Das Bundesdatenschutzgesetz soll eine Überarbeitung bekommen.
Während dabei einige Kleinigkeiten ausgebessert und redaktionelle Fehler korrigiert werden, möchten wir die wichtigsten Änderungen hier zusammenfassen.
Die wichtigsten Änderungen befassen sich mit dem ewigen Problem, dass die Auslegung der Datenschutzgesetze durch die Aufsichtsbehörden der Bundesländer nicht einheitlich ist.
Einige Themen werden zwar zentral über die Datenschutzkonferenz gemeinsam von den Aufsichtsbehörden erarbeitet und teils beschlossen, bei Einzelfragen gibt es aber durchaus deutliche Abweichungen.
Die maßgeblich geplanten Änderungen des BDSG sind daher:
1) Zuständige Aufsicht bei gemeinsam Verantwortlichen (Art. 26 DSGVO / §40a BDSG – kommend)
Wenn bei gemeinsam verantwortlichen Unternehmen mehreren Aufsichtsbehörden der Länder zuständig sind, weil die Unternehmen über mehrere Bundesländer verteilt ihren Sitz haben, kann eine gemeinsame Aufsichtsbehörde festgelegt und angezeigt werden. Diese Anzeige muss an alle (bisher) zuständigen Aufsichtsbehörden gerichtet sein. Notwendiger Teil dieser Anzeige sind Unterlagen zum Umsatz der Unternehmen, denn die gemeinsam Verantwortlichen können die gemeinsame Aufsichtsbehörde nicht frei wählen, es wird die Aufsichtsbehörde zuständig, in deren Einzugsgebiet das umsatzstärkste Unternehmen der Gruppe fällt.
2) Die zweite Änderung zur einheitlichen Auslegung des Datenschutzes kommt durch die Hintertür! Im Entwurf für das Gesetzes zur verbesserten Nutzung von Gesundheitsdaten findet sich ebenfalls eine Anpassung, die in das Bundesdatenschutzgesetz übernommen werden soll. Im Artikel 5 des Referentenentwurfes wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) die alleinige Zuständigkeit für „gesundheitsbezogene Sozialdaten“ im Sinne von §67 SGB X übertragen. Zudem ist der BfDI zuständig für Krankenkassen und ärztliche Vereinigungen (z.B.: KBV, KzBV). Dazu wird begründend festgehalten: „Da eine einheitliche Datenschutzpraxis oft durch unterschiedliche Auslegung verschiedener Aufsichtsbehörden verhindert wird, wird dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) mit § 9 Absatz 3 BDSG eine breitere Zuständigkeit eingeräumt.“
Apropo Datenschutzkonferenz
Bisher war die Datenschutzkonferenz (DSK) nur ein loser Verbund der Aufsichtsbehörden, es gab keine rechtliche Verpflichtung – im Grunde war die DSK ein Erfa-Gruppe. Auch die Ergebnisse der DSK waren rechtlich nicht bindend, auch wenn die meisten Aufsichtsbehörden die Beschlüsse übernommen haben und daher dadurch eine gewisse Wirkung erzielt haben. Dies ändert sich künftig mit der Einführung des §16a in das Bundesdatenschutzgesetz. Denn damit wird die Datenschutzkonferenz ins Gesetz eingebracht.
Fazit
Der Gesetzgeber sieht ein, dass oft genug keine einheitliche Auslegung der Datenschutzregeln vorliegt. Jedoch wird das Problem nun nicht grundsätzlich angegangen, sondern es werden Reförmchen umgesetzt, die Teilbereiche dieser Problematik behandeln. Für viele Unternehmen wird sich durch diese Änderungen keine gefühlte Verbesserung zeigen.
Quellen: