Montag, 1. Juli 2019

Bundestag verabschiedet Anpassung zum BDSG-neu

Die Grenze für die Pflicht zur Benennung eines Datenschutzbeauftragten wird auf 20 Personen heraufgesetzt - oder wie der Gesetzgeber neue Bußgeldfallen stellt.



Der Bundestag hat am Donnerstag, 27. Juni 2019 den Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die EU-Verordnung 2016 / 679 beschlossen.
 Am meisten Aufmerksamkeit hat dabei Veränderung der Benennungspflicht bekommen.

Das zweites Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG-EU) bietet aber noch mehr Gesprächsstoff. Z.B. das 'Bundesamt für Sicherheit in der Informationstechnik' (BSI) – „die mit dem IT-Grundschutz“ - wird vor Betroffenenanfragen geschützt durch Einschränkung der Auskunftsrechte. Es gibt berechtigte Zweifel, ob dies sinnvoll ist, wenn nun DIE Behörde für Informationssicherheit weniger transparent arbeiten darf - vertrauensbildende Maßnahmen sehen jedenfalls anders aus. 

Schön, wenn wenigstens für die Bürokratie die Bürokratie abgebaut wird. Wie aber ist nun zu bewerten, dass jetzt nur noch Unternehmen, in denen mehr als 20, statt bisher 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend einen Datenschutzbeauftragen bestellen müssen?


2 Zweites Datenschutz Anpassungsgesetz EU-DSGVO BDSG-neu Erste Änderung Folgen Unternehmen
Zukünftige Pflicht zu Benennung eines DSB ab 20 Mitarbeitern - Wann es sich lohn, durchzählen


Bisherige Rechtslage


Die EU-DSGVO hat die Regelung zur Pflicht der Benennung eines Datenschutzbeauftragten den EU-Mitgliedstaaten überlassen (Art. 37 Abs. 4 S. 1 EU-DSGVO) - abgesehen von den Fällen in Abs. 1*. 
Durch diese Öffnungsklausel hatte der deutsche Gesetzgeber die Möglichkeit, die Benennungspflichten für den Datenschutzbeauftragten zu regeln. In § 38 BDSG-neu war festgelegt, das ein Datenschutzbeauftragter dann zu benennen ist, wenn i.d.R. mindestens 
  • zehn Personen
  • ständig
  • mit der automatisierten Verabeitung
  • personenbezogener Daten
beschäftigt sind. 

Darüberhinaus ist in Satz 2 u.a. festgehalten, dass ein Datenschutzbeauftragter erforderlich ist, sofern eine Verarbeitung einer Datenschutz-Folgeabschätzung nach Art. 35 EU-DSGVO unterliegt.



Neue Rechtslage


Jetzt - nur ein Jahr später - folgen die ersten Anpassungen an das BDSG-neu. Der Bundestag hat mittels Mehrheitsbeschluss das Gesetz verabschiedet, es aber muss noch vom Bundesrat verabschiedet werden (Stand: 01.07.2019).


Die bisherige Beschäftigtenzahl von zehn Personen wird auf zwanzig Personen angehoben. 
Ziel dahinter, ist die Entlastung von kleinen Unternehmen voranzutreiben.

Doch ob diese Erhöhung tatsächlich sinnvoll ist, ist äußert umstritten. Ulrich Kelber, Bundesdatenschutzbeauftragter kritisiert diese Gesetzesänderung bereits im Vorfeld:


„Sollte der Gesetzgeber tatsächlich den Schwellwert 
für die Pflicht zur Benennung von Datenschutzbeauftragten erhöhen, 
hielte ich dies für eine falsche Maßnahme, 
die die Wahrung des hohen Datenschutzniveaus 
in Deutschland ernsthaft gefährden könnte.”


Was hierbei nicht in Vergessenheit geraten darf: Auch ohne die Pflicht zu Benennung eines Datenschutzbeauftragten, besteht für Unternehmen - egal welcher Größe, dennoch die Pflicht sich an die Datenschutzvorschriften umzusetzen. Ob dies letztlich der externe oder interne Datenschutzbeauftragte macht, die Assistenz oder der Geschäftsführer selbst, bleibt Unternehmen unterhalb der Bestellgrenze selbst überlassen. Denn was der Bundestag nicht geändert hat, sind alle jene Aspekte, die den Datenschutz aufwendig machen - von der Pflicht, ein detailliertes Verarbeitungsverzeichnis zu führen über Informationspflichten bis hin zu Betroffenenrechten (naja - außer für die eigenen Behörden). Und ja, die Bußgelder sind unverändert hoch. Die Risiko, Datenschutzverletzung unwissentlich zu begehen, ist weiterhin hoch – nur das man jetzt weniger Anreize setzt, Kompetenz zu entwickeln, dieses Risiko einzudämmen. 

Einige Landesdatenschutzbehörden haben bereits klar gemacht, dass mit dem wenigen Personal für Beratung weniger Zeit da sein werde und man sich vermehrt auf das Kontrollieren konzentriere. Und das wird fast zwangsläufige zu mehr Bußgeldern führen. Das perfide daran ist: Von der Beratung der Aufsichtsbehörden haben bisher vor allem die kleinen Akteure profitiert – denn die Großen konnten sich Expertise am Markt extern einkaufen oder intern aufbauen. Und nun den Kleinen zu signalisieren  „ihr braucht nicht so viel Datenschutz“ ist eine besonders tückische Fehlentwicklung. De-facto hat der Gesetzgeber den Unternehmen ein veritable Bußgeldfalle stellt - und zwar vor allem den kleinen Unternehmen! 

Aus Sicht von Unternehmen hätten wir uns gewünscht, wenn man sich an wirkliche Erleichterungen ran gewagt hätte, z.B. den Kündigungsschutz von internen Datenschutzbeauftragten zu lockern. Hier gilt weiterhin, dass, wenn keine befristete Bestellung vorgenommen wurde und kein wichtiger Grund (nämlich einer, welcher die fristlose Kündigung ermöglichen würde) für die  Abberufung des Datenschutzbeauftragten vorliegt, dann ein Unternehmen an einem internen Datenschutzbeauftragten bis zum Eintritt in die Rente gebunden sein kann. Oder auch nur Teile der Betroffenenrechte auf ein der Geschäftswirklichkeit  angepasstes Maß zurechtzustutzen.

Ob Unternehmen, egal welcher Größe, das Fachwissen der Datenschutzvorschriften ohne Expertise gewährleisten können ist (mehr als) fraglich. Genau darauf möchte Ulrich Kelber mit seiner Aussage hinaus. Von einer echten Entlastung kann deshalb nicht die Rede sein. Denn woher sollen Unternehmen Hilfe bekommen? Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Stefan Brink hat im Frühjahr 2019 angekündigt, zukünftig weniger Beratung durchzuführen, um zukünftig mehr Kontrollen voranzutreiben. Schlussendlich steht der Unternehmer vor der Entscheidung, welchen Weg er wählen möchte und welches Risiko er bereit ist einzugehen. Denn die Entscheidung sich auch ohne Bennenungspflicht fachliche Hilfe zuholen, dass kann einem keiner Verwehren - auch nicht der Gesetzgeber.


*Fälle des Abs. 1 des Art. 37 EU-DSGVO

Wie bereits zu Beginn erwähnt, hat die EU-Kommission für einige Fälle bereits die Verpflichtung zur Benennung eines DSB vorgegeben. Diese sind abschließend geregelt.

Demnach ist einen Datenschutzbeauftragten verpflichtet zu bestellen nach Art. 37 Abs. 1 a. EU-DSGVO für Behörden und öffentliche Stellen. Auch für Verantwortliche und Auftragsverarbeiter, die in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 b. EU-DSGVO). In lit. c. des Abs. 1 wir die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten (gem. Art. 9 wie z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (hier vgl. Art. 10).




Fragen / Anregungen
Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

 
E-Mail (Pflichtangabe)

 
Nachricht (Pflichtangabe)



Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.






Verantwortlich für diesen Beitrag: yourIT GmbH, Balingen, Zollernalbkreis