Ismaning, 25. September 2019
Hallo ,
nach leider erst 11 Monaten erhalten Sie heute meinen aktuellen Newsletter. Und dies nicht, weil die DSGVO heute bereits 16 Monate gültig ist. Es gibt etwas wichtiges zu berichten und sich beschränke mich auf ein Thema: Die Änderung des aktuellen Bundesdatenschutzgesetzes (BDSG)
Über das 2. DSAnpUG-EU und das DSUG-Anp-EU hatte ich ja bereits in meinem letzten Newsletter (vgl. https://dsgvo.expert/newsletter/bisher-erschienene-newsletter/?email_id=21) berichtet. Inzwischen sind beide Gesetze vom Bundestag und Bundesrat beschlossen worden. Nach deren Unterzeichnung durch den Bundespräsidenten und der Verkündung im Bundesgesetzblatt können diese beiden Gesetze dann auch in Kraft treten.
Das 2. DSAnpUG-EU ändert über 150 Bundesgesetze, darunter auch das aktuelle Bundesdatenschutzgesetz. Über Änderungen in der parlamentarischen Beratungen insbesondere in den Ausschüssen des Bundestages ergeben sich über die im ursprünglichen Entwurf enthaltenen Änderungen des BDSG noch folgende drei aus meiner Sicht wichtige Änderungen des BDSG, die nach der Verkündung (s.u.) des 2. DSAnpUG-EU in Kraft treten.
1.) "§ 1 wird wie folgt geändert:
a) (...)
b) In Absatz 6 Satz 1 werden die Wörter „und die Schweiz“ gestrichen."
"§ 1 Anwendungsbereich des Gesetzes
(6) Bei Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679 stehen die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum und die Schweiz den Mitgliedstaaten der Europäischen Union gleich. Andere Staaten gelten insoweit als Drittstaaten." (§ 1 Abs. 6 BDSG)
Hier hatte der Deutsche Gesetzgeber in der ursprünglichen Fassung des neuen BDSG etwas geregelt, was er gar nicht hätte regeln dürfen. Von daher musste dies geändert werden.
2.) "In § 26 Absatz 2 Satz 3 werden die Wörter „bedarf der Schriftform“ durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt."
"§ 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftformhat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären."
Angesicht der "Digitalisierung" auch in der Arbeitswelt, ist diese Änderung nachvollziehbar und bringt m.E. insbesondere wegen des erhalten gebliebenen Nachsatzes "soweit nicht wegen besonderer Umstände eine andere Form angemessen ist" keine Verschlechterung der aktuellen Situation dar. Eine Einwilligung, die über ein Formular im Intranetseit eines Unternehmens erteilt wird, kann auch informativer gestaltet werden, als eine in Papierform, z.B. indem auf weiterführende Dokumente - wie z.B. auf eine mitgeltende Betriebsvereinbarung oder auf eine Datenschutz-Erklärung eines Dienstleisters verlinkt wird.
3.) "In § 38 Absatz 1 Satz 1 wird das Wort „zehn“ durch die Angabe „20“ ersetzt."
"§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen."
Hier hat sich leider der Mythos durchgesetzt, dass Unternehmen, die keine/n Datenschutzbeauftragte/n zu benennen hätten, weniger Arbeit mit der Umsetzung des Datenschutzes hätten. Dabei ist hier das Gegenteil der Fall: Die Anforderungen an die Umsetzung der DSGVO bleiben unverändert besetehen. Wenn es im Unternehmen oder der Institution keine fachkundige Person gibt (und das ist in diesen kleinen Unternehmen und Institutionen, für die diese Änderungen wirkt meist der Fall) und kein/e Datenschutzbeauftragte/r benannt wird, dann weiß im Unternehmen in der Institution vielleicht noch jemand was zu tun ist, abe es gibt doch niemanden, die oder der hier aufgrund ausreichender Fachkenntnisse im Datenschutzrecht und in der Datenschutzpraxis (vgl. Art. 37 Abs. 5 DSGVO) auch ausreichende Erfahrung in der pragmatischen und effizienten Umsetzung dieser Anforderungen hat.
Über die Änderungen, die sich bereits aus dem ursprünglichen Entwurf des 2. DSAnpUG-EU werde ich in den nächsten Tagen in einem Blogbeitrag in der Rubrik Aktuelles (https://dsgvo.expert/thema/dsgvo-allgemein/) berichten. Hierzu wird es dann selbstverständlich einen Hinweis im nächsten Newsletter geben.
Beschlossen wurde vom Bundestag am 27. Juni 2019 der von der Bundesregierung eingebrachten Entwurf eines Zweiten Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU, (BT-Drucksache 19/4674, http://dipbt.bundestag.de/dip21/btd/19/046/1904674.pdf) in der Fassung der Ausschusssempfehlung (BT-Drs. 19/11181, http://dipbt.bundestag.de/dip21/btd/19/111/1911181.pdf).
"Der Bundesrat hat in seiner 980. Sitzung am 20. September 2019 beschlossen, dem vom Deutschen Bundestag am 27. Juni 2019 verabschiedeten Gesetz gemäß Artikel 74 Absatz 2, Artikel 80 Absatz 2, Artikel 84 Absatz 1 Satz 5 und 6, Artikel 105 Absatz 3 und Artikel 108 Absatz 5 des Grundgesetzes zuzustimmen." (Quelle: https://www.bundesrat.de/drs.html?id=380-19%28B%29).
Nun muss das Gesetz nur noch vom Bundespräsideten unterschrieben, danach verkündet werden und kann dann in Kraft treten:
.
Viele Grüße,
Werner Hülsmann
P.S.: Wenn Sie diesen Newsletter weiterempfehlen wollen,
reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL
_________________________________________________
Um Ihre Newsletter-Einstellungen zu ändern oder Ihre Daten zu berichtigen, bitte hier klicken. - Um Ihre Daten zu Auskunftszwecken gemäß Art. 15 der EU-Datenschutz-Grundverordnung (DSGVO) oder zum Zwecke der Datenübertragbarkeit gemäß Art. 20 DSGVO herunterzuladen, bitte hier klicken - Sollten Sie Ihre Einwilligung widerrufen und sich wieder abmelden wollen, dann bitte hier klicken - Die Datenschutzerklärung finden Sie hier
-----------------------------------------------
Meine Infoseite zur Europäischen Datenschutz- grundverordnung (DSGVO): <https://dsgvo.expert> ----------------------------------------------- -- Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann - Datenschutzgutachter - Datenschutzexperte - * Münchener Str. 101 - Gebäude 1 / 1. OG - D-85737 Ismaning Tel.: 089 / 51 30 569-7, FAX: -8 * Pappelhof 12 - D-14478 Potsdam Tel. 030 / 22 43 84 36 Mobil: 0177 / 28 28 681 E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de