04.07.2019 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Der Bundestag hat jedenfalls den Gesetzentwurf zur zweiten Anpassung und Umsetzung des Bundesdatenschutzgesetzes und vieler weiterer Gesetze (insgesamt 154) an die DSGVO noch kurz vor der Sommerpause verabschiedet.
Das Gesetzespaket enthält viele notwendige Anpassungen bestehender Gesetze an das neue Datenschutzrecht der Datenschutzgrundverordnung (DSGVO). Dabei geht es um unwichtige rechtstechnische Begriffsanpassungen oder die Änderung von Verweisen in Gesetzen. Bei den Änderungen macht die Regierungskoalition aber auch von den Möglichkeiten individueller Vorgaben Gebrauch, die das ansonsten einheitliche Datenschutzrecht den einzelnen EU-Ländern belässt. Wichtig ist hierbei die unter dem Stichwort „Bürokratieabbau“ firmierende Änderung zur Bestellung eines betrieblichen Datenschutzbeauftragten. Die Koalition hatte sich auf einen Kompromiss verständigt und die Schwelle von 10 Mitarbeitern auf 20 Mitarbeiter angehoben.
Dies wird künftig in § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) geregelt.
Genauer gesagt bedarf es dann 20 Personen und mehr, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind.
Eine ständige Beschäftigung setzt voraus, dass die Person sich für eine längere, meist unbestimmte Zeit mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ohne dass dies die ausschließliche Beschäftigung sein muss. Auch eine nur gelegentlich, etwa einmal im Monat anfallende Aufgabe, erfüllt das Merkmal „ständig“, wenn die Person sie stets wahrzunehmen hat. Auch eine stundenweise Beschäftigung etwa einmal im Monat ist „ständig“, sofern sie auf unbestimmte oder längere Zeit ausgeübt wird. Dagegen sind Urlaubsvertretungen, die eine solche Aufgabe nur vorübergehend übernehmen, nicht mitzuzählen. Automatisierte Verarbeitungen setzten die Arbeit am Computer oder Tablet voraus. Die Beschäftigung mit gedruckten Listen zählt nicht dazu. Und natürlich muss es sich um personenbezogene Daten handeln. Firmendaten von juristischen Personen fallen hier heraus. Die Beschäftigung mit den Daten muss Teil der Aufgabenbeschreibung sein. Reinigungskräfte, Fahrer oder Gärtner haben in aller Regel andere Schwerpunkte der Tätigkeit.
Werden Dienstleister als Auftragsverarbeiter beschäftigt, so zählen dessen Mitarbeiter nicht beim Auftraggeber dazu. Auftragsverarbeiter und Auftraggeber müssen jeweils getrennt prüfen, ob sie die Zahl erreichen.
Unabhängig von der Anzahl von Mitarbeitern kennt das Gesetz auch weitere Gründe für eine Bestellung. Werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgen-abschätzung nach Art. 35 DSGVO unterliegen oder werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet, ist auch bei kleinen Betrieben eine Bestellung notwendig.
Diese wird auch notwendig, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht (z.B. Gesundheitsdaten).
Hier gibt es von den Behörden Hilfestellungen zur der schwierigen Auslegung von Begriffen, wie "Kerntätigkeit" und "umfangreiche Überwachung" (vgl. z.B. das FAQ zum Datenschutzbeauftragten ).
Künftig ist die Erteilung einer einfachen Melderegisterauskunft nur noch zulässig, wenn die Identität der Person, über die Auskunft begehrt wird, aufgrund bestimmter in der Anfrage mitgeteilter Angaben eindeutig festgestellt werden kann und die Auskunft verlangende Person oder Stelle erklärt, dass die Daten nicht für Zwecke der Werbung oder des Adresshandels verwendet werden.
Teilweise werden neue Rechtsgrundlagen geschaffen, etwa für die Industrie- und Handelskammern, die zur Klärung der Mitgliedschaft und Beitragsveranlagung Daten erheben müssen. Diese dürfen künftig auf der Basis gesetzlicher Ermächtigungen Daten bei nichtöffentlichen Dienstleistern, wie etwa Deutsche Post (Umzugsdatenbank) nutzen oder solche Daten von Nachmietern oder allgemein zugänglichen Quellen.
Die Anpassungen waren und sind politisch und rechtlich umstritten. Den einen sind es zu viele Anpassungen. Datenschützer rügen, kleine Betriebe müssten jetzt ohne Hilfe der Datenschutzbeauftragten zurechtkommen. Letzteres ist kaum nachvollziehbar, da man natürlich freiwillig weiterhin Datenschutzbeauftragte benennen und beschäftigen kann. Die Pflichten zur Dokumentation und Meldepflichten wurden nicht beschränkt und bei Verletzung drohen auch Vereinen und kleinen Unternehmen Bußgelder. Damit entfällt nur die Pflicht zur Bestellung manchmal teurer Dauerkräfte. Natürlich kann man sich jetzt aber auch punktuell rechtlich beraten lassen. Davon sollten auch kleine Unternehmen bei kritischen Prozessen Gebrauch machen. Die Behörden wollen sich jedenfalls von ihrer prüfenden Tätigkeit nicht abbringen lassen. Empfehlenswert bleibt auch nach wie vor die interne Benennung einer Person, die sich um die datenschutzrechtlichen Belange kümmert.
YouTube
XING
Facebook
X
Instagram
