Die Datenschutzgrundverordnung wird nachjustiert und entschärft

Der Bundestag hat vor den Parlamentsferien noch zahlreiche Gesetzesänderungen beschlossen, durch die bundesdeutsche Rechtsvorschriften an die DSGVO angepasst werden sollen. Besonders umstritten war dabei die Erhöhung des Schwellenwerts bei den Beschäftigtenzahlen, ab denen in Unternehmen ein Datenschutzbeauftragter vorgeschrieben ist, die der Entlastung für kleine Unternehmen und Vereine dienen soll.

Zu weit vorgerückter Stunde gegen 1:30 Uhr in der Nacht zum 28.6. hat der Bundestag mit den Stimmen der Regierungskoalition einen Gesetzentwurf zur weiteren Anpassung von insgesamt 154 Einzelgesetzen an die europäische Datenschutzgrundverordnung (DSGVO) beschlossen.

Streitthema Datenschutzbeauftragter

In den meisten dieser Fälle handelte es sich lediglich um Details und häufig sogar nur um einzelne Formulierungen, eine Änderung sorgte jedoch für erhebliches Aufsehen und blieb auch nicht ohne Widerspruch. Dabei handelt es sich um die Änderung des § 38 Bundesdatenschutzgesetz, der einen Schwellenwert setzt, ab dem Unternehmen einen betrieblichen Datenschutzbeauftragten benennen müssen.

  • Lag dieser Wert bisher bei mindestens 10 Personen, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen,
  • gilt künftig eine Schwelle von 20 Beschäftigten.

Auf diese Änderung hatten vor allem Vertreter der CDU/CSU gedrängt und auch die FDP hatte im Vorfeld entsprechende Forderungen gestellt. Erreicht werden soll damit insbesondere eine Entlastung kleiner Unternehmen und Vereine, die sich gerade von dieser Neuregelung der DSGVO über Gebühr belastet sahen. So erwarten die Befürworter der Erhöhung, dass beispielsweise künftig 90% aller Handwerksbetriebe keinen Datenschutzbeauftragten mehr benötigen.

Datenschutzbestimmungen gelten auch ohne Pflicht zum Datenschutzbeauftragten weiter

Auch wenn damit künftig nun für viele kleinere Unternehmen und Vereine kein Datenschutzbeauftragter mehr bestellt werden muss, bleiben die anderen Regelungen der DSGVO natürlich weiterhin bestehen. Und genau an diesem Punkt setzt auch die Kritik an dieser Erleichterung an, wie sie etwa der Bundesdatenschutzbeauftragte Ulrich Kelber auf Twitter äußerte:

  • Er befürchtet, dass diese „Verwässerung“ den Unternehmen lediglich eine Entlastung suggeriere.
  • Als mögliche Folge sieht er einen Kompetenzverlust durch den Wegfall des betrieblichen Datenschutzbeauftragten
  • und dadurch wiederum eine höhere Zahl an Datenschutzverstößen und entsprechenden Bußgeldern.

Einsparungseffekte sieht Kelber auch nicht, da die fehlende Datenschutzkompetenz sich nicht nur in Bußgeldern niederschlagen könne, sondern viele Unternehmen zumindest mittelfristig dieses Wissen extern wieder einkaufen müssten.

Ähnlich argumentierte auch der Grünen-Abgeordnete Konstantin von Notz, der auf die weiterhin geltenden Pflichten verwies, für die sich dann jedoch möglicherweise niemand richtig zuständig fühle, was die Haftungsrisiken ansteigen ließe.

Weitere Änderungen bei den Datenschutzrechten und Pflichten

Daneben gab es von Datenschützern allerdings auch noch Kritik an weiteren Einschränkungen der Betroffenenrechte bzw. Kontrollrechte.

  • So wurden etwa Auskunfts- und Widerspruchsrechte, die Informationspflicht, sowie Berichtigungs- und Löschpflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeschränkt.
  • Ebenfalls auf Widerspruch stieß die neue 75-tägige Vorratsdatenspeicherung beim neuen Digitalfunk der Behörden und Organisationen mit Sicherheitsfunktionen.

Diese war schon während des Gesetzgebungsprozesses von der damaligen Bundesbeauftragten für den Datenschutz, Andrea Voßhoff, als unverhältnismäßig eingestuft worden war. Auch im Hinblick darauf, dass die gängige, maximal 70-tägige Vorratsdatenspeicherung gerade ausgesetzt wurde und vor dem Bundesverfassungsgericht verhandelt wird.

Weniger umstritten sind dagegen andere Maßnahmen, wie etwa eine Änderung, mit der es Adresshändlern schwerer gemacht werden soll, Informationen zu Personen über eine einfache Melderegisterauskunft in Erfahrung zu bringen.

Weiterer Handlungsbedarf beim Datenschutz

Nicht geregelt wurde in dem Gesetzespaket, wie künftig das Recht auf freie Meinungsäußerung und Informationsfreiheit einerseits mit dem Recht auf informationelle Selbstbestimmung andererseits in Einklang gebracht werden soll. Eine entsprechende Regelung hatte der EU-Gesetzgeber von allen Mitgliedsstaaten angefordert, allerdings konnte man sich in der Bundesregierung bei diesem Punkt bislang nicht einigen. Der Bundestag forderte die Regierung daher auf, einen entsprechenden Vorschlag schnellstmöglich auf den Weg zu bringen.

Weitere News zum Thema: 

Bilanz zur DSGVO nach einem Jahr

Datenschutzbehörden weiten ihre Kontrollen aus

Ziele des neuen Datenschutzbeauftragten

Hintergrund:

Für welche Unternehmen ist seit 25.5. ein Datenschutzbeauftragter notwendig?

In Art. 37 Abs. 1 DSGVO werden die Kriterien für solche Unternehmen, die einen Datenschutzbeauftragten benennen müssen, konkretisiert. Eine Verpflichtung besteht, wenn

  • in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
  • oder sich die Verarbeitung auf Daten erstreckt, für die nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung vorzunehmen ist,
  • oder die Erhebung, Speicherung, Nutzung und Verarbeitung personenbezogenen Daten geschäftsmäßig zu Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- bzw. Meinungsforschung erfolgt.