2. DSAnpUG-EU: Das ändert sich nun im deutschen Dtenschutzrecht

Am 20.9.2019 hat der Bundesrat dem „Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (Zweites DSAnpUG-EU)“ zur Anpassung deutscher Regelungen an die Datenschutz-Grundverordnung (DSGVO) zugestimmt.

Mit diesem Gesetz werden viele deutsche Gesetze an das bereits seit dem 25. Mai 2018 geltende Datenschutzrecht angepasst. Unter den 154 angepassten Gesetzen werden auch Bestimmungen im Bundesdatenschutzgesetz (BDSG) angepasst.

  • Bei § 26 Abs. 2 Satz 3 BDSG zur Einwilligung von Beschäftigten werden die Wörter „bedarf der Schriftform“ durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.
  • In § 38 Abs. 1 Satz 1 BDSG zum Schwellenwert, ab dem in Deutschland ein Datenschutzbeauftragter zu benennen ist, wird das Wort „zehn“ durch die Angabe „20“ ersetzt.

Insbesondere der letzte Punkt kann für Sie gravierende Auswirkungen haben, da für Sie möglicherweise keine Pflicht mehr zur Bestellung eines Datenschutzbeauftragten besteht.

Dies kommt gerade Kleinstunternehmen sowie Vereinen zugute, die sich in der Vergangenheit immer wieder über den Mehraufwand an Bürokratie und hohe Mehrkosten beklagt hatten. Dies wurde nun erhört, so dass sich die Zahl der bei der Verarbeitung personenbezogener Daten Beschäftigten von zehn auf 20 erhöht. Mit dieser Anpassung sollen vor allem kleinere und mittlere Unternehmen sowie Vereine entlastet werden.

ABER: Die Verantwortung für die Umsetzung und Einhaltung der gesetzlichen Bestimmungen zum Datenschutz hat weiterhin der Verantwortliche des Unternehmens, vertreten durch die Geschäftsführung.

Allerdings gibt es Situationen bzw. Konstellationen bei der automatisierten Verarbeitung von personenbezogenen Daten, bei denen die Anzahl der Beschäftigten irrelevant ist und dennoch eine Bestellpflicht eines Datenschutzbeauftragten besteht.

Insbesondere ist das der Fall, wenn es bei der automatisierten Verarbeitung zur systematischen Überwachung oder zur Bildung von Profilen kommt oder im Unternehmen Verarbeitungen durchgeführt werden, die einer Datenschutzfolgenabschätzung (DSFA) unterliegen.

D.h. sofern der Schwellenwert von 20 Beschäftigten nicht erreicht wird und es keine DSFA-pflichtigen Verarbeitungen gibt, so muss zwar kein Datenschutzbeauftragter mehr bestellt werden, jedoch bleiben alle Anforderungen der DSGVO und des BDSG anwendbar. Mithin sind diese zu gewährleisten. Eine freiwillige Bestellung des Datenschutzbeauftragten ist selbstverständlich weiterhin möglich.

Daher empfehlen wir, trotz der Herabstufung von zehn auf „mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“ einen Datenschutzbeauftragen zu bestellen, damit Sie sich auf Ihr Geschäft konzentrieren können und gleichzeitig kompetente Beratung bei der Umsetzung und insbesondere Einhaltung des Datenschutzes zur Seite haben. Mit unseren speziellen Angeboten für Vereine und kleinere Unternehmen können Sie einfach und effektiv einen wirkungsvollen Datenschutz umsetzen.