Mit dem 2. Datenschutz-Anpassungsgesetz („2. DSAnpUG“) sind einige Veränderungen im Bereich des Datenschutzrechts vorgenommen worden, die allerdings unterschiedlich große Auswirkungen auf die Praxis in Unternehmen haben. Relevant sind insbesondere die Änderungen im Bundesdatenschutzgesetz („BDSG“) – das Wichtigste finden Sie hier zusammengefasst.

Zur Rolle des Datenschutzbeauftragten

Wann ein betrieblicher Datenschutzbeauftragter zu benennen ist, bestimmt sich nach Art. 37 Abs. 1 Datenschutz-Grundverordnung („DSGVO“). Insbesondere muss ein Unternehmen tätig werden, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Überwachung von Personen oder in der Verarbeitung besonders sensibler Daten besteht. Beispielsweise wäre das der Fall bei einem Sicherheitsunternehmen, das ein Einkaufszentrum mit Kameras überwacht. Allerdings befindet sich in Art. 37 Abs. 4 S. 1 DSGVO auch eine Öffnungsklausel: Eine Erlaubnis für die EU-Mitgliedsstaaten, für sich zusätzliche Regeln zu erlassen, ab wann ein Datenschutzbeauftragter zu bestellen ist. Mit § 38 Abs. 1 BDSG a.F. wurde bestimmt, dass eine Pflicht besteht, sofern das Unternehmen „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt. Das 2. DSAnpUG hat die Personenanzahl nun auf 20 erhöht. Unternehmen, die nun in diese Lücke fallen, können allerdings dennoch nicht ohne Weiteres auf den Datenschutzbeauftragten verzichten. Zum einen muss trotzdem geprüft werden, ob er nicht aus anderen Gründen bestellt werden muss. Zum anderen ist es bislang nicht geklärt, ob für einen Datenschutzbeauftragten, für den mit der Gesetzesänderung keine Pflicht mehr besteht, das Kündigungsrecht des § 6 Abs. 4 BDSG nicht mehr gilt. Dafür spricht zwar der recht eindeutig gefasste § 38 Abs. 2 BDSG, nach dem der Schutz nur gilt, wenn die Benennung des Datenschutzbeauftragten verpflichtend ist. Aber Unternehmen sollten bedenken, dass dies gerichtlich noch nicht bestätigt wurde. Zudem bedeutet der Wegfall der Verpflichtung nicht auch den Wegfall der sonstigen datenschutzrechtlichen Vorgaben wie der Erstellung von Verzeichnissen über die Verarbeitungstätigkeiten (VVT). Unternehmen sollten daher prüfen, ob der Datenschutzbeauftragte trotz fehlender Verpflichtung sinnvoll für die Erfüllung dieser Pflichten ist.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Eine Erleichterung für Datenverarbeitungen im Beschäftigungsverhältnis

Neu geregelt ist auch die Datenverarbeitung durch Unternehmen im Beschäftigungsverhältnis. Wer in der Vergangenheit personenbezogene Daten von Beschäftigten auf der Grundlage einer Einwilligung verarbeitet hat, musste die Einwilligung in der Regel schriftlich einholen. Schriftliche Einwilligung bedeutet, dass die Einverständniserklärung des Betroffenen nicht nur schriftlich verfasst, sondern vom Einwilligenden auch eigenhändig zu unterzeichnen ist. Von der Schriftform durfte nur bei besonderen Umständen abgesehen werden, etwa bei Mitarbeitern, die durchgängig im Home-Office arbeiten. Mit der Änderung durch das 2. DSAnpUG kann die Einwilligung nun gemäß § 26 Abs. 2 S. 3 BDSG schriftlich oder elektronisch erfolgen. Damit ist nun auch die Einwilligung ohne Einschränkung per E-Mail möglich. Damit trägt das Anpassungsgesetz den Bedürfnissen der Praxis Rechnung und erleichtert die Handhabung für Unternehmen.

Eine neue Aufsicht für Telekommunikationsunternehmen

Eine weitere Änderung betrifft nur Unternehmen, die „für die geschäftsmäßige Erbringung von Telekommunikationsdienstleistungen“ personenbezogene Daten verarbeiten. Mit der Neufassung des § 9 Abs. 1 BDSG ist für sie nun grundsätzlich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“) für die Aufsicht zuständig. Die Neuregelung trägt dem Umstand Rechnung, dass das Telekommunikationsgesetz („TKG“) in Zukunft keine Umsetzungsregelungen bezüglich der DSGVO enthält. Diese Lücke wird somit geschlossen und für Unternehmen ergeben sich daher keine besonderen Änderungen.

Stärkung privater Arbeit im öffentlichen Interesse

Eine wichtige Anpassung wurde im § 22 BDSG vorgenommen. Hier geht es um die Verarbeitung besonders schutzwürdiger personenbezogener Daten wie Daten mit Religions- oder Gesundheitsbezug. Diese dürfen nach Art. 9 DSGVO nur in Ausnahmefällen verarbeitet werden. Einige Ausnahmen befinden sich im § 22 BDSG, unter anderem für Datenverarbeitungen, die aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich sind. Während diese Ausnahme vom Verarbeitungsverbot besonders schutzwürdiger Daten zuvor nur öffentlichen Stellen vorbehalten war, gilt sie nun auch für nichtöffentliche Stellen, das heißt auch für private Unternehmen. Was unter zwingenden Gründen zu verstehen ist, macht die Gesetzesbegründung anhand einiger Beispiele deutlich. Solche können etwa dann vorliegen, wenn durch zivilgesellschaftliche Träger Daten mit Religionsbezug „im Rahmen von Präventions- und Deradikalisierungsprogrammen im Bereich religiös motiviertem, insbesondere islamistischem, Extremismus“ verarbeitet werden. Gleiches gilt „im Bereich der Bekämpfung von Pandemien oder im Rahmen des Katastrophenschutzes“. Wichtig ist dabei: Diese Norm gilt nicht für private Stellen, die Daten geschäftsmäßig und im Rahmen eines gewerblichen Geschäftsmodells verarbeiten. In diesem Fall könne, so die Gesetzesbegründung, ein erhebliches öffentliches Interesse nicht vorliegen.

Fazit

Die Änderungen im BDSG setzen an den richtigen Stellen an und stellen im Wesentlichen Erleichterungen für die Praxis dar. Die Anerkennung der elektronischen Form im § 26 BDSG ist praxisnah und eine wichtige Änderung. Ebenso ist der neue Erlaubnistatbestand für die Datenverarbeitung privater Stellen im öffentlichen Interesse zu begrüßen und trägt der Gemeinnützigkeit solcher Träger Rechnung. Etwas weniger klar ist die Änderung der Pflicht, einen Datenschutzbeauftragten bestellen zu müssen. Einerseits erhalten kleine bis mittlere Unternehmen Entscheidungsfreiheit in diesem Bereich, die sich andererseits relativiert, wenn man die Rolle des Datenschutzbeauftragten bedenkt: nämlich die Einhaltung des Datenschutzes im Unternehmen zu koordinieren, zu überwachen und zum Thema Datenschutz zu beraten. Auch ohne Verpflichtung kann eine Bestellung also trotzdem sinnvoll sein, was die Wichtigkeit der Norm begrenzt. Dennoch sind mit dem 2. DSAnpUG insgesamt sinnvolle Änderungen vorgenommen worden, deren praktische Relevanz und der sich ergebende Handlungsbedarf allerdings nicht überhöht werden müssen.

Mehr zum Thema

  • TTDSG Praktische Umsetzung

    § 26 TTDSG in der praktischen Umsetzung: Zukunft der Einholung und Verwaltung von Einwilligungen im Internet?

    § 26 TTDSG soll einen gesetzgeberischen Anreiz zur Etablierung von sogenannten PIMS (Personal Information Management Systems) setzen, die sich bislang in der Praxis noch nicht durchgesetzt haben.

    Weiterlesen

  • Löschkonzept nach der DSGVO – so funktioniert es!

    Das Löschkonzept ist folglich integraler Bestandteil eines Datenschutzmanagementsystems (DSMS) und darf in keinem Unternehmen, das regelmäßig mit Datenbeständen arbeitet, fehlen. Jetzt alles über Löschkonzepte erfahren!

    Weiterlesen

  • Einsatz von Cloudanbietern

    Einsatz von US-Cloud-Anbietern: Ausschluss im Vergabeverfahren möglich?

    Eine digitale Anbieterin im Gesundheitsbereich darf im Vergabeverfahren nicht allein deswegen von der Auftragsvergabe ausgeschlossen werden, weil sie für das Hosting ihres Dienstes auf die Tochtergesellschaft eines US-Anbieters zurückgreift. Jetzt lesen!

    Weiterlesen

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.