Änderungen beim Datenschutz beschlossen

Der Bundestag hat in seiner Sitzung am 27. Juni das sog. Zweite Gesetzes zur Anpassung des Datenschutzrechts an die DSGVO (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz) beschlossen. Damit wurden zahlreiche Gesetze an die DSGVO angepasst. Für Unternehmer gibt es zwei sehr wesentliche Änderungen, die nicht immer eine Erleichterung darstellen.

Über 150 Änderungen in verschiedenen Gesetzen beinhaltet das nun verabschiedete Gesetz. Überwiegend betreffen die Änderungen öffentlich-rechtliche Gesetze, die zum 25. Mai 2018 – also an dem Tag, als die DSGVO Geltung erlangte – noch nicht angepasst wurden. Dazu zählen z.B. das Weingesetz, das Gentechnikgesetz oder das Staatsangehörigkeitsgesetz.

Auch geändert wird aber auch das Bundesdatenschutzgesetz in zwei ganz wesentlichen Punkten.

Datenschutzbeauftragter erst ab 20 Mitarbeitern

Bisher müssen gemäß § 38 BDSG alle Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Diese Regelung wurde als „Bürokratiemonster“ angesehen. Daher war es der politische Wille, dass die Anforderungen an Unternehmen, die einen Datenschutzbeauftragten bestellen müssen, gelockert werden.

Durch das neue Gesetz wird die Schwelle von „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ auf „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ angehoben.

Welche Mitarbeiter zählen mit?

Genauer gesagt bedarf es dann in der Regel mindestens 20 Personen, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Damit wird klar, dass schon nicht jeder Mitarbeiter in diesen Personenkreis zählt.

So dürften z.B. Fließbandmitarbeiter eher selten mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein (je nach Berufsbild). Diese zählen dann also nicht mit in den Grenzwert.

Eine ständige Beschäftigung setzt weiter voraus, dass die Person sich für eine längere, meist unbestimmte Zeit mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ohne dass dies die ausschließliche Beschäftigung sein muss.

Auch eine nur gelegentlich, etwa einmal im Monat anfallende Aufgabe, erfüllt das Merkmal „ständig“, wenn die Person sie stets wahrzunehmen hat.

Auch eine stundenweise Beschäftigung etwa einmal im Monat ist „ständig“, sofern sie auf unbestimmte oder längere Zeit ausgeübt wird. Dagegen sind Urlaubsvertretungen, die eine solche Aufgabe nur vorübergehend übernehmen, nicht mitzuzählen. Automatisierte Verarbeitungen setzten die Arbeit am Computer oder Tablet voraus.

Die Beschäftigung mit gedruckten Listen zählt nicht dazu.

Und natürlich muss es sich um personenbezogene Daten handeln. Firmendaten von juristischen Personen fallen hier heraus. Die Beschäftigung mit den Daten muss Teil der Aufgabenbeschreibung sein. Reinigungskräfte, Fahrer oder Gärtner haben in aller Regel andere Schwerpunkte der Tätigkeit.

Als Mitarbeiter zählen übrigens alle Mitarbeiter, also egal, ob Voll- oder Teilzeitkraft, Praktikanten etc. Ob die Geschäftsführung oder der Inhaber eines Unternehmens dazu zählt, ist noch nicht abschließend geklärt. Vieles spricht aber gegen eine Aufnahme dieser Personen in den Grenzwert.

Werden Dienstleister als Auftragsverarbeiter beschäftigt, so zählen dessen Mitarbeiter nicht beim Auftraggeber dazu. Auftragsverarbeiter und Auftraggeber müssen jeweils getrennt prüfen, ob sie die Zahl erreichen.

Sonstige Gründe für Bestellung

Unabhängig von der Anzahl von Mitarbeitern kennt das Gesetz auch weitere Gründe für eine Bestellung. Werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgen-abschätzung nach Art. 35 DSGVO unterliegen oder werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet, ist auch bei kleinen Betrieben eine Bestellung notwendig.

Diese wird auch notwendig, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht (z.B. Gesundheitsdaten).

Hier gibt es von den Behörden Hilfestellungen zur der schwierigen Auslegung von Begriffen, wie „Kerntätigkeit“ und „umfangreiche Überwachung“ (vgl. z.B. https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DS-GVO_und_der_JI-RL/Inhalt/FAQ_zum_Datenschutzbeauftragten/FAQ_ein_Dokument.pdf ).

Arbeitsrechtliche Bestimmungen beachten

Unternehmen, die z.B. 15 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigte Mitarbeiter haben, müssen nach aktuellem Recht einen Datenschutzbeauftragten bestellt haben. Häufig sind dies interne Mitarbeiter.

Sobald das neue Recht in Kraft ist, brauchen diese Unternehmen regelmäßig keinen Datenschutzbeauftragten mehr. Es ist allerdings nicht so einfach möglich, den Datenschutzbeauftragten von seinen Pflichten zu entbinden, da hier das Arbeitsrecht beachtet werden muss. Lassen Sie sich am besten frühzeitig arbeitsrechtlich zu diesen Fragen beraten.

Adresshandel mit Melderegisterauskunftsdaten

Ein weiteres Thema, das auch für Händler wichtig werden dürfte, betrifft die Melderegisterauskünfte.

Künftig ist die Erteilung einer einfachen Melderegisterauskunft nur noch zulässig, wenn die Identität der Person, über die Auskunft begehrt wird, aufgrund bestimmter in der Anfrage mitgeteilter Angaben eindeutig festgestellt werden kann und die Auskunft verlangende Person oder Stelle erklärt, dass die Daten nicht für Zwecke der Werbung oder des Adresshandels verwendet werden.

Einwilligungen von Mitarbeitern

Nach dem aktuellen § 26 Abs. 2 BDSG können Einwilligungen von Mitarbeitern nur in Schriftform eingeholt werden, damit sie wirksam sind. Dies ist natürlich ein enormer Aufwand, denn Schriftform bedeutet: persönlich vom Mitarbeiter auf Papier unterschrieben.

In Zeiten der Digitalisierung wirkt diese Vorschrift völlig aus der Zeit gefallen.

Das hat nun auch den Gesetzgeber dazu veranlasst, diese Vorschrift zu ändern. Eine Vereinfachung ist damit aber nicht gegeben.

Künftig können nämlich Mitarbeiter ihre Einwilligung entweder schriftlich oder „elektronischer “ erteilen.

Es reicht in Zukunft also, wenn Mitarbeiter ihre Einwilligung per E-Mail erklären. Das erübrigt Aufwand im Unternehmen, da E-Mails einfacher archiviert werden können, als die unterschriebenen Einwilligungserklärungen.

Fazit

Die Anpassung der Grenze für die Notwendigkeit der Bestellung eines Datenschutzbeauftragten wird keine merkbaren Effekte mit sich bringen, da nur ein Bruchteil der Unternehmen von dieser Änderung betroffen sein werden. Darüber hinaus ist die Änderung für diese Unternehmen aber problematisch, da schnell der Eindruck entstehen kann, dass damit die DSGVO nicht mehr eingehalten werden muss. Das ist aber ein Trugschluss. Alle anderen Pflichten aus der DSGVO gelten natürlich weiterhin.

Die neuen Regeln gelten erst, wenn das Gesetz in Kraft tritt. Es muss also noch im Bundesgesetzblatt verkündet werden. (rb)