Schon gewusst?

"Gelebter Datenschutz ist die Visitenkarte eines modernen Unternehmens!"

DSGVO - Der Booster für den Datenschutz

"Datenschutz gibt es schon länger - aber erst die DSGVO hat das Thema ins globale Bewusstsein gehoben."

Kein Datenschutz ohne Datensicherheit

"Realisieren Sie Zusatznutzen bei der Implementierung eines gesetzeskonformen Datenschutzes."

Sind Sie sicher?

"Der gesetzliche Vertreter des Unternehmens haftet für einen mangelhaften Datenschutz."

Erster Referentenentwurf zum ABDSG

Veröffentlicht am 14. September 2016

Wie inzwischen bekannt sein dürfte, löst die europäische DSGVO (Datenschutz-Grundverordnung) am 25.05.2018 in Deutschland das BDSG (Bundesdatenschutzgesetz) ab. Im Gegensatz zu ihrem europäischen Vorgänger, der Richtlinie 95/46/EG, handelt es sich eben nicht mehr nur um eine Richtlinie, die erst mittels des BDSG in geltendes Recht umgesetzt werden musste, sondern um eine unmittelbar am 25.05.2018 rechtsgültig werdende EU-Grundverordnung. Allerdings war es nicht möglich, alle 28 EU-Ländern in allen Punkten unter einen Hut zu bekommen - und auch nicht unbedingt bis ins letzte Detail gewünscht. Insofern stellt die DSGVO zwar einen großen Schritt zu einer europaweiten Vereinheitlichung des Datenschutzes dar, aber über sogenannte "Öffnungsklauseln" gibt sie den einzelnen Staaten Gestaltungsspielräume, um bestimmte Aspekte individuell zu regeln. Teilweise handelt es sich dabei um Regelungsgebote, d.h. die DSGVO fordert die Mitgliedsstaaten explizit auf, entsprechende Spezifizierungen vorzunehmen. Zum Teil sind es nur Regelungsoptionen, d.h. es bleibt den einzelnen Mitgliedsländern überlassen, ob sie diese Möglichkeit nutzen wollen oder nicht. Hierbei sei hervorgehoben, dass dies aber keine Möglichkeit darstellen soll, Vorgaben aus der DSGVO aufzuweichen. Eher im Gegenteil sind die Öffnungsklauseln dazu gedacht, eben bestimmte Themen, für die keine allgemeingültigen Regelungen über alle Länder hinweg getroffen werden konnten, individuell, aber verpflichtend zu regeln oder sogar einzelne Passagen über die Vorgaben der DSGVO hinaus "nachzuschärfen". Ob hier nicht trotzdem versucht werden wird, das eine oder andere Schlupfloch zu basteln, bleibt abzuwarten. Dass der deutsche Gesetzgeber jedenfalls in mehreren Punkten Gebrauch von den Möglichkeiten der Öffnungsklauseln machen wird, war allen Beteiligten klar - nur in welchem Umfang und in welcher Weise, wird vor allem von Wirtschaft und Datenschützern mit Spannung erwartet.


Am 07.09.2016 ist nun ein erster Entwurf des ABDSG (Allgemeines Bundesdatenschutzgesetz) öffentlich geworden. Das ABDSG stellt quasi die Anpassung des bundesdeutschen Datenschutzrechts an die DSGVO dar - inklusive sämtlicher auf Öffnungsklauseln beruhender Spezifizierungen. Insofern ist dieses Dokument als der eigentliche Nachfolger des BDSG anzusehen - aber das sind eher Formalien. Letztlich ist interessant, was in diesem Entwurf zu den bis dato offenen Fragen steht. Nachfolgend eine kurze Auflistung ohne Anspruch auf Vollständigkeit:

  • Beschäftigtendatenschutz: Hier klafft in der DSGVO aus deutscher Sicht eine große Lücke und zeitweise war sogar erwartet worden, dass es ein eigenes Beschäftigtendatenschutzgesetz geben würde. Dies scheint nunmehr vom Tisch zu sein, da der Beschäftigtendatenschutz offenbar im Rahmen des ABDSG geregelt wird, wobei sich die Inhalte im Grundsatz an denen des bisherigen BDSG orientieren.
  • Bußgelder: Die DSGVO äußert sich lediglich zur Haftung von Unternehmen. Das ABDSG wird nunmehr voraussichtlich auch die Haftung natürlicher Personen bei Datenschutzverstößen regeln, wobei im Entwurf die bereits aus dem BDSG bekannte Höchstgrenze von 300.000,- € enthalten ist.
  • Datenschutzbeauftragter: Wie von Datenschützern erhofft und von Teilen der Wirtschaft befürchtet, soll es offenbar im Wesentlichen bei den aus dem BDSG bekannten Vorgaben zur Bestellpflicht bleiben. Aber selbst wenn kleinere Unternehmen von der Bestellpflicht befreit würden, würden sich diese Unternehmen zumeist einen Bärendienst erweisen, auf diese Weise ein paar Euro einsparen zu wollen. Denn die Verpflichtung zur Einhaltung der Vorgaben aus der DSGVO besteht in jedem Fall und unabhängig von der Unternehmensgröße. Davon, dies in der heutigen Zeit ohne die professionelle Unterstützung durch einen dezidierten Experten - intern oder extern - leisten zu wollen, kann in den allermeisten Fällen nur dringend abgeraten werden.
  • Betroffenenrechte, Zweckbindung: Hier sind offenbar einige Einschränkungen der Rechte der Betroffenen sowie der Bindung der Verarbeitung personenbezogener Daten an einen bestimmten Zweck geplant. Dies hat auch bereits deutliche Kritik des BfDI (Bundesbeauftragte für Datenschutz und Informationsfreiheit) und des BMJV (Bundesministerium der Justiz und für Verbraucherschutz) hervorgerufen.


Es bleibt also höchst spannend. Allgemein wird der Beschluss des Kabinetts zum Gesetzentwurf noch für den Herbst erwartet, so dass das Gesetzgebungsverfahren vor dem Bundestagswahlkampf abgeschlossen werden kann. Angesichts der aktuellen Diskussionen nach Bekanntwerden des ersten Entwurfs erscheint dieser Zeitplan ambitioniert.