Bundesdatenschutzgesetz geändert – Datenschutzbeauftragter erst ab 20 Personen
Der Bundesrat hat am 20. September 2019 zahlreichen Anpassungen nationaler Vorschriften an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) zugestimmt. Dem vorausgegangen war ein Gesetzesentwurf (PDF) zum zweiten Datenschutzanpassungs- und Umsetzungsgesetz, den der Bundestag am 28. Juni 2019 beschlossen hatte.
Angepasst werden 154 Fachgesetze des sogenannten bereichsspezifischen Datenschutzes aus fast allen Ressorts. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten.
Datenschutzbeauftragter erst ab 20 Personen
Zudem werden auch wichtige Punkte im Bundesdatenschutzgesetz (BDSG) geändert. Unter anderem wird die Grenze der Bestellpflicht für einen betrieblichen Datenschutzbeauftragten von 10 auf 20 Personen, die ständig personenbezogene Daten verarbeiten, heraufgesetzt (§ 38 BDSG).
Bestellpflicht nach DSGVO weiterhin zu beachten
Unabhängig von der Mitarbeiteranzahl ist auch weiterhin zu beachten, dass ein Datenschutzbeauftragter nach DSGVO auch dann benannt werden muss, wenn
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.
„Milchmädchenrechnung“
Die Änderung des BDSG bei der Bestellpflicht des Datenschutzbeauftragten stößt nicht nur auf Begeisterung. Experten zufolge ist sie nur eine scheinbare Entlastung für Unternehmen. Denn die Befreiung von der Bestellpflicht führe nicht zu einer Befreiung von anderen Datenschutz-Pflichten. Unternehmen müssen den Datenschutz nämlich immer beachten, egal wie viele Mitarbeiter dort beschäftigt sind. Die Pflichten aus der DSGVO, z.B. die Informationspflichten gegenüber den betroffenen Personen, Meldung von Datenpannen, das Führen eines Verzeichnisses von Verarbeitungstätigkeiten und vieles anderes mehr müssen erfüllt werden – mit oder ohne Datenschutzbeauftragten. Überspitzt lässt sich daher sagen, dass mit dem Wegfall eines Datenschutzbeauftragten nicht Bürokratie, sondern Kompetenz und Sachverstand abgebaut wird.
Datenschutz als Marktwert
Auch ohne eine gesetzliche Bestellpflicht sind Unternehmen daher gut beraten, einen betrieblichen Datenschutzbeauftragten zu benennen. Dr. Lutz Hasse, der Thüringer Landesbeauftragte für den Datenschutz, ließ sich dazu mit folgenden Worten zitieren:
„Ich rate den Unternehmen und Vereinen gleichwohl, sich Datenschutzexpertise einzuholen. Im Übrigen sollte eher in den Vordergrund gestellt werden, dass dem Datenschutz ein bedeutender Marktwert zukommt, gerade im Zuge der zunehmenden Digitalisierung im Wirtschaftssektor.“
Ähnlich äußerte sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk:
„Die geplante Regelung suggeriert kleinen Unternehmen eine Abnahme an Bürokratie, doch diese Rechnung wird nicht aufgehen. Ohne ein geregeltes Datenschutzmanagement und das Know-how von Experten wird die Umsetzung datenschutzrechtlicher Vorgaben für Unternehmen voraussichtlich arbeitsintensiver und teurer. Ich empfehle betroffenen Unternehmen und Vereinen daher dringend, auch ohne gesetzliche Verpflichtung weiterhin Datenschutzbeauftragte zu benennen und angemessen auszustatten.“
Im Beschäftigtendatenschutz entfällt das Schriftformerfordernis für die Einwilligung
Auch der für die Praxis wichtige § 26 BDSG, der die Datenverarbeitung im Beschäftigtenverhältnis regelt, wird an einer Stelle geändert. Zukünftig entfällt das Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis und wird durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.
Inkrafttreten des neuen Gesetzes
Das Gesetz wird nun über die Bundesregierung dem Bundespräsidenten zur Unterzeichnung zugeleitet. Es tritt am Tag nach der Verkündung in Kraft. (fl)
Quellen:
heise online vom 20.09.2019: DSGVO: Bundesrat billigt Gesetz für weniger Betriebsdatenschutzbeauftragte
Golem.de vom 28.06.2019: Bundestagsbeschluss: Keine Datenschutzbeauftragten mehr für Kleinbetriebe
Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 28.06.2019: „Milchmädchenrechnung“ des Bundestages, denn Datenschutz beginnt nicht bei 20 Mitarbeitern
Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 27.06.2019: Datenschutz-Anpassungsgesetz – vermeintlicher Bürokratieabbau ist eine Milchmädchenrechnung