst bezichtigen. Bei Unternehmen ist die Reichweite des Beweisverwertungsverbots zudem sehr beschränkt. – Schade, dabei kann man viel sinnvolle Kritik an der DSGVO üben.
Gut, der Mann leitet allerdings eine Behörde, die diese Bußgelder verhängt. Ein bisschen Verständnis für die praktischen Auswirkungen der Norm sollte man ihm daher zugestehen.
Auch wenn es sicher überspitzt formuliert ist: Den Behörden fehlt schlichtweg die Kapazität um jeder Meldung in einem Umfang nachzugehen, dass eigene Beweismittel geschaffen werden.
Faktisch lässt sich doch die Ansicht des Autoren zu den den Auswirkungen des Wortlauts nachvollziehen. Die Kritik am Artikel empfinde ich als unzutreffend.
Es geht hier formal nicht um eine „Selbstanzeige“. Um das runterzubrechen. Unternehmen sind verpflichtet eigene „Datenpannen“ zu melden. Es dürfen aufgrund der Meldung ohne Zustimmung der Betroffenen keine Bußgelder verhängt werden.
Eine andere Quelle als die Aussage Betroffener kann aber in der Regel nur herangezogen werden, wenn Mitarbeiter des Betroffenen ggf. gegen andere Gesetze oder Verträge verstoßen und ein Vorfall melden, oder durch Umstände Daten öffentlich verfügbar werden und zur Kenntnis gelangen. Aus letzterem folgt ggf. kein weiteres Bußgeldverfahren, weil die Ursache des Datenabflusses nicht zwingend dem Betroffenen angelastet werden kann, solange dieser der Verwendung einer eigenen Aussage, die dies ggf. bestätigt, nicht zustimmt.
§ 43 BDSG/4 Wortlaut:
Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.
Man kann sich in der Tat darüber streiten, ob diese deutsche Regelung geboten ist (43 IV). Sie wird auch teilweise als europarechtswidrig betrachtet. Wenn man mal in Art. 33 III DSGVO hereinschaut, sieht man aber, dass die Meldung gar nicht so viele Informationen enthält, die zur (weiteren) Ermittlung im Bußgeldverfahren notwendig wären. Und das Beweisverwertungsverbot gilt vor dem Hintergrund des Sinns und Zwecks nur, soweit eine Pflicht zu Angaben besteht. Im Insolvenzverfahren gibt es eine entsprechende Regelung. Im BDSG a. F. ebenso. Das BDSG n. F. schwächt an vielen Stellen den Datenschutz in der DS-GVO und ich stimme dem Autoren absolut zu, dass von Öffnungsklauseln übermäßig und in zweifelhafter Weise Gebrauch gemacht wird. Gerade 43 IV ist aber m. E. eine Regelung, die nicht ins Lächerliche zu ziehen ist. Die Gewährleistung, dass jemand nicht gezwungen werden darf, etwas preiszugeben, das zur Grundlage einer Sanktionierung führt, halte ich für sinnvoll. Auf europäischer Ebene wird Schutz vor Selbstbezichtigung mit der EMRK gewährt, und zwar – weiter als in der deutschen Grundrechtsdogmatik – auch für Unternehmen, wenn auch in geringerem Umfang.
Ich halte Ihren Kommentar für sehr oberflächlich/aufgeregt. Ich habe aufgehört zu lesen bei: „Schade, dabei kann man viel sinnvolle Kritik an der DSGVO üben.“ (Stelle aber gerade fest, dass da sowieso Schluss war.)
Wie bereits im Vorspann steht, geht es nicht um Kritik an der DSGVO, sondern: „Und wieder nutzt die Bundesregierung die Gelegenheit, um Betroffenenrechte einzuschränken und Datensammlungen anzulegen.“
Richtig ist, dass die Formulierung unglücklich ist. Da Stefan Brink aber Jurist ist und auch schon einmal einen Kommentar studiert haben dürfte, ist es unredlich, ihm dieses „Verständnis der Vorschrift“ zu unterstellen. Schade, dass Sie den ganzen Beitrag von Brink auf diesen Satz reduzieren.
Vielen Dank für den Beitrag. Danke an den Autor und den Rest des Teams. Sehr gut lesbar. Man muss die Meinung oder Einschätzung nicht uneingeschränkt teilen, hat aber erstmal soviel informativen Input, dass man lange beschäftigt ist.
Man sieht an diesem Text sehr schön das Kernproblem des DSGVO-Irrsinns: Die Materie ist so komplex, dass sogar ausgewiesene Fachleute stolpern.
Wie überall gilt: Je komplexer Regulierung wird, desto weniger Rechtssicherheit gibt es und desto größer wird der relative Vorteil großer Player.
Gesetzgeber in hochentwickelten Gesellschaften müssen endlich lernen, einfacher zu denken.
Die zunehmende Komplexität der Datenschutz-Gesetze hat überdies den bitteren Beigeschmack, im Tagesgeschäft von Unternehmen und Behörden als „Klotz am Beim“ empfunden zu werden, so dass Mitarbeiter geneigt sind, nicht nur die Vorschriften, sondern auch die Betroffenenrechte generell in Frage zu stellen. So kommt einer dann auf Sätze wie: „[…] für die Erfüllung des gesetzlichen Auftrags […] zwingend erforderlich.“
Den Beitrag vor dem Kommentieren zu lesen, kann sich wirklich lohnen. Im Text erfährt man nämlich, dass die bemängelte Komplexität sich vor allem dadurch ergibt, dass Deutschland auch bei diesem zweiten Anpassungsgesetz in hohem Maße von Öffnungsklauseln der DSGVO Gebrauch macht und sogar dort Sonderwege gehen will, wo es keine Öffnungsklauseln gibt.
Die DSGVO selbst orientiert sich ja in wesentlichen Punkten am alten Bundesdatenschutzgesetz. Die Komplexität ist hier nicht massiv gestiegen. Vorher hat sich nur niemand darum geschert, weil es keine echte Sanktionsgefahr gab.
Vielen Dank für diesen super Artikel.
Gut zusammengefasst.
Gut zu lesen.
Wtf?! Was hat denn der gute Stefan geraucht, dass er der Meinung ist Strafen können nur mit Zustimmung verhängt werden?
siehe dazu die Diskussuion oben
Sehr treffender Artikel mit zutreffend lockeren Worten vor allem: die Bundesregierung richtet mit dem zweiten DSAnpUG-EU Kollaterialschäden an. Für eine langjährige Volljuristin ist der Gesetzesentwurf genial daneben: z.B. Betroffenenrechte wie das Recht auf Auskunft werden eingeschränkt. Dafür werden die Rechte der Wirtschaft etc. gestärkt? Im Ergebnis sollte die DSGVO zum Schutze der Daten von Bürgern sein, mit dem Regierungsentwurf soll aber der Schutz der „Verarbeiter“ von personenbezogenen Daten gestärkt werden scheint es.
Glückwunsch, Herr Brink…. Auch wenn man im Detail anderer Meinung sein kann, ist die Gesamtkritik sehr qualifiziert und angebracht. Nun ist die Frage, wer in Berlin sich diese Ausführungen zu Herzen nimmt, oder ob erst die EU den deutschen Lobbyismus bestimmter Datenverarbeiter wieder ausbremsen muss, weil sich die Regierung hat vereinnahmen lassen.
Ich bin Datenschützer aus Überzeugung, verurteile eine Übertreibung von Vorschriften, aber „Aushebeln von Betroffenenrechten im großen Rahmen“ geht gar nicht….
Ganz an den Anfang gehört doch die Frage: Wie relevant ist das alles? Es gilt die Datenschutzgrundverordnung. Sie gilt unmittelbar. Und eine nationalstaatliche „Präzisierungsvorschrift“ a la „Anpassungs-und-Umsetzungs-Gesetz“, ist ganz einfach null und nichtig, wenn sie dagegen verstößt. Oder nicht? (Und Grund für ein Vertragsverletzungsverfahren. Oder nicht?)