Das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU)
Nachdem der Bundesrat am 20.09.2019 seine Zustimmung zum 2. DSAnpUG-EU gegeben hatte, wurde die finale Gesetzesfassung am 25.11.2019 im Bundesgesetzblatt veröffentlicht. Die hierin enthaltenen Änderungen des BDSG traten am 26.11.2019 in Kraft. Dies sind u.a. die folgenden:
Betrieblicher Datenschutzbeauftragter
Gemäß § 38 BDSG musste bislang ein Datenschutzbeauftragter benannt werden, wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Durch das 2. DSAnpUG-EU wurde diese Grenze auf mindestens 20 Personen erhöht. Damit entfällt für viele kleine Unternehmen die Verpflichtung zur Benennung eines Datenschutzbeauftragten. Aber Achtung: Das Datenschutzrecht ist vom Unternehmen natürlich auch dann einzuhalten, wenn es keinen Datenschutzbeauftragten benötigt!
Datenverarbeitung im Beschäftigungsverhältnis
Neu geregelt wurde auch die Datenverarbeitung durch Unternehmen im Beschäftigungsverhältnis. Bisher musste die Einwilligung zur Verarbeitung personenbezogener Daten von Beschäftigten schriftlich eingeholt werden. Von dieser Vorschrift durfte nur bei besonderen Umständen abgewichen werden (z. B. Beschäftigte im Home-Office). Durch das 2. DSAnpUG-EU kann die Einwilligung nun gemäß § 26 Abs. 2 S. 3 BDSG schriftlich oder elektronisch eingeholt werden.
Neue Aufsicht für Telekommunikationsunternehmen
Aufgrund der Neufassung des § 9 Abs. 1 BDSG ist für Telekommunikationsunternehmen nun grundsätzlich der Bundesbeauftragte für den Datenschutz und die Informationssicherheit für die Aufsicht zuständig.
Verarbeitung besonders schutzwürdiger Daten durch nichtöffentliche Stellen
Eine weitere Anpassung wurde in § 22 BDSG vorgenommen. Besonders schutzwürdige personenbezogene Daten wie Daten mit Religions- oder Gesundheitsbezug dürfen nach § 9 DSGVO nur in Ausnahmefällen verarbeitet werden. Eine Ausnahme gilt z.B. für Datenverarbeitungen, die aus Gründen eines erheblichen öffentlichen Interesses zwingend erforderlich sind. Diese Ausnahme war bisher nur öffentlichen Stellen vorbehalten. Mit der nun vorgenommenen Anpassung gilt sie auch für private Unternehmen.
Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzbeauftragter der Kanzlei, Datenschutzauditor