18.12.2019
Das 2. Datenschutz-Anpassungsgesetz: Änderungen bei DSB und BDSG?
Mit dem 2. Datenschutz-Anpassungsgesetz („2. DSAnpUG“) sind einige Veränderungen im Bereich des Datenschutzrechts vorgenommen worden. Relevant sind insbesondere die Änderungen im BDSG – das Wichtigste finden Sie hier zusammengefasst.
Dr. Philipp Siedenburg
Director Datenschutz
Mit dem 2. Datenschutz-Anpassungsgesetz („2. DSAnpUG“) sind einige Veränderungen im Bereich des Datenschutzrechts vorgenommen worden, die allerdings unterschiedlich große Auswirkungen auf die Praxis in Unternehmen haben. Relevant sind insbesondere die Änderungen im Bundesdatenschutzgesetz („BDSG“) – das Wichtigste finden Sie hier zusammengefasst.
Zur Rolle des Datenschutzbeauftragten
Wann ein betrieblicher Datenschutzbeauftragter zu benennen ist, bestimmt sich nach Art. 37 Abs. 1 Datenschutz-Grundverordnung („DSGVO“). Insbesondere muss ein Unternehmen tätig werden, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Überwachung von Personen oder in der Verarbeitung besonders sensibler Daten besteht. Beispielsweise wäre das der Fall bei einem Sicherheitsunternehmen, das ein Einkaufszentrum mit Kameras überwacht. Allerdings befindet sich in Art. 37 Abs. 4 S. 1 DSGVO auch eine Öffnungsklausel: Eine Erlaubnis für die EU-Mitgliedsstaaten, für sich zusätzliche Regeln zu erlassen, ab wann ein Datenschutzbeauftragter zu bestellen ist. Mit § 38 Abs. 1 BDSG a.F. wurde bestimmt, dass eine Pflicht besteht, sofern das Unternehmen „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Das 2. DSAnpUG hat die Personenanzahl nun auf 20 erhöht. Unternehmen, die nun in diese Lücke fallen, können allerdings dennoch nicht ohne Weiteres auf den Datenschutzbeauftragten verzichten. Zum einen muss trotzdem geprüft werden, ob er nicht aus anderen Gründen bestellt werden muss. Zum anderen ist es bislang nicht geklärt, ob für einen Datenschutzbeauftragten, für den mit der Gesetzesänderung keine Pflicht mehr besteht, das Kündigungsrecht des § 6 Abs. 4 BDSG nicht mehr gilt. Dafür spricht zwar der recht eindeutig gefasste § 38 Abs. 2 BDSG, nach dem der Schutz nur gilt, wenn die Benennung des Datenschutzbeauftragten verpflichtend ist. Aber Unternehmen sollten bedenken, dass dies gerichtlich noch nicht bestätigt wurde. Zudem bedeutet der Wegfall der Verpflichtung nicht auch den Wegfall der sonstigen datenschutzrechtlichen Vorgaben wie der Erstellung von Verzeichnissen über die Verarbeitungstätigkeiten (VVT). Unternehmen sollten daher prüfen, ob der Datenschutzbeauftragte trotz fehlender Verpflichtung sinnvoll für die Erfüllung dieser Pflichten ist.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Eine Erleichterung für Datenverarbeitungen im Beschäftigungsverhältnis
Neu geregelt ist auch die Datenverarbeitung durch Unternehmen im Beschäftigungsverhältnis. Wer in der Vergangenheit personenbezogene Daten von Beschäftigten auf der Grundlage einer Einwilligung verarbeitet hat, musste die Einwilligung in der Regel schriftlich einholen. Schriftliche Einwilligung bedeutet, dass die Einverständniserklärung des Betroffenen nicht nur schriftlich verfasst, sondern vom Einwilligenden auch eigenhändig zu unterzeichnen ist. Von der Schriftform durfte nur bei besonderen Umständen abgesehen werden, etwa bei Mitarbeitern, die durchgängig im Home-Office arbeiten. Mit der Änderung durch das 2. DSAnpUG kann die Einwilligung nun gemäß § 26 Abs. 2 S. 3 BDSG schriftlich oder elektronisch erfolgen. Damit ist nun auch die Einwilligung ohne Einschränkung per E-Mail möglich. Damit trägt das Anpassungsgesetz den Bedürfnissen der Praxis Rechnung und erleichtert die Handhabung für Unternehmen.
Eine neue Aufsicht für Telekommunikationsunternehmen
Eine weitere Änderung betrifft nur Unternehmen, die „für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen“ personenbezogene Daten verarbeiten. Mit der Neufassung des § 9 Abs. 1 BDSG ist für sie nun grundsätzlich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“) für die Aufsicht zuständig. Die Neuregelung trägt dem Umstand Rechnung, dass das Telekommunikationsgesetz („TKG“) in Zukunft keine Umsetzungsregelungen bezüglich der DSGVO enthält. Diese Lücke wird somit geschlossen und für Unternehmen ergeben sich daher keine besonderen Änderungen.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Stärkung privater Arbeit im öffentlichen Interesse
Eine wichtige Anpassung wurde im § 22 BDSG vorgenommen. Hier geht es um die Verarbeitung besonders schutzwürdiger personenbezogener Daten wie Daten mit Religions- oder Gesundheitsbezug. Diese dürfen nach Art. 9 DSGVO nur in Ausnahmefällen verarbeitet werden. Einige Ausnahmen befinden sich im § 22 BDSG, unter anderem für Datenverarbeitungen, die aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich sind. Während diese Ausnahme vom Verarbeitungsverbot besonders schutzwürdiger Daten zuvor nur öffentlichen Stellen vorbehalten war, gilt sie nun auch für nichtöffentliche Stellen, das heißt auch für private Unternehmen. Was unter zwingenden Gründen zu verstehen ist, macht die Gesetzesbegründung anhand einiger Beispiele deutlich. Solche können etwa dann vorliegen, wenn durch zivilgesellschaftliche Träger Daten mit Religionsbezug „im Rahmen von Präventions- und Deradikalisierungsprogrammen im Bereich religiös motiviertem, insbesondere islamistischem, Extremismus“ verarbeitet werden. Gleiches gilt „im Bereich der Bekämpfung von Pandemien oder im Rahmen des Katastrophenschutzes“. Wichtig ist dabei: Diese Norm gilt nicht für private Stellen, die Daten geschäftsmäßig und im Rahmen eines gewerblichen Geschäftsmodells verarbeiten. In diesem Fall könne, so die Gesetzesbegründung, ein erhebliches öffentliches Interesse nicht vorliegen.
Fazit
Die Änderungen im BDSG setzen an den richtigen Stellen an und stellen im Wesentlichen Erleichterungen für die Praxis dar. Die Anerkennung der elektronischen Form im § 26 BDSG ist praxisnah und eine wichtige Änderung. Ebenso ist der neue Erlaubnistatbestand für die Datenverarbeitung privater Stellen im öffentlichen Interesse zu begrüßen und trägt der Gemeinnützigkeit solcher Träger Rechnung. Etwas weniger klar ist die Änderung der Pflicht, einen Datenschutzbeauftragten bestellen zu müssen. Einerseits erhalten kleine bis mittlere Unternehmen Entscheidungsfreiheit in diesem Bereich, die sich andererseits relativiert, wenn man die Rolle des Datenschutzbeauftragten bedenkt: nämlich die Einhaltung des Datenschutzes im Unternehmen zu koordinieren, zu überwachen und zum Thema Datenschutz zu beraten. Auch ohne Verpflichtung kann eine Bestellung also trotzdem sinnvoll sein, was die Wichtigkeit der Norm begrenzt. Dennoch sind mit dem 2. DSAnpUG insgesamt sinnvolle Änderungen vorgenommen worden, deren praktische Relevanz und der sich ergebende Handlungsbedarf allerdings nicht überhöht werden müssen.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern