Zweites Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG): Änderung der Benennungspflicht des Datenschutzbeauftragten

Mit dem in den frühen Morgenstunden des 28.06.2019 vom Bundestag verabschiedeten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) werden zahlreiche Gesetze mit den Vorgaben der DS-GVO in Einklang gebracht. Das Gesetz nimmt in 154 Fachgesetzen Änderungen vor. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten. Die Benennungspflicht für den betrieblichen Datenschutzbeauftragten (DSB) wurde von 10 auf 20 Personen angehoben. Es ergeben sich daraus zwei Varianten:

 

Variante 1: DSB in Unternehmen, die weiterhin der Benennungspflicht unterliegen

Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von 10 auf 20 Personen heraufgesetzt, die personenbezogene Daten verarbeiten. Die Überprüfungspflicht des DSB fällt dann an die Aufsichtsbehörden zurück. Die Beratungsleistung des Datenschutzbeauftragten muss anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Fachexpertise zur Folge hat.

Wichtig:
Die Pflicht zur Umsetzung der Anforderungen aus der DS-GVO und dem BDSG besteht für alle Unternehmen und Behörden unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflichten müssen durch den Verantwortlichen selbst wahrgenommen werden.

Fazit:
Für diese Unternehmen ändert sich also nichts. Sie werden weiterhin durch Ihren Datenschutzbeauftragten betreut.

 

Variante 2: DSB in Unternehmen, die nicht mehr der Benennungspflicht unterliegen

Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von 10 auf 20 Personen heraufgesetzt, die ständig personenbezogene Daten verarbeiten. Die Überprüfungspflicht des DSB fällt dann an die Aufsichtsbehörden zurück. Die Beratungsleistung des Datenschutzbeauftragten muss anderweitig kompensiert werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Fachexpertise zur Folge hat.

Wichtig:
Die Pflicht zur Umsetzung der Anforderungen aus der DS-GVO und dem BDSG besteht für alle Unternehmen und Behörden unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Die Pflichten müssen durch den Verantwortlichen selbst wahrgenommen werden.

Dazu gehören beispielsweise:

  • die umfangreichen Dokumentationspflichten wie bspw. die Erstellung und Pflege der Verarbeitungsübersicht (Art. 30 DS-GVO)
  • Transparenz- und Informationspflichten zu den durchgeführten Verarbeitungen personenbezogener Daten gegenüber den betroffenen Personen
  • Bewertung und Festlegung geeigneter Schutzmaßnahmen für die Verarbeitungstätigkeiten unter Berücksichtigung eines risikobasierten Ansatzes
  • Gewährleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzvorfällen (Artt. 34 – 36 DS-GVO)
  • Sicherstellung von Prozessen zur Erfüllung der BetroffenenrechteBerücksichtigung der Datenschutzgrundsätze sowie der Vorgaben zu „privacy by design/default“ bereits bei der Planung einer Datenverarbeitung (Art. 25 DS-GVO)
  • Schulung und Information der Mitarbeiter zu den Anforderungen des Datenschutzrechts
  • Durchführung einer Datenschutzfolgenabschätzung (Art. 35 DS-GVO) bei hohem Risiko einer Verarbeitung – dies löst gem. § 38 Abs. 1 S.2 BDSG eine eigene, von der Personenzahl unabhängige, Benennungspflicht aus

Fazit:

Unternehmen sind von der Änderung der Benennungspflicht betroffen. Sie können ihren gewohnten Datenschutzbeauftragten weiterhin benennen. Dann wird aus der bisherigen Pflichtbenennung eine freiwillige Benennung und Sie werden wie gewohnt bei den vorgenannten Aufgaben unterstützt.

Hinweise:

  • Soweit Unternehmen der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung unterliegen, ändert sich nichts, die Benennungspflicht bleibt bestehen.
  • Soweit Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, unterliegen Sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einer unveränderten Benennungspflicht.
  • Die Änderungen des BDSG haben keinerlei Auswirkung auf die ausdrücklichen Vorgaben von Art. 37 zur Benennungspflicht in der DSGVO.

 

Bewertung des Zweites Datenschutzanpassungs- und Umsetzungsgesetzes (2. DSAnpUG)

In Sachen der Benennungspflicht des betrieblichen Datenschutzbeauftragten ändert sich für Unternehmen in Sachen des erforderlichen Arbeitsaufwandes nichts. Wird ein bislang benannter Datenschutzbeauftragter abberufen, so verbleiben die weiter oben beschriebenen Datenschutz-Aufgaben bei der Organisations-Leitung weiterhin bestehen. Das Argument der Ent-Bürokratisiserung trifft hier sicher nicht zu.