23.05.2019

Das Omnibusgesetz: geplante Änderungen im Datenschutz

Unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Philipp Siedenburg
Operating Partner

Die Datenschutz-Grundverordnung (DSGVO) gilt als europäische Verordnung EU-weit und unmittelbar. Das bedeutet, dass die Mitgliedstaaten der Europäischen Union die Vorgaben nicht erst in nationale Gesetze gießen müssen, damit das neue Datenschutzrecht gilt. Dennoch sind Anpassungen des nationalen Rechts erforderlich. Zum einen ist es den Mitgliedstaaten verboten, Regelungspunkte der Verordnung zu wiederholen (Wiederholungsverbot). Insofern sind Streichungen notwendig. Zum anderen enthält die DSGVO zahlreiche Öffnungsklauseln, die Abweichungen und Beschränkungen durch nationale Regelungen zulassen. Die ersten Änderungen erfolgten schließlich mit dem ersten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) und betrafen das Bundesdatenschutzgesetz (BDSG). Nun soll das zweite DSAnpUG-EU kommen. Es enthält vornehmlich rechtstechnische bzw. redaktionelle Änderungen.

Das Omnibusverfahren: Zweites DSAnpUG-Gesetz im Express

Das zweite Anpassungsgesetz wird als Omnibusgesetz bezeichnet, da es im sog. Omnibusverfahren verabschiedet werden soll. Anders als üblich, soll mit einem Omnibusgesetz nicht nur ein Sachverhalt geregelt werden, sondern gleiche mehrere. Diese Sachverhalte müssen inhaltlich nicht zwingend miteinander zusammenhängen. Die Vorteile: Die Vorschläge können schneller verabschiedet werden und Abgeordnete, die im Rahmen eines separaten Gesetzgebungsverfahrens nicht allen Punkten zustimmen würden, akzeptieren diese im Omnibusverfahren viel eher – eine Art Kompromiss.

Änderungen von mehr als 154 Fach- und Bundesgesetzen fast aller Ressorts

Wurde mit dem ersten Anpassungsgesetz noch das genuine, nationale Datenschutzrecht (BDSG) angepasst, soll das zweite Anpassungsgesetz nun vor allem den bereichsspezifischen Datenschutz ins Auge fassen. Hierzu zählen die datenschutzrechtlichen Regelungen der Strafprozessordnung (StPO), der Sozialgesetzbücher (etwa SGB V und SGB XI), aber auch Regelungen weniger prominenter Gesetze wie dem Rindfleischetikettierungs- oder dem Agrarstatistikgesetz. Die Postdienste-Datenschutzverordnung von 2002 soll hingegen gänzlich aufgehoben werden.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zu Datenschutz, Informationssicherheit, KI und Datenstrategien einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 6 und 1?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Auch inhaltliche Änderungen sind geplant

Zwar heben die Befürworter des Gesetzesvorhabens immer wieder hervor, es handele sich nur um geringfügige Änderungen, die zudem bloß rechtstechnischer Natur seien. Das mag schwerpunktmäßig auch zutreffend sein. Es gibt jedoch tatsächlich auch inhaltliche Änderungen. So sollen zum Beispiel auch neue Rechtsgrundlagen geschaffen werden, die folgende Verarbeitungssituationen erfassen:

  • Verarbeitung von personenbezogenen Daten zu Zwecken staatlicher Auszeichnungen
  • Verarbeitung sensibler Informationen (etwa Religionsdaten) durch zivilgesellschaftliche Träger im Rahmen von Deradikalisierungsprogrammen und zur Weitergabe an Sicherheitsbehörden im Ernstfall
  • Weiterverarbeitung personenbezogener Daten zum Zwecke der „Sammlung, Auswertung oder Untersuchung von Informationen über Sicherheitsrisiken oder Sicherheitsvorkehrungen für die Informationstechnik“ durch das BSI
  • Verarbeitung besonderer Kategorien personenbezogener Daten durch das BSI (§ 3a Abs. 3 BSIG-E)
  • „Umfängliche zusätzliche Datenspeicherungen“ durch die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS-Gesetz)

Verhältnis des TMG zur DSGVO weiterhin unklar

Auch das Telemediengesetz (TMG) enthält datenschutzrechtliche Regelungen, die die Verarbeitungsmöglichkeiten im Bereich der elektronischen Kommunikation, die Unternehmen nach der DSGVO eigentlich zustünden, teilweise an besondere Voraussetzungen knüpft. Besonders relevant sind diese Regelungen für den Einsatz von Cookies und das Tracking von Website-Besuchern zu Werbezwecken.
Nach Ansicht der Datenschutzkonferenz (DSK) seien die entsprechenden Paragraphen nicht mehr anwendbar, sondern nur die Vorgaben der DSGVO. Rechtsverbindlich ist diese Ansicht aber nicht. Und es gibt tatsächlich auch Stimmen, die sich dagegen aussprechen. Leider enthält der Gesetzesentwurf keine Klarstellung zu dieser Problematik.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Telekommunikationsdienstleister sollen dem BfDI unterstellt werden

Anders als bisher, sollen Telekommunikationsdienstleister in Zukunft einheitlich der Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) unterstehen. Zu diesem Zwecke soll § 9 BDSG reformiert werden. Das Telekommunikationsgesetz (TKG) soll in Zukunft nur noch Verarbeitungsvorgänge in Umsetzung der ePrivacy-Richtlinie regeln. Bestimmungen des TKG, die Bereiche betreffen, welche bereits die DSGVO regelt, sollen gestrichen werden. Welche dies im Einzelnen sein sollen, lässt der Gesetzesentwurf unbeantwortet. Im ursprünglichen Referentenentwurf waren daher auch umfangreiche Änderungen des TKG und TMG vorgesehen, um diese Rechtsunsicherheiten aus der Welt zu schaffen. Die Bundesregierung hat entsprechende Vorschläge jedoch aus bisher unbekannten Gründen verworfen.

Fazit

Die geplanten Änderungen durch das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind tatsächlich hauptsächlich rechtstechnischer Natur. So werden zahlreiche Begriffsbestimmungen und Verweise geändert. Aber auch die wenigen inhaltlichen Anpassungen sollten unseres Erachtens deutlicher kommuniziert werden.

Zurück zur Newsübersicht

Weitere Neuigkeiten

22.09.2025

Privacy by Design: Die 10 wichtigsten Maßnahmen

Privacy by Design heißt: Datenschutz muss von Beginn an Teil von Produkt‑, Prozess‑ und IT‑Design sein. Entscheidend sind klare Zwecke und Datenflüsse, echte Datenminimierung mit Löschregeln, datenschutzfreundliche Defaults sowie praktikable Prozesse für Sicherheit, Betroffenenrechte und Dienstleister. Dieser Beitrag zeigt die zehn wichtigsten Maßnahmen für eine schlanke, prüfbare Umsetzung.

Weiterlesen …

18.09.2025

KI und Ransomware: Wie Cyberkriminelle Künstliche Intelligenz zur Waffe machen

Ransomware bleibt eine der disruptivsten Cyberbedrohungen für Unternehmen weltweit. Was einst als einfache Schadsoftware begann, die Dateien für schnelles Lösegeld verschlüsselte, hat sich zu einer milliardenschweren kriminellen Industrie entwickelt. Der neueste Trend, der Ransomware noch gefährlicher macht, ist der Einsatz von Künstlicher Intelligenz (KI) durch Cyberkriminelle. KI ist längst nicht mehr nur ein Werkzeug der Verteidiger – Angreifer lernen, ihre Fähigkeiten auszunutzen, um schneller, ausgefeilter und wirkungsvoller anzugreifen.

Weiterlesen …

09.09.2025

Risikomanagement nach ISO 27005 in 6 Schritten umsetzen

Risikomanagement ist das Herzstück eines wirksamen Informationssicherheits-Managementsystems (ISMS). Die ISO/IEC 27005 liefert dafür einen praxistauglichen Leitfaden – flexibel, skalierbar und direkt anschlussfähig an ISO/IEC 27001. In diesem Beitrag zeigen wir, wie Sie strukturiert vorgehen und welche Vorteile sich daraus für Ihr Unternehmen ergeben.

Weiterlesen …