Grenze der Bestellpflicht für Datenschutzbeauftragte angehoben

Nach der 2017 beschlossenen Novellierung des Bundesdatenschutzgesetzes (BDSG) hat der Bundestag nun auch das bereichsspezifische Datenschutzrecht des Bundes an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) angepasst.

Mit dem in den frühen Morgenstunden des 28.06.2019 vom Bundestag verabschiedeten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) werden zahlreiche Gesetze mit den Vorgaben der DS-GVO in Einklang gebracht. Das Gesetz nimmt in 154 Fachgesetzen fast aller Ressorts Änderungen vor. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten.

Zudem schafft das verabschiedete Gesetz auch Änderungen im BDSG. Mit dem Argument des Bürokratieabbaus hatte die Unionsfraktionen die Forderung in die Gesetzesberatung eingebracht, die Grenze der Bestellpflicht für einen betrieblichen Datenschutzbeauftragten (§ 38) auf 50 Personen zu erhöhen. Im Rahmen eines Kompromisses haben sich die Koalitionsfraktionen aber schlussendlich doch auf eine Erhöhung von 10 auf 20 Personen, die ständig personenbezogene Daten verarbeiten, verständigt.

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat die über ein Jahr andauernde Diskussion rund um das 2. DSAnpUG fortlaufend begleitet und dabei vor allem warnend auf die Entscheidungsträger in den Koalitionsfraktionen eingewirkt, dass eine im Raum stehende Veränderung der Formulierung („Personen, die überwiegend mit der Datenverarbeitung befasst sind“) die Bestellpflicht erheblich aufweichen könnte. Gerade über den kontinuierlich betriebenen Kontakt zu den zuständigen Berichterstattern für Datenschutz konnte die GDD überzeugend darlegen, dass die überlegte Änderung der Formulierung dazu führen würde, dass ein Beschäftigter dann mehr als 50 Prozent seiner Arbeitszeit für die Datenverarbeitung aufwenden müsste, um „überwiegend“ mit der Datenverarbeitung befasst zu sein. Diese Voraussetzung würden nur die wenigsten Mitarbeiter in Unternehmen erfüllen.

Die Befreiung von der Bestellpflicht eines Datenschutzbeauftragten im Betrieb führt jedoch nicht zu einem Wegfall anderer datenschutzrechtlicher Pflichten. Am Ende wird mit dem Wegfall eines Datenschutzbeauftragten nicht Bürokratie, sondern Kompetenz und Sachverstand abgebaut. Auch ohne gesetzliche Bestellpflicht sind Unternehmen und Einrichtung gut beraten, einen betrieblichen Datenschutzbeauftragten zu benennen.

Neben technischen Änderungen am BDSG und dem Hinzufügen des § 86 BDSG (Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen) wird auch der für die Praxis so bedeutsame § 26 BDSG an einer Stelle verändert. In § 26 Abs. 2 Satz 3 BDSG entfällt das Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis und wird durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.

Neben dem verabschiedeten Gesetz fordert die Große Koalition die Bundesregierung zudem auf, Art. 85 DS-GVO (Verarbeitung zu journalistischen Zwecken) auch für die Bereiche auszugestalten, die nicht Gegenstand der Mediengesetze der Länder sind. Damit etwa Blogger und andere freie Journalisten rechtssicher arbeiten können, soll diese Regelungslücke zeitnah geschlossen werden. Angesichts der Bedeutung und Komplexität des Vorhabens wird dies nun aber im Rahmen eines separaten Gesetzgebungsverfahrens erfolgen, um das ansonsten sehr technische Anpassungsgesetz mit seinen zahlreichen Änderungsartikeln nicht zu überfrachten.

Das 2. DSAnpUG ist von Seiten des Bundesrates zustimmungsbedürftig und tritt am Tag nach der Verkündung im Bundesgesetzblatt in Kraft.

Siehe hierzu: