Änderung des BDSG und anderer Gesetze – Aus 10 wird 20

Deutsche Regelung zur Benennungspflicht für betriebliche Datenschutzbeauftragte wird geändert

Das 2. DSAnpUG-EU (Datenschutz-Anpussungs-und Umsetzungsgesetz EU) wurde ebenso wie das DSUmsAnpG-EU (Datenschutz-Umsetzungs- und Anpassungsgesetz EU) am 27. Juni 2019 vom Bundestag in der Fassung der Ausschussempfehlungen verabschiedet (vgl. Link zum Bundestagsasusschuss). Mit diesen Gesetzen werden neben dem am 25. Mai 2018 in Kraft getretenen neuen Bundesdatenschutzgesetz (BDSG) viele weitere Gesetze an die EU-Datenschutz-Grundverordnung (DSGVO) angepasst. Des weiteren werden viele Gesetze zur Umsetzung der sogenannte EU-JI-Richtlinie (Richtlinie (EU) 2016/680, PDF-Datei) geändert.

Beide Gesetze bedürfen aber noch der Zustimmung des Bundesrates. Es ist allerdings davion auszugehen, dass dies nur noch eine Formsache ist. Die nächste Sitzung des Bundesrates ist nach der aktuellen Planung erst am 20. September 2019.

Änderung des § 38 BDSG

Eine wesentliche Änderung ist die Änderung des § 38 BDSG. Hierzu heißt es in der vom Bundestag beschlossenen Fassung:
„In § 38 Absatz 1 Satz 1 wird das Wort „zehn“ durch die Angabe „20“ ersetzt.“

In der Begründung der Ausschussempfehlung des Bundestagssausschusses für Inneres und Heimat zum 2. DSAnpUG-EUheißt es hierzu lapidar:
„In § 38 Absatz 1 Satz 1 wird die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von 10 auf 20 angehoben. Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.“
Dabei wird verkannt, dass auch ohne Pflicht zur Benennung einer oder eines betrieblichen Datenschutzbeauftragten alle Umsetzungsaufgaben nach wie vor zu erledigen sind, auch von KMU und Vereinen. Es gibt ohne betrieblichen Datenschutbeauftragte in diesen Unternehmen und Vereinen meist niemanden mehr, der die zur effizienten Umsetzung  erforderlich Fachkunde hat. Im Endeffekkt wird sich hier vermutlich der Aufwand für die betroffenen Unternehmen und Vereine eher erhöhen.

Die weiteren Schritte sind: Zustimmung des Bundesrates, Unterzeichnung durch den Bundespräsidenten und Verkündung im Bundesgesetzblatt. Ab dem Tag nach der Verkündung (Inkrafttreten des 2. DSAnpUG-EU) lautet der § 38 BDSG dann

„(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“

Für alle betrieblichen Datenschutzbeauftragten, die in Betrieben, Vereinen oder anderen Einrichtungen benannt sind, die nicht mehr unter die Benennungspflicht fallen, fällt damit auch von einem Tag auf den anderen der Kündigungsschutz aus § 6 Absatz 4 BDSG fort.

 

Der Kurzlink für diese Seite ist: https://ds-exp.de/10-20

Über Werner Hülsmann

Geboren 1961; 1982 - 1988: Informatikstudium mit Schwerpunkt Datenschutzrecht, Abschluß Diplom; 1988 - 1991: SW-Entwickler bei Telenorma; 1992 - 1999: Referatsleiter Technik und wissenschaftlicher Mitarbeiter beim Landesbeauftragten für Datenschutz der Freien Hansestadt Bremen; seit 1999 selbständiger Datenschutzberater; seit 2004 anerkannter Datenschutzsachverständiger; seit 2013 intensiv mit der DSGVO beschäftigt. Seit 2010 Beiratsmitglied des FIfF e.V.; von 2015 bis Mai 2022 stellv. Vorsitzender der Deutschen Vereinigung für Datenschutz (DVD) e.V., seit Juni 2021 Vorstandsmitglied im gemeinnützigen Verein Computertruhe e.V. In einem Projekt zur Umsetzung der DSGVO auch als Datenschutz-Nerd bezeichnet.
Dieser Beitrag wurde unter Anpassung in Deutschland, BDSG-neu, Beschäftigtendatenschutz, DSGVO-Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink.