Grenze der Bestellpflicht für Datenschutzbeauftragte angehoben

Nach der 2017 beschlossenen Novellierung des Bundesdatenschutzgesetzes (BDSG) hat der Bundestag nun auch das bereichsspezifische Datenschutzrecht des Bundes an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) angepasst.

Mit dem in den frühen Morgenstunden des 28.06.2019 vom Bundestag verabschiedeten zweiten Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) werden zahlreiche Gesetze mit den Vorgaben der DS-GVO in Einklang gebracht. Das Gesetz nimmt in 154 Fachgesetzen fast aller Ressorts Änderungen vor. Zu den Regelungsschwerpunkten zählen dabei insbesondere Anpassungen von Begriffsbestimmungen und von Rechtsgrundlagen für die Datenverarbeitung sowie Regelungen zu den Betroffenenrechten.

Zudem schafft das verabschiedete Gesetz auch Änderungen im BDSG. Mit dem Argument des Bürokratieabbaus hatte die Unionsfraktionen die Forderung in die Gesetzesberatung eingebracht, die Grenze der Bestellpflicht für einen betrieblichen Datenschutzbeauftragten (§ 38) auf 50 Personen zu erhöhen. Im Rahmen eines Kompromisses haben sich die Koalitionsfraktionen aber schlussendlich doch auf eine Erhöhung von 10 auf 20 Personen, die ständig personenbezogene Daten verarbeiten, verständigt.

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat die über ein Jahr andauernde Diskussion rund um das 2. DSAnpUG fortlaufend begleitet und dabei vor allem warnend auf die Entscheidungsträger in den Koalitionsfraktionen eingewirkt, dass eine im Raum stehende Veränderung der Formulierung („Personen, die überwiegend mit der Datenverarbeitung befasst sind“) die Bestellpflicht erheblich aufweichen könnte. Gerade über den kontinuierlich betriebenen Kontakt zu den zuständigen Berichterstattern für Datenschutz konnte die GDD überzeugend darlegen, dass die überlegte Änderung der Formulierung dazu führen würde, dass ein Beschäftigter dann mehr als 50 Prozent seiner Arbeitszeit für die Datenverarbeitung aufwenden müsste, um „überwiegend“ mit der Datenverarbeitung befasst zu sein. Diese Voraussetzung würden nur die wenigsten Mitarbeiter in Unternehmen erfüllen.

Die Befreiung von der Bestellpflicht eines Datenschutzbeauftragten im Betrieb führt jedoch nicht zu einem Wegfall anderer datenschutzrechtlicher Pflichten. Am Ende wird mit dem Wegfall eines Datenschutzbeauftragten nicht Bürokratie, sondern Kompetenz und Sachverstand abgebaut. Auch ohne gesetzliche Bestellpflicht sind Unternehmen und Einrichtung gut beraten, einen betrieblichen Datenschutzbeauftragten zu benennen.

Neben technischen Änderungen am BDSG und dem Hinzufügen des § 86 BDSG (Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen) wird auch der für die Praxis so bedeutsame § 26 BDSG an einer Stelle verändert. In § 26 Abs. 2 Satz 3 BDSG entfällt das Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis und wird durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.

Neben dem verabschiedeten Gesetz fordert die Große Koalition die Bundesregierung zudem auf, Art. 85 DS-GVO (Verarbeitung zu journalistischen Zwecken) auch für die Bereiche auszugestalten, die nicht Gegenstand der Mediengesetze der Länder sind. Damit etwa Blogger und andere freie Journalisten rechtssicher arbeiten können, soll diese Regelungslücke zeitnah geschlossen werden. Angesichts der Bedeutung und Komplexität des Vorhabens wird dies nun aber im Rahmen eines separaten Gesetzgebungsverfahrens erfolgen, um das ansonsten sehr technische Anpassungsgesetz mit seinen zahlreichen Änderungsartikeln nicht zu überfrachten.

Das 2. DSAnpUG ist von Seiten des Bundesrates zustimmungsbedürftig und tritt am Tag nach der Verkündung im Bundesgesetzblatt in Kraft.

Siehe hierzu:

https://www.bundestag.de/dokumente/textarchiv/2019/kw26-de-datenschutz-649218

Letztes Update:28.06.19

  • Fingerabdruck im Personalausweis rechtens

    EuGH: Pflicht zur Aufnahme von Fingerabdrücken im Personalausweis ist zulässig

    Der EuGH hat entschieden, dass die Verpflichtung zur Aufnahme von zwei Fingerabdrücken im Personalausweis mit dem Unionsrecht vereinbar ist, obwohl die zugrunde liegende europäische Verordnung auf einer falschen Rechtsgrundlage beruht. Ein deutscher Staatsbürger hatte sich gegen die Weigerung der Stadt Wiesbaden gewandt, ihm einen neuen Personalausweis ohne Fingerabdrücke auszustellen. Der EuGH stellte fest, dass die

    Mehr erfahren
  • Abfrage des Geburtsdatums beim Online-Shopping nicht immer zulässig

    Mit der Rechtmäßigkeit einer datenschutzrechtlichen Anordnung hat sich das OVG Niedersachsen befasst. Im Ergebnis hat das OVG einer Online-Apotheke untersagt, als verpflichtende Angabe im Bestellprozess stets das Geburtsdatum abzufragen. Die niedersächsische Datenschutzbehörde hatte die Apotheke aufgefordert, unabhängig von der Art des bestellten Medikaments das Geburtsdatum und die Anrede des Bestellers nicht mehr abzufragen. Die Apotheke

    Mehr erfahren
  • Datenschutzbeauftragte: Deutsches Modell bleibt

    Die Institution „Datenschutzbeauftragte“ ist so alt wie das deutsche Datenschutzrecht, auf Bundesebene gibt es sie seit 1977. Viele sehen es als einen großen Erfolg, dass die Datenschutz-Grundverordnung (DS-GVO) die bewährte deutsche Regelung übernommen hat und die Bestellung von Datenschutzbeauftragten seit Wirksamwerden der DS-GVO in der Europäischen Union vorsieht. Mit den Datenschutzbeauftragten stehen Unternehmen (und Behörden)

    Mehr erfahren