Der Bundesrat hat in seiner Sitzung vom 20. September 2019 den vom Deutschen Bundestag vorgeschlagenen vorgeschlagenen Änderungen im Datenschutzrecht zugestimmt.
Von besonderer Bedeutung für kleinere Unternehmen und Vereine sind folgende Änderungen des Bundesdatenschutzgesetzes:
1. Datenschutzbeauftragte/r
Ein/e Datenschutzbeauftragte/r ist erst ab einer Anzahl von mindestens 20 Mitarbeitern, die ständig automatisiert Daten verarbeiten, zu benennen § 38 Abs. 1 S. 1 BDSG). Bislang bestand die Benennungspflicht bereits ab 10 Mitarbeitern.
Unternehmen sollten gleichwohl bedenken, dass die Pflicht zur Benennung einer/s Datenschutzbeauftragten nicht zu verwechseln ist mit der Pflicht zur Einhaltung der datenschutzrechtlichen Vorschriften und hier insbesondere der obligatorischen Maßnahmen zur Gewährleistungen des Datenschutzes bzw. der Betroffenenrechte. Insofern kann es durchaus sinnvoll sein, vor allem zur Vermeidung von Geldbußen, freiwillig eine/n Datenschutzbeauftragte/n zu benennen. So empfiehlt sich der Einsatz einer/s DSB vor allem, wenn andernfalls ein funktionierendes Datenschutzmanagement nicht gewährleistet ist. In diesem Zusammenhang weise ich darauf hin, dass nun auch in Deutschland erstmals gegen ein Unternehmen Bußgelder in Höhe von 195.407 € wegen des Verstoßes gegen den Datenschutz, nämlich der NIchtachtung von Betroffenenrechten, verhängt wurden.Nähere Einzelheiten erfahren SIe hier: https://www.commandeur.org/berliner-datenschutzbeauftragte-verhaengt-hohe-bussgelder-gegen-lieferdienst-und-onlinebank/
Zu beachten ist, dass unabhängig davon stets ein/e Datenschutzbeauftragte/r zu benennen ist, wenn
- die sog. Kerntätigkeit des Unternehmens in der Verarbeitung von besonders sensitiven Daten (wie bspw. Gesundheitsdaten) besteht und/oder
- Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen und/oder
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
2. Einwilligungen von Beschäftigten
Im Personalbereich bedarf eine ggf. von der/dem Beschäftigten einzuholende Einwilligung grundsätzlich nicht mehr der Schriftform; es genügt die elektronische Form, § 26 Abs. 2 S. 3 BDSG. Es genügt forthin also auch z.B. die per E-Mail erteilte Einwilligung. Ungeachtet dessen ist weiterhin darauf zu achten, die Einwilligung hinreichend und beweisfähig zu dokumentieren.
Das „Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)“ wird am Tag nach der Unterzeichnung durch den Bundespräsidenten in Kraft treten.
Nach Ausfertigung durch den Bundespräsidenten wird das Gesetz im Bundesgesetzblatt verkündet (Art. 82 Abs. 1 GG).
Für Rückfragen zu diesem Thema stehe ich Ihnen gern zur Verfügung.