English Version
DSGVO
BDSG

Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz

Gesetzgebung
Datum25. November 2019

Im Bundesgesetzblatt Teil I Nr. 41 vom 25.11.2019 sind die Änderungsgesetze zum Datenschutzrecht veröffentlicht worden. Im Einzelnen das „Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung EU 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)" und das „Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679". Die Änderungen treten mit Wirkung zum 26.11.2019 in Kraft.

Das DSAnpUG-EU wurde am 27.06.2019 vom Deutschen Bundestag beschlossen und vom Bundesrat am 20.09.2019 angenommen. Zunächst blieb unklar, ob das Gesetz im Bundesgesetzblatt erscheinen wird. Hintergrund war die fehlende Beschlussfähigkeit, für die mehr als die Hälfte der 709 Abgeordneten anwesend sein müssen. Zum Zeitpunkt des Beschlusses um 1:27 Uhr des 28.06.2019 waren jedoch laut Angaben der AfD höchstens 100 Abgeordnete anwesend. So wurde eine einstweilige Verfügung vor dem Bundesverfassungsgericht in Karlsruhe beantragt. Mit der Verfügung sollte erreicht werden, dass Bundespräsident Frank-Walter Steinmeier untersagt wird, drei in dieser Sitzung beschlossene Gesetze zu unterzeichnen. Dieser Antrag wurde am 17.09.2019 vom Bundesverfassungsgericht laut Pressemitteilung Nr. 58/2019 vom 24.09.2019 abgelehnt.

Wesentliche Änderungen bringt das DSAnpUG-EU für die Pflicht zur Benennung eines Datenschutzbeauftragten sowie die Erweiterung der Schriftform um die elektronische Form bei der Einwilligung in Beschäftigungsverhältnissen. Die weiteren Anpassungen betreffen hauptsächlich technische Änderungen von bestehenden Gesetzen. Das Telemediengesetz und das Telekommunikationsgesetz sind von den Änderungen nicht betroffen.

Insbesondere die Änderung der Pflicht, einen Datenschutzbeauftragten erst dann benennen zu müssen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, steht in der Kritik von Datenschützern. So warnt Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: „Eine Abschaffung dieser Benennungspflichten wird die Unternehmen nicht entlasten, sondern ihnen mittelfristig schaden, da Kompetenzen verloren gehen, die datenschutzrechtlichen Pflichten für die Unternehmen aber bleiben.“. Auch der Bundesverband der Datenschutzbeauftragten (BvD) kritisiert in seiner Presseinformation vom 28.06.2019 die Erhöhung des Schwellwertes zur Benennungspflicht. Thomas Spaeng, Vorstandsvorsitzender des BvD stellt fest: „Hier wurde eindeutig Kompetenz abgebaut und somit zwangsläufig die Bürokratie erhöht, da sämtliche Anforderungen der EU-DSGVO trotzdem zu erfüllen sind.“

Neben der Pflicht zur Benennung eines Datenschutzbeauftragten aus dem § 38 des Bundesdatenschutzgesetzes (BDSG) sieht die DSGVO in Art. 37 drei weitere Kriterien vor, die zu einer Benennungspflicht führen können:

  • Der Verantwortliche ist eine Behörde oder andere öffentliche Stelle (außer Gerichte).
  • Die Kerntätigkeit erfordert eine umfangreiche regelmäßige und systematische Überwachung von Personen.
  • Die Kerntätigkeit besteht aus der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO.

Mit modernen IT-Verfahren und neuen Technologien wie Künstlicher Intelligenz (KI) lassen sich auch von einer nur kleinen Anzahl Personen große Mengen an Daten verarbeiten. Anschaulich werden solche Größenverhältnisse am Beispiel WhatApp. Facebook berichtete am 16.02.2016, dass mit nur 57 Entwicklern 1 Milliarde Benutzer betreut und täglich 42 Milliarden Nachrichten über den Dienst zugestellt werden. Schnell sind auch mit nur wenigen Personen aufgrund des Umfangs der Datenverarbeitung die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erfüllt. Auch in diesen Fällen sieht der Satz 2 des § 38 Abs. 1 BDSG vor, dass ein Datenschutzbeauftragter zu benennen ist.

Schon während des Geltens des alten Bundesdatenschutzgesetzes hält sich hartnäckig der Irrglaube, dass die Datenschutzgesetze nur dann einzuhalten wären, wenn der Schwellwert für die Pflicht zur Benennung eines Datenschutzbeauftragten überschritten wird. Ein Blick in die Daten der GENESIS-Online Datenbank des Statistischen Bundesamts verrät, dass schon der ursprüngliche Schwellwert von 10 Personen 80,4 Prozent der deutschen Unternehmen von der Benennungspflicht ausgenommen hatte. Diese als „Kleinstunternehmen“ klassifizierte Gruppe beschäftigt maximal 9 Personen. Mit der neuen Regelung sind nun auch Teile der als „kleine Unternehmen“ bezeichneten Gruppe (bis 49 Beschäftigte) von der Benennungspflicht ausgenommen. Diese repräsentieren weitere 15,89 Prozent der deutschen Unternehmerlandschaft. Geht man von einer großen Verbreitung des Irrglaubens aus, dürften über 90 Prozent der Unternehmen die Bemühungen zur Umsetzung der DSGVO auf die Publikation von Datenschutzhinweisen auf deren Webseiten beschränkt haben. So berichtet der Branchenverband bitkom am 17.09.2019, dass nur 25 Prozent eine vollständige Übernahme der neuen Datenschutzregeln zu großen Teilen umgesetzt hätten. Befragt wurden aber nur Unternehmen ab 20 Personen.

Es steht zu befürchten, dass mit der Änderung der Pflicht zur Benennung eines Datenschutzbeauftragten in ca. 9 von 10 deutschen Unternehmen keine Fachkompetenz zur Umsetzung der Datenschutz-Grundverordnung mehr zur Verfügung stehen wird und sich die dadurch fehlende Unterstützung bei der Umsetzung der Vorgaben mit Datenpannen, zahlreichen Bußgeldverfahren und Schadensersatzklagen rächen wird.

Quellen