Weiteres Gesetz zur Umsetzung der DSGVO

Das 2. DS­An­pUG-EU sieht um­fang­rei­che Ände­run­gen u.a. im Bun­des­da­ten­schutz­ge­setz (BDSG), dem Ge­setz über das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSIG) so­wie des Bun­des­mel­de­ge­set­zes (BMG) vor. Die meis­ten Ände­run­gen be­tref­fen den öff­ent­li­chen Be­reich und nicht pri­vate Un­ter­neh­men.

© Unsplash

Mit dem 2. DS­An­pUG-EU soll das 1. DS­An­pUG-EU, aus dem das neue Bun­des­da­ten­schutz­ge­setz (BDSG) her­vor­ge­gan­gen ist, nach­ge­bes­sert wer­den. Außer­dem sol­len zahl­rei­che da­ten­schutz­recht­li­che Re­ge­lun­gen aus 154 Ge­set­zen an die Vor­ga­ben der Da­ten­schutz­grund­ver­ord­nung (DS­GVO) an­ge­passt wer­den. So wer­den z. B. im BSIG im großen Um­fang da­ten­schutz­recht­li­che Nor­men auf­ge­nom­men.

Unternehmen bis 19 Beschäftigte brauchen keinen Datenschutzbeauftragten mehr

Die größte und für klei­nere Un­ter­neh­men wich­tigste Ände­rung be­trifft § 38 BDSG, der die Pflicht zur Er­nen­nung ei­nes Da­ten­schutz­be­auf­trag­ten re­gelt. Durch den Ge­set­zes­ent­wurf wird der Schwell­wert erhöht, so dass in der Re­gel nur noch Un­ter­neh­men einen Da­ten­schutz­be­auf­tra­gen be­stel­len müssen, bei de­nen min­des­tens 20 Per­so­nen be­schäftigt sind. Be­stimmte Un­ter­neh­men müssen aber wei­ter­hin un­abhängig von der An­zahl ih­rer Be­schäftig­ten einen Da­ten­schutz­be­auf­trag­ten be­stel­len (§ 38 Abs. 1 S. 2 BDSG).

Einwilligung von Beschäftigen: keine Unterschrift mehr nötig

Eine wei­tere wich­tige Ände­rung im 2. DS­An­pUG-EU sieht vor, dass die Ein­wil­li­gung im Ar­beits­verhält­nis (z.B. in die Veröff­ent­li­chung von Fo­tos) zukünf­tig “schrift­lich oder elek­tro­ni­sch” (also z.B. per E-Mail) er­fol­gen kann (§ 26 Abs. 2 S. 3 BDSG). An­dere Ein­wil­li­gun­gen, die etwa von Kun­den ein­ge­holt wer­den, be­durf­ten schon bis­her kei­ner Schrift­form. Al­ler­dings müssen auch elek­tro­ni­sch er­teilte Ein­wil­li­gun­gen re­vi­si­ons­si­cher do­ku­men­tiert wer­den.

Mehr Befugnisse zur Datenverarbeitung für Behörden - weniger Datenschutzrechte für Betroffene

Das BDSG neu geht mit der An­pas­sung von Spe­zi­al­ge­set­zen ein­her, wie z. B. dem SÜG und dem BSIG. Durch eine An­pas­sung des BSI-Ge­set­zes (BSIG) soll das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) wei­tere Be­fug­nisse zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten er­hal­ten, da­mit das BSI seine Auf­ga­ben bes­ser erfüllen kann. Außer­dem sol­len Rechte von Per­so­nen, de­ren Da­ten durch das BSI ver­ar­bei­tet wer­den, ein­ge­schränkt wer­den. Dies be­trifft z.B. das Aus­kunfts­recht das Recht auf Be­rich­ti­gung oder Löschung. Da­mit das BSI sei­nen Auf­ga­ben im öff­ent­li­chen In­ter­esse nach­kom­men kann, soll auch seine Pflicht zur In­for­ma­tion Be­trof­fe­ner über den Da­ten­schutz (z.B. in „Da­ten­schutz­erklärun­gen“) ein­ge­schränkt wer­den.

Da­ne­ben soll der „Bun­des­an­stalt für den Di­gi­tal­funk der Behörden und Or­ga­ni­sa­tio­nen mit Si­cher­heits­auf­ga­ben“ (BD­BOS) eine 75-tägige Vor­rats­da­ten­spei­che­rung durch An­pas­sung des BD­BOS-Ge­setz (BD­BOSG) ein­geräumt wer­den.

Viele der Ände­run­gen in den 154 Ge­set­zen be­tref­fen auf den ers­ten Blick nur sprach­li­che bzw. rhe­to­ri­sche Ände­run­gen. Ebenso wird das Wort „Be­trof­fe­ner“ in vie­len Ge­set­zen durch die Wörter „be­trof­fene Per­so­nen“ er­setzt. Durch die De­fi­ni­tion als be­trof­fene Per­son wird der Be­trof­fe­nen­kreis etwa im Gen­tech­nik­ge­setz auf ju­ris­ti­sche Per­so­nen er­wei­tert. So­mit können so­gar ju­ris­ti­sche Per­so­nen be­stimmte Aus­kunfts­an­sprüche nach dem Gen­tech­nik­ge­setz gel­tend ma­chen.

Hinweis

Der Bun­des­rat hat dem Ge­setz am 20.9.2019 zu­ge­stimmt. Die Ände­run­gen wer­den da­her demnächst in Kraft tre­ten. Das 2. DS­An­pUG-EU wird an den Da­ten­schutz­pflich­ten für Un­ter­neh­men mit Aus­nahme der oben bei­den be­schrie­be­nen Ände­run­gen nichts ändern.