Datenschutz-Akademie » Datenschutz-News » Anpassung des Datenschutzes
Anpassung des Datenschutzes
Bundestag beschließt Schein-Entlastungen und entwertet Datenschutz und Bürgerrechte
In diesem Artikel erfahren Sie:
- Die wichtigsten Fakten zum angepassten Datenschutzrecht durch den Bundestag am 26.06.2019
- Warum die neue Regelung zur Bestellpflicht eines Datenschutzbeauftragten ab 20 Mitarbeiter keine Entlastung, sondern mehr Belastung bringt
- Welche Bürgerrechte durch den Bundestag beschnitten wurden
Kurz vor der Sommerpause beschließt der Bundestag, in einer Nacht-und-Nebel-Aktion, die Anpassung von 154 verschiedenen Gesetzen. Das sogenannte „Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU)“ nimmt viele tiefgreifende Einschnitte vor, ohne dass eine wirkliche Diskussion innerhalb der Fraktionen, aber vor allem in der Öffentlichkeit stattgefunden hat.
Bestellpflicht des Datenschutzbeauftragten auf 20 Mitarbeiter erhöht
Eine für die Datenschutzbranche wichtige Anpassung betrifft die Bestellpflicht des Datenschutzbeauftragten (DSB). Zukünftig soll die Bestellung eines betrieblichen oder externen Datenschutzbeauftragten in der Regel erst ab 20 Mitarbeitern zur Pflicht werden.
Viele Berufs- und Interessenverbände, wie der Apothekerverband, als auch einschlägige Medien, wie die Süddeutsche Online, feiern diese Änderung als Entlastung vom Datenschutz.
Aus Sicht erfahrener Datenschutzbeauftragter hingegen, erweist der Beschluss betroffenen Unternehmen eher einen Bärendienst, denn an den Vorgaben zur Umsetzung des Datenschutzes hat sich trotz der angepassten Bestellpflicht im Grundsatz nichts geändert.
Denn auch in Zukunft gilt es:
- Das Verzeichnis der Verarbeitungstätigkeiten zu erstellen und hierbei alle relevanten Prozesse im Unternehmen auf Datenfluss, Datenarten, Datenkategorien sowie Rechtmäßigkeit zu untersuchen und bei hohen Risiken Datenschutzfolgeabschätzungen durchzuführen.
- Eine saubere Vertragslage zur Datenverarbeitung mit Geschäftspartnern und dritten Organisationen zu schaffen, wie u. a. Auftragsverarbeitungsverträge, Joint-Controls, EU-Standardvertragsklauseln oder Corporate-Binding-Rules.
- Die Datensicherheit kritisch zu betrachten, erforderliche technische und organisatorische Maßnahmen umzusetzen und diese Umsetzung nachhaltig zu dokumentieren.
- Ein idealerweise DIN 66399-konformes Löschkonzept zu allen relevanten Datenarten zu erstellen und dieses in Form von Löschregeln in der Organisation umzusetzen.
- Die Betroffenenrechte, wie die Informationspflichten, Auskunftspflichten oder Löschanforderungen zu etablieren
Hätte der Gesetzgeber wirklich etwas zur Entlastung kleiner Organisationen beitragen wollen, hätte man Erwägungsgrund 13 der DSGVO ernst nehmen sollen. Dort steht in Satz 3 beschrieben:
„Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.“
Wie allerdings diese Vereinfachung für Kleinstunternehmen oder KMUs aussehen könnte, ohne die aus dem Grundrecht auf informationelle Selbstbestimmung abgeleiteten Datenschutzrechte zu beschneiden, ist nicht klar geregelt. Eine Möglichkeit wäre es, Datenschutzvorgaben branchenspezifisch soweit wie möglich zu standardisieren und so vom Start weg gesetzeskonform und effektiv zu arbeiten.
Finanzielle Entlastung versus steigende Rechtsunsicherheit
Bei der Entscheidung des Bundestages schienen vorrangig finanzielle Aspekte eine Rolle gespielt zu haben, denn klar ist: die Einbindung eines externen Datenschutzbeauftragten kostet Geld.
Dem entgegen steht jedoch, dass Mitarbeiter ohne Fachwissen, die den Datenschutz häufig neben ihrem Tagesgeschäft umsetzen müssen, inhaltlich überfordert sind.
Eine Erhöhung der Grenze für die Bestellpflicht eines Datenschutzbeauftragten führt also zwangsläufig zu einer Senkung des Datenschutzniveaus, erhöht die Rechtsunsicherheit und steigert dadurch das Risiko von Abmahnungen und Bußgeldern für die Unternehmen.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
Datenschutz ohne professionelle Software oder Berater selbst umsetzen, ist häufig die teurere Variante
Wie sehen die Kosten eines Datenschutzbeauftragten im Vergleich zum do-it-yourself-Datenschutz tatsächlich aus?
Folgende Rechnung ist für die Einbindung eines externen Datenschutzberaters, bei Nutzung einer professionellen Datenschutzsoftware realistisch:
- Ein externer Datenschutzbeauftragter benötigt mit Softwareunterstützung in einem kleinen und mittleren Unternehmen wenige Stunden, um den Basisdatenschutz (80-90 %) umzusetzen.
- Für die offenen 10-20 %, die häufig aus speziellen Fragen zum Datenschutz bestehen, kann ein Projekt im Sinne einer Bestellung zum Datenschutzbeauftragten aufgesetzt werden. Solche Projekte sind häufig sogar staatlich gefördert.
- Unter Einsatz von entsprechender Datenschutz-Software werden Routineaufgaben und die Dokumentationspflichten, wie Management von Betroffenenanfragen und Datenpannen, Verwaltung von Auftragsverarbeitungsverträgen, Datenlöschungen und die Erstellung eines Tätigkeitsberichtes einfach und gesetzeskonform automatisiert erledigt.
Wird der Datenschutz von intern beauftragten, fachfremden Mitarbeitern umgesetzt, ergibt sich ein anderes Bild:
- Der Einstieg in die Datenschutz-Materie ist für Laien und oftmals selbst Juristen anderer Rechtsgebiete, äußerst schwierig und zeitintensiv. Häufig brauchen Anwender mehrere Tage oder Wochen.
- Viele Datenschutz-Neulinge beginnen mit einer Internetrecherche, laden sich nicht validierte Vorlagen herunter oder besuchen eine Informationsveranstaltung nach der anderen, ohne wirklich den zielorientierten Einstieg in das Thema zu schaffen und am Ende beurteilen zu können, ob die ergriffenen Maßnahmen gesetzeskonform sind.
Es empfiehlt sich daher, trotz geänderter Bestellpflicht, gerade die Erstaufnahme und den initialen Aufbau des Datenschutz-Managementsystems mit Hilfe einer Datenschutz-Software oder eines Datenschutzexperten durchzuführen.
Unabhängig von den oben beschriebenen Problemen ist davon auszugehen, dass in Zukunft Datenschutzbehörden wahrscheinlich vermehrt mit Anfragen zum Datenschutz überhäuft werden. Die Probleme werden also nur verlagert, was kaum im Sinne der Kontrollpflichten der Behörden zur Einhaltung des Datenschutzes ist.
Bürgerrechte wurden durch den Bundestag eingeschränkt
Weiterhin gab es in Kürze folgende wichtige Anpassungen:
- Erweiterung der Vorratsdatenspeicherung des Digitalfunks der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) auf 75 Tage
- Ausweitung der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI), durch Einschränkung der Betroffenenrechte
- Keine signifikanten Anpassungen im Beschäftigungsdatenschutz, die für mehr Rechtssicherheit sorgen
Das Fazit zu diesem Beschluss ist, dass eine Entlastung im Punkt Datenschutz lediglich suggeriert wird. Die Umsetzung gemäß der DSGVO ist nach wie vor Pflicht, nur das man dafür keinen internen Experten bestellen muss. Auf lange Sicht hätte dies negative Konsequenzen in Bezug auf das bislang hohe Datenschutzniveau in Deutschland.
Dem Beschluss muss der Bundesrat zustimmen, um in Kraft zu treten.
Sie haben konkrete Fragen zum Thema Datenschutz oder möchten sich professionell beraten lassen? Unsere Datenschutz-Experten sind in ganz Deutschland für Sie da! Kommen Sie auf uns zu!
- COVID-19 und Datenschutz - 25. März 2020
- Datenschutz in der USA – Teil 3 der Delegationsreise - 6. Dezember 2019
- Datenschutz in der USA – Teil 2 der Delegationsreise - 3. Dezember 2019