de en
Nexia Ebner Stolz

Rechtsberatung

Weiteres Gesetz zur Umsetzung der DSGVO

Nur wenig Entlastung für Unternehmen

Ein gutes Jahr nach Beginn der Geltung der Datenschutzgrundverordnug (DSGVO) am 26.5.2018 hat der Bundestag das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz (kurz: 2. DSAnpUG-EU) beschlossen. Der Bundesrat hat diesem zwischenzeitlich zugestimmt.

Das 2. DSAn­pUG-EU sieht umfang­rei­che Ände­run­gen u.a. im Bun­des­da­ten­schutz­ge­setz (BDSG), dem Gesetz über das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSIG) sowie des Bun­des­mel­de­ge­set­zes (BMG) vor. Die meis­ten Ände­run­gen betref­fen den öff­ent­li­chen Bereich und nicht pri­vate Unter­neh­men.

Weiterer Gesetzesentwurf zur Umsetzung der DSGVO - Nur wenig Entlastung für Unternehmen© Unsplash

Mit dem 2. DSAn­pUG-EU soll das 1. DSAn­pUG-EU, aus dem das neue Bun­des­da­ten­schutz­ge­setz (BDSG) her­vor­ge­gan­gen ist, nach­ge­bes­sert wer­den. Außer­dem sol­len zahl­rei­che daten­schutz­recht­li­che Rege­lun­gen aus 154 Geset­zen an die Vor­ga­ben der Daten­schutz­grund­ver­ord­nung (DSGVO) ange­passt wer­den. So wer­den z. B. im BSIG im gro­ßen Umfang daten­schutz­recht­li­che Nor­men auf­ge­nom­men.

Unter­neh­men bis 19 Beschäf­tigte brau­chen kei­nen Daten­schutz­be­auf­trag­ten mehr

Die größte und für klei­nere Unter­neh­men wich­tigste Ände­rung betrifft § 38 BDSG, der die Pflicht zur Ernen­nung eines Daten­schutz­be­auf­trag­ten regelt. Durch den Geset­zes­ent­wurf wird der Schwell­wert erhöht, so dass in der Regel nur noch Unter­neh­men einen Daten­schutz­be­auf­tra­gen bes­tel­len müs­sen, bei denen min­des­tens 20 Per­so­nen beschäf­tigt sind. Bestimmte Unter­neh­men müs­sen aber wei­ter­hin unab­hän­gig von der Anzahl ihrer Beschäf­tig­ten einen Daten­schutz­be­auf­trag­ten bes­tel­len (§ 38 Abs. 1 S. 2 BDSG).

Ein­wil­li­gung von Beschäf­ti­gen: keine Unter­schrift mehr nötig

Eine wei­tere wich­tige Ände­rung im 2. DSAn­pUG-EU sieht vor, dass die Ein­wil­li­gung im Arbeits­ver­hält­nis (z.B. in die Ver­öf­f­ent­li­chung von Fotos) zukünf­tig “schrift­lich oder elek­tro­nisch” (also z.B. per E-Mail) erfol­gen kann (§ 26 Abs. 2 S. 3 BDSG). Andere Ein­wil­li­gun­gen, die etwa von Kun­den ein­ge­holt wer­den, bedurf­ten schon bis­her kei­ner Schrift­form. Aller­dings müs­sen auch elek­tro­nisch erteilte Ein­wil­li­gun­gen revi­si­ons­si­cher doku­men­tiert wer­den.

Mehr Befug­nisse zur Daten­ver­ar­bei­tung für Behör­den - weni­ger Daten­schutz­rechte für Betrof­fene

Das BDSG neu geht mit der Anpas­sung von Spe­zial­ge­set­zen ein­her, wie z. B. dem SÜG und dem BSIG. Durch eine Anpas­sung des BSI-Geset­zes (BSIG) soll das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) wei­tere Befug­nisse zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten erhal­ten, damit das BSI seine Auf­ga­ben bes­ser erfül­len kann. Außer­dem sol­len Rechte von Per­so­nen, deren Daten durch das BSI ver­ar­bei­tet wer­den, ein­ge­schränkt wer­den. Dies betrifft z.B. das Aus­kunfts­recht das Recht auf Berich­ti­gung oder Löschung. Damit das BSI sei­nen Auf­ga­ben im öff­ent­li­chen Inter­esse nach­kom­men kann, soll auch seine Pflicht zur Infor­ma­tion Betrof­fe­ner über den Daten­schutz (z.B. in „Daten­schutz­er­klär­un­gen“) ein­ge­schränkt wer­den.

Dane­ben soll der „Bun­des­an­stalt für den Digi­tal­funk der Behör­den und Orga­ni­sa­tio­nen mit Sicher­heits­auf­ga­ben“ (BDBOS) eine 75-täg­ige Vor­rats­da­ten­spei­che­rung durch Anpas­sung des BDBOS-Gesetz (BDBOSG) ein­ge­räumt wer­den.

Viele der Ände­run­gen in den 154 Geset­zen betref­fen auf den ers­ten Blick nur sprach­li­che bzw. rhe­to­ri­sche Ände­run­gen. Ebenso wird das Wort „Betrof­fe­ner“ in vie­len Geset­zen durch die Wör­ter „betrof­fene Per­so­nen“ ersetzt. Durch die Defini­tion als betrof­fene Per­son wird der Betrof­fe­nen­kreis etwa im Gen­tech­nik­ge­setz auf juris­ti­sche Per­so­nen erwei­tert. Somit kön­nen sogar juris­ti­sche Per­so­nen bestimmte Aus­kunfts­an­sprüche nach dem Gen­tech­nik­ge­setz gel­tend machen.

Hin­weis

Der Bun­des­rat hat dem Gesetz am 20.9.2019 zuge­stimmt. Die Ände­run­gen wer­den daher dem­nächst in Kraft tre­ten. Das 2. DSAn­pUG-EU wird an den Daten­schutzpf­lich­ten für Unter­neh­men mit Aus­nahme der oben bei­den beschrie­be­nen Ände­run­gen nichts ändern.

nach oben