Gesetze sollen an den Maßstab der DSGVO angepasst werden
Die Große Koalition hat trotz massiver Kritik seitens der Opposition das „Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU)“ verabschiedet.
Dieses sieht vor, 154 nationale Gesetze und eine Rechtsverordnung an den Maßstab der Europäischen Datenschutzgrundverordnung (DSGVO) anzupassen. „[V]om Arzneimittelgesetz bis zum Zivildienstgesetz“ seien Änderungen vorgesehen, die die Umsetzung der DSGVO im Praxisalltag erleichtern sollen, wie Axel Müller (CDU), Mitglied des Deutschen Bundestags, zitiert wird.
Laut Bundesinnenministerium wird das verabschiedete Gesetz kurz nach der Sommerpause den zweiten Durchgang im Bundesrat absolvieren. Dann werden sich Unternehmen, Organisationen und Vereine anpassen müssen. Um solche Entwicklungen nicht zu verpassen, ist es wichtig, dass Verantwortliche stets auf dem Laufenden bleiben. Was den Bereich Datenschutz angeht, ist der „Infodienst Datenschutz für Praktiker“ ein verlässlicher Begleiter.
Bestellgrenze für Datenschutzbeauftragte soll angehoben werden
Das 2. DSAnpUG sieht u. a. vor, dass Unternehmen, Organisationen und Vereine erst dann einen Datenschutzbeauftragten (DSB) benennen müssen, wenn sie in der Regel mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Bisher gilt die Bestellgrenze von zehn Beschäftigten. Damit sollen laut Großer Koalition kleine Unternehmen und Vereine entlastet werden.
Diese Anpassung wurde auch immer wieder gefordert. Das Land Niedersachsen stellte erst kürzlich einen Entschließungsantrag, damit die Bundesregierung die Regelungen der DSGVO „mittelstandsfreundlicher“ nachbessert, was auch die Anhebung der Bestellgrenze beinhaltete. Dennoch stößt diese geplante Änderung auf viel Kritik.
DSAnpUG: Bringt die Anhebung der Bestellgrenze wirklich Erleichterung?
Doch wie gewinnbringend ist die Anhebung der Bestellgrenze? Bedeutet der Wegfall des Datenschutzbeauftragten weniger Datenschutz-Bürokratie für Vereine und kleine Unternehmen? Nein, sagt Sascha Kuhrau, Datenschutzbeauftragter und Autor des Buchs „Datenschutz 2019“. Er sieht den Datenschutzbeauftragten nicht als Verursacher für den hohen Bürokratieaufwand, den Unternehmen und Vereine beklagen, sondern die „nicht immer klaren bzw. gelegentlich praxisfernen Auslegungen der Landesdatenschutzbehörden“.
Das Problem ist, dass mit dem Wegfall der Bestellpflicht zum DSB unter 20 Mitarbeitern die restlichen Anforderungen nach Bundesdatenschutzgesetz (BDSG) und DSGVO weiterhin erfüllt werden müssen. Dann sind Inhaber, Geschäftsführer und Vereinsvorstände für die korrekte Umsetzung des Datenschutzrechts verantwortlich oder es muss ein externer Datenschutzbeauftragter teuer eingekauft werden.
Bundesbeauftragter für Datenschutz und Datenschutzkonferenz sprechen sich gegen die Lockerung des Datenschutzrechts aus
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber befürchtet ebenfalls, dass der Beschluss des Bundestags den Irrglauben auslösen könnte, dass Betriebe jetzt weniger Datenschutzpflichten hätten, wie er auf Twitter schreibt:
„Wie befürchtet: (Falscher) Beschluss zum Abbau Benennungspflicht Datenschutzbeauftragte löst gefährlichen Irrglauben aus, dass Betriebe jetzt weniger Datenschutzpflichten hätten [...]”
— Ulrich Kelber (@UlrichKelber) 28. Juni 2019
Außerdem sieht er die Gefahr, dass nun mehr Datenschutzverstöße und Bußgelder folgen werden:
„Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein ☹️“
— Ulrich Kelber (@UlrichKelber) 24. Juni 2019
Die Datenschutzkonferenz (DSK) hat bereits im April 2019 dargestellt, dass sich die bisherige Regelung „seit vielen Jahren bewährt“ hat und das Sanktionsrisiko ansteigen könnte:
„Die Datenschutzbeauftragten sorgen für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten. Dies hat sich ganz besonders bei der Umstellung auf die Datenschutz-Grundverordnung bewährt.“
Mittelfristig sieht die Datenschutzkonferenz mit der geplanten Anhebung der Bestellgrenze die interne Datenschutz-Kompetenz verloren gehen.
Kritik an der Vorratsdatenspeicherung
Die Opposition sieht hinsichtlich der Änderungen im Bereich des Strafverfahrens und des übrigen Verfahrensrechts im zweiten Gesetz zur Anpassung des Datenschutzrechts – Gesetz zur Umsetzung der Richtlinie (EU) 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die Verordnung (EU) 2016/679 außerdem eine versteckte Implementierung der umstrittenen Vorratsdatenspeicherung: Grüne-Politiker Konstantin von Notz habe diesen Vorwurf gegenüber Horst Seehofer geäußert, wie die Zeitung „DasParlament“ berichtet. Die AfD formulierte es so: „Mit der Regelung werde versucht, eine Vorratsdatenspeicherung zu schaffen, die keine klare zeitliche Obergrenze habe.“
Konkret soll z. B. der Digitalfunk der Polizei einer 75-tägigen Vorratsdatenspeicherung unterworfen werden. Dieser geplanten Änderung steht die 70-tägige Vorratsdatenspeicherung der Polizei gegenüber, die aktuell ausgesetzt ist, weil das Bundesverfassungsgericht ihre Rechtmäßigkeit prüft. Wie sinnvoll eine solche Anpassung zu diesem Zeitpunkt ist, ist zweifelhaft.
Ob der Bundestag diesen Änderungen zustimmt und welche Folgen die beiden Gesetze zur Änderung des Datenschutzrechts letztendlich mit sich bringen, wird sich noch zeigen. Kleine Betriebe und Vereine sollten sich jedoch nicht zurücklehnen. Denn die Vorgaben des Datenschutzes müssen auch ohne DSB eingehalten werden. Daher stellt sich die Frage, ob es tatsächlich eine Entlastung sein wird.
Quellen: Deutscher Bundestag, DasParlament, a.s.k.-datenschutz, DSK