im öffentlichen Bereich. Andere Regelungen des neuen
BDSG sehe ich nach wie vor kritisch. Dies gilt beispiels‑
weise für die in § 29 geregelten beschränkten Befugnisse
der Aufsichtsbehörden gegenüber Geheimnisträgern wie
beispielsweise Rechtsanwälten. Gleiches gilt für meine
eingeschränkten Aufsichtsbefugnisse im Bereich Polizei
und Justiz und außerhalb des Geltungsbereichs des EURechts. Gerade für heimliche Datenerhebungen ist eine
unabhängige Kontrolle zwingend notwendig. Anstatt
jedoch das Vertrauen der Bürger in die staatliche Daten
erhebung in diesem Bereich zu verbessern, habe ich hier
keinerlei wirksame Durchsetzungsbefugnisse; möglich
sind mir nur nicht-bindende Beanstandungen. Ich sehe
hier einen Verstoß gegen die verfassungs- und europa‑
rechtlichen Grundsätze einer starken und unabhängigen
Datenschutzaufsicht (vgl. Nr. 1.2 f.).
Auch im Sozial- und Steuerverfahrensrecht wurden
grundlegende Anpassungen an die DSGVO zum 25. Mai
2018 vorgenommen (vgl. Nr. 3.1.1, Nr. 6.1.1).
Mit dem „Zweiten Gesetz zur Anpassung des Daten‑
schutzrechts an die Verordnung (EU) 2016/679 und
zur Umsetzung der Richtlinie (EU) 2016/680“ (Zweites
Datenschutz-Anpassungs- und Umsetzungsgesetz EU –
2. DSAnpUG-EU) sollen nunmehr auch größere Teile
des übrigen bereichsspezifischen Datenschutzrechts
des Bundes an die DSGVO angepasst werden. Der von
der Bundesregierung eingebrachte Gesetzesentwurf
(BT-Drs. 19/4674) sieht Änderungen in 154 Fachgesetzen
fast aller Ressorts vor. Zu den Regelungsschwerpunkten
zählen etwa Anpassungen von Begriffsbestimmungen
und von Rechtsgrundlagen für die Datenverarbeitung
sowie Regelungen zu den Betroffenenrechten. Im
Rahmen meiner Stellungnahme habe ich auf Nachbes‑
serungsbedarf, u. a. bei den vorgesehenen Änderungen
des Gesetzes über die Errichtung einer Bundesanstalt für
den Digitalfunk der Behörden und Organisationen mit
Sicherheitsaufgaben (BDBOS-Gesetz), hingewiesen. Des
Weiteren habe ich gefordert, dass durch eine entspre‑
chende Formulierung im Fünften Buch Sozialgesetzbuch
geregelt wird, dass auch gegenüber den gesetzlichen
Krankenkassen bei Verstößen gegen die DSGVO Geld
bußen verhängt werden können. Einen durchgreifenden
Grund, die sich verstärkt als Wirtschaftsunternehmen
verstehenden gesetzlichen Krankenkassen mit einem
Ausgabevolumen von zum Teil mehr als 25 Mrd. Euro
gegenüber einem Handwerks- oder kleinen Industrieun‑
ternehmen zu privilegieren, erkenne ich nicht. Beson‑
ders kritisch sehe ich, dass die zwingend notwendigen
Anpassungen des Telekommunikationsgesetzes auch mit
diesem Gesetz nicht angegangen werden. Dies erschwert
die Anwendung und Durchsetzung des Datenschutz‑
rechts im Telekommunikationsbereich und führt zu
erheblicher Rechtsunsicherheit (vgl. unter Nr. 15.1.1).
Der Bundestag hat am 12. Oktober 2018 den Entwurf der
Bundesregierung nach erster Lesung zur federführen‑
den Beratung an den Innenausschuss überwiesen. Das
parlamentarische Verfahren soll Anfang 2019 fortgesetzt
werden.
Umsetzung in Unternehmen und Behörden
Leider haben viele Beteiligte die zweijährige Über‑
gangsphase vor dem Wirksamwerden der DSGVO nicht
hinreichend genutzt, um sich auf die Neuregelungen
angemessen vorzubereiten. Diese Defizite verdeutlicht
eine repräsentative Erhebung des Branchenverbands
Bitkom bei 505 Unternehmen kurz vor Ablauf der
zweijährigen Übergangsfrist am 25. Mai 2018. Lediglich
ein Viertel (24 Prozent) der befragten Unternehmen in
Deutschland gab an, die neuen Regelungen zum Stichtag
nahezu vollständig umgesetzt zu haben. Ein weiteres
Drittel meinte, dieses Ziel zumindest teilweise erreichen
zu können. Vier Prozent der Unternehmen standen erst
am Anfang ihrer Bemühungen und zwei Prozent der
befragten Unternehmen mussten einräumen, dass sie es
bis zum Stichtag nicht schaffen würden, erste Schritte
bei der Umsetzung zu gehen.
Vier Monate nach Fristablauf sah die Welt dann doch
etwas besser aus.
Einer weiteren repräsentativen Befragung zufolge
hadern auch nach dem Stichtag noch viele der 502
befragten Unternehmen mit der Umsetzung. Beklagt
wurden u. a. die erweiterten Dokumentations- und
Informationspflichten. Noch immer hatte erst ein
Viertel (24 Prozent) der Unternehmen in Deutschland
die DSGVO vollständig umgesetzt. Immerhin hatten aber
weitere 40 Prozent die Regeln größtenteils umgesetzt;
und 30 Prozent zumindest teilweise. Gerade erst begon‑
nen mit den Anpassungen hatten nur fünf Prozent der
Unternehmen. Insgesamt zeigt sich, dass nach wie vor
Anstrengungen der Aufsichtsbehörden notwendig sind,
um die Unternehmen für die Anforderungen der DSGVO
zu sensibilisieren. Was die Umsetzung der DSGVO in den
meiner Kontrolle unterliegenden Bundesbehörden an‑
geht, so lässt sich festhalten, dass zwar ein großer Bedarf
an Information und Beratung bestanden hat, insgesamt
aber die Neuregelungen konsequent umgesetzt wurden.
Unterstützt habe ich diesen Prozess u. a. durch meine
Broschüre „Die DSGVO in der Bundesverwaltung“ (abruf‑
bar unter www.datenschutz.bund.de).
Auswirkungen der DSGVO im Alltag
Es ist nicht überraschend, dass ein komplett neues Recht
in einer so wichtigen Querschnittsmaterie wie dem
Datenschutz nicht völlig reibungslos und ohne jede Dis‑
kussion eingeführt werden kann. In der Medienbericht‑
erstattung zur DSGVO und der Debatte über die DSGVO
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
27