Datenschutz – Gesetzgeber schafft einige wenige Erleichterungen – oder nicht?

Bundestag und Bundesrat haben mittlerweile das „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz“ verabschiedet.  

Folgende Veränderungen sind bereits in Kraft getreten:

  1. Redaktionelle Änderungen

    Es werden sehr viele redaktionelle Änderungen bereichsspezifischer Datenschutzregelungen vorgenommen: Ziel des Gesetzes ist es dabei – wie bereits beim ersten Anpassungsgesetz –, die bisherige deutsche Rechtslage aufrecht zu erhalten.
     
  2.  Einwilligung bei Beschäftigungsverhältnissen

    Bei Einwilligungen zur Datenerhebung und -verarbeitung im Rahmen von Beschäftigungs-verhältnissen wird die strenge Schriftform um die Möglichkeit der elektronischen Form ergänzt, zukünftig genügt auch ein E-Mail. Es werden keine Papierdokumente verlangt. Die E-Mail kann auch elektronisch gespeichert werden, wobei eine unveränderliche Datei empfohlen wird.
     
  3.  Anhebung Beschäftigtenanzahl beim Datenschutzbeauftragten

    Der betriebliche Datenschutzbeauftragte muss zukünftig nur noch ab 20 Personen (vormals 10) im Betrieb bestellt werden, soweit diese ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind. Infolge dieser Grenzwertanhebung verringert sich die Anzahl der Handwerksbetriebe, die einen Datenschutzbeauftragten bestellen müssen. Trotz dieses positiven Effekts verfolgt die Maßnahme jedoch einen falschen Ansatz: Die bisherige Regelung sah vor, dass Betriebe zur Bestellung eines Datenschutzbeauftragten verpflichtet waren, „soweit sie mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Das Problem bestand aber darin, dass die Landesaufsichtsbehörden diese Vorschrift uneinheitlich und zum Teil praxisfern ausgelegt haben. Insbesondere besteht keine Einigkeit darüber, wann und unter welchen Voraussetzungen eine Person „ständig“ automatisiert Daten verarbeitet. Einige Aufsichtsbehörden setzen „ständig“ mit „häufig“ gleich. Infolgedessen wird zum Teil die tägliche Nutzung von Smartphones und Tablets in die Bewertung mit einbezogen, so dass mehr Unternehmen als nötig von der Bestellpflicht erfasst werden.

Durch die Anhebung der Personengrenze werden diese Praxisprobleme leider nicht behoben. So bleibt die unsichere Rechtslage für größere Unternehmen unverändert bestehen. 

Achtung:

Ein Datenschutzbeauftragter ist weiterhin unabhängig von der Personenzahl erforderlich, wenn Daten verarbeitet werden, für die eine Datenschutz-Folgeabschätzung erforderlich ist, z.B. für die Videoüberwachung. 
Und darüber wies Herr Andreas Ebbersmeyer, beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich / technisch), darauf hin, dass auch die Nutzung von besonders schützenswerten Daten ein Grund für die Bestellpflicht eines Datenschutzbeauftragten unabhängig von der Mitarbeiteranzahl ist. Hierunter fallen auch Gesundheitsdaten, die in fast jedem Autohaus zwecks Gewährung von Sonderrabatten (z.B. für Schwerbehinderte) erhoben werden. 


Fazit:

Anhebung der Beschäftigtenzahl für die Bestellung des Datenschutzbeauftragten ist zwar erfreulich. Es bleibt zu hoffen, dass die vorgenommenen Änderungen nur ein erster Schritt sind.
Bedenken Sie nur bitte, auch wenn Sie auf Grund der Mitarbeiteranzahl keinen Datenschutzbeauftragten benennen müssen, ist der Inhaber/Geschäftsführer allein zur vollumfänglichen Umsetzung sämtlicher in der DSGVO geforderten Maßnahmen wie der Rechenschaftspflicht in Form von Löschkonzepten, Verfahrensdokumentationen, Wahrung von Betroffenenrechten etc. verpflichtet. Von einer „Erleichterung“ kann somit nicht unbedingt gesprochen werden.