Bundestag ändert BDSG – Datenschutzbeauftragter muss nun erst ab 20 Personen bestellt werden

Montag, 1. Juli 2019


In den frühen Morgenstunden des 28. Juni 2019 hat der Bundestag den Gesetzentwurf (PDF) des zweiten Datenschutzanpassungs- und Umsetzungsgesetzes beschlossen. Damit werden 154 Fachgesetze aus fast allen Ressorts mit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) in Einklang gebracht. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten.

"Milchmädchenrechnung"

Zudem verändert das verabschiedete Gesetz auch wichtige Punkte im BDSG. Mit dem Argument des Bürokratieabbaus hatte die Unionsfraktion die Forderung in die Gesetzesberatung eingebracht, die Grenze der Bestellpflicht für einen betrieblichen Datenschutzbeauftragten (§ 38 BDSG) auf 50 Personen zu erhöhen. Im Rahmen eines Kompromisses haben sich die Koalitionsfraktionen auf eine Erhöhung von 10 auf 20 Personen, die ständig personenbezogene Daten verarbeiten, verständigt.

Doch diese scheinbare Entlastung trügt. Für Unternehmen ist der Datenschutz immer zu beachten, egal wie viele Mitarbeiter dort beschäftigt sind. Die Pflichten aus der DSGVO, z. B. die Informationspflichten gegenüber den betroffenen Personen (Art. 13, 14 DSGVO), Meldung von Datenpannen (Art. 33, 34 DSGVO), das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) und vieles anderes mehr sind unabhängig von der Bestellpflicht eines betrieblichen Datenschutzbeauftragten zu erfüllen.

Bestellpflicht nach DSGVO weiterhin zu beachten

Unabhängig von der Mitarbeiteranzahl ist neben der Bestellpflicht nach § 38 BDSG auch der Art. 37 DSGVO weiterhin zu beachten, der eine verpflichtende Benennung eines Datenschutzbeauftragten u.a. vorsieht, wenn

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Die Änderungen durch den Bundestag sind Experten zufolge daher nur eine scheinbare Entlastung für Unternehmen. Die Befreiung von der Bestellpflicht eines Datenschutzbeauftragten führt nämlich nicht zu einem Wegfall anderer datenschutzrechtlicher Pflichten. Überspitzt lässt sich sagen, dass mit dem Wegfall eines Datenschutzbeauftragten nicht Bürokratie, sondern Kompetenz und Sachverstand abgebaut wird.

Datenschutz als Marktwert

Auch ohne eine gesetzliche Bestellpflicht sind Unternehmen daher gut beraten, einen betrieblichen Datenschutzbeauftragten zu benennen. Dr. Lutz Hasse, der Thüringer Landesbeauftragte für den Datenschutz, ließ sich dazu mit folgenden Worten zitieren:

"Ich rate den Unternehmen und Vereinen gleichwohl, sich Datenschutzexpertise einzuholen. Im Übrigen sollte eher in den Vordergrund gestellt werden, dass dem Datenschutz ein bedeutender Marktwert zukommt, gerade im Zuge der zunehmenden Digitalisierung im Wirtschaftssektor."

Ähnlich äußerte sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk:

„Die geplante Regelung suggeriert kleinen Unternehmen eine Abnahme an Bürokratie, doch diese Rechnung wird nicht aufgehen. Ohne ein geregeltes Datenschutzmanagement und das Know-how von Experten wird die Umsetzung datenschutzrechtlicher Vorgaben für Unternehmen voraussichtlich arbeitsintensiver und teurer. Ich empfehle betroffenen Unternehmen und Vereinen daher dringend, auch ohne gesetzliche Verpflichtung weiterhin Datenschutzbeauftragte zu benennen und angemessen auszustatten.“

Im Beschäftigtendatenschutz entfällt das Schriftformerfordernis für die Einwilligung

Auch der für die Praxis wichtige § 26 BDSG, der die Datenverarbeitung im Beschäftigtenverhältnis regelt, wird an einer Stelle geändert. Zukünftig entfällt das Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis und wird durch die Wörter "hat schriftlich oder elektronisch zu erfolgen" ersetzt. (fl)

Quellen:

Golem.de vom 28.06.2019: Bundestagsbeschluss: Keine Datenschutzbeauftragten mehr für Kleinbetriebe

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 28.06.2019: "Milchmädchenrechnung" des Bundestages, denn Datenschutz beginnt nicht bei 20 Mitarbeitern

Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 27.06.2019: Datenschutz-Anpassungsgesetz – vermeintlicher Bürokratieabbau ist eine Milchmädchenrechnung