Betrieblicher Datenschutzbeauftragter erst ab 20 Personen - das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz

Seit Wirksamkeit der DSGVO mussten viele Unternehmen mit den Änderungen befassen, die die neue EU-Verordnung mit sich brachte. Auch Arbeitsabläufe in Kanzleien und Paperwork mussten – ob gewollt oder nicht- an die DSGVO angepasst werden. Als Verordnung gilt die DSGVO in allen Mitgliedstaaten unmittelbar und geht dem nationalen Recht vor. Um dabei Friktionen zu vermeiden, müssen aber auch die nationalen Gesetzgeber in den Mitgliedstaaten ihr Recht anpassen. In Deutschland ist dies bei der Einführung der DSGVO nur teilweise geschehen, weshalb nun das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) in Kraft getreten ist.

Überblick

Das 2. DSAnpUG-EU hat einigen Anlauf benötigt, ist aber nun in Kraft getreten. Die gravierendste Änderung gegenüber den Vorversionen ist die Anhebung des Schwellenwertes zur Bestellung von betrieblichen Datenschutzbeauftragten auf 20 Personen.

Von den Änderungen im Übrigen betroffen sind viel Unternhemen, da die Änderungen beinahe alle Bereiche des Verwaltungsrechts erneuern. Denn durch das Gesetz werden insgesamt über 150 Bundesgesetze an die DSGVO angepasst. Die betroffenen Gesetze reichen dabei vom Abfallverbringungsgesetz über das Gentechnik- und Hilfetelefongesetz bis zum Zivildienstgesetz. Es ist also ein sehr weit gefächertes Mammutgesetz, bei dem die entsprechenden Regelungen zum Datenschutz in den jeweiligen Gesetzen angepasst werden. Auch das gerade erst völlig neu gefasste BDSG ist betroffen.

Durch das breite Spektrum an betroffenen Gesetzen ist dieses nicht nur für Datenschutzspezialisten relevant. Unter jenen sorgte der Entwurf auch eher für Enttäuschung; viele erhoffte Änderungen sind vom Entwurf nicht erfasst.

Änderungen des Bundesdatenschutzgesetzes

 Änderungen des BDSG sind im Wesentlichen rein redaktionelle Neuerungen. Besonders hervorzuheben sind aber:

  • § 9 BDSG: Dieser Regelt die Zuständigkeit des Bundesdatenschutzbeauftragten neu. Dies hat vor allem abgrenzende Funktion zum TKG. Telekommunikationsunternehmen sollen grundsätzlich dem BfDI unterstellt werden. Die dafür notwendigen Anpassungen sollen in einem gesonderten Gesetz vorgenommen werden.
  • § 22 BDSG: Ein neuer Erlaubnistatbestand für die Verarbeitung personenbezogener Daten für nicht-öffentliche Stellen bei der Verarbeitung besonderer Kategorien von Daten wird geschaffen. So sollen z.B. Politische Meinungen, Religions- oder Gewerkschaftszugehörigkeit sowie Gesundheitsdaten in Zukunft auch durch Privatunternehmen verarbeitet werden dürfen, wenn zwingende und erhebliche öffentliche Interessen dies erfordern. Nur in engen Ausnahmefällen erlaubt der Art. 9 DSGVO eine Verarbeitung besonders geschützter Daten ohne das Vorliegen einer Einwilligung. Zum Beispiel bei der Pandemiebekämpfung greift dann die neue Ausnahme. Bei weiter Auslegung ist auch die Verarbeitung durch Journalisten, NGOs und private Forschungseinrichtungen denkbar, in welchem Umfang von der neuen Vorschrift gebraucht gemacht wird, bleibt aber abzuwarten.
  • § 26: Hier wird für die Einwilligung im Beschftigtenverhältnis nun ausdrücklich die elektronische Form anerkannt.
  • § 38: Die offensichtlichste Änderung des BDSG-neu betrifft die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Ab Inkrafttreten des Gesetzes braucht über die besonderen Fälle der DSGVO hinaus nur einen Datenschutzbeauftragten, wer in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Das schafft in der Tat Erleichterungen für Unternehmen, die zwischen 10 und 20 Mitarbeitern in der Datenverarbeitung haben. Dies bedeutet aber nicht, dass die Vorgaben des Datenschutzrechts nicht einzuhalten wären. Für diese Unternehmen entfällt genau eine Pflicht: diejenige, einen Datenschutzbeauftragten zu benennen. Insbesondere Unternehmen (etwa im E-Commerce), in denen viele personenbezogenen Daten verarbeitet werden, sollten erwägen, unabhängig von der gesetzlichen Pflicht einen Datenschutzexperten zu beschäftigen, jedenfalls aber entsprechendes Knowhow aufzubauen.
  • § 86 BDSG: Für die Zwecke staatlicher Ehrungen und Auszeichnungen dürfen nun öffentliche und nicht-öffentliche Stellen personenbezogene Daten verarbeiten, soweit dies erforderlich ist. Diese Vorschrift weist auch auf die allgemeinen Probleme in der Praxis hin, einen Umgang mit der weitgehend ausnahmslos geltenden Pflicht zur Information von Betroffenen. Nur ein minimaler Ausschnitt des Datenschutzes wird durch staatliche Ehrungen ausgefüllt, in denen eine vollumfängliche Information des Betroffenen nicht sinnvoll ist.

Änderungen an anderen Bundesgesetzen

In 153 weiteren Bundesgesetzen nimmt das 2. DSAnpUG-EU Änderungen vor. Darunter auch Gesetze, an die man vielleicht nicht sofort beim Thema DSGVO denkt wie das Rindfleischetikettierungsgesetz, das Zweite Dopingopfer-Hilfegesetz oder das Strahlenschutzgesetz. In allen betroffenen Gesetzen werden die jeweiligen Vorgaben zum Datenschutz einzeln an die der DSGVO angepasst. Dies geschieht insbesondere durch

  • Begriffsanpassungen an die Terminologie der DSGVO;
  • Schaffung (bereichsspezifischer) Rechtsgrundlagen für die Datenverarbeitung;
  • Neue oder angepasste Regelungen zu den Betroffenenrechten;
  • Anpassungen zu technischen und organisatorischen Maßnahmen;
  • Anpassungen bei der Datenübermittlung im Auftrag oder zur Datenübermittlung an Drittländer
  • Schadensersatz- und Geldbuße Regelungen.

Offene Punkte und weitergehender Regelungsbedarf

Dennoch sind Datenschutzexperten vom Entwurf enttäuscht. Viele Konfliktfelder, die der Praxis seit Mai 2018 entstanden sind, bleiben ungeregelt:

  • Das Verhältnis der §§ 22, 23 KUG zu Art. 6 DSGVO wird nicht geregelt. Unklar bleibt somit weiterhin, inwieweit das KUG neben der DSGVO anwendbar bleibt, sodass die Praxis sich auch in Zukunft nach beidem richten und das KUG neben der DSGVO – unter sehr weiter Auslegung des Art. 6 I 1 lit. f DSGVO- anwenden wird. Als Beispiel kann eine taugliche Einwilligung nach KUG, etwa ein durch Teilnahme an einer Veranstaltung erklärtes Einverständnis mit der Fertigung und Veröffentlichung von Bildaufnahmen, mit einer datenschutzrechtlichen Rechtfertigung mit berechtigten Interessen des Unternehmens, etwa des Event-Veranstalters, zusammentreffen.
  • Das Verhältnis des TMG zur DSGVO wird nicht geregelt. Die §§ 11 ff. TMG werden nicht überarbeitet, auch wenn dies insbesondere angesichts des Art. 95 DSGVO zu Unsicherheiten geführt hat. Dies könnte seinen Grund darin haben, dass der Gesetzgeber zuerst den Ausgang einer neuen ePrivacy-Verordnung abwarten wollte. Ein nicht unerheblicher Zeitverzug bei ePrivacy lässt an diesem Abwarten des Gesetzgebers aber Zweifel aufkommen.
  • Auch, in welchem Verhältnis das UWG zur DSGVO steht bleibt weiterhin ungeklärt. Beispielhaft ist hier die Frage zu nennen, ob Datenschutzverstöße abmahnfähig sind. Zudem ist ungeklärt, ob Direktmarketingmaßnahmen, die mangels Einwilligung des Betroffenen gegen § 7 UWG verstoßen, automatisch einen Verstoß gegen die DSGVO hervorrufen.
  • Keine Regelung enthält der Entwurf zudem zur Meinungsfreiheit und deren Verhältnis zur DSGVO. Gemäß Art. 85 Abs. 1 DSGVO sollen die Mitgliedstaaten ihr Datenschutzrecht mit dem Recht auf freie Meinungsäußerung in Einklang bringen. Dies hat der deutsche Gesetzgeber bisher versäumt und wird deshalb kritisiert. Eine Anpassung wäre nötig, um auch neben einer journalistischen Tätigkeit einen Ausgleich zu Gunsten der Kommunikationsfreiheit zu kodifizieren.
Fazit

Das Gesetz ändert eine große Vielzahl an derzeit noch geltenden Bestimmungen. Zwar werden viele praktischen Probleme nicht gelöst, sodass auf ein baldiges 3. DSAnpUG-EU zu hoffen bleibt, allerdings lohnt sich für den Berater dennoch ein Blick auf alle Änderungen, um einen Mandanten auf potentiell notwendige Anpassungen hinweisen zu können.

 

Lesen Sie auch den Beitrag "Nach einem Jahr DSGVO: Anpassungen für den Datenschutz" zum geplanten Gesetz von Dr. Martin Schirmbacher im Berliner Anwaltsblatt: AnwBl BE 2019, 84-85 und in GmbHR 2019 S. R296 .

26. November 2019