Mit dem 2. Datenschutz-Anpassungsgesetz („2. DSAnpUG“) sind einige Veränderungen im Bereich des Datenschutzrechts vorgenommen worden, die allerdings unterschiedlich große Auswirkungen auf die Praxis in Unternehmen haben. Relevant sind insbesondere die Änderungen im Bundesdatenschutzgesetz („BDSG“) – das Wichtigste finden Sie hier zusammengefasst.
Zur Rolle des Datenschutzbeauftragten
Wann ein betrieblicher Datenschutzbeauftragter zu benennen ist, bestimmt sich nach Art. 37 Abs. 1 Datenschutz-Grundverordnung („DSGVO“). Insbesondere muss ein Unternehmen tätig werden, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Überwachung von Personen oder in der Verarbeitung besonders sensibler Daten besteht. Beispielsweise wäre das der Fall bei einem Sicherheitsunternehmen, das ein Einkaufszentrum mit Kameras überwacht. Allerdings befindet sich in Art. 37 Abs. 4 S. 1 DSGVO auch eine Öffnungsklausel: Eine Erlaubnis für die EU-Mitgliedsstaaten, für sich zusätzliche Regeln zu erlassen, ab wann ein Datenschutzbeauftragter zu bestellen ist. Mit § 38 Abs. 1 BDSG a.F. wurde bestimmt, dass eine Pflicht besteht, sofern das Unternehmen „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Das 2. DSAnpUG hat die Personenanzahl nun auf 20 erhöht. Unternehmen, die nun in diese Lücke fallen, können allerdings dennoch nicht ohne Weiteres auf den Datenschutzbeauftragten verzichten. Zum einen muss trotzdem geprüft werden, ob er nicht aus anderen Gründen bestellt werden muss. Zum anderen ist es bislang nicht geklärt, ob für einen Datenschutzbeauftragten, für den mit der Gesetzesänderung keine Pflicht mehr besteht, das Kündigungsrecht des § 6 Abs. 4 BDSG nicht mehr gilt. Dafür spricht zwar der recht eindeutig gefasste § 38 Abs. 2 BDSG, nach dem der Schutz nur gilt, wenn die Benennung des Datenschutzbeauftragten verpflichtend ist. Aber Unternehmen sollten bedenken, dass dies gerichtlich noch nicht bestätigt wurde. Zudem bedeutet der Wegfall der Verpflichtung nicht auch den Wegfall der sonstigen datenschutzrechtlichen Vorgaben wie der Erstellung von Verzeichnissen über die Verarbeitungstätigkeiten (VVT). Unternehmen sollten daher prüfen, ob der Datenschutzbeauftragte trotz fehlender Verpflichtung sinnvoll für die Erfüllung dieser Pflichten ist.
Eine Erleichterung für Datenverarbeitungen im Beschäftigungsverhältnis
Neu geregelt ist auch die Datenverarbeitung durch Unternehmen im Beschäftigungsverhältnis. Wer in der Vergangenheit personenbezogene Daten von Beschäftigten auf der Grundlage einer Einwilligung verarbeitet hat, musste die Einwilligung in der Regel schriftlich einholen. Schriftliche Einwilligung bedeutet, dass die Einverständniserklärung des Betroffenen nicht nur schriftlich verfasst, sondern vom Einwilligenden auch eigenhändig zu unterzeichnen ist. Von der Schriftform durfte nur bei besonderen Umständen abgesehen werden, etwa bei Mitarbeitern, die durchgängig im Home-Office arbeiten. Mit der Änderung durch das 2. DSAnpUG kann die Einwilligung nun gemäß § 26 Abs. 2 S. 3 BDSG schriftlich oder elektronisch erfolgen. Damit ist nun auch die Einwilligung ohne Einschränkung per E-Mail möglich. Damit trägt das Anpassungsgesetz den Bedürfnissen der Praxis Rechnung und erleichtert die Handhabung für Unternehmen.
Eine neue Aufsicht für Telekommunikationsunternehmen
Eine weitere Änderung betrifft nur Unternehmen, die „für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen“ personenbezogene Daten verarbeiten. Mit der Neufassung des § 9 Abs. 1 BDSG ist für sie nun grundsätzlich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“) für die Aufsicht zuständig. Die Neuregelung trägt dem Umstand Rechnung, dass das Telekommunikationsgesetz („TKG“) in Zukunft keine Umsetzungsregelungen bezüglich der DSGVO enthält. Diese Lücke wird somit geschlossen und für Unternehmen ergeben sich daher keine besonderen Änderungen.
Stärkung privater Arbeit im öffentlichen Interesse
Eine wichtige Anpassung wurde im § 22 BDSG vorgenommen. Hier geht es um die Verarbeitung besonders schutzwürdiger personenbezogener Daten wie Daten mit Religions- oder Gesundheitsbezug. Diese dürfen nach Art. 9 DSGVO nur in Ausnahmefällen verarbeitet werden. Einige Ausnahmen befinden sich im § 22 BDSG, unter anderem für Datenverarbeitungen, die aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich sind. Während diese Ausnahme vom Verarbeitungsverbot besonders schutzwürdiger Daten zuvor nur öffentlichen Stellen vorbehalten war, gilt sie nun auch für nichtöffentliche Stellen, das heißt auch für private Unternehmen. Was unter zwingenden Gründen zu verstehen ist, macht die Gesetzesbegründung anhand einiger Beispiele deutlich. Solche können etwa dann vorliegen, wenn durch zivilgesellschaftliche Träger Daten mit Religionsbezug „im Rahmen von Präventions- und Deradikalisierungsprogrammen im Bereich religiös motiviertem, insbesondere islamistischem, Extremismus“ verarbeitet werden. Gleiches gilt „im Bereich der Bekämpfung von Pandemien oder im Rahmen des Katastrophenschutzes“. Wichtig ist dabei: Diese Norm gilt nicht für private Stellen, die Daten geschäftsmäßig und im Rahmen eines gewerblichen Geschäftsmodells verarbeiten. In diesem Fall könne, so die Gesetzesbegründung, ein erhebliches öffentliches Interesse nicht vorliegen.
Fazit
Die Änderungen im BDSG setzen an den richtigen Stellen an und stellen im Wesentlichen Erleichterungen für die Praxis dar. Die Anerkennung der elektronischen Form im § 26 BDSG ist praxisnah und eine wichtige Änderung. Ebenso ist der neue Erlaubnistatbestand für die Datenverarbeitung privater Stellen im öffentlichen Interesse zu begrüßen und trägt der Gemeinnützigkeit solcher Träger Rechnung. Etwas weniger klar ist die Änderung der Pflicht, einen Datenschutzbeauftragten bestellen zu müssen. Einerseits erhalten kleine bis mittlere Unternehmen Entscheidungsfreiheit in diesem Bereich, die sich andererseits relativiert, wenn man die Rolle des Datenschutzbeauftragten bedenkt: nämlich die Einhaltung des Datenschutzes im Unternehmen zu koordinieren, zu überwachen und zum Thema Datenschutz zu beraten. Auch ohne Verpflichtung kann eine Bestellung also trotzdem sinnvoll sein, was die Wichtigkeit der Norm begrenzt. Dennoch sind mit dem 2. DSAnpUG insgesamt sinnvolle Änderungen vorgenommen worden, deren praktische Relevanz und der sich ergebende Handlungsbedarf allerdings nicht überhöht werden müssen.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.