Neues aus dem Datenschutz: Zweites Anpassungs- und Umsetzungsgesetz an die DSGVO
Der Bundesrat hat am 20.09.2019 zahlreichen Anpassungen nationaler Vorschriften an die seit Mai 2018 geltende Europäische Datenschutzgrundverordnung (DSGVO) zugestimmt, die der Bundestag im Juni verabschiedet hatte. Die Änderungen sind am 26.11.2019 in Kraft getreten.
1.Abschaffung des Datenschutzbeauftragten für Klein- und Mittelstandsunternehmen?
Neben zahlreichen Anpassungen von Begriffsbestimmungen und Verweisungen in den Fachgesetzen, betrifft die wohl einschneidendste Änderung die Anhebung des Schwellenwertes für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten.
Bisher waren öffentliche Stellen und Behörden sowie auch alle nicht öffentlichen Stellen zur Bestellung eines betrieblichen Datenschutzbeauftragten gemäß § 38 Bundesdatenschutzgesetz (BDSG) erst dann verpflichtet, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten. Durch das Zweiten Anpassungs- und Umsetzungsgesetzes (DSAnpUG) wird der Schwellenwert auf 20 angehoben. Hierdurch sollen insbesondere kleine und mittelständische Unternehmen sowie ehrenamtliche Vereine entlastet werden.
Was ändert sich hierdurch?
Auf den ersten Blick bedeutet die Änderung eine finanzielle Entlastung kleiner und mittelständischer Unternehmen. Denn insbesondere die Beauftragung eines externen Datenschutzbeauftragten ist regelmäßig mit erheblichen Kostenfolgen verbunden. Allerdings lohnt sich ein zweiter Blick: die Anhebung des Schwellenwertes führt nicht zugleich zu einer Art datenschutzrechtlicher Freifahrtschein für kleinere Unternehmen. Sie bleiben – wie bisher auch – an die datenschutzrechtlichen Vorgaben und Pflichten gebunden. Bei der Einhaltung dieser datenschutzrechtlichen Vorgaben und Pflichten leisten Datenschutzbeauftragte in der Regel einen wesentlichen Beitrag. Der Landesdatenschutzbeauftragte Baden- Württemberg, Dr. Stefan Brink, stellte kürzlich klar, „Datenschutzbeauftragte sind für uns [Aufsichtsbehörden] und die Unternehmen wichtige Ansprechpartner. Sie unterstützen Unternehmen dabei, sich gesetzeskonform aufzustellen und dadurch Zeit und Geld zu sparen – von etwaigen Bußgeldern bei Verstößen ganz abgesehen.“[1]
Unternehmen unterhalb des Schwellenwerts sollten daher kritisch überprüfen, ob sie trotz Anhebung des Schwellenwertes tatsächlich von der Beauftragung eines Datenschutzbeauftragten absehen.
Welche Auswirkungen folgen hieraus für bereits benannte Datenschutzbeauftragte?
Die DSGVO garantiert Datenschutzbeauftragten bei der Wahrnehmung ihrer gesetzlich übertragenen Aufgaben Weisungsfreiheit und Unabhängigkeit. Demnach untersagt Art. 38 Abs. 3 DSGVO es dem Verantwortlichen oder Auftragsverarbeiter, Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben abzuberufen oder zu kündigen. Ferner unterfallen betriebliche Datenschutzbeauftragte nichtöffentlicher Stellen – sofern ihre Bestellung zwingend ist – dem Sonderkündigungsschutz gemäß § 6 Abs. 4 BDSG. Ihre Abberufung sowie Kündigung ihres Arbeitsverhältnisses ist nur aus wichtigem Grund zulässig. Unklar ist, ob die aktuelle Änderung des Gesetzes (Absenkung des Schwellenwerts) einen solchen wichtigen Grund darstellt, der Unternehmen unterhalb des Schwellenwerts zur Abberufung von bestellten Datenschutzbeauftragten berechtigt.
Orientiert man sich streng am Gesetzeswortlaut, entfällt für interne Datenschutzbeauftragte von Betrieben, die die Schwelle nunmehr nicht erreichen, mit der Anhebung des Schwellenwertes der Sonderkündigungsschutz gemäß § 6 Abs. 4 BDSG. Von einer Übergangsregelung zum Schutz hiervon betroffener interner Datenschutzbeauftragter hat der Gesetzgeber abgesehen. Insofern dürfte auch eine zumindest analoge Anwendbarkeit des Sonderkündigungsschutzes ausscheiden.
2.Einwilligung in die Verarbeitung personenbezogener Daten: Aus für die zwingende Schriftform?
Die zweite wesentliche Änderung betrifft die Schriftform der Einwilligungserklärung Beschäftigter in die Verarbeitung ihrer personenbezogener Daten gemäß § 26 Abs. 2 Satz 3 BDSG. Ab sofort ist die Einwilligungserklärung in die Datenverarbeitung nicht mehr zwingend schriftlich abzugeben, sondern kann ausdrücklich auch „elektronisch“ erfolgen.
Ob damit (akut) eine echte Erleichterung für die Praxis herbei geführt wurde, ist äußerst fraglich. Elektronische Form gemäß § 126a BGB verlangt, dass der Aussteller der Erklärung dieser seinen Namen hinzufügt und das elektronische Dokument mit einer qualifizierten elektronischen Signatur versieht. Über eine solche qualifizierte elektronische Signatur verfügen in aller Regel nur die wenigsten Beschäftigten. Danach wäre die Einwilligung mittels einfacher E-Mail oder mittels Webformular also weiterhin nicht ausreichend.
Aufgrund der der Gesetzesänderung vorgelagerten Diskussion über das in der Praxis oftmals als zu streng und nicht praktikabel empfundene Schriftformerfordernis für eine datenschutzrechtliche Einwilligung war an sich eine tatsächliche Erleichterung für den Rechtsverkehr erwartet worden. Es ist daher durchaus möglich, dass für die Erfüllung der nunmehr zulässigen elektronischen Einwilligung nach § 26 Abs. 2 Satz 3 BDSG nicht die strengen Voraussetzungen des § 126a BGB gegeben sein müssen. Solange es hierzu aber an Rechtsprechung oder einer ausdrücklichen Positionierung der Datenschutzbehörden fehlt, kann zunächst nur die Einhaltung der (strengen) elektronischen oder eben schriftlichen Form empfohlen werden.
Katharina Mitterer Katharina Schlonsak
Rechtsanwältin Rechtsanwältin
[1] Pressemitteilung des BayLfD vom 09.09.2019 „Datenschutzbeauftragte stärken Unternehmen“, abrufbar unter https://www.datenschutz-bayern.de/presse/20190909_Herbstkonferenz_und_Behoerdentag.html (Abruf: 02.12.2019).