Neuerungen des Datenschutzrechts durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU

Mit der Veröffentlichung im Bundesgesetzblatt am 26.11.2019 ist das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) in Kraft getreten.

Nachdem bereits im Mai 2018 zusammen mit der neuen Datenschutz-Grundverordnung (DSGVO) ein neues Bundesdatenschutzgesetz (BDSG) in Kraft trat und zahlreiche weitere spezifische Datenschutzregelungen in bestimmten Bereichen (z. B. im Bereich des Sozialrechts) auf den Weg gebracht wurden, erfolgte nun durch das 2. DSAnPUG-EU eine weitere Anpassung bereichsspezifischer Datenschutzregelungen in Deutschland.

Hervorzuheben sind hierbei zwei besonders relevante Änderungen:

1. Änderung des § 38 Absatz 1 Satz 1 BDSG (Heraufsetzung von 10 auf 20 Personen)

Nach Artikel 37 Absatz 1 DSGVO sind Unternehmen (nichtöffentliche Stellen) – unabhängig von der Anzahl der mit personenbezogenen Daten in Berührung kommenden Personen (z. B. Mitarbeiter) – verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn

[…]

(b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

(c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

In Artikel 37 Absatz 4 Satz 1 DSGVO hat der EU-Gesetzgeber vorgesehen, dass die Mitgliedstaaten ergänzende Regelungen treffen können, wonach ein Datenschutzbeauftragter benannt werden muss (sog. Öffnungsklausel).

Der deutsche Gesetzgeber hat von dieser Möglichkeit durch § 38 Absatz 1 Satz 1 und Satz 2 BDSG Gebrauch gemacht.

Nach der bisherigen Fassung des § 38 Absatz 1 Satz 1 BDSG mussten Unternehmen auch dann einen Datenschutzbeauftragten benennen, wenn in dem Unternehmen „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Die Personenzahl wurde durch das 2. DSAnpUG-EU auf mindestens 20 Personen erhöht.

Die weitere deutsche Spezialregelung in § 38 Absatz 1 Satz 2 BDSG bleibt daneben bestehen. Danach haben Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen, wenn sie entweder (a) Verarbeitungen vornehmen, die eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erfordern oder (b) personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Trotz der Heraufsetzung der Personenanzahl von 10 auf 20 im § 38 Absatz 1 Satz 1 BDSG müssen Unternehmen immer auf eigene Verantwortung prüfen, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Zudem befreit die vorliegende Änderung personenbezogene Daten verarbeitende Unternehmen mit weniger als 20 Personen nicht davon, die sonstigen für alle Unternehmen geltenden datenschutzrechtlichen Vorgaben einzuhalten (z. B. Einholung ggf. erforderlicher Einwilligungen, Beantwortung datenschutzrechtlicher Anfragen Betroffener, Implementierung von technischen und organisatorischen Maßnahmen etc.).

Unabhängig von den hier aufgeführten gesetzlichen Tatbeständen können Unternehmen selbstverständlich auch freiwillig einen Datenschutzbeauftragten benennen, um die Einhaltung datenschutzrechtlicher Vorgaben zu gewährleisten und zu überwachen.

2. Änderung des § 26 Absatz 2 Satz 3 BDSG:

In der DSGVO findet sich in Artikel 88 DSGVO eine Öffnungsklausel in Bezug auf die Verarbeitung von Daten im Beschäftigungskontext. Den Mitgliedstaaten ist damit die Möglichkeit eröffnet, für die Verarbeitung von personenbezogenen Arbeitnehmerdaten eigene Regelungen zu treffen.

Der deutsche Gesetzgeber hatte unter anderem in dem seit Mai 2018 geltenden neuen BDSG (§ 26 Absatz 2 Satz 3) klargestellt, dass Einwilligungen von Arbeitnehmern grds. schriftlich einzuholen sind. Diese formelle Anforderung an die Einwilligung für die Verarbeitung geht weiter als die generellen Vorgaben nach Artikel 7 DSGVO für die Verarbeitung von personenbezogenen Daten. Artikel 7 DSGVO gibt nämlich keine besondere Form für die Einwilligung vor.

Mit dem 2. DSAnpUG-EU hat nun eine Einwilligung von Arbeitnehmern grds. „schriftlich oder elektronisch“ zu erfolgen. Damit ist seit dem 26.11.2019 eine Einwilligung im Beschäftigungsverhältnis grds. auch per E-Mail einholbar, was für Unternehmen eine erhebliche Erleichterung darstellt.

Bei Fragen zum Thema Datenschutzrecht wenden Sie sich gerne an Dr. Baran Kizil, LL.M.