Der Bundesrat hat in seiner Sitzung vom 20. September das sog. Zweite Gesetzes zur Anpassung des Datenschutzrechts an die DSGVO (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz) abgesegnet. Für Unternehmer gibt es zwei sehr wesentliche Änderungen, die nicht immer eine Erleichterung darstellen.
Über 150 Änderungen in verschiedenen Gesetzen beinhaltet das nun verabschiedete Gesetz. Überwiegend betreffen die Änderungen öffentlich-rechtliche Gesetze. Dazu zählen z.B. das Weingesetz, das Gentechnikgesetz oder das Staatsangehörigkeitsgesetz.
Das Änderungsgesetz betrifft aber auch das Bundesdatenschutzgesetz in zwei ganz wesentlichen Punkten.
Datenschutzbeauftragter erst ab 20 Mitarbeitern
Bisher müssen gemäß § 38 BDSG alle Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Diese Regelung wurde als „Bürokratiemonster“ angesehen. Daher war es der politische Wille, die Anforderungen an Unternehmen, die einen Datenschutzbeauftragten bestellen müssen, zu lockern.
Durch das neue Gesetz wird die Schwelle von „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ auf „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ angehoben.
Welche Mitarbeiter zählen mit?
Genauer gesagt bedarf es dann in der Regel mindestens 20 Personen, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Damit wird klar, dass schon nicht jeder Mitarbeiter in diesen Personenkreis zählt.
So dürften z.B. Fließbandmitarbeiter eher selten mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein (je nach Berufsbild). Diese zählen dann also nicht mit in den Grenzwert.
Eine ständige Beschäftigung setzt weiter voraus, dass die Person sich für eine längere, meist unbestimmte Zeit mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ohne dass dies die ausschließliche Beschäftigung sein muss.
Auch eine nur gelegentlich, etwa einmal im Monat anfallende Aufgabe, erfüllt das Merkmal „ständig“, wenn die Person sie stets wahrzunehmen hat.
Auch eine stundenweise Beschäftigung etwa einmal im Monat ist „ständig“, sofern sie auf unbestimmte oder längere Zeit ausgeübt wird. Dagegen sind Urlaubsvertretungen, die eine solche Aufgabe nur vorübergehend übernehmen, nicht mitzuzählen. Automatisierte Verarbeitungen setzten die Arbeit am Computer oder Tablet voraus.
Die Beschäftigung mit gedruckten Listen zählt nicht dazu.
Und natürlich muss es sich um personenbezogene Daten handeln. Firmendaten von juristischen Personen fallen hier heraus. Die Beschäftigung mit den Daten muss Teil der Aufgabenbeschreibung sein. Reinigungskräfte, Fahrer oder Gärtner haben in aller Regel andere Schwerpunkte der Tätigkeit.
Als Mitarbeiter zählen übrigens alle Mitarbeiter, also egal, ob Voll- oder Teilzeitkraft, Praktikanten etc. Ob die Geschäftsführung oder der Inhaber eines Unternehmens dazu zählt, ist noch nicht abschließend geklärt. Vieles spricht aber gegen eine Aufnahme dieser Personen in den Grenzwert.
Werden Dienstleister als Auftragsverarbeiter beschäftigt, so zählen dessen Mitarbeiter nicht beim Auftraggeber dazu. Auftragsverarbeiter und Auftraggeber müssen jeweils getrennt prüfen, ob sie die Zahl erreichen.
Sonstige Gründe für Bestellung
Unabhängig von der Anzahl von Mitarbeitern kennt das Gesetz auch weitere Gründe für eine Bestellung. Werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgen-abschätzung nach Art. 35 DSGVO unterliegen oder werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet, ist auch bei kleinen Betrieben eine Bestellung notwendig.
Diese wird auch notwendig, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht (z.B. Gesundheitsdaten).
Hier gibt es von den Behörden Hilfestellungen zur der schwierigen Auslegung von Begriffen, wie „Kerntätigkeit“ und „umfangreiche Überwachung“ (vgl. z.B. https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DS-GVO_und_der_JI-RL/Inhalt/FAQ_zum_Datenschutzbeauftragten/FAQ_ein_Dokument.pdf ).
Arbeitsrechtliche Bestimmungen beachten
Unternehmen, die z.B. 15 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigte Mitarbeiter haben, müssen nach aktuellem Recht einen Datenschutzbeauftragten bestellt haben.
Sobald das neue Gesetz in Kraft getreten ist, brauchen diese Unternehmen regelmäßig keinen Datenschutzbeauftragten mehr. Es ist allerdings nicht so einfach möglich, den bisher bestellten Datenschutzbeauftragten von seinen Pflichten zu entbinden, da hier das Arbeitsrecht beachtet werden muss. Lassen Sie sich am besten frühzeitig arbeitsrechtlich zu diesen Fragen beraten.
Adresshandel mit Melderegisterauskunftsdaten
Ein weiteres Thema, das auch für Händler wichtig werden dürfte, betrifft die Melderegisterauskünfte.
Künftig ist die Erteilung einer einfachen Melderegisterauskunft nur noch zulässig, wenn die Identität der Person, über die Auskunft begehrt wird, aufgrund bestimmter in der Anfrage mitgeteilter Angaben eindeutig festgestellt werden kann und die Auskunft verlangende Person oder Stelle erklärt, dass die Daten nicht für Zwecke der Werbung oder des Adresshandels verwendet werden.
Einwilligungen von Mitarbeitern
Nach dem aktuellen § 26 Abs. 2 BDSG können Einwilligungen von Mitarbeitern nur in Schriftform eingeholt werden, damit sie wirksam sind. Dies ist natürlich ein enormer Aufwand, denn Schriftform bedeutet: persönlich vom Mitarbeiter auf Papier unterschrieben.
In Zeiten der Digitalisierung wirkt diese Vorschrift völlig aus der Zeit gefallen.
Das hat nun auch den Gesetzgeber dazu veranlasst, diese Vorschrift zu ändern. Eine Vereinfachung ist damit aber nicht gegeben.
Künftig können nämlich Mitarbeiter ihre Einwilligung entweder schriftlich oder „elektronisch“ erteilen.
Es reicht in Zukunft also, wenn Mitarbeiter ihre Einwilligung per E-Mail erklären – eine andere Möglichkeit wäre das Einholen einer Einwilligung durch Checkbox im unternehmenseigenen Intranet. Das erspart Aufwand im Unternehmen, da E-Mails einfacher archiviert werden können, als die unterschriebenen Einwilligungserklärungen.
Evtl. ist hier eine Anpassung der Personaldatenschutzerklärung und der Verarbeitungsverzeichnisse notwendig, die sich mit der Verarbeitung der Mitarbeiter-Daten befassen.
Fazit
Die Anpassung der Grenze für die Notwendigkeit der Bestellung eines Datenschutzbeauftragten wird keinerlei Effekte mit sich bringen. Diese Änderung haben absolut keine Auswirkungen auf die Einhaltung der Vorschriften aus der DSGVO! Unternehmen sind weiterhin verpflichtet, alle Vorgaben der DSGVO einzuhalten.
Die neuen Regeln gelten erst, wenn das Gesetz in Kraft tritt. Es muss also noch im Bundesgesetzblatt verkündet werden.
Update 24. September 2019: Kippt das Bundesverfassungsgericht das Gesetz?
Das Bundesverfassungsgericht (BVerfG) muss sich aktuell noch mit dem Zustandekommen des Gesetzes befassen. Das Gericht hat einen Eilantrag (Beschl. v. 17.09.2019, 2 BvQ 59/19) abgelehnt und das Gesetz damit als verfassungsgemäß gebilligt.
Hintergrund ist, dass in der Sitzung des Bundestages, in der über den Gesetzentwurf abschließend beraten und abgestimmt wurde, eine Bundestagsfraktion die Beschlussfähigkeit des Parlamentes in Frage stellte. Das Sitzungspräsidium hatte allerdings keine Zweifel an der Beschlussfähigkeit und führte die Sitzung weiter. Gegen diese Entscheidung wendet sich nun diese Fraktion vor dem BVerfG mit einem Eilantrag.
Dieser hatte jedoch keinen Erfolg.
„Zur Begründung hat der Senat insbesondere angeführt, dass der Antragstellerin kein schwerer Nachteil drohte, falls die einstweilige Anordnung nicht erginge, ein späteres Organstreitverfahren der Antragstellerin hingegen Erfolg hätte. Dass verfassungsgerichtlicher Rechtsschutz grundsätzlich nachgelagerter Rechtsschutz ist, trägt der ausdrücklichen Kompetenzverteilung des Grundgesetzes Rechnung, wonach das Bundesverfassungsgericht die Kompetenz des Bundespräsidenten zur Prüfung eines Gesetzes zu respektieren hat.“
Damit wurde aber nur über den Eilantrag entschieden. Eine Entscheidung in der Sache selbst ist dies noch nicht. Es kann also durchaus sein, dass eine abschließende Entscheidung des Gerichts zu dem Ergebnis kommt, dass hier tatsächlich Verfahrensfehler vorliegen und das Gesetz daher nicht verfassungsgemäß zustande gekommen ist.
Ob das Gesetz tatsächlich rechtsmäßig zustande gekommen ist oder nicht, kann erst in einem sog. Organstreitverfahren festgestellt werden oder vom Bundespräsidenten. Händler sollten die Entwicklungen beobachten. (rb)
Wie kann ich Ihnen helfen?
Nehmen Sie gerne Kontakt auf:
Tel.: +49 6131 30290460
Mail: mraetze@tcilaw.com
www.tcilaw.de
- Neue Produktsicherheitsverordnung: Was kommt auf Händler zu? - 19. April 2024
- Der Widerrufsbutton kommt - 27. März 2024
- Darf die Abfrage des Geburtsdatums im Online-Shop verpflichtend sein? - 26. Februar 2024