einräumen zu lassen. Zudem wird die Profilbildung als eines der wichtigsten datenschutzrechtlichen Themen
nur unzureichend geregelt und damit auch weiterhin sehr umfassend möglich sein.
Ich appelliere an die Gesetzgeber in Bund und Ländern, sich bei der Anpassung des nationalen Datenschutzrechts an Geist und Buchstaben der neuen europäischen Regeln zu halten (vgl. unter Nr. 1.2 f.).
Gern verweise ich an dieser Stelle auf die von mir zur DSGVO herausgegebene Info 6. Sie enthält neben dem
Verordnungstext einführende Erläuterungen zum Inhalt der Datenschutz-Grundverordnung.
1.2
Umsetzung der Europäischen Datenschutzreform in nationales Recht
Das deutsche Datenschutzrecht ist bis zum 25. Mai 2018 an die Datenschutz-Grundverordnung anzupassen
(vgl. u. Nr. 1.2.1). Bereits bis zum 6. Mai 2018 ist die Richtlinie für den Datenschutz im Polizei- und Justizbereich umzusetzen (vgl. u. Nr. 1.2.2). Das Bundesministerium des Innern hat für beide Vorhaben im Bereich des
Bundes den Referentenentwurf eines Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (DSAnpUG-EU)
vorgelegt. Die Beratungen innerhalb der Bundesregierung zu dem Gesetzentwurf dauerten bei Redaktionsschluss noch an.
Das DSAnpUG-EU soll noch in der 18. Legislaturperiode vom Deutschen Bundestag verabschiedet werden, um
ein rechtzeitiges Inkrafttreten zum 25. Mai 2018 zu gewährleisten. Der Entwurf soll insbesondere die notwendigen Neuregelungen im Bundesdatenschutzgesetz (BDSG) enthalten. Wesentliche bereichsspezifische Folgeänderungen sollen Gegenstand eines gesonderten Gesetzgebungsverfahrens werden. Das DSAnpUG-EU bedarf
der Zustimmung des Bundesrates.
1.2.1
Anpassung des nationalen Datenschutzrechts an die Datenschutz-Grundverordnung
Die Datenschutz-Grundverordnung gilt unmittelbar und zwingend in allen Mitgliedstaaten. Sie soll ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten
schaffen (Erwägungsgrund 10). Die Verordnung enthält aber auch eine Reihe von Regelungsspielräumen für
den nationalen Gesetzgeber und darüber hinaus gehend auch konkrete, an die Mitgliedstaaten gerichtete Regelungsaufträge.
Bei den Beratungen zu dem Entwurf eines Datenschutz-Anpassungs- und Umsetzungsgesetzes EU habe ich
mich im Berichtszeitraum insbesondere mit dem Petitum eingebracht, das durch die DSGVO vorgegebene
Harmonisierungsziel ernst zu nehmen und bei verbleibendem Spielraum des deutschen Gesetzgebers Regelungen vorzusehen, die ein hohes Datenschutzniveau gewährleisten. Hierzu einige Beispiele:
Zurückhaltung des nationalen Gesetzgebers ist bei Regelungen zur Zulässigkeit zweckändernder Datenverarbeitungsvorgänge angebracht. Der Grundsatz der Zweckbindung ist nicht nur nach deutschem Verständnis essentiell, sondern auch in Artikel 8 der EU-Grundrechtecharta und in Artikel 5 Absatz 1 Buchstabe b DSGVO festgeschrieben.
Artikel 23 DSGVO gestattet nur Einschränkungen der nach der Verordnung vorgesehenen Betroffenenrechte
(beispielsweise Recht auf Auskunft oder Widerspruchsrecht), wenn diese zum Schutz bestimmter wichtiger
Rechtsgüter erforderlich und verhältnismäßig sind. Nach meiner Auffassung sollten entsprechende Beschränkungen im neuen BDSG äußerst zurückhaltend und nur nach sorgfältiger Prüfung jedes Einzelfalls vorgesehen
werden. Auch die nach dem geltenden BDSG bestehenden Einschränkungen dürfen nur dann erhalten bleiben,
wenn sie die strengen Voraussetzungen des Artikels 23 DSGVO erfüllen.
BfDI 26. Tätigkeitsbericht 2015-2016
– 33 –