Zweites Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG): Änderung der Benennungspflicht des Datenschutzbeauftragten

Mit dem in den frühen Morgenstunden des 28.06.2019 vom Bundestag verabschiedeten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) werden zahlreiche Gesetze mit den Vorgaben der DS-GVO in Einklang gebracht. Das Gesetz nimmt in 154 Fachgesetzen Änderungen vor. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten. Die Benennungspflicht für den betrieblichen Datenschutzbeauftragten (DSB) wurde von 10 auf 20 Personen angehoben. Es ergeben sich daraus zwei Varianten:

 

Variante 1: DSB in Unternehmen, die weiterhin der Benennungspflicht unterliegen

Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von 10 auf 20 Personen heraufgesetzt, die personenbezogene Daten verarbeiten. Die Überprüfungspflicht des DSB fällt dann an die Aufsichtsbehörden zurück. Die Beratungsleistung des Datenschutzbeauftragten muss anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Fachexpertise zur Folge hat.

Wichtig:
Die Pflicht zur Umsetzung der Anforderungen aus der DS-GVO und dem BDSG besteht für alle Unternehmen und Behörden unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflichten müssen durch den Verantwortlichen selbst wahrgenommen werden.

Fazit:
Für diese Unternehmen ändert sich also nichts. Sie werden weiterhin durch Ihren Datenschutzbeauftragten betreut.

 

Variante 2: DSB in Unternehmen, die nicht mehr der Benennungspflicht unterliegen

Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von 10 auf 20 Personen heraufgesetzt, die ständig personenbezogene Daten verarbeiten. Die Überprüfungspflicht des DSB fällt dann an die Aufsichtsbehörden zurück. Die Beratungsleistung des Datenschutzbeauftragten muss anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Fachexpertise zur Folge hat.

Wichtig:
Die Pflicht zur Umsetzung der Anforderungen aus der DS-GVO und dem BDSG besteht für alle Unternehmen und Behörden unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflichten müssen durch den Verantwortlichen selbst wahrgenommen werden.

Dazu gehören beispielsweise:

  • die umfangreichen Dokumentationspflichten wie bspw. die Erstellung und Pflege der Verarbeitungsübersicht (Art. 30 DS-GVO)
  • Transparenz- und Informationspflichten zu den durchgeführten Verarbeitungen personenbezogener Daten gegenüber den betroffenen Personen
  • Bewertung und Festlegung geeigneter Schutzmaßnahmen für die Verarbeitungstätigkeiten unter Berücksichtigung eines risikobasierten Ansatzes
  • Gewährleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzvorfällen (Artt. 34 – 36 DS-GVO)
  • Sicherstellung von Prozessen zur Erfüllung der BetroffenenrechteBerücksichtigung der Datenschutzgrundsätze sowie der Vorgaben zu „privacy by design/default“ bereits bei der Planung einer Datenverarbeitung (Art. 25 DS-GVO)
  • Schulung und Information der Mitarbeiter zu den Anforderungen des Datenschutzrechts
  • Durchführung einer Datenschutzfolgenabschätzung (Art. 35 DS-GVO) bei hohem Risiko einer Verarbeitung – dies löst gem. § 38 Abs. 1 S.2 BDSG eine eigene, von der Personenzahl unabhängige, Benennungspflicht aus

Fazit:

Unternehmen sind von der Änderung der Benennungspflicht betroffen. Sie können ihren gewohnten Datenschutzbeauftragten weiterhin benennen. Dann wird aus der bisherigen Pflichtbenennung eine freiwillige Benennung und Sie werden wie gewohnt bei den vorgenannten Aufgaben unterstützt.

Hinweise:

  • Soweit Unternehmen der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung unterliegen, ändert sich nichts, die Benennungspflicht bleibt bestehen.
  • Soweit Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, unterliegen Sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einer unveränderten Benennungspflicht.
  • Die Änderungen des BDSG haben keinerlei Auswirkung auf die ausdrücklichen Vorgaben von Art. 37 zur Benennungspflicht in der DSGVO.

 

Bewertung des Zweites Datenschutzanpassungs- und Umsetzungsgesetzes (2. DSAnpUG)

In Sachen der Benennungspflicht des betrieblichen Datenschutzbeauftragten ändert sich für Unternehmen in Sachen des erforderlichen Arbeitsaufwandes nichts. Wird ein bislang benannter Datenschutzbeauftragter abberufen, so verbleiben die weiter oben beschriebenen Datenschutz-Aufgaben bei der Organisations-Leitung weiterhin bestehen. Das Argument der Ent-Bürokratisiserung trifft hier sicher nicht zu.

 

 

 

Der betriebliche Datenschutzbeauftragte (Art. 37-39 DS-GVO, § 38 BDSG-NEU)

In Zusammenhang mit der EU Datenschutz-Grundverordnung (DS-GVO) wird an uns öfters die Frage herangetragen an welchen Voraussetzungen die Bestellpflicht des Datenschutzbeauftragten geknüpft ist, welche Stellung der Datenschutzbeauftragte im Unternehmen hat, welche Qualifikationen erforderlich sind und wie es um die Aufgaben und Verantwortlichkeit des Datenschutzbeauftragten bestellt ist.

Bislang waren im BDSG in den §§ 4 f und 4 g die zentralen Regelungen zum betrieblichen Datenschutzbeauftragten zu finden. In der DS-GVO wird dies in Art. 37 – 39 geregelt, wobei durch Öffnungsklauseln den EU Mitgliedsstaaten ein Gestaltungsspielraum eingeräumt wurde. In Deutschland ist dies im Wesentlichen in den §§ 6 und 38 BDSG-NEU geregelt.

[…]

Status Quo Safe Harbor – Aktuelle Antwort einer Aufsichtsbehörde

Datenschutz

Der EuGH hat bekanntlich am 06.10.2015 das Safe Harbor Abkommen (Entscheidung 2000/520/EG der Kommission) für nichtig erklärt. In der Zwischenzeit gibt es diverse Kommentare und Einschätzungen zu den Konsequenzen. Die Artikel 29 Datenschutzgruppe forderte in einer Erklärung vom 16.10.2015 „die Mitgliedstaaten und die europäischen Institutionen nachdrücklich dazu auf, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen zu finden, damit die Grundrechte bei Datenübermittlungen in das Hoheitsgebiet der Vereinigten Staaten gewahrt werden.“ Was bedeutet dies konkret für Unternehmen, die bislang Safe Harbor als geltende Rechtsgrundlage verwendet haben?

[…]

Datenschutzkonforme Softwareentwicklung

20130712-_DSF1244Was gibt es bei datenschutzkonformer Softwareentwicklung zu beachten? Zuerst sind die allgemeinen Grundsätze des Datenschutzes zu berücksichtigen:
• Datensparsamkeit, soweit möglich
• Anonymisierung bzw. Pseudonymisierung, soweit möglich
• „Need to Know“ – differenziertes Berechtigungskonzept
• Zugriffsschutz der Daten bei Transport und Speicherung (Verschlüsselung)
• Löschkonzept, mit der Möglichkeit der automatisierten Löschung
• Protokollierung der Eingabe und Änderung personenbezogener Daten
• Datensicherungskonzept um Verlust der Daten auszuschließen
• Entwicklung mit Test- und Entwicklungssystem.

[…]

EU Datenschutzgrundverordnung (EU-DSGV): 3 Positionen

P1010072Wie berichtet steht der Trilog zwischen der EU-Kommission, dem EU-Parlament und dem EU-Rat an. Ziel ist es, die EU Datenschutzgrundverordnung (Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr – Datenschutz-Grundverordnung) zu verhandeln und zu beschließen. Nach heutiger Information könnte die EU-DSGV voraussichtlich frühestens am 01.01.2018 in Kraft treten.

[…]