Empfehlungen der Ausschüsse
Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680
(Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU)

971. Sitzung des Bundesrates am 19. Oktober 2018

Der federführende Ausschuss für Innere Angelegenheiten (In) und der Wirtschaftsausschuss (Wi) empfehlen dem Bundesrat, zu dem Gesetzentwurf gemäß Artikel 76 Absatz 2 des Grundgesetzes wie folgt Stellung zu nehmen:

1. Zu Artikel 8 Nummer 3 ( § 21 BDBOSG)

In Artikel 8 Nummer 3 ist § 21 wie folgt zu ändern:

a) In der Überschrift ist das Wort "Polizeibehörden" durch das Wort "Sicherheitsbehörden" zu ersetzen.

b) Satz 1 ist wie folgt zu fassen:

"Die Bundesanstalt übermittelt

Verkehrsdaten, soweit dies im Einzelfall zur Erfüllung der Aufgaben dieser Behörden erforderlich ist und die Empfänger zu der Erhebung der Verkehrsdaten berechtigt sind."

c) In Satz 2 sind die Wörter "Gerichte und" zu streichen.

Begründung:

Auch die im Rahmen des BOS anfallenden Verkehrsdaten können für nachrichtendienstliche Aufgaben bedeutsam werden. Da eine systematische Überprüfung der Verfassungstreue vor der Einstellung in den öffentlichen Dienst grundsätzlich nicht (mehr) erfolgt, besteht die Gefahr, dass Extremisten im staatlichen Bereich beschäftigt werden. Zudem kann es auch während der Zugehörigkeit zum öffentlichen Dienst zu Radikalisierungsprozessen kommen. Gerade im Sicherheitsbereich besteht außerdem eine erhöhte Gefahr der Infiltration durch fremde Dienste zu Zwecken der Sabotage oder Spionage. Deshalb müssen die Nachrichtendienste in der Lage sein, einen Missbrauch des BOS-Digitalfunks durch einzelne Nutzer aufzuklären. Insoweit stellt die Verkehrsdatenauskunft ein zentrales Aufklärungsmittel dar. Die Einbeziehung der Nachrichtendienste in den Kreis der auskunftsberechtigten Behörden entspricht im Übrigen auch der Gesetzessystematik. Es gibt keinen sachlichen Grund, gerade die für den Schutz höchster Rechtsgüter - insbesondere des Bestands und der Sicherheit des Staates - zuständigen Sicherheitsbehörden von der Abrufberechtigung auszunehmen. Im Einzelnen:

Zu Buchstabe a (Überschrift):

Das Wort "Sicherheitsbehörden" umfasst sowohl Polizeibehörden als auch Nachrichtendienste.

Zu Buchstabe b ( § 21 Satz 1 BDBOSG):

Die ausdrückliche Benennung der an Ermittlungsmaßnahmen der Sicherheits- und Strafverfolgungsbehörden beteiligten Gerichte entspricht nicht der bisherigen Gesetzestechnik. Insbesondere die parallele Vorschrift des § 113c Absatz 1 Nummer 1 und 2 TKG stellt allein auf behördliche Empfänger ab. Würden in § 21 BDBOSG die Gerichte explizit aufgeführt, müssten diese im Umkehrschluss aus dem Anwendungsbereich des § 113c Absatz 1 TKG ausgenommen werden.

Durch eine Nummerierung - wie sie auch in der Parallelnorm des § 113c Absatz 1 TKG erfolgt ist - wird die Übersichtlichkeit der Vorschrift verbessert. Zugleich werden dadurch die zulässigen Empfänger von Verkehrsdaten entsprechend ihren Aufgabenkreisen und damit die Übermittlungszwecke gruppiert, so dass die Norm systematisch strukturiert wird.

Die Angabe des Übermittlungszwecks ist durch die Zweckbestimmung im zweiten Halbsatz in abstrakter Form eindeutig geregelt.

Auch für die Übermittlung an Polizeibehörden bedarf es keiner Wiederholung der Zweckbestimmung.

Die in § 21 Satz 1 BDBOSG neu eingefügte Nummer 3 erlaubt die Übermittlung von Verkehrsdaten auch an die Nachrichtendienste des Bundes und der Länder. Die Nachrichtendienste des Bundes sind berechtigt, im Einzelfall bei Telekommunikationsdienstleistern Auskünfte zu Verkehrsdaten einzuholen (§ 8a Absatz 2 Satz 1 Nummer 4 BVerfSchG, § 4a Satz 1 MADG, § 3 Absatz 1 BNDG). Auch für Verfassungsschutzbehörden der Länder bestehen entsprechende Befugnisnormen (vgl. in Bayern: Artikel 15 Absatz 2 Nummer 2 BayVSG). Eine Befugnis der Nachrichtendienste zu entsprechenden Auskunftsersuchen gegenüber der Bundesanstalt ergibt sich aus den bereichsspezifischen Übermittlungsvorschriften ( § 18 Absatz 3 BVerfSchG, § 10 Absatz 2 MADG, § 23 Absatz 3 BNDG). Nach dem vom Bundesverfassungsgericht entwickelten Doppeltür-Modell bedarf es aber zudem einer korrespondierenden Übermittlungsbefugnis der Bundesanstalt (BVerfGE 130, 151 (184 f.)).

2. Zu Artikel 12 Nummer 7a - neu - (§ 38 Absatz 1 Satz 1 und 2 BDSG)

In Artikel 12 ist nach Nummer 7 folgende Nummer einzufügen:

"7a. § 38 Absatz 1 wird wie folgt geändert:

a) Satz 1 wird gestrichen.

b) Satz 2 wird wie folgt gefasst:

"Soweit der Verantwortliche oder der Auftragsverarbeiter personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, haben sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen.""

Begründung:

Mit der Regelung zu den Datenschutzbeauftragten nichtöffentlicher Stellen in § 38 BDSG ist der Bundesgesetzgeber über die Anforderungen in Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) Nr. 2016/679 erheblich hinausgegangen. Dadurch werden insbesondere die kleinen und mittleren Unternehmen (KMU) sowie Freiberufler, Vereine und sonstige Organisationen mit hauptsächlich ehrenamtlich Engagierten übermäßig, vor allem finanziell, belastet. Dies gilt im Besonderen im Wettbewerb mit anderen europäischen Unternehmen, die diesen Anforderungen nicht unterliegen.

Mit dem Vorschlag soll die Verpflichtung zur Benennung eines Datenschutzbeauftragten auf die Unternehmen begrenzt werden, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeiten (Auskunfteien, Adresshandelsunternehmen sowie Markt- und Meinungsforschungsinstitute). Dies ist durch ein besonderes Gefährdungspotential für die Betroffenenrechte gerechtfertigt. Ehrenamtliche und Freiberufler werden ebenso wie KMU entlastet.

Die erste Alternative des § 38 Absatz 1 Satz 2 BDSG kann ebenfalls entfallen, da die Verordnung (EU) Nr. 2016/679 dem Verantwortlichen die Datenschutz-Folgenabschätzung auferlegt. Ein Datenschutzbeauftragter muss hierfür nicht bestellt werden.

3. Hilfsempfehlung zu Ziffer 2:

Zu Artikel 12 Nummer 7a - neu - (§ 38 Absatz 1 Satz 1 BDSG)

In Artikel 12 ist nach Nummer 7 folgende Nummer einzufügen:

"7a. In § 38 Absatz 1 wird Satz 1 gestrichen."

Begründung:

Mit der Regelung des § 38 BDSG zu den Datenschutzbeauftragten nichtöffentlicher Stellen ist der Bundesgesetzgeber über die Anforderungen in Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) Nr. 2016/679 erheblich hinausgegangen. Dadurch werden insbesondere die kleinen und mittleren Unternehmen (KMU) sowie Freiberufler, Vereine und sonstige Organisationen mit hauptsächlich ehrenamtlich Engagierten übermäßig, vor allem finanziell, belastet. Dies gilt im Besonderen im Wettbewerb mit anderen europäischen Unternehmen, die diesen Anforderungen nicht unterliegen.

Die Verpflichtung zur Benennung eines Datenschutzbeauftragten soll daher auf die Unternehmen begrenzt werden, die Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeiten (Auskunfteien, Adresshandelsunternehmen sowie Markt- und Meinungsforschungsinstitute). Dies ist durch ein besonderes Gefährdungspotential für die Betroffenenrechte gerechtfertigt. Ehrenamtliche und Freiberufler werden ebenso wie die KMU entlastet.

4. Hilfshilfsempfehlung zu Ziffer 2:

Zu Artikel 12 Nummer 7a - neu - (§ 38 Absatz 1 Satz 1 BDSG)

In Artikel 12 ist nach Nummer 7 folgende Nummer einzufügen:

"7a. In § 38 Absatz 1 Satz 1 werden nach dem Wort "beschäftigen" die Wörter "und die Verarbeitung gewerblichen Zwecken dient" angefügt."

Begründung:

Mit der zu den Datenschutzbeauftragten nichtöffentlicher Stellen getroffenen Regelung in § 38 BDSG ist der Bundesgesetzgeber über die Anforderungen in Artikel 37 Absatz 1 Buchstaben b und c der Verordnung (EU) Nr. 2016/679 erheblich hinausgegangen. Dadurch werden insbesondere auch Freiberufler, Vereine und sonstige Organisationen mit hauptsächlich ehrenamtlich Engagierten übermäßig, vor allem finanziell, belastet.

Mit der Ergänzung von § 38 Absatz 1 Satz 1 BDSG-E soll die Verpflichtung zur Benennung eines Datenschutzbeauftragten auf die Unternehmen begrenzt werden, deren Verarbeitungen gewerblichen Zwecken dienen. Die Pflicht zur Bestellung eines Datenschutzbeauftragten für Verantwortliche oder Auftragsverarbeiter, die Verarbeitungen durchführen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung automatisiert verarbeiten (Auskunfteien, Adresshandelsunternehmen und Markt- und Meinungsforschungsinstitute), bleibt unberührt. Dies ist durch ein besonderes Gefährdungspotential für die Betroffenenrechte gerechtfertigt. Ehrenamtliche, Freiberufler und nicht gewerblich tätige Vereine werden dagegen entlastet.

5. Hilfshilfsempfehlung zu Ziffer 2:

Zu Artikel 12 Nummer 7a - neu - (§ 38 Absatz 1 Satz 1 BDSG)

In Artikel 12 ist nach Nummer 7 folgende Nummer einzufügen:

"7a. In § 38 Absatz 1 Satz 1 wird das Wort "zehn" durch die Angabe "50" ersetzt."

Begründung:

§ 38 Absatz 1 Satz 1 BDSG verpflichtet nichtöffentliche Stellen zur Bestellung eines Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der Bundesgesetzgeber hat mit dieser Vorschrift von der nach Artikel 37 Absatz 4 Satz 1 der Verordnung (EU) Nr. 2016/679 eingeräumten Regelungsbefugnis Gebrauch gemacht.

Mit Geltung der Verordnung (EU) Nr. 2016/679 hat sich die Tätigkeit und Zuständigkeit des Datenschutzbeauftragten jedoch verändert. So verantwortet er insbesondere nicht mehr nur operative Aufgaben, wie zum Beispiel die datenschutzrechtliche Vorabkontrolle, sondern nimmt verstärkt die Stellung eines Beratungs- und Kontrollorgans ein. Für die Einhaltung der datenschutzrechtlichen Bestimmungen bleibt vielmehr der Verantwortliche in der Pflicht, der sich insoweit auch die entsprechenden datenschutzrechtlichen Kompetenzen aneignen muss.

Vor diesem Hintergrund und auch, um zum einen ehrenamtlich Tätige und zum anderen insbesondere kleinere und mittlere Unternehmen im europäischen Vergleich von dieser über Artikel 37 Absatz 1 der Verordnung (EU) Nr. 2016/679 hinausgehenden Verpflichtung zu entlasten, wird die Anzahl der maßgeblich mit der Verarbeitung personenbezogener Daten Beschäftigten auf 50 heraufgesetzt.

6. Zu Artikel 12 Nummer 7a - neu - (§ 44a - neu - BDSG)

In Artikel 12 ist nach Nummer 7 folgende Nummer einzufügen:

"7a. Nach § 44 wird folgender § 44a eingefügt:

" § 44a Anwendung der Vorschriften über das Wettbewerbsrecht

Vorschriften der Verordnung (EU) Nr. 679/2016 und Vorschriften der Teile 1 und 2 dieses Gesetzes stellen keine Vorschriften im Sinne von § 3a des Gesetzes gegen den unlauteren Wettbewerb dar." "

Folgeänderung:

In Artikel 12 ist Nummer 1 wie folgt zu fassen:

"1. Die Inhaltsübersicht wird wie folgt geändert:

a) Nach der Angabe zu § 44 wird folgende Angabe eingefügt:

" § 44a Anwendung der Vorschriften über das Wettbewerbsrecht".

b) Folgende Angabe wird angefügt:

" § 86 ... < weiter wie Gesetzentwurf >..." "

Begründung:

Die Ergänzung stellt klar, dass auch Regelungen über die Durchsetzung von Marktverhaltensregelungen im Rahmen des UWG dem Anwendungsvorrang der Datenschutz-Grundverordnung unterliegen. Diese trifft im Interesse einheitlicher Bedingungen des Datenschutzes und des freien Datenverkehrs in der EU auch über die Abhilfemaßnahmen und Sanktionen bei Datenschutzverstößen eine abschließende Regelung. Ansprüche nach dem UWG, insbesondere von Mitwettbewerbern, sind seit Geltung der Datenschutz-Grundverordnung wegen deren grundsätzlich abschließenden Rechtsfolgenregimes von vornherein ausgeschlossen, da Artikel 77 bis 84 DSGVO die Einräumung einer entsprechenden Antragsberechtigung und Klagebefugnis im nationalen Recht nicht vorsehen (vgl. Köhler in Köhler/Bornkamm/Feddersen, Gesetz gegen den unlauteren Wettbewerb, 36. Auflage 2018, UWG § 3a, Rn. 1.40a und 1.74b).

Angesichts der nach wie vor weit verbreiteten Unsicherheit insbesondere bei kleinen und mittelständischen Unternehmen über wettbewerbsrechtlichen Abmahnverfahren sollte im Zuge der Gesamtanpassung des Bundesrechts an die DSGVO eine ausdrückliche Ausschlussregelung getroffen werden. Die Geltendmachung von Datenschutzverstößen durch zugelassene Verbraucherschutzvereinigungen nach dem Unterlassungsklagegesetz bleibt durch die Ergänzung unberührt.

7. Zu Artikel 16 Nummer 10 Buchstabe a (§ 11 Absatz 1 Nummer 1 BMG), Nummer 26 (§ 44 Absatz 3 und 4 BMG), Nummer 35 (§ 58 BMG)

Artikel 16 ist wie folgt zu ändern:

a) In Nummer 10 Buchstabe a § 11 Absatz 1 Nummer 1 ist die Angabe "44," zu streichen.

b) Nummer 26 ist wie folgt zu fassen:

"26. § 44 wird wie folgt geändert:

a) Absatz 3 wird wie folgt gefasst:

(3) Die Erteilung einer einfachen Melderegisterauskunft ist nur zulässig, wenn

b) Absatz 4 wird wie folgt gefasst:

(4) Es ist verboten, Daten aus einer Melderegisterauskunft ohne dass ein Zweck nach Absatz 1 Satz 2 bei der Anfrage angegeben wurde, gewerblich zu verwenden." '

c) Nummer 35 ist wie folgt zu fassen:

"35. § 58 wird aufgehoben."

Folgeänderung:

In Artikel 16 ist der Nummer 1 folgender Buchstabe anzufügen:

"e) Die Angabe zu § 58 wird wie folgt gefasst:

" § 58 (weggefallen)"."

Begründung:

Für eine Anpassung des Bundesmeldegesetzes (BMG) an die Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) bedarf der vorliegende Gesetzentwurf hinsichtlich der Regelungen zum Auskunftsrecht der betroffenen Person im Zusammenhang mit der Erteilung einfacher Melderegisterauskünfte im nicht automatisierten Verfahren und der Erteilung von einfachen Melderegisterauskünften für Zwecke der Werbung oder des Adresshandels weitergehender Regelungen.

Zu Buchstabe a:

Der Gesetzentwurf sieht vor, das Auskunftsrecht für die Fälle nicht automatisierter einfacher Melderegisterauskünfte unter Ausnutzung der Öffnungsklausel des Artikels 23 Absatz 1 Buchstabe e der Verordnung (EU) Nr. 2016/679 einzuschränken und verweist dabei darauf, dass die Ausnahme dem bisherigen Teil des § 10 Absatz 1 BMG, der die Auskunftsansprüche abschließend benannte und damit das Auskunftsrecht der betroffenen Person bei jeglicher Form nicht automatisierter Melderegisterauskünfte mit Ausnahme des § 45 Absatz 2 BMG einschränkte, entspricht.

Zweck des Auskunftsrechts nach Artikel 15 der Verordnung (EU) Nr. 2016/679 ist es, dass es der betroffenen Person ermöglicht wird, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Die Auskünfte können die betroffene Person in die Lage versetzen, gegebenenfalls weitere Rechte (wie beispielsweise auf Löschung, Einschränkung der Verarbeitung) oder Schadensersatzansprüche geltend zu machen. Bei der Beantragung einfacher Melderegisterauskünfte ist im Fall der Verwendung für gewerbliche Zwecke gemäß § 44 Absatz 1 Satz 2 BMG der Verwendungszweck anzugeben.

§ 47 Absatz 1 BMG bestimmt, dass bei Melderegisterauskünften nach § 44 BMG zu gewerblichen Zwecken der Empfänger die Daten nur für die Zwecke verwenden darf, zu deren Erfüllung sie ihm übermittelt wurden. Danach sind die Daten beim Empfänger zu löschen. Aufgrund der Regelungen des § 44 Absatz 1 Satz 2 und des § 47 Absatz 1 BMG wäre davon auszugehen, dass die betroffene Person ein datenschutzrechtliches Interesse daran hat, das Auskunftsbegehren nicht nur an den Empfänger der Daten, sondern auch an die Meldebehörde zu richten, um die Rechtmäßigkeit der Verarbeitung durch den Empfänger überprüfen zu können. Würde von der Möglichkeit der Einschränkung des Auskunftsrechts für die Fälle nicht automatisierter einfacher Melderegisterauskünfte unter Ausnutzung der Öffnungsklausel des Artikels 23 Absatz 1 Buchstabe e der Verordnung (EU) Nr. 2016/679 Gebrauch gemacht, wäre eine nachgelagerte Prüfung der Einhaltung des Zweckbindungsgebots unmöglich. Das heißt, die von der Melderegisterauskunft betroffene Person könnte ihre Rechte nicht mehr wahrnehmen. Es bestehen Zweifel, dass die in der Gesetzesbegründung angeführten Gründe für die Einschränkung der Rechte der betroffenen Personen die Anforderungen der vorgenannten Öffnungsklausel erfüllen. Das Auskunftsrecht für die Fälle nicht automatisierter einfacher Melderegisterauskünfte soll daher nicht eingeschränkt werden.

Zu Buchstabe b:

Die bestehende Regelung zur Erteilung einer einfachen Melderegisterauskunft für Zwecke der Werbung oder des Adresshandels ist das Ergebnis eines Vermittlungsverfahrens zum Entwurf des Gesetzes zur Fortentwicklung des Meldewesens, insbesondere zur Zweckbindung der einfachen Melderegisterauskunft. Die Regelung berücksichtigt die zum damaligen Zeitpunkt geltende Rechtslage nach dem Bundesdatenschutzgesetz. Darüber hinaus musste davon ausgegangen werden, dass die Verwendung von Einwohnermeldedaten, die aufgrund eines Antrags auf Erteilung einer einfachen Melderegisterauskunft durch private Stellen erhoben werden, auch für Zwecke der Werbung oder des Adresshandels verwendet werden sollen. Drei Jahre nach dem Inkrafttreten des BMG ist der Sachverhalt anders zu beurteilen. Die seit dem Inkrafttreten des BMG aufgrund von § 58 BMG stattfindende Evaluation hat deutlich gemacht, dass einfache Melderegisterauskünfte, wenn überhaupt, dann nur in sehr wenigen Fällen für Zwecke der Werbung oder des Adresshandels verwendet werden. Die aufgrund von § 58 BMG mit Hilfe des Erhebungsbogens nach Anlage 15 der Allgemeinen Verwaltungsvorschrift zur Durchführung des Bundesmeldegesetzes erhobenen Zahlen belegen dies. Dies gilt ebenso für die Möglichkeit der Einwilligung nach § 44 Absatz 3 BMG. Von der Möglichkeit der Einwilligung wird kein Gebrauch gemacht. Daraus lässt sich schließen, dass einerseits bei Dritten kein Bedarf besteht, Daten aus einer einfachen Melderegisterauskunft für Zwecke der Werbung oder des Adresshandels zu verwenden und andererseits die Bürgerinnen und Bürger ihre Daten für diese Verwendungszwecke nicht freigeben möchten. Zudem erscheint es fraglich, ob eine generelle Einwilligung in die Verarbeitung für Zwecke der Werbung oder des Adresshandels, die gegenüber der Meldebehörde erklärt wird, den Bedingungen für eine informierte Einwilligung nach Artikel 7 der Verordnung (EU) Nr. 2016/679 entspricht, da in diesen Fällen davon ausgegangen werden kann, dass die betroffene Person zum Zeitpunkt der Einwilligung zwar weiß, für welchen Zweck ihre Daten verarbeitet werden sollen, nicht aber, wer der Verantwortliche ist oder sein wird. Auch eine Information nach Artikel 14 der Verordnung (EU) Nr. 2016/679 würde durch den Dritten in der Regel aufgrund des Ausnahmetatbestands des Artikel 14 Absatz 5 Buchstabe c der Verordnung (EU) Nr. 2016/679 nicht erfolgen, wenn § 44 Absatz 3 BMG die Erlangung oder Offenlegung der personenbezogenen Daten regelt. Das heißt, bei der im Gesetz geregelten Fallkonstellation erfährt die betroffene Person nicht, wer ihre Daten für Zwecke der Werbung oder des Adresshandels nutzt. Ob dies mit dem Transparenzgebot aus Artikel 5 Absatz 1 Buchstabe a der Verordnung (EU) Nr. 2016/679 in Einklang steht, erscheint zumindest fraglich. Wird eine Einwilligung in die Verarbeitung zu Zwecken der Werbung oder des Adresshandels hingegen gegenüber dem Dritten erklärt, kann dieser Dritte die für diese Verarbeitung erforderlichen Daten sogleich direkt bei der betroffenen Person erheben. Einer Melderegisterauskunft bedarf es in diesen Fällen daher nicht. Die Verwendung von Daten aus der Erteilung einer einfachen Melderegisterauskunft entgegen der Erklärung, diese nicht für Zwecke der Werbung oder des Adresshandels zu verwenden, bleibt unzulässig. Die unzulässige Verwendung einer Melderegisterauskunft für Zwecke der Werbung oder des Adresshandels und der damit verbundene Verstoß gegen die Zweckbindung sind nach Artikel 83 Absatz 5 Buchstabe a der Verordnung (EU) Nr. 2016/679 bußgeldbewährt.

Zu Buchstabe c:

Einer Evaluierung der Anwendung von § 44 Absatz 3 Satz 1 Nummer 2, Satz 2 bis 8 und Absatz 4 in Verbindung mit § 54 Absatz 1 Nummer 2 und Absatz 2 Nummer 12 und 13 sowie § 56 Absatz 1 Nummer 4 BMG bedarf es nach der entsprechenden Änderung des § 44 Absatz 3 BMG nicht mehr. Die Vorschrift kann entfallen.

8. Zu Artikel 21 Nummer 3 (§ 28a Absatz 2 Satz 2, 3, Absatz 3 Satz 2 GenTG)

In Artikel 21 ist Nummer 3 wie folgt zu fassen:

"3. § 28a wird wie folgt geändert:

Begründung:

Es handelt sich um eine rein terminologische Anpassung an Artikel 4 Nummer 1 der Verordnung (EU) Nr. 2016/679 .

9. Zu Artikel 23 Nummer 4 (§ 26 Absatz 1 Nummer 1a - neu -, 1b - neu - GenDG)

In Artikel 23 Nummer 4 sind in § 26 Absatz 1 nach Nummer 1 folgende Nummern einzufügen:

Begründung:

Die in § 26 Absatz 1 GenDG-E einzufügenden Nummern 1a und 1b entsprechen den geltenden § 26 Absatz 1 Nummer 3 und 4 GenDG. Diese Regelungen dürften nicht von Artikel 83 der Verordnung (EU) Nr. 2016/679 erfasst sein.

Die Verordnung (EU) Nr. 2016/679 gilt nach ihrem Artikel 2 für die Verarbeitung personenbezogener Daten.

Nach Artikel 4 Nummer 1 der Verordnung (EU) Nr. 2016/679 sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gemäß § 3 Nummer 10 GenDG ist eine genetische Probe biologisches Material, das zur Verwendung für genetische Analysen vorgesehen ist oder an dem solche Analysen vorgenommen wurden. Erst durch die genetische Analyse werden die genetischen Eigenschaften zum Beispiel hinsichtlich der Zahl und Struktur der Chromosomen festgestellt. Das bedeutet, dass erst aus der Probe die Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gewonnen werden. Bei der Probe selbst dürfte es sich damit um keine Information handeln. Die derzeitigen Regelungen des § 26 Absatz 1 Nummer 3 und 4 GenDG sollten daher zur Klarstellung beibehalten werden.

10. Zu Artikel 47 Nummer 7 Buchstabe c - neu - (§ 10 Absatz 4 AZR)

In Artikel 47 ist der Nummer 7 folgender Buchstabe anzufügen:

"c) Absatz 4 wird wie folgt gefasst:

(4) Die AZR-Nummer darf von allen öffentlichen Stellen nur genutzt werden

Begründung:

Es besteht ein dringender Bedarf zur Erweiterung der Verwendungsmöglichkeit der "AZR-Nummer" für den Datenaustausch der Behörden, die mit dem Flüchtlingszustrom befasst sind. Hierfür gab es bereits Ende der 18. Legislaturperiode einen Gesetzentwurf im Rahmen des Artikelgesetzes "Datenaustauschverbesserungsfortentwicklungsgesetz", das jedoch nicht mehr verabschiedet wurde. Die fehlende Möglichkeit des Datenaustauschs erschwert die Aufgabenerfüllung der Behörden, die mit Leistungen gegenüber Flüchtlingen befasst sind, insbesondere auch im Hinblick auf die Vermeidung von Doppelleistungen. Insofern ist es dringend erforderlich, einen Datenaustausch zwischen den einzelnen Sozialbehörden, den Ausländerbehörden und den zuständigen Landesbehörden rechtlich zu ermöglichen.

Neben dem Datenaustausch zwischen den Leistungsbehörden besteht auch im Datenaustausch zwischen den Ausländerbehörden und den Sicherheitsbehörden ein dringender Bedarf, die AZR-Nummer zur eindeutigen Zuordnung einer Person zu verwenden. Dies betrifft insbesondere die automatisierte Sicherheitsanfrage im Titelerteilungsverfahren gemäß § 73 Absatz 2 und 3 Satz 1 AufenthG. Bei der Sicherheitsanfrage gleichen die Sicherheitsbehörden die von den Ausländerbehörden übermittelten Daten mit den Datensätzen, in denen Ihre Erkenntnisse gespeichert sind, ab. Dabei kommt es im Rahmen des technischen Abgleichs häufig zu einer großen Zahl von Treffern, da - um eine möglichst lückenlose Überprüfung zu gewährleisten - die übermittelten Vor- und Nachnamen in allen denkbaren Kombinationen und Schreibweisen abgeglichen werden. Gerade häufig vorkommende Namensteile und Geburtsdaten können so nur schwer korrekt zugeordnet werden. Diese Vielzahl an technischen Treffern muss sodann aufwändig durch Mitarbeiter der Sicherheitsbehörde daraufhin überprüft werden, ob sich die technischen Treffer tatsächlich auf den von der Anfrage betroffenen Ausländer beziehen und damit auch fachliche Treffer vorliegen.

Da zu allen Erkenntnissen, die sich auf eine zweifelsfrei identifizierte Person ausländischer Staatsangehörigkeit beziehen, die AZR-Nummer in den Systemen der Sicherheitsbehörden hinterlegt ist, würde die Übermittlung der AZR-Nummer als eindeutiges Datum erleichtern, nicht den Antragsteller betreffende technische Treffer auszusortieren, somit das Überprüfungsverfahren beschleunigen und zu einer spürbaren Entlastung der personellen Ressourcen der Sicherheitsbehörden führen.

11. Zu Artikel 81 Nummer 4 Buchstabe c (§ 14 Absatz 8 Satz 1, 2a - neu -, 2b - neu - GewO)

Artikel 81 Nummer 4 Buchstabe c ist wie folgt zu fassen:

"c) Absatz 8 wird wie folgt geändert:

"Sind die Daten derart verbunden, dass ihre Trennung nach erforderlichen und nicht erforderlichen Daten nicht oder nur mit unverhältnismäßigem Aufwand möglich ist, sind auch die Kenntnisnahme, die Weitergabe innerhalb der datenverarbeitenden Stelle und die Übermittlung der Daten, die nicht zur Erfüllung der jeweiligen Aufgaben erforderlich sind, zulässig, soweit nicht schutzwürdige Belange der betroffenen Personen oder Dritter überwiegen. Die nicht erforderlichen Daten unterliegen insoweit einem Verwertungsverbot." "

Begründung:

§ 14 Absatz 8 GewO zählt abschließend auf, an welche Stellen die Daten regelmäßig weiterzuleiten sind und regelt, dass nur die Daten übermittelt werden dürfen, die jeweils zur Aufgabenwahrnehmung der betreffenden Stellen erforderlich sind. Gemäß § 3 Absatz 4 GewAnzV wird für den Datentransport bundeseinheitlich der IT-Standard XGewerbeanzeige verbindlich vorgegeben. Eine automatisierte Datentrennung, die eine Datenfilterung nach Empfangsstelle vornimmt, kann im Rahmen des IT-Standards XGewerbeanzeige nicht geleistet werden. Um einen funktionsfähigen Standard zu etablieren, auf dessen Grundlage ein medienbruchfreier elektronischer Transport von Daten an eine Vielzahl unterschiedlicher Stellen ermöglicht wird, ist es unumgänglich, Abläufe zu vereinheitlichen und auf adressatenbezogene Differenzierungen zu verzichten. Die nach dem gegenwärtigen Gesetzeswortlaut erforderliche Datentrennung müsste also vor Weiterleitung der Daten über XGewerbeanzeige händisch durchgeführt werden. Dies würde aber dem Zweck der Gewerbeanzeigenverordnung zuwiderlaufen, die Datenübermittlung voll elektronisch abzuwickeln.

Die Ergänzung der Verhältnismäßigkeitsregelung ermöglicht die uneingeschränkte Umsetzung der Gewerbeanzeigenverordnung unter Wahrung des datenschutzrechtlichen Grundsatzes der Zweckbindung der erhobenen Daten. In diesem Sinne unterliegen die nicht erforderlichen Daten einem Verwertungsverbot seitens der empfangenden Behörde. Die ungefilterte Datenweiterleitung ist im Übrigen unzulässig, wenn schutzwürdige Belange der betroffenen Person oder Dritter entgegenstehen. Dies gewährleistet die Berücksichtigung besonderer Interessenlagen im Einzelfall.

12. Zu Artikel 82 Nummer 2 Buchstabe a Doppelbuchstabe aa (§ 9 Absatz 1 Satz 1a - neu - IHKG)

In Artikel 82 Nummer 2 Buchstabe a Doppelbuchstabe aa § 9 Absatz 1 ist nach Satz 1 folgender Satz einzufügen:

"Bei nicht öffentlichen Stellen und aus allgemein zugänglichen Quellen dürfen Industrie- und Handelskammern die Daten nach § 14 Absatz 8 Satz 1 Nummer 1 in Verbindung mit Satz 2 der Gewerbeordnung sowie der Rechtsverordnung nach § 14 Absatz 14 der Gewerbeordnung erheben, wenn

Begründung:

Industrie- und Handelskammern (IHK) müssen aus verschiedenen Gründen Daten erheben und verarbeiten, zum Beispiel zur Klärung der gesetzlichen Mitgliedschaft und zur Beitragsveranlagung, aber auch zur Gewährung der Beteiligungs- und Mitwirkungsrechte der Mitgliedsunternehmen. Insbesondere für die korrekte Durchführung der Wahlen zur Vollversammlung sind die IHK auf aktuelle Daten ihrer Mitgliedsunternehmen angewiesen. Ohne aktuelle Adressen aller Mitgliedsunternehmen können diese nicht ordnungsgemäß über bevorstehende Wahlen benachrichtigt werden - was wiederum eine Wahl angreifbar macht.

Auch der in Artikel 5 Absatz 1 Buchstabe d DSGVO normierte Rechtsgrundsatz "Richtigkeit der Daten" stellt an die IHK die Anforderung, alles zu tun, um Daten aktuell zu halten.

Gewerbetreibende kommen nach Auskunft von Industrie- und Handelskammern in einer deutlichen Größenordnung nicht ihrer Pflicht zur An-, Um- und Abmeldung nach. So tätigen zum Beispiel nach den Erfahrungen der IHK München etwa 50 Prozent aller Kleingewerbetreibenden keine Gewerbemeldungen (vor allem Um- und Abmeldungen). Damit liegen diese Daten öffentlichen Stellen ebenfalls nicht vor und können somit nicht zur Verfügung gestellt werden.

Auch eine Datenerhebung bei den Kammermitgliedern läuft häufig ins Leere, zum einen weil die Rücklaufquote gering ist (nach Aussage der IHK München durchschnittlich 10 Prozent), zum anderen weil zum Beispiel aufgrund Sitzverlegung Unternehmen nicht mehr postalisch zu erreichen sind.

Die Möglichkeit der Datenübermittlung von den Finanzbehörden nach § 31 AO wird über das bundesweit abgestimmte Leitstellenverfahren umfassend genutzt, ist jedoch nicht ausreichend. So erhalten IHK von den Finanzämtern keine gesonderten Umzugsmeldungen, es entsteht oftmals ein erheblicher Zeitverzug, in der Zwischenzeit versandte Post (Beitragsbescheide, Wahlbenachrichtigungen) kommen als unzustellbar zurück.

Eigene Recherchen bei unzustellbaren Postrückläufen sind sehr zeit- und kostenaufwändig. Das IHKG verpflichtet die Industrie- und Handelskammern in § 3 Absatz 2 Satz 2 IHKG zur Wirtschaftlichkeit und Sparsamkeit.

Daher benötigen IHK sichere Rechtsgrundlagen, um Services der Deutschen Post, Hinweise von Nachmietern auf Umzug und so weiter, aber auch allgemein zugängliche Quellen wie das Handelsregister oder das Telefonbuch nutzen zu dürfen.

Die durch den vorliegenden Gesetzentwurf geplante Anpassung des IHKG an die Datenschutzgrundverordnung enthält bislang keine ausreichende Rechtsgrundlage für die Industrie- und Handelskammern, die es ihnen erlauben würden, ihrer Pflicht zur Datenverarbeitung sowie ihrer Pflicht zur Wirtschaftlichkeit ordnungsgemäß nachzukommen.

§ 9 Absatz 1 Satz 1 und 2 IHKG-E erlaubt eine Datenerhebung nur bei "Kammerzugehörigen oder öffentlichen Stellen".

Den Industrie- und Handelskammern soll durch den zusätzlich in § 9 Absatz 1 IHKG-E einzufügenden Satz 1a die Möglichkeit gewährt werden, unter bestimmten Voraussetzungen auch bei nicht öffentlichen Stellen und aus allgemein zugänglichen Quellen Daten zu erheben. Der bislang vorgesehene § 9 Absatz 1 Satz 2 IHKG-E würde zu Satz 3, wobei letzterer dann auf die Sätze 1 und 2 verweisen müsste.

Die Möglichkeit der Datenerhebung bei nichtöffentlichen Stellen und aus allgemein zugänglichen Quellen ist auch konform mit der Datenschutzgrundverordnung (DSGVO), in welcher der Grundsatz der Direkterhebung nicht mehr ausdrücklich enthalten ist.

Artikel 14 DSGVO setzt vielmehr die Konstellation voraus, dass personenbezogene Daten nicht bei der betroffenen Person erhoben werden.

13. Zu Artikel 128 Nummer 13 Buchstabe c Doppelbuchstabe aa (§ 204 Absatz 2 Satz 1 SGB VII), Doppelbuchstabe bb (§ 204 Absatz 2 Satz 2, 3 SGB VII)

In Artikel 128 Nummer 13 Buchstabe c sind Doppelbuchstabe aa und bb wie folgt zu fassen:

Begründung:

Auch in § 204 SGB VII soll die bisherige Rechtslage im Wesentlichen beibehalten und lediglich redaktionell an die Begriffsbestimmungen aus Artikel 4 der Verordnung (EU) Nr. 2016/679 angepasst werden. Hierfür kann indes die Datenverarbeitungsbefugnis nicht - wie geplant - auf die Erhebung beschränkt werden. Erheben bedeutet zielgerichtetes Beschaffen. Durch den ersatzlosen Wegfall der Verarbeitung und Nutzung, werden andere Verarbeitungstätigkeiten zugleich unzulässig. Um die bisherige Rechtslage im Wesentlichen beizubehalten, sind die vorstehenden Änderungen erforderlich.

Die Zulässigkeit des weiteren Verarbeitungshandelns kann nicht auf § 204 Absatz 1 SGB VII gestützt werden. Denn bei dieser Norm handelt es sich nur um die Ermächtigungsgrundlage zur Errichtung der Dateien bzw. Dateisysteme. Demgegenüber enthält § 204 Absatz 2 SGB VII die abschließende Regelung der Datenverarbeitungsbefugnisse. Diese Auffassung entspricht der ursprünglichen gesetzgeberischen Intention, vgl. BT-Drucksache 013/2204, Seite 118f.

Um den ursprünglichen Regelungsinhalt beizubehalten ist es ausreichend, das Wort "Dateien" durch "Dateisystemen" zu ersetzen.

Nach Satz 3 werden zwei weitere Sätze angefügt, die ebenfalls Maßgaben für die Datenverarbeitung enthalten. Daher muss es zukünftig nicht "nach Maßgabe der Sätze 2 und 3", sondern "nach Maßgabe der Sätze 2 bis 5 heißen".

Bislang war nach § 204 Absatz 2 Satz 1 SGB VII die Erhebung, Verarbeitung und Nutzung von Daten zulässig. Sowohl die Erhebung als auch die Nutzung stellen nunmehr Unterfälle der Verarbeitung nach im Sinne von Artikel 4 Nummer 2 der Verordnung (EU) Nr. 2016/679 dar. Einer gesonderten Erwähnung der Erhebung und der Nutzung bedarf es daher nicht mehr. Zur Beibehaltung der bisherigen Rechtslage sind daher lediglich die Wörter "erhoben," sowie "oder genutzt" zu streichen.

Nach § 204 Absatz 2 Satz 2 und 3 SGB VII war bislang nur die Verarbeitung und Nutzung zulässig, wobei sich der Begriff der Verarbeitung nach § 67 Absatz 6 Satz 1 SGB X (a. F.) als Speichern, Verändern, Übermitteln, Sperren und Löschen definierte. Die Erhebung ( § 67 Absatz 5 SGB X (a. F.)) stellte sich weder als Verarbeitung noch als Nutzung dar und ist bzw. war daher nach § 204 Absatz 2 Satz 2 und 3 SGB VII-E nicht zulässig.

Soweit nunmehr die Erhebung zulässig, die anderen Verarbeitungstätigkeiten hingegen unzulässig sein sollte, führt dies zu einer Änderung Rechtslage. Es ist zudem nicht nachvollziehbar, welchem Zweck die Erhebung (Beschaffung) dient, wenn kein nachfolgendes Datenverarbeitungshandeln zulässig ist (zum Beispiel Speicherung).

14. Zu Artikel 131 (Änderung der Regelungen über den Sozialdatenschutz im SGB X)

Der Bundesrat bittet im weiteren Gesetzgebungsverfahren zu prüfen, ob die Regelungen des SGB X über den Sozialdatenschutz um Vorschriften zu ergänzen sind, nach denen

Begründung:

Zur sachgerechten Erfüllung der ihnen nach dem Achten Buch Sozialgesetzbuch im Rahmen der Verteilung unbegleiteter ausländischer Minderjähriger übertragenen Aufgaben sind das Bundesverwaltungsamt sowie die Landesverteilstellen nach § 42b SGB VIII auf die Übermittlung von Sozialdaten der zur Verteilung angemeldeten unbegleiteten Minderjährigen angewiesen. Das gleiche Erfordernis kann sich im Einzelfall auch bei der Bearbeitung von Korrekturmeldungen oder Erklärungen über den Ausschluss von der Verteilung erweisen. Maßgeblich für die Verteilentscheidung ist stets, dass das Wohl des unbegleiteten Kindes oder Jugendlichen gewährleistet wird. Da ein Großteil der im Inland aufgenommenen unbegleiteten ausländischen Minderjährigen in der Bundesrepublik Deutschland internationalen Schutz vor Verfolgung - unter anderem wegen ihrer rassischen und ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, der sexuellen Identität oder Orientierung - sucht, muss sichergestellt sein, dass die daraus resultierenden besonderen Schutzbedürfnisse auch bei der Bestimmung der zur Aufnahme verpflichteten Länder und Träger beachtet und geeignete Einrichtungen zum Schutz der Betroffenen ausgewählt werden können. Das gleiche Problem stellt sich, wenn ein besonderer Schutzbedarf aus Krankheit oder Behinderungen resultiert. Die Erhebung solcher besonderer Kategorien von Daten durch bzw. die Übermittlung solcher Daten an die genannten Stellen kann sich deshalb nach den Umständen des jeweiligen Einzelfalles als unumgänglich erweisen.

Das Problem stellt sich in ähnlicher Weise für die Kostenerstattungsstellen der Länder nach § 89d Absatz 1 und § 89g SGB VIII. Die Befugnis der zur Kostenerstattung berechtigten Träger zur Übermittlung von Sozialdaten einschließlich - bei Gewährung von Krankenhilfe - von Gesundheitsdaten an das Land und die Nutzung dieser Daten ergibt sich im Regelungsgefüge des Sozialgesetzbuchs aus der Notwendigkeit der Kontrolle und Rechnungsprüfung im Zusammenhang mit der Kostenerstattung nach § 67b Absatz 1 Satz 1 und 2, § 69 Absatz 5 und § 67 Absatz 3 Nummer 1 SGB X, hinsichtlich der auf ärztlichen Angaben beruhenden Gesundheitsdaten in Verbindung mit § 76 Absatz 2 Nummer 2 SGB X; die Zweckbindung der Daten ist durch § 78 Absatz 1 SGB X sichergestellt. Allerdings können sich die Kostenerstattungsstellen dabei nicht auf die für Leistungsträger geltenden Vorschriften stützen. Denn das Land als erstattungspflichtige Stelle nach § 89d Absatz 1 SGB VIII ist nicht auf Grund einer eigenen sozialen Leistungspflicht zur Erstattung verpflichtet, sondern ausschließlich im Rahmen eines finanziellen Lastenausgleichs zwischen kommunaler und staatlicher Ebene. Es handelt deshalb nicht als Leistungsträger im Sinne des § 35 in Verbindung mit § 12 und §§ 18 bis 29 SGB I. Die Erstattungspflicht gehört auch nicht zu den speziellen Aufgaben, die hinsichtlich des Datenschutzes in den §§ 67 ff. SGB X kraft Rechtsfolgenverweisung denen der Leistungsträger im Sinne von § 35 in Verbindung mit § 12 und §§ 18 bis 29 SGB I gleichgestellt sind. Zur Prüfung der Gesetzeskonformität der gewährten Jugendhilfe nach § 89f SGB VIII kann es allerdings je nach den Umständen des Einzelfalls unvermeidbar sein, die Rechtmäßigkeit der Leistungen an Hand von Angaben zu prüfen, die zu den besonderen Datenkategorien nach Artikel 9 Absatz 1 der Verordnung (EU) Nr. 2016/679 gehören.

Im Rahmen der bestehenden gesetzlichen Vorschriften über den Sozialdatenschutz erscheint, verglichen mit den für andere Aufgabeträger geltenden Regelungen des Zehnten Buches Sozialgesetzbuch, die Befugnis der genannten Aufgabenträger zur Verarbeitung der Sozialdaten, insbesondere der besonders geschützten Daten, nicht in optimaler Transparenz ausgestaltet, so dass eine Restunsicherheit verbleibt, ob und in welchem Umfang es zusätzlicher Vorkehrungen der für den Datenschutz verantwortlichen Stellen zur Gewährleistung datenschutzrechtlicher Transparenz im Kontext der genannten Aufgaben bedarf.

15. Zu Artikel 154 Nummer 6 (§ 16 Absatz 3a Satz 2 LuftSiG)

In Artikel 154 ist Nummer 6 zu streichen.

Begründung:

Durch die Streichung von Artikel 154 Nummer 6 wird eine Regelung geschaffen, die Auswirkungen auf die geltenden Zuständigkeitsregelungen im Verhältnis von Bund und Länder haben soll.

Es besteht keine Eilbedürftigkeit, eine derartige Regelung in einem fachfremden Gesetz zu verankern und nicht in einem Gesetzgebungsverfahren zur Änderung des LuftSiG einzubringen. Die Reichweite von § 16 Absatz 3a Satz 2 LuftSiG und das hieraus abzuleitende eingeschränkte Rückholrecht ist der Bundesregierung schon seit längerer Zeit bekannt. Alle nach dem LuftSiG und nach der Verordnung (EG) Nr. 300/2008 durchzuführenden Aufgaben können nach der bestehenden Zuständigkeitsregelung gesetzeskonform durchgeführt werden.

Da in anderen Fällen ein von den Fachministerien anerkannter Anpassungsbedarf im LuftSiG besteht, sollten sämtliche für erforderlich gehaltenen Änderungen in einem Gesetz zur Anpassung des Luftsicherheitsgesetzes erfolgen und die hierbei zu beachtenden Rechte des Bundesrates (das LuftSiG ist ein zustimmungsbedürftiges Gesetz) Berücksichtigung finden.

16. Zum Gesetzentwurf allgemein

Der Bundesrat beobachtet mit Sorge, dass ungeachtet der mit dem Gesetzentwurf bezweckten umfassenden Anpassung des Bundesrechts an die EU-Datenschutzreform in der betrieblichen und behördlichen Praxis noch Unsicherheiten über die Fortgeltung bewährter nationaler Vorschriften zum Schutz der Persönlichkeitsrechte fortbestehen, etwa hinsichtlich des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KunstUrhG) und des Telemediengesetzes (TMG).

Der Bundesrat bittet deshalb die Bundesregierung, im Rahmen der nach der Datenschutz-Grundverordnung und dem 1. Datenschutz-Anpassungs- und Umsetzungsgesetz erforderlichen Berichte und Bewertungen zu überprüfen, ob bei der Anwendung europäischer und nationaler Datenschutzregelungen Rechtsunsicherheiten in zentralen Praxisfragen wie bei der Veröffentlichung von Abbildungen oder den Anforderungen an Telemediendienste fortbestehen und ihm über das Ergebnis dieser Prüfung zu berichten.

Begründung:

Ungeachtet umfangreicher Informationsangebote des Bundes und der Länder, insbesondere ihrer Datenschutzaufsichtsbehörden, sowie der Verbände der Wirtschaft und des Ehrenamts bestehen in der datenschutzrechtlichen Praxis noch Unsicherheiten ob und in welchem Umfang bisher zentrale Datenschutzregelungen wie zum Beispiel das KunstUrhG und das TMG auch nach dem 25. Mai 2018 fortgelten.

Die nach Artikel 97 DSGVO bis zum 25. Mai 2020 bzw. die bis spätestens drei Jahre nach Inkrafttreten des Bundesdatenschutzgesetzes (BDSG; vgl. Nummer VII der Begründung zum Gesetzentwurf vom 24. Februar 2017, BT-Drucksache 18/11325) erforderliche Evaluierung des europäischen und nationalen Datenschutzrechts sollte daher auch für eine Überprüfung genutzt werden, ob im Interesse von Praktikabilität und Rechtssicherheit ergänzende Anpassungen des nationalen Datenschutzrechts eingeleitet werden sollten.