Zweites Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG): Änderung der Benennungspflicht des Datenschutzbeauftragten

Mit dem in den frühen Morgenstunden des 28.06.2019 vom Bundestag verabschiedeten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) werden zahlreiche Gesetze mit den Vorgaben der DS-GVO in Einklang gebracht. Das Gesetz nimmt in 154 Fachgesetzen Änderungen vor. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten. Die Benennungspflicht für den betrieblichen Datenschutzbeauftragten (DSB) wurde von 10 auf 20 Personen angehoben. Es ergeben sich daraus zwei Varianten:

 

Variante 1: DSB in Unternehmen, die weiterhin der Benennungspflicht unterliegen

Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von 10 auf 20 Personen heraufgesetzt, die personenbezogene Daten verarbeiten. Die Überprüfungspflicht des DSB fällt dann an die Aufsichtsbehörden zurück. Die Beratungsleistung des Datenschutzbeauftragten muss anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Fachexpertise zur Folge hat.

Wichtig:
Die Pflicht zur Umsetzung der Anforderungen aus der DS-GVO und dem BDSG besteht für alle Unternehmen und Behörden unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflichten müssen durch den Verantwortlichen selbst wahrgenommen werden.

Fazit:
Für diese Unternehmen ändert sich also nichts. Sie werden weiterhin durch Ihren Datenschutzbeauftragten betreut.

 

Variante 2: DSB in Unternehmen, die nicht mehr der Benennungspflicht unterliegen

Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von 10 auf 20 Personen heraufgesetzt, die ständig personenbezogene Daten verarbeiten. Die Überprüfungspflicht des DSB fällt dann an die Aufsichtsbehörden zurück. Die Beratungsleistung des Datenschutzbeauftragten muss anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Fachexpertise zur Folge hat.

Wichtig:
Die Pflicht zur Umsetzung der Anforderungen aus der DS-GVO und dem BDSG besteht für alle Unternehmen und Behörden unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflichten müssen durch den Verantwortlichen selbst wahrgenommen werden.

Dazu gehören beispielsweise:

  • die umfangreichen Dokumentationspflichten wie bspw. die Erstellung und Pflege der Verarbeitungsübersicht (Art. 30 DS-GVO)
  • Transparenz- und Informationspflichten zu den durchgeführten Verarbeitungen personenbezogener Daten gegenüber den betroffenen Personen
  • Bewertung und Festlegung geeigneter Schutzmaßnahmen für die Verarbeitungstätigkeiten unter Berücksichtigung eines risikobasierten Ansatzes
  • Gewährleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzvorfällen (Artt. 34 – 36 DS-GVO)
  • Sicherstellung von Prozessen zur Erfüllung der BetroffenenrechteBerücksichtigung der Datenschutzgrundsätze sowie der Vorgaben zu „privacy by design/default“ bereits bei der Planung einer Datenverarbeitung (Art. 25 DS-GVO)
  • Schulung und Information der Mitarbeiter zu den Anforderungen des Datenschutzrechts
  • Durchführung einer Datenschutzfolgenabschätzung (Art. 35 DS-GVO) bei hohem Risiko einer Verarbeitung – dies löst gem. § 38 Abs. 1 S.2 BDSG eine eigene, von der Personenzahl unabhängige, Benennungspflicht aus

Fazit:

Unternehmen sind von der Änderung der Benennungspflicht betroffen. Sie können ihren gewohnten Datenschutzbeauftragten weiterhin benennen. Dann wird aus der bisherigen Pflichtbenennung eine freiwillige Benennung und Sie werden wie gewohnt bei den vorgenannten Aufgaben unterstützt.

Hinweise:

  • Soweit Unternehmen der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung unterliegen, ändert sich nichts, die Benennungspflicht bleibt bestehen.
  • Soweit Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, unterliegen Sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einer unveränderten Benennungspflicht.
  • Die Änderungen des BDSG haben keinerlei Auswirkung auf die ausdrücklichen Vorgaben von Art. 37 zur Benennungspflicht in der DSGVO.

 

Bewertung des Zweites Datenschutzanpassungs- und Umsetzungsgesetzes (2. DSAnpUG)

In Sachen der Benennungspflicht des betrieblichen Datenschutzbeauftragten ändert sich für Unternehmen in Sachen des erforderlichen Arbeitsaufwandes nichts. Wird ein bislang benannter Datenschutzbeauftragter abberufen, so verbleiben die weiter oben beschriebenen Datenschutz-Aufgaben bei der Organisations-Leitung weiterhin bestehen. Das Argument der Ent-Bürokratisiserung trifft hier sicher nicht zu.

 

 

 

Betriebliches Eingliederungsmanagement (BEM) und Datenschutz

Der § 84 Abs. 2 SGB IX (Neuntes Buch des Sozialgesetzbuches) verpflichtet seit dem Jahre 2004 Arbeitgeber zur Durchführung des sogenannten Betrieblichen Eingliederungsmanagements, sobald ein Arbeitnehmer innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig ist. Inwieweit der Arbeitnehmer schwerbehindert ist, spielt hierbei keine Rolle. Im Bereich BEM gibt es verschiedene datenschutzrechtlich relevante Punkte zu beachten.

[…]

EU Datenschutz-Grundverordnung ab Mai 2018 – was ändert sich für Unternehmen

Die neue EU Datenschutz-Grundverordnung ist bereits seit dem 25. Mai 2016 in Kraft, wirksam wird sie aber erst am 25. Mai 2018. Welche Auswirkungen hat dies für Unternehmen, welche Schritte sind für die erforderliche Transformation des Datenschutz-Managementsystems notwendig, um den neu entstehenden Compliance Verpflichtungen nach zu kommen.

Datenschutz heute
Aktuell ist die EU Datenschutzrichtlinie 95/46EG aus dem Jahre 1995 für alle Mitgliedsstaaten in der Gestalt verpflichtend, dass die Aussagen der Richtlinie im nationale Gesetze umgesetzt worden sind. In Deutschland ist dies das Bundesdatenschutzgesetz (BDSG) oder in Österreich das Gesetz „Datenschutz 2000“. Dies hat u.a. die Folge, dass sich etwa Facebook und Google bei der Wahl des europäischen Firmensitzes für Irland entschieden haben. 28 nationale Gesetzgebungen mit einem heterogenen Datenschutzrecht, dass für europäisch agierende Unternehmen, aber für Bürger, in Sachen Rechtssicherheit sehr unbefriedigend ist.

Datenschutz 2018
Die EU Kommission hat im Januar 2012 den ersten Entwurf einer EU Datenschutz-Grundverordnung (DS-GVO) vorgestellt. Neben der unakzeptablen Heterogenität des europäischen Datenschutzrechts spielten noch weitere Gründe eine wichtige Rolle:

  • Chancengleichheit für europäische Unternehmen, durch eine stärkere Verbindlichkeit der DS-GVO für US Internet Unternehmen (Anwendbarkeit und drastische Erhöhung der Geldbußen)
  • Einzug der digitalen Lebens- und Arbeitswelt in das neue EU Datenschutzrecht
  • Stärkung der Verbraucherrechte (z. B. im Internet-Handel)

[…]

Das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – (DSAnpUG-EU) wurde vom Bundesrat verabschiedet

Es ist vollbracht – das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – (DSAnpUG-EU)“, von uns als BDSG 2.0 bezeichnet, wurde heute (12.05.2017) vom Bundesrat verabschiedet. Der letzte Schritt vor der Unterzeichnung des Gesetztes durch den Bundespräsidenten und anschließender Veröffentlichung im Bundesgesetzblatt.

Somit ist das europäische Datenschutzprojekt, das am 25.01.2012 seinen Anfang im Ziel. Wir können Sie somit final bei der Transformation Ihres Datenschutz-Managements unterstützen. Falls Sie Interesse haben an unserer Beratung, so rufen Sie uns an oder senden uns eine E-Mail. Profitieren Sie von unserer langjährigen Erfahrung als Externer Datenschutzbeauftragter.

„BDSG 2.0“ (DSAnpUG-EU) nimmt eine wichtige Hürde

Das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – (DSAnpUG-EU)“, von uns als BDSG 2.0 bezeichnet, wurde heute Abend (27.04.2017) in zweiter und dritten Lesung vom Deutschen Bundestag verabschiedet (vgl. Drucksache 18/11325). Ein weiterer Schritt in Richtung EU Datenschutz-Grundverordnung (DS-GVO), die am 25.05.2018 wirksam wird.

In diesem Gesetz wird durch die Novellierung des Bundesdatenschutzgesetzes (BDSG) ausgiebig von der Möglichkeit Gebrauch gemacht, mit Öffnungsklauseln der DS-GVO nationale Auslegungen vorzunehmen. Nun muss der Bundesrat dem Gesetz noch zustimmen, bevor der Bundespräsident den Gesetzgebungsprozess durch Unterzeichnung des Gesetzes zu Ende führen kann.

Kritiker sehen das „BDSG 2.0“ in einigen Punkten nicht auf dem Boden der Bestimmungen der DS-GVO, etwa bei der Einschränkung von Rechten Betroffener, und sehen bereits heute das Gesetz vor dem EuGH.

Positiv ist anzumerken, das nun weitere Unsicherheiten beseitigt wurden und die Planung zur Migration BDSG nach DS-GVO/BDGS 2.0 effektiv erfolgend kann.

Wir halten Sie auf dem Laufenden.