Hintergrund:
Mit dem zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz (DS-AnpUG) vom 28. Juni 2019 in der Beschlussempfehlung des Innenausschusses (BT-Drs. 19/11181) hat die Bundesregierung ein Mammutwerk verabschiedet, mit dem 154 Gesetze an die seit dem 18. Mai 2018 geltende DSGVO angepasst werden.
Unter die zu ändernden Gesetze fallen neben vielen anderen z. B. das KWG, das FinDAG, das ZAG, diverse Steuergesetze, die AO und auch das BDSG. Das zweite DS-AnpUG muss allerdings noch den Bundesrat passieren, sodass mit dem Inkrafttreten erst Anfang 2020 gerechnet werden kann.
Ziel der Änderungen im BDSG ist es, Erleichterungen für kleine und mittlere Unternehmen sowie eine Erleichterung im Beschäftigtendatenschutz zu schaffen. Einschränkungen sollen Betroffenenrechte bezüglich ihrer Verarbeitung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) durch Änderung des BSI-Gesetzes erfahren.
Einzelne Änderungen:
Um im Arbeitsverhältnis eine Bürokratiehürde abzubauen, hatte der Innenausschuss empfohlen, die Einwilligung eines Beschäftigten nach § 26 Abs. 2 Satz 3 BDSG zukünftig „schriftlich oder elektronisch“ zu ermöglichen. Im Rahmen der fortschreitenden Digitalisierung und der steigenden Anzahl digitaler Personalakten ist diese Änderung folgerichtig.
Die wichtigste Änderung im BDSG soll Klein- und Mittelständler entlasten: Die Pflicht, einen Datenschutzbeauftragten gemäß § 38 Abs. 1 BDSG zu bestellen, soll künftig erst bestehen, wenn das Unternehmen „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“. Gezählt wird nach Köpfen. Dabei werden die Beschäftigten aller Standorte (Betriebe) eines Unternehmens zusammengezählt.
Diese scheinbare Erleichterung entbindet kleinere Unternehmen nicht von der Einhaltung der Datenschutzbestimmungen, denn das Vorhalten von technisch-organisatorischen Maßnahmen zur Sicherung von personenbezogenen Daten sowie das Führen von Verzeichnissen zu Verfahrenstätigkeiten ist weiterhin notwendig.
Die DSGVO hält hier nur eine scheinbare Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor. Diese greift jedoch nur, soweit gem. Art. 30 DSGVO kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, die vorgenommene Verarbeitung nur gelegentlich geschieht oder keine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO erfolgt. Mithin sollte die Expertise eines (externen) Datenschutzbeauftragten weiterhin genutzt werden.
Darüber hinaus sind selbst Kleinbetriebe weiterhin in der Verpflichtung, einen Datenschutzbeauftragten zu bestellen, wenn sie personenbezogene Daten derart verarbeiten, dass dies einer Datenschutz-Folgeabschätzung gemäß Art. 35 DSGVO unterliegt. Als Stichwort ist hier die Videoüberwachung zu nennen.
Handlungsbedarf:
- Verfolgung des weiteren Gesetzgebungsverfahrens
- Bewertung, ob Einwilligungen nach § 26 BDSG zukünftig schriftlich oder elektronisch eingeholt werden sollen
- Prüfung, ob auf einen Datenschutzbeauftragten verzichtet werden kann und soll