Aktuelle Änderungen beim Datenschutz: Das ist für Unternehmer wichtig!

| Der Bundesrat hat in seiner Sitzung vom 20.9.19 das sog. Zweite Gesetz zur Anpassung des Datenschutzrechts an die DS-GVO (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz) beschlossen. Damit folgt die Länderkammer dem Bundestag und macht so den Weg für die Anpassung von zahlreichen Gesetzen an die DS-GVO frei. Überwiegend betreffen diese Änderungen öffentlich-rechtliche Gesetze. Dazu zählen z. B. das Weingesetz, das Gentechnikgesetz oder das Staatsangehörigkeitsgesetz. Aber es gibt auch zwei für Unternehmer wesentliche Änderungen im Bundesdatenschutzgesetz. |

Datenschutzbeauftragter erst ab 20 Mitarbeitern

Bisher müssen gemäß § 38 BDSG alle Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, soweit sie i. d. R. mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Die Grenze wurde aus dem alten Recht übernommen. Die DS-GVO selbst sieht übrigens keine solche Grenze vor. Diese Regelung wird insbesondere vom Bundeswirtschaftsministerium als bürokratische Hürde angesehen. Daher war es der politische Wille, dass die Anforderungen an Unternehmen, die einen Datenschutzbeauftragten bestellen müssen, gelockert werden. Das neue Gesetz hebt die Schwelle von „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ auf „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigenl“ an.

Wichtig: Nicht jeder Mitarbeiter zählt!

Nicht jeder Mitarbeiter in einem Unternehmen hat aber ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun. Die zu zählenden Mitarbeiter sind also zunächst zu ermitteln. So dürften z. B. Fließbandmitarbeiter oder Reinigungskräfte eher selten mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein. Diese zählen dann also nicht mit für den Grenzwert.

Eine ständige Beschäftigung setzt weiter voraus, dass die Person sich für eine längere, meist unbestimmte Zeit mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ohne dass dies die ausschließliche Beschäftigung sein muss. Auch eine nur gelegentlich ‒ etwa einmal im Monat ‒ anfallende Aufgabe kann das Merkmal „ständig“ erfüllen, wenn die Person sie stets wahrzunehmen hat. Und selbstverständlich muss es sich um personenbezogene Daten handeln. Firmendaten von juristischen Personen fallen hier heraus. Die Beschäftigung mit den Daten muss Teil der Aufgabenbeschreibung sein.

Als Mitarbeiter zählen alle Mitarbeiter ‒ also egal ob Voll- oder Teilzeitkraft, Praktikanten etc. Ob die Geschäftsführung oder der Inhaber eines Unternehmens zu Mitarbeitern in diesem Sinne zählen, ist noch nicht abschließend geklärt. Es spricht jedoch einiges dafür, diese Personen nicht dazu zählen. Nicht eingerechnet werden Personen, die sich im Mutterschutz oder in Elternzeit befinden, da sie gerade nicht mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Werden Auftragsverarbeiter eingesetzt, so zählen dessen Mitarbeiter nicht zu den Mitarbeitern des Auftraggebers. Auftragsverarbeiter und Auftraggeber müssen jeweils getrennt prüfen, ob sie die Schwelle erreichen.

Sonstige Gründe für einen Datenschutzbeauftragten

Die Anzahl der mit der Verarbeitung von personenbezogenen Daten beschäftigten Mitarbeiter ist jedoch nur ein Kriterium für die verpflichtende Bestellung eines betrieblichen Datenschutzbeauftragten. Werden in einem Unternehmen Datenverarbeitungen vorgenommen, bei denen eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO notwendig ist, muss unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter bestellt werden. Dies ist z. B. der Fall, wenn die von Art. 9 DS-GVO besonders geschützten Daten umfangreich verarbeitet werden. Das dürfte also z. B. auf Ärzte, Apotheken oder andere Gesundheitsberufe zutreffen.

Einwilligungen von Mitarbeitern

Die zweite sehr wichtige Änderung betrifft den Personaldatenschutz ‒ ein Thema, das in vielen Betrieben bisher nur wenig Beachtung findet. Nach dem aktuellen § 26 Abs. 2 BDSG können Einwilligungen von Mitarbeitern ‒ z. B. zur Veröffentlichung von Fotos auf der Unternehmenswebsite ‒ nur in Schriftform eingeholt werden, damit sie wirksam sind. Dies ist ein enormer Aufwand, denn Schriftform bedeutet: persönlich vom Mitarbeiter auf Papier unterschrieben. Hinzu treten umfangreiche Dokumentationspflichten. Vor dem Hintergrund der Digitalisierung ist eine solche Verpflichtung völlig aus der Zeit gefallen. Das hat nun auch der Gesetzgeber erkannt und diese Vorschrift geändert. Künftig können Mitarbeiter ihre Einwilligungen auch elektronisch erteilen. Das bedeutet, dass eine Einwilligung z. B. auch per E-Mail oder Checkbox im Intranet erklärt werden kann. Dokumentiert werden müssen aber auch diese Einwilligungen noch immer.

Fazit: Änderungen wirken nicht gleichermaßen erleichternd

Die Anhebung der Grenze für die Notwendigkeit der Bestellung eines Datenschutzbeauftragten wird in der Praxis keinerlei Effekte mit sich bringen. Es handelt sich vielmehr um bloße Augenwischerei, insbesondere wenn es so dargestellt wird, dass damit Erleichterungen bei der Einhaltung des Datenschutzes verbunden seien. Fakt ist, dass alle Vorschriften der DS-GVO eingehalten werden müssen, egal, wie viele Mitarbeiter in einem Unternehmen beschäftigt werden. Eine Erleichterung stellt dagegen der Wegfall des Schriftformerfordernisses für Einwilligungen von Mitarbeitern dar. Hierdurch werden Abläufe im Unternehmen vereinfacht, der Aufwand sinkt und es ist keine umständliche Dokumentation in Papierform mehr erforderlich.

Die neuen Regeln gelten, wenn das Gesetz in Kraft tritt. Es muss nur noch im Bundesgesetzblatt verkündet werden.