Eines Nachts im Bundestag…. Das neue Datenschutz-Anpassungs- und –Umsetzungsgesetz 2. DSAnpUG-EU 2019

Der Bundestag beschloss in der Nacht vom 27. Juni auf den  28. Juni 2019 (13 Monate nach Inkrafttreten der DSGVO) das 2. DSAnpUG zur Anpassung des bereichsspezifischen Datenschutzrechts an die Datenschutzgrundverordnung (DS-GVO). Damit machte die Bundesregierung von der sog. Öffnungsklausel der DS-GVO gebrauch, die es den nationalen Gesetzgebern der EU-Mitgliedstaaten ermöglichen, in bestimmten Bereichen ergänzende oder klarstellende Regelungen zu treffen.

Da das 2. DSAnpUG von Seiten des Bundesrates zustimmungsbedürftig ist, tritt es erst am Tag nach deren Verkündung im Bundesgesetzblatt in Kraft. Die Geltung der Änderungen ist mit hoher Wahrscheinlichkeit erst ab Jahr 2020 zu erwarten.

I. Der Verfahrensgang bis zum Beschluss:

21.06.2018       Referentenentwurf des Innenministeriums

01.10.2018       Gesetzesentwurf der Bundesregierung

26.06.2019      Beschlussempfehlung und Bericht

27.06.2019      Erste, zweite und dritte Beratung

II. Regelungsinhalt:

Geregelt und angepasst an die DS-GVO werden insgesamt 154 Bundesgesetze. Zu den Schwerpunktbereichen zählen dabei insbesondere Anpassungen von Begriffsbestimmungen. So wird die Gesetzeswortwahl der nationalen Gesetze an die Wortwahl der DS-GVO angepasst (z.B. wird „erheben, speichern, verändern und nutzen“ durch „verarbeiten“ ersetzt).

Zudem schafft das verabschiedete Gesetz auch Änderungen im BDSG.

Der vorliegende Beitrag würdigt vornehmlich die BDSG Vorschriften und beschränkt sich in diesem Rahmen lediglich punktuell auf die wesentlichen Aspekte.

III. Was sind nun die wesentlichen Veränderungen?

Neben technischen Änderungen am BDSG und dem Hinzufügen des neuen § 86 BDSG (Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen) wurde auch der für die Praxis bedeutsame § 26 BDSG an einer Stelle verändert. Geändert wurde u.a. auch die Bestellpflicht betrieblicher Datenschutzbeauftragter gemäß § 38 BDSG. Im Einzelnen:

  1. § 26 BDSG Alt/Neu

26 Abs. 2 S. 3 BDSG regelte bis zum Gesetzesbeschluss, dass die Einwilligung im Beschäftigungsverhältnis formell betrachtet der Schriftform bedarf. In § 26 Abs. 2 Satz 3 BDSG entfällt nunmehr das Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis und wird durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.

  1. § 38 BDSG Alt/Neu

Nach § 38 Abs. 1 S.1 BDSG bestand bislang eine Benennungspflicht eines Datenschutzbeauftragten, wenn der Verantwortliche oder der Auftragsverarbeiter in der Regel mindestens 10 Personen ständig mit automatisierter Verarbeitung personenbezogener beschäftigte. Dieser Schwellenwert der Mitarbeiter wurde nun nach der neuen Regelung auf 20 Mitarbeiter angehoben.

Unternehmen mit weniger als 20 Mitarbeitern, die ständig personenbezogene Daten verarbeiten, sind demnach künftig nicht mehr verpflichtet, einen Datenschutzbeauftragten stellen zu müssen.

 

IV. Ziel des 2. DSAnpUG

Hauptargument der Unionsfraktion hinsichtlich der Erhöhung der Grenze der Bestellpflicht in der Gesetzesberatung für eine derartige Regelung war, Bürokratieabbau.

Ein Großteil der Handwerksbetriebe und Vereine sollten künftig von der Verpflichtung zur Bestellung eines Datenschutzbeauftragten befreit sein. Es sollten Erleichterungen gesetzlich geregelt werden für Unternehmen, bei welchen die Datenverarbeitung nicht schwerpunktmäßig zur Kerntätigkeit ihres geschäftlichen Wirkens zählt.

V. Mögliche Auswirkungen/Fazit

  1. Durch die Änderung des § 26 Abs. 2 S. 3 BDSG dürfte künftig der Austausch von E-Mails genügen und es hat sich somit der Streit, ob die bisherige Vorgabe der Schriftform als DSGVO-konform ist, erledigt.
  2. Für kleine Unternehmen ist die angepasste Pflicht zur Benennung eines Datenschutzbeauftragten zunächst sicherlich eine Erleichterung.

Wie der Ausschuss für Innere Angelegenheiten des Bundesrates zutreffend festgestellt hat und von vielen Wirtschaftsverbänden bestätigt wird, werden insbesondere die kleinen und mittleren Unternehmen sowie Freiberufler, übermäßig, vor allem finanziell, von der Pflicht belastet (BR-Drs. 430/1/18, Seite3 ff.). Das gilt insbesondere, weil immer mehr Geschäftsprozesse digitalisiert werden und demnach viele kleinere Unternehmen bereits einen Datenschutzbeauftragten zu benennen hätten, ohne dass es –wie von der DSGVO vorausgesetzt –auf das erhöhte Risiko für die Rechte des Betroffenen ankommt.

Aber wird den Unternehmen durch die Befreiung von der Bestellpflicht eines Datenschutzbeauftragten im Betrieb nicht nur Entlastung suggeriert? Denn die grundsätzlichen Problem bleiben: Auch ohne einen bestellten Datenschutzbeauftragten müssen alle Gesetzesvorgaben bewältigt und eingehalten werden.

Die Befreiung von der Bestellpflicht eines Datenschutzbeauftragten im Betrieb führt nicht zu einem Wegfall datenschutzrechtlicher Pflichten und der Bewältigung dieser. Am Ende wird mit dem Wegfall eines Datenschutzbeauftragten nicht Bürokratie, sondern Kompetenz und Fachwissen abgebaut.

Eine mögliche Folge der Erhöhung des Schwellenwertes könnte auch sein, dass die Datenschutzaufsichtsbehörden infolge vermehrter Einzelfallanfragen unter zunehmender Überlastung leiden werden. Damit wird das Thema Datenschutz letztlich nur auf eine andere Ebene verlagert.

Auch ohne gesetzliche Bestellpflicht sind Unternehmen (etwa im E-Commerce) und Einrichtungen daher sehr gut beraten, einen betrieblichen – juristisch und technisch ausgebildeten – externen Datenschutzbeauftragten zu benennen. Denn viele Unternehmen arbeiten auch nur mit Unternehmen zusammen, die über einen Datenschutzbeauftragten verfügen. So gehen sie nämlich selbst sicher, dass sie beim Eingehen einer neuen Geschäftsbeziehung nicht in eine Datenschutzfalle stolpern.

Kleineren Unternehmen, Vereine und Startups könnten gesetzlich vielmehr anders reguliert werden als große Konzerne. Ausschlaggebend sollten dabei die Art und der Umfang der Datenverarbeitung sein, nicht die Anzahl der datenverarbeitenden Mitarbeiter.

Haben Sie noch Fragen zum Datenschutzanpassungsgesetz oder zum Datenschutz allgemein? Kontaktieren Sie gerne Heike Stoltz oder Sevil Citak oder unser Sekretariat unter +49 7141 94753 21.

Heike Stoltz

Datenschutzbeauftragte (TÜV-SÜD)

stoltz@k11consulting.de

 

Sevil Citak (Dipl.Jur.)

Datenschutzberaterin

citak@k11rechtsanwaelte.de

Verwandte Beiträge