Entlastung für Kleinbetriebe?

Entlastung für Kleinbetriebe?

Regierung erhöht Schwelle ab der ein Datenschutzbeauftragter bestellt werden muss.

Bundestag und Bundesrat haben mit dem zweiten Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 (bekannt als DSGVO) Änderungen am Bundesdatenschutzgesetz (BDSG) verabschiedet.

Bild von marconst auf Pixabay

Es wurden bereichsspezifische Datenschutzregelungen des Bundes mit folgenden Schwerpunkten den EU-Vorgaben angepasst:

  • Anpassung von Begriffsbestimmungen und Verweisungen
  • Anpassung von Rechtsgrundlagen für die Datenverarbeitung
  • Regelungen zu den Betroffenenrechten
  • Anpassungen aufgrund unmittelbar geltender Vorgaben der DSGVO zu technischen und organisatorischen Maßnahmen, zur Auftragsverarbeitung, zur Datenübermittlung an Drittländer oder an internationale Organisationen sowie zu Schadenersatz und Geldbußen.

Die meisten Änderungen treten unmittelbar nach der Unterzeichnung durch den Bundespräsidenten und der Veröffentlichung im Bundesgesetzblatt in Kraft. Die Diskussionen und der Beschluss der Änderungen am Bundesdatenschutzgesetz im Bundestag fanden morgens um ca. 01:30 innerhalb von 9 Minuten statt, es waren dabei knapp über die Hälfte der Abgeordneten anwesend, sodass die Abstimmung gültig war. Die Uhrzeit und vor allem der kurze Zeitraum für Diskussionen zeigt in meinen Augen aber deutlich welch geringen Stellenwert diese wichtige Abstimmung für die Regierung hatte.

Weniger Verantwortliche müssen Datenschutzbeauftragten bestellen

Bild von Mohamed Hassan

Die wohl am meisten diskutierte Änderung betrifft dabei den § 38 Abs. 1 S. 1 BDSG, der die Bestellpflicht eines betrieblichen Datenschutzbeauftragten regelt. Wo bislang alle Unternehmen, bei denen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, verpflichtet waren einen externen oder internen Datenschutzbeauftragten zu bestellen, wird diese Schwelle nun zukünftig auf 20 Mitarbeiter angehoben.

Beantragt wurde diese Änderung zum einen vom Land Niedersachsen, zum anderen von der FDP, mit dem Ziel die deutsche Wirtschaft, insbesondere kleine und mittelständische Betriebe zu entlasten. Daran ist allerdings zu kritisieren, dass diese kleineren Betriebe in keiner Weise von ihren datenschutzrechtlichen Pflichten entlastet werden, sondern lediglich nicht mehr verpflichtet sind, jemanden damit zu beauftragen ihnen bei der Umsetzung zu helfen bzw. diese zu kontrollieren. Es wird somit also zunächst für Betriebe mit weniger als 20 Mitarbeitern etwas günstiger, diese können sich aber zugleich auf zukünftige Haftstrafen und Bußgelder gefasst machen, da sie bei der Umsetzung der DSGVO nun keinen Fachmann mehr an der Seite haben werden (müssen).

Ich kann nur jedem Unternehmen, dessen Bestellpflicht nun nach der Anpassung des Datenschutzrechts weggefallen ist, empfehlen, sich trotz allem den Rat eines Datenschutzexperten einzuholen, bevor man in diesem Bereich grobe Fehler macht. Die verantwortliche Stelle bleibt nämlich nach wie vor eines: verantwortlich!

Elektronische Form bei der Einwilligung im Beschäftigungsverhältnis

Bild von Annett Zobel bei Pixabay

Ein zweiter wichtiger Änderungspunkt betrifft die Anforderungen der datenschutzrechtlichen Einwilligung nach Art. 26 Abs. 2 S.3 DSGVO, also die Einwilligung im Beschäftigungsverhältnis. Hier wurde die Schriftformerfordernis der Einwilligung durch “Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“ ersetzt.

Die Abweichung von der reinen Schriftform sollte dabei den Verwaltungsaufwand reduzieren und es ermöglichen eine Einwilligung auch per E-Mail zu erklären. Leider wirft die Formulierung „elektronisch“ mehr Fragen auf, als das sie etwas vereinfachen würde, denn eine Kommunikation per E-Mail gilt nur dann als elektronisch im Sinne des BGB, wenn sie mit dem vollen Namen und einer elektronischen Signatur versehen ist. Wenn eine einfache E-Mail als Einwilligung ausreichen soll, hätte der geänderte Gesetzestext somit “Die Einwilligung hat schriftlich oder in Textform zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist“ lauten müssen.

Darüber hinaus ist auch weiterhin unklar, was der Gesetzgeber unter besonderen Umständen versteht. Ein Beispiel, wo diese Ausnahmeregelung greifen würde ist, wenn ein Bewerber seine Einwilligung für das Speichern seiner Daten im Bewerberpool bei einer Online-Bewerbung erklärt, weil hier der Aufwand zu groß wäre eine schriftliche Einwilligung einzuholen. Bei den meisten Arbeitgebern wird es aber eher selten zu ähnlichen Situationen kommen.

Bild-von-Arek-Socha

Alles in allem halte ich diese Gesetzesanpassung für handwerklich missglückt und unterstelle dem Gesetzgeber, dass er etwas anderes geregelt hat, als er eigentlich wollte. Auch wenn man davon ausgehen kann, dass die Textform gemeint sein sollte, so muss man doch einige Anstrengungen unternehmen, um zu diesem Ergebnis zu gelangen. In der Praxis kommt nur ein weiteres Auslegungsproblem für den Datenschutz dazu, ein eindeutiger Wortlaut wäre durchaus wünschenswert gewesen, da es in der DSGVO und dem BDSG nun wirklich genug undeutliche Formulierungen gibt.

Weitere gesetzliche Änderungen

Das Gesetz zur vorläufigen Regelung des Rechts der Industrie- und Handelskammern (IHKG) wurde in mehreren Punkten geändert. Neu ist u.a. das die Industrie- und Handelskammern Daten nicht länger nur bei kammerzugehörigen juristischen Personen Daten erheben dürfen, sondern in Zukunft auch bei öffentlichen Stellen. Auch in Bezug auf die Übermittlung der Daten an nicht-öffentliche Stellen durch die Industrie- und Handelskammern gibt es einige Ausweitungen.

Bild von Gerd Altmann

Auch die Handwerksordnung (HwO) wurde in Bezug auf den Datenaustausch zwischen öffentlichen und nicht-öffentlichen Stellen ausgeweitet.

Neu ist  § 13 Abs. 5 S.2: „Eine Einzelauskunft aus diesem Dateisystem ist jedem zu erteilen, der ein berechtigtes Interesse glaubhaft darlegt, soweit die betroffene Person kein schutzwürdiges Interesse daran hat, dass die Information nicht weitergegeben wird.“

Bereichsspezifischer Datenschutz

Es wurden etliche weitere Anpassungen und Änderungen in bereichsspezifischen gesetzlichen Regelungen getroffen. Schwerpunkte des über 400 Seiten dicken neuen Datenschutz-Anpassungsgesetzes sind dabei vor allem die Anpassung unterschiedlicher Begriffsbestimmungen und Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Betroffen sind davon über 150 verschiedene Fachgesetze.

Keine Klärung des Verhältnisses zwischen Datenschutz und Meinungsfreiheit

Die Koalitionsparteien konnten dahingegen im Kernthema der Vereinbarkeit des neuen Datenschutzrechts mit dem Recht auf freie Meinungsäußerung keine Einigung finden. Die DSVGO fordert in Art. 85 die Mitgliedsstaaten auf, durch Rechtsvorschriften das Recht auf Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen. Betroffene wie beispielsweise Journalisten, Autoren, Blogger, Influencer und Künstler wünschen sich hier dringend mehr Klarheit und mehr Rechtssicherheit. Der Bundestag konnte sich jedoch in der Sache auf keine konkreten Formulierungsvorschläge einigen. Es blieb bei einem Arbeitsauftrag an die Regierung. Es bleibt also Aufgabe der Gerichte, im Einzelfall Lösungen für Konflikte zwischen Datenschutz und Meinungsfreiheit zu finden.

Einschränkung der Betroffenenrechte

Bild-von-Stephan-Marquardt-auf-Pixabay

Die Betroffenenrechte aus der DSGVO wurden durch den Gesetzgeber bereits mit dem ersten Anpassungsgesetz eingeschränkt. Doch das zweite Gesetz zur Anpassung des Datenschutzrechts setzt noch einmal eine Schippe oben drauf. Vor allem gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden etwa das Widerspruchsrecht, die Informationspflicht, das Auskunftsrecht sowie Berichtigungs- und Löschpflichten jeweils beschnitten. Dazu kommen weite Zweckänderungsbefugnisse für die von der Behörde zu Sicherheitszwecken gesammelten Datenbestände. Böse Zungen könnten auf die Idee kommen, das Bundesamt für Sicherheit werde zu einer staatlichen Überwachungsbehörde mit umfassenden Befugnissen.

Für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) haben die Abgeordneten eine 75-tägige Vorratsdatenspeicherung eingebaut. Die frühere Bundesdatenschutzbeauftragte Andrea Voßhoff hatte im Gesetzgebungsverfahren kritisiert, dass eine so lange und unverhältnismäßige Speicherdauer nicht nachvollziehbar sei. Auch verbesserte Suchmöglichkeiten nach verlorenen Endgeräten taugten nicht, um das zu rechtfertigen, zumal die gängige, maximal 70-tägige Vorratsdatenspeicherung gerade ausgesetzt sei und vor dem Bundesverfassungsgericht verhandelt werde. Dazu kommt die soeben erneut in einem Urteil bestätigte Unvereinbarkeit einer Vorratsdatenspeicherung mit dem EU-Recht.

Dieser Beitrag hat einen Kommentar

Kommentare sind geschlossen.

Menü schließen

Entlastung für Kleinbetriebe?

by paul time to read: 5 min
1