Zweites Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG): Änderung der Benennungspflicht des Datenschutzbeauftragten

Mit dem in den frühen Morgenstunden des 28.06.2019 vom Bundestag verabschiedeten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) werden zahlreiche Gesetze mit den Vorgaben der DS-GVO in Einklang gebracht. Das Gesetz nimmt in 154 Fachgesetzen Änderungen vor. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten. Die Benennungspflicht für den betrieblichen Datenschutzbeauftragten (DSB) wurde von 10 auf 20 Personen angehoben. Es ergeben sich daraus zwei Varianten:

 

Variante 1: DSB in Unternehmen, die weiterhin der Benennungspflicht unterliegen

Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von 10 auf 20 Personen heraufgesetzt, die personenbezogene Daten verarbeiten. Die Überprüfungspflicht des DSB fällt dann an die Aufsichtsbehörden zurück. Die Beratungsleistung des Datenschutzbeauftragten muss anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Fachexpertise zur Folge hat.

Wichtig:
Die Pflicht zur Umsetzung der Anforderungen aus der DS-GVO und dem BDSG besteht für alle Unternehmen und Behörden unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflichten müssen durch den Verantwortlichen selbst wahrgenommen werden.

Fazit:
Für diese Unternehmen ändert sich also nichts. Sie werden weiterhin durch Ihren Datenschutzbeauftragten betreut.

 

Variante 2: DSB in Unternehmen, die nicht mehr der Benennungspflicht unterliegen

Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von 10 auf 20 Personen heraufgesetzt, die ständig personenbezogene Daten verarbeiten. Die Überprüfungspflicht des DSB fällt dann an die Aufsichtsbehörden zurück. Die Beratungsleistung des Datenschutzbeauftragten muss anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Fachexpertise zur Folge hat.

Wichtig:
Die Pflicht zur Umsetzung der Anforderungen aus der DS-GVO und dem BDSG besteht für alle Unternehmen und Behörden unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflichten müssen durch den Verantwortlichen selbst wahrgenommen werden.

Dazu gehören beispielsweise:

  • die umfangreichen Dokumentationspflichten wie bspw. die Erstellung und Pflege der Verarbeitungsübersicht (Art. 30 DS-GVO)
  • Transparenz- und Informationspflichten zu den durchgeführten Verarbeitungen personenbezogener Daten gegenüber den betroffenen Personen
  • Bewertung und Festlegung geeigneter Schutzmaßnahmen für die Verarbeitungstätigkeiten unter Berücksichtigung eines risikobasierten Ansatzes
  • Gewährleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzvorfällen (Artt. 34 – 36 DS-GVO)
  • Sicherstellung von Prozessen zur Erfüllung der BetroffenenrechteBerücksichtigung der Datenschutzgrundsätze sowie der Vorgaben zu „privacy by design/default“ bereits bei der Planung einer Datenverarbeitung (Art. 25 DS-GVO)
  • Schulung und Information der Mitarbeiter zu den Anforderungen des Datenschutzrechts
  • Durchführung einer Datenschutzfolgenabschätzung (Art. 35 DS-GVO) bei hohem Risiko einer Verarbeitung – dies löst gem. § 38 Abs. 1 S.2 BDSG eine eigene, von der Personenzahl unabhängige, Benennungspflicht aus

Fazit:

Unternehmen sind von der Änderung der Benennungspflicht betroffen. Sie können ihren gewohnten Datenschutzbeauftragten weiterhin benennen. Dann wird aus der bisherigen Pflichtbenennung eine freiwillige Benennung und Sie werden wie gewohnt bei den vorgenannten Aufgaben unterstützt.

Hinweise:

  • Soweit Unternehmen der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung unterliegen, ändert sich nichts, die Benennungspflicht bleibt bestehen.
  • Soweit Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, unterliegen Sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einer unveränderten Benennungspflicht.
  • Die Änderungen des BDSG haben keinerlei Auswirkung auf die ausdrücklichen Vorgaben von Art. 37 zur Benennungspflicht in der DSGVO.

 

Bewertung des Zweites Datenschutzanpassungs- und Umsetzungsgesetzes (2. DSAnpUG)

In Sachen der Benennungspflicht des betrieblichen Datenschutzbeauftragten ändert sich für Unternehmen in Sachen des erforderlichen Arbeitsaufwandes nichts. Wird ein bislang benannter Datenschutzbeauftragter abberufen, so verbleiben die weiter oben beschriebenen Datenschutz-Aufgaben bei der Organisations-Leitung weiterhin bestehen. Das Argument der Ent-Bürokratisiserung trifft hier sicher nicht zu.

 

 

 

DS-GVO als Video: LfDI Baden-Württemberg geht neue Wege

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg geht in Sachen Wissensvermittlung und Motivationsarbeit neue Wege.

Mit dem Video „Datenschutz mit Ohrwurmqualität“ (27.März 2019) wird das Thema DS-GVO auf unterhaltsame Weise dargestellt.

Prädikat: Empfehlenswert

Video Datenschutz mit Ohrwurmqualität

 

DS-GVO in der Praxis: Das Verbandbuch

Verletzungen und jede Erste-Hilfe-Leistungen im Betrieb müssen schriftlich festgehalten werden. Häufig wird dieser Verpflichtung in Form eines Verbandbuches nachgekommen. So liegt neben dem Verbandskasten eine Verbandbuch in das über Jahre hinweg Einträge vorgenommen werden. Die in der DS-GVO geforderte Vertraulichkeit wird so allerdings nicht gewährleistet – die bislang verwendeten Verbandbücher sind einzusammeln und zu archivieren. Welche Lösungen bieten sich als Alternative in der betrieblichen Praxis an?

[…]

DS-GVO in der Praxis: Transport vertraulicher digitaler Informationen

Immer wieder bekommen wir die Frage gestellt: Wie können bzw. müssen personenbezogene Daten sicher und vertraulich, etwa per E-Mail, übertragen werden? Wer ist für die Vertraulichkeit zuständig? Ab wann sind personenbezogene Daten gegen unbefugtes Mitlesen zu sichern? Die nachfolgenden Informationen sollen hier Klarheit bringen.

Rechtsgrundlage

Im Art 25 DS-GVO (Datenschutz durch Technikgestaltung) und im Art. 32 DS-GVO (Sicherheit der Verarbeitung) werden die Forderungen aus Art. 5 DS-GVO Grundsätze für die Verarbeitung personenbezogener Daten genauer ausgeführt:

[…]