mixmagic - stock.adobe.com
Was das neue Anpassungsgesetz für den Datenschutz bedeutet
Die Pflicht zur Benennung eines Datenschutzbeauftragten wurde in Deutschland im Zuge des neuen BDSG geändert. Unternehmen sollten diese Änderung aber nicht missverstehen.
Die EU-Datenschutz-Grundverordnung (DSGVO) hemmt die digitale Wirtschaft in Deutschland, so das Ergebnis einer aktuellen Mitgliederbefragung des Bundesverbands Digitale Wirtschaft (BVDW) e.V (PDF). Jedes dritte Unternehmen (32 Prozent) hat seine digitalen Aktivitäten wegen der DSGVO eingeschränkt, 39 Prozent rechnen mit Umsatzeinbußen.
Einer der Kritikpunkte am Datenschutz ist seit Jahren der Aufwand für Bürokratie. Gerade kleine und mittlere Unternehmen könnten sich die hohen Aufwände für die Datenschutzorganisation nicht leisten. In diesem Zusammenhang wurde auch gefordert, die Pflicht zur Benennung eines oder einer Datenschutzbeauftragten zu lockern.
Erneute Änderung im Datenschutz für Deutschland
Nun wurde das seit 25. Mai 2018 anzuwendende (neue) Bundesdatenschutzgesetz (BDSG-neu) nochmals geändert. Der Bundestag hat das zweite Datenschutzanpassungs- und Umsetzungsgesetz EU (2. DSAnpUG) beschlossen, wonach unter anderem Unternehmen mit weniger als 20 Mitarbeitern künftig nicht mehr verpflichtet sind, einen Datenschutzbeauftragten benennen zu müssen.
Das zweite Datenschutzanpassungs- und Umsetzungsgesetz EU ändert als Artikelgesetz noch zahlreiche andere datenschutzrelevante Gesetze in Deutschland. Wichtig ist es allerdings zu betonen, dass nationale Anpassungen und Änderungen immer nur im Rahmen der Öffnungsklauseln der Datenschutz-Grundverordnung der EU möglich sind. Änderungen an der DSGVO können so nicht vorgenommen werden. Abweichungen von der DSGVO in nationalen Gesetzen werden durch die EU-Verordnung verdrängt, die unmittelbar in den Mitgliedsstaaten der EU gilt.
Benennungspflicht von Datenschutzbeauftragten
Nach der 2017 beschlossenen Novellierung des Bundesdatenschutzgesetzes wird nun auch das bereichsspezifische Datenschutzrecht des Bundes an die seit Mai 2018 geltende EU-Datenschutz-Grundverordnung angepasst, so die Mitteilung des Deutschen Bundestages. Das Gesetz nimmt in 154 Fachgesetzen fast aller Ressorts Änderungen vor.
Ferner werden durch Änderungen im Bundesdatenschutzgesetz unter anderem die Voraussetzungen dafür geschaffen, „dass sensible Informationen durch zivilgesellschaftliche Träger im Rahmen von Deradikalisierungsprogrammen verarbeitet und im Einzelfall an die Sicherheitsbehörden weitergegeben werden können“. Der Innenausschuss hob zudem die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von zehn auf 20 an.
Die Änderungen bei der Pflicht zur Benennung eines oder einer Datenschutzbeauftragten kommentierte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung für Sicherheit und Recht, so: „Für kleine Unternehmen ist die angepasste Pflicht eines Datenschutzbeauftragten zunächst eine Erleichterung. Aber auch Kleinstbetriebe werden weiterhin mit den immer noch bestehenden Rechtsunsicherheiten der Datenschutz-Grundverordnung kämpfen müssen”.
Der Digitalverband Bitkom erklärt weiter: „Das grundsätzliche Problem bleibt: Auch ohne einen bestellten Datenschutzbeauftragten müssen doch alle Vorgaben bewältigt und eingehalten werden. In der anstehenden Evaluierung der DSGVO muss die Politik deshalb nachbessern. Was wir brauchen, ist eine Abkehr vom One-Size-fits-All Ansatz der DSGVO. Start-ups oder Vereine müssen anders reguliert werden als große Konzerne. Die Art und der Umfang der Datenverarbeitungen sollten dabei dann ausschlaggebend sein.“
Neben den weitergehenden Forderungen von Bitkom nach einer Anpassung des Datenschutzrechts sollten Unternehmen aber einen zentralen Punkt nicht übersehen: „Auch ohne einen bestellten Datenschutzbeauftragten müssen alle Vorgaben bewältigt und eingehalten werden.“
Wichtig: Datenschutzniveau muss gehalten werden
Ob nun eine Verpflichtung zur Benennung eines Datenschutzbeauftragten (DSB) besteht oder nicht, das von der DSGVO geforderte Datenschutzniveau bleibt unverändert und muss weiterhin erfüllt werden, auch ohne eigenen DSB.
Die Aufweichung der Benennungspflicht zum Datenschutzbeauftragten, nach der künftig 20 statt bislang zehn Mitarbeiter eines Betriebs ständig mit der Verarbeitung personenbezogener Daten betraut sein müssen, sei vor dem Hintergrund von künstlicher Intelligenz und Big Data ein überholtes analoges Denken, das gerade kleinen und jungen Digitalunternehmen mehr schade als nutze, argumentierte der Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschland (BvD) Thomas Spaeing.
„Mit KI-Anwendungen und automatisierten Datenauswertungen werden die Daten zumeist nur von einer kleinen Anzahl von Personen ‚verarbeitet‘. Insofern ist das Konzept, die Benennung eines Datenschutzbeauftragten von einer Anzahl von Mitarbeitern abhängig zu machen, von gestern“, unterstrich Spaeing. Jeder Verantwortliche, der personenbezogene Daten zum Geschäft mache oder umfänglich verarbeite, müsse einen Datenschutzbeauftragten an seiner Seite haben.
Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Barbara Thiel, kritisierte die Gesetzesänderung zur Bestellpflicht von Datenschutzbeauftragten: „Ich warne davor, den Datenschutz durch weitere Gesetzesanpassungen auszuhöhlen“, so Thiel. „Wir haben in Deutschland ein sehr hohes Datenschutzniveau, auf das wir stolz sein können und das erhalten bleiben muss. Zwar fallen die beschlossenen Lockerungen zur Bestellpflicht von Datenschutzbeauftragten nicht so tiefgreifend aus, wie man zwischenzeitlich befürchten musste. Doch letztlich wird den Unternehmen und Vereinen, die man mit dieser Maßnahme entlasten möchte, ein Bärendienst erwiesen.“
Die Landesdatenschutzbeauftragte betonte: „Selbst ohne die Pflicht, einen Datenschutzbeauftragten zu bestellen, muss eine Organisation natürlich die Vorgaben der DSGVO erfüllen“, so Thiel. „Die Anforderungen werden also nicht weniger. Ohne Datenschutzbeauftragten fehlt aber ein kompetenter Ansprechpartner vor Ort, der helfen könnte, Fehler und Verstöße von vorneherein zu vermeiden.“
Man kann also festhalten: Die erneute Änderung am Datenschutzrecht in Deutschland sollte nicht missverstanden werden. Unternehmen, die nun keinen eigenen Datenschutzbeauftragten benennen müssen, sind weiterhin verpflichtet, alle Vorgaben der DSGVO zu erfüllen. Von einer etwaigen Befreiung vom Datenschutz kann also keine Rede sein.