Sie befinden sich hier:

Zweites Gesetz zur Anpassung des Datenschutzrechts in Kraft getreten

Am 26. November 2019 ist das „Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ (2. DSAnpUG-EU) in Kraft getreten. Damit müssen nichtöffentliche Stellen (Unternehmen) erst dann einen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Bestellung eines betrieblichen Datenschutzbeauftragten

Bisher mussten nichtöffentliche Stellen gemäß § 38 Abs. 1 BDSG einen Datenschutzbeauftragten bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen (siehe Beitrag „Koalition will Bestellpflicht für den Datenschutzbeauftragten entschärfen“ vom 28. Juni 2019).

Mit der Gesetzesänderung wurde der § 38 Abs. 1 BDSG dahingehend geändert, dass die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von zehn auf 20 angehoben wurde. Nehmen Verantwortliche oder Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, müssen sie allerdings weiterhin unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten benennen.

Bei einer Personenzahl von weniger als 20 und liegt keine andere Verpflichtung zur Bestellung eines Datenschutzbeauftragten vor, kann – nach herrschender Meinung – ein Unternehmen nunmehr die bereits erfolgte Benennung eines betrieblichen Datenschutzbeauftragten widerrufen. Dies sollte allerding gut überlegt werden, da der Verantwortliche bzw. Auftragsverarbeiter weiterhin in der Pflicht steht, den Datenschutz in seinem Unternehmen zu gewährleisten. Dabei kann ihn ein Datenschutzbeauftragter sicherlich unterstützen.

Im Übrigen ist nach § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 3 BDSG auch nach dem Ende der Tätigkeit als Datenschutzbeauftragter die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass das Unternehmen zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.

Auch wenn ein Unternehmen aufgrund der Personenzahl nicht mehr der Benennungspflicht unterliegt, ist natürlich trotzdem die Benennung eines Datenschutzbeauftragten auf freiwilliger Basis möglich.

Die Gesetzesänderung hat keine Auswirkungen auf öffentliche Stellen des Bundes und der Länder. Diese müssen weiterhin – unabhängig von der Beschäftigtenzahl – immer einen behördlichen Datenschutzbeauftragten benennen.

Weitere wesentliche Änderung des BDSG

Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so bedurfte diese Einwilligung gemäß § 26 Abs. 2 Satz 3 BDSG der „Schriftform“. Nunmehr kann die Einwilligun sowohl „schriftlich oder elektronisch“ erfolgen“.

Fundstelle

Veröffentlichung im Bundesgesetzblatt Jahrgang 2019 Teil 1 Nr. 41, ausgegeben zu Bonn am 25. November 2019 – abrufbar im Internet unter https://www.bgbl.de/xaver/bgbl/start.xav?WAN=521467#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl119s1626.pdf%27%5D__1574793813916

nach oben