[DSGVO-NL] 2. DSAnpUG-EU und damit Änderung des aktuellen BDSG auch vom Bundesrat beschlossen

Ismaning, 14. März 2024

Hallo ,

okay, bislang ist es nur ein Vorschlag von drei Ausschüssen des Bundesrats. Aber in seiner Sitzumg am 22. März (also morgen in einer Woche) steht der Entwurf des "Ersten Gesetzes zur Änderung des
Bundesdatenschutzgesetzes" unter TOP 25 auf der Tagesordnung (vgl. https://www.bundesrat.de/SharedDocs/TO/1042/to-node.html?cms_topNr=25#top-25).

Und es würde mich überraschen, wenn der Bundesrat die Ausschußempfehlung (vgl. https://dserver.bundestag.de/brd/2024/0072-1-24.pdf) nicht 1:1 übernehmen würde.

In dieser Ausschussdrucksache stehen noch mehr Änderungsvorschläge des Bundesrats drin (auf diese gehe ich heute nicht ein). Zum § 38 BDSG heißt es dort lapidar:

"Nach Artikel 1 Nummer 14 ist folgende Nummer einzufügen:
„14a. § 38 wird aufgehoben.“"

Gut, der Bundestag muss diesem Änderungsvorschlag nicht folgen. Aber da zum Einen ja einige Wirtschaftsverbände vehement eine Entbürokratisierung fordern und glauben machen, die Pficht zur Benennung von Datenschutbeauftragten wäre ein burokratischer Akt und zum anderen die Bundesregierung bei einigen Gesetzgebungsvorhaben auch auf das Wohlwollen des Bundesrates angewiesen ist und zudem auch die Bundesregierung die Entburokratisierung vorantreiben will, könnte es sein, dass auch die Bundesregierung und schlussendlich der Bundestag diesem Änderungswunsch zustimmt.

Die Begründung in der Beschlussempfehlung für die Aufhebung des § 38 ist kurz und knapp:

"Der Bundesgesetzgeber regelt über die Vorgaben der Verordnung (EU) 2016/679 hinausgehend eine Pflicht für nichtöffentliche Stellen, 
einen behördlichen Datenschutzbeauftragten zu bestellen. Gerade kleine und mittlere Unternehmen sollten aber auch nach den 
Vorstellungen des europäischen Gesetzgebers (Erwägungsgrund 13 zu der Verordnung (EU) 2016/679) nicht unnötigen bürokratischen 
Anforderungen ausgesetzt werden. Die derzeitige Regelung entspricht auch nicht dem in der Verordnung (EU) 2016/679 verfolgten 
risikobasierten Ansatz, da er eine Benennpflicht dann regelt, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung 
personenbezogener Daten beschäftigt sind – unabhängig davon, ob diese Verarbeitungstätigkeit auch nur ansatzweise risikobehaftet ist."

Wenn diese Änderung vom Bundesrat und Bundestag beschlossen wird, dann würde sich die Pflicht zur Benennung der Datenschutzbeauftragten nur noch aus Art 37 DSGVO (und etwaigen bereichsspezifischen nationalen Regelungen) ergeben.

Dort heißt es in Absatz 1:

"Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen 
   ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche 
   aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen 
   Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten 
   gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."

Dadurch müssten ein sehr großer Teil der Unternehmen, die bisher eine:n Datenschutzbeauftragte:n benennen mussten dies künftig nicht mehr tun.

Was aber offensichtlich vom Bundesrat - und auch von vielen Wirtschaftsverbänden - übersehen wird: Der Datenschutz muss auch ohne Benennung von Datenschutzbeauftragten in den Unternehmen umgesetzt werden. Die Arbeit, die heute von den Datenschutzbeauftragten erledigt wird, fällt ja zum größten Teil nicht weg.Meine Befürchtung ist: Wenn die betrieblichen Datenschutzbeauftragten in den Unternehmen, bei denen keine Pflicht zur Benennung mehr besteht, dann wegfallen, dass dann die Umsetzung des Datenschutzes in diesen Unternehmen dann leidet. Viele Unternehmen glauben ja noch immer, dass sie sich nicht um den Datenschutz kümmern müssten, wenn sie keine:n Datenschutzbeauftragte benenne:n müssen. Dabei ist das Gegenteil der Fall: Sie müssen sich ganz alleine um den Datenschutz kümmern, wenn sie keine:n Datenschutzbeauftragte:n benannt haben.

Bei den einschlägigen Verbänden - BvD, DVD, GDD, ist noch nichts zu diesem Anschlag auf den Datenschutz zu finden. Bei der GDD findet sich aber auf der Startseite ganz passend - aber vermutlich zufällig . folgener Artikelhinweis: "DATENSCHUTZBEAUFTRAGTE - Die zentrale Bedeutung der Datenschutzbeauftragten für Unternehmen".

Meine Empfehlung: Fordern Sie Ihren Verband auf, sich für die Beibehaltung des § 38 BDSG einzusetzen.

Viele Grüße,

Werner Hülsmann

P.S.: Wenn Sie diesen Newsletter weiterempfehlen wollen, reichen Sie bitte diesen Link weiter: https://dsgvo.expert/NEWSL

Werbung in eigener Sache: Falls Sie noch ein Unternehmen kennen, dass noch kurz- oder mittelfristig eine Meldestelle nach § 12 HinschG benötigt: Ein Festpreisangebot (mit konkreten Preisen und einem Auftragsformular) für Unternehmen bis 2.499 Beschäftigten für die Einrichtung und den Betrieb der Meldestelle nach § 12 HinSchG finden Sie hier als PDF-Datei: https://daschuwi.de/meldestellenangebot - oder als Langurl: https://datenschutzwissen.de/wp/wp-content/uploads/2023/12/2023-12-Angebot-Unternehmen.pdf – Die Links dürfen Sie gerne weitergeben (oder selbst nutzen) vgl. auch https://daschuwi.de/HinSchG-DL.

Werbung für einen gemeinnützigen Verein: Falls bei Ihnen (im Unternehmen oder privat) funktiosnfähige Hardware abzugeben ist, lege ich Ihnen den gemeinnützigen Verein Computertruhe e.V. ans Herz, der gebrauchte Computer entgegennimmt, diese aufbereite und an bedürftige Menschen und gemeinnützige Organisationen kostenlos weitergibt. Zur Unterstützung der Tätigkeit werden Geld-, Zeit- und Materialspenden gerne entgegen genommen - https://computertruhe.de/spenden/ - Und ja, ich bin „befangen“, da ich selbst dort aktiv bin, zum einem als Beisitzer im Vorstand - https://computertruhe.de/verein/vorstand/ - ein bißchen weiter unten ... - und zum anderen in der Region ("am Standort") München. Dort beschäftige ich mich mit der Entgegennahme, Aufbereitung und Ausgabe von in erster Linie Laptops aber auch Desktops. Es ist immer wieder schön, die freudigen Gesichter zu sehen, wenn ich einen Laptop oder einen Desktop ausgeben kann.

_________________________________________________
Um Ihre Newsletter-Einstellungen zu ändern oder Ihre Daten zu berichtigen, bitte hier klicken. - Um Ihre Daten zu Auskunftszwecken gemäß Art. 15 der EU-Datenschutz-Grundverordnung (DSGVO) oder zum Zwecke der Datenübertragbarkeit gemäß Art. 20 DSGVO herunterzuladen, bitte hier klicken - Sollten Sie Ihre Einwilligung widerrufen und sich wieder abmelden wollen, dann bitte hier klicken - Die Datenschutzerklärung finden Sie hier


-----------------------------------------------

Meine  Infoseite  zur Europäischen Datenschutz-
grundverordnung (DSGVO): <https://dsgvo.expert>
-----------------------------------------------

-- 

Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann
- Datenschutzgutachter - Datenschutzexperte -

* Münchener Str. 101 - Gebäude 1 / 1. OG -  D-85737 Ismaning
  FAX.: 089 / 51 30 569-8  
* Pappelhof 12 - D-14478 Potsdam
Mobil: 0177 / 28 28 681 
E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de