Regelrechte Panik hatten die EU-Datenschutzregeln bei manchen Unternehmen ausgelöst! Beschränkungen der Meinungs- und der Kunstfreiheit im Internet und unbeherrschbarer Aufwand für Freiberufler, kleine Vereine, Initiativen und Firmen – dies waren die wesentlichen Befürchtungen, als vor gut einem Jahr die Datenschutzgrundverordnung (DSGVO) in ganz Europa verbindliches Recht wurde. Die größten Befürchtungen haben sich nicht bewahrheitet, als Belastung werden die Vorschriften aber dennoch empfunden. Die Fraktionen der großen Koalition haben sich nun nach monatelangen Verhandlungen auf ein zweites Datenschutzanpassungs- und Umsetzungsgesetz geeinigt, um Datenschutz und Meinungsfreiheit in Einklang zu bringen – eine Vorgabe nach Artikel 85 der DSGVO. Unser DSGVO Freshup bringt Sie auf den neuesten Stand.
Entschärfung des Datenschutzes?
Nach Artikel 85 der DSGVO sind die EU-Mitgliedsstaaten aufgefordert, das Recht auf den Schutz personenbezogenen Daten mit dem Recht auf freie Meinungsäußerung in Einklang zu bringen. Absatz 2 des Artikels sieht dazu explizit Ausnahmen für die Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken vor. Im Entschließungsantrag von Union und SPD wird die Bundesregierung aufgefordert, „insbesondere eine ausdrückliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu Zwecken der Meinungsäußerung zu schaffen“, ohne dem Datenschutz oder der Meinungsfreiheit einen grundsätzlichen Vorrang einzuräumen. Darüber hinaus solle geprüft werden, in welchem Umfang die DSGVO-Kernkapitel II bis IX in diesem Zusammenhang eingeschränkt werden müsse, „um das Risiko von Vorfeldeinschüchterung zu minimieren und eine Klarstellung vorzunehmen, wonach die spezialgesetzlichen Regelungen wie das KunstUrhG weiter Anwendung finden und die Landesmediengesetze gegebenenfalls vorrangig sind.“
Die Sache mit dem Datenschutzbeauftragten
Die Union hatte bis zuletzt darauf beharrt, den Schwellenwert für die Bestellung von Datenschutzbeauftragten in Betrieben und Organisationen von zehn auf 20 Mitarbeiter anzuheben, um kleinere Betriebe zu entlasten. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber (SPD), hatte noch Anfang Juni davor gewarnt, dass Betrieben dadurch Fachwissen verloren gehen könnte. Die Bestimmungen der DSGVO müssten schließlich auch ohne die Bestellung eines Datenschutzbeauftragten eingehalten werden. Nun hat der Bundestag kurz vor der Sommerpause beschlossen, dass Kleinbetriebe keinen Datenschutzbeauftragten mehr einsetzen müssen. Doch was wie eine Erleichterung aussieht, könnte mehr und höhere Bußgelder zur Folge haben. Bisher galt: Wenn sich mehr als 10 Personen in einem Unternehmen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, muss ein Datenschutzbeauftragter die Einhaltung der Vorschriften überwachen. Diese Person benötigt entsprechende Fachkenntnisse und steht sowohl dem Unternehmen selbst als auch den Behörden als Ansprechpartner zur Verfügung. Ob der Datenschutzbeauftragte im Betrieb selbst arbeitet oder hierfür ein externer Experte bestimmt wird, ist unerheblich. Die Geschäftsführung darf die Funktion des Datenschutzbeauftragten allerdings nicht übernehmen. Was sich mit dem jetzt beschlossenen Gesetz ändert? Es müssen MEHR Leute mit sensiblen Daten hantieren, damit ein Datenschutzbeauftragter vorgeschrieben ist.
Zusammengefasst: Während nach Paragraf 38 des Bundesdatenschutzgesetzes ein Datenschutzbeauftragter eingesetzt werden muss, wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“, soll dies nun erst bei mindestens 20 Mitarbeitern der Fall sein. Nach Ansicht Kelbers ist es ein Trugschluss, dass die neue Regelung eine Entlastung für betroffene Unternehmen darstellt: „Spätestens wenn man aufgrund des fachlichen Kompetenzverlusts mittelfristig teures externes Wissen einkaufen muss oder sich wegen Datenschutzverstößen der Bußgeldforderung der Aufsichtsbehörde gegenübersieht, wird man feststellen, dass hier am falschen Ende gespart wurde“. Der Berliner CDU-Bundestagsabgeordnete Thomas Heilmann verteidigte nach Angaben der Nachrichtenagentur dpa die Anhebung der Schwelle als Abbau unnötiger Bürokratie: „Wenn man bedenkt, dass 80 Prozent der Unternehmen in Deutschland gar keine 20 Mitarbeiter haben, dann hat das eine enorme Relevanz.“ Das Gesetz kann allerdings erst in Kraft treten, wenn auch der Bundesrat zustimmt. Ob die geplante Entlastung insbesondere kleiner Betriebe und Vereine tatsächlich eintritt, bleibt abzuwarten.
Die Tücke liegt im Detail
Mehr als ein Jahr nach Inkrafttreten der DSGVO sollen mit dem 454-seitigen Gesetzentwurf (PDF) 154 Fachgesetze geändert werden. Dabei handelt es sich häufig nur um marginale Änderungen in der Formulierung, bei denen beispielsweise das Wort „verwendet“ durch „verarbeitet“ ersetzt wird. Darüber hinaus soll mit einem weiteren Gesetzentwurf das Datenschutzrecht in Strafverfahren angepasst werden.
Wie Unternehmen die DSGVO bewerten
Mehr Bürokratie, höhere Kosten und große juristische Unsicherheiten: So bewerten viele Unternehmen die seit einem Jahr geltenden neuen Datenschutzregeln. Die größten Befürchtungen haben sich allerdings nicht bewahrheitet: Abmahnwellen von spezialisierten Anwälten, die gezielt nach Verstößen suchen könnten, hat es nach Meinung mehrere Fachleute bislang nicht gegeben. Der Deutsche Industrie- und Handelskammertag hat unlängst bundesweit bei rund 4500 Unternehmen ermittelt, wie sie mit den neuen EU-Datenschutzregeln zurechtkommen. DIHK-Referentin Annette Karstedt-Meierrieks stellte vor wenigen Tagen in Stuttgart die Ergebnisse vor. Demnach bemängelten fast 90 Prozent einen sehr hohen Bürokratieaufwand für die Umsetzung. Etwa 70 Prozent der Firmen erklärten, einen hohen oder sehr hohen finanziellen Aufwand zu haben. Rund 60 Prozent kritisieren den hohen personellen Aufwand. »Es macht viel Arbeit, es kostet viel Geld. Und das ist das Riesenproblem«, resümierte Karstedt-Meierrieks. Und nach den Worten von Andreas Kiontke, Leiter Recht und Steuern bei der IHK Region Stuttgart, wünschen sich die Unternehmen von den Behörden mehr Unterstützung, zum Beispiel verbindliche und praxistaugliche Checklisten zur Umsetzung der Datenschutzregeln. Auch Karstedt-Meierrieks sprach von großen Rechtsunsicherheiten bei der Frage, wie einzelne Punkte umzusetzen seien. Externe Berater kosteten Geld, zudem sei der Markt an Datenschutzexperten nahezu abgegrast.
Weitere Informationen
- AMTANGEE 5.7: Was der neue Datenschutzreiter für Sie leisten kann
- DSGVO-Check-up: Daran sollten Sie unbedingt denken!
- DSGVO: Neue Rechte für Bürger!
- DSGVO: Handlungsbedarf für Unternehmen!
Bitte beachten Sie: Dies ist ein redaktioneller Betrag, der das komplexe Thema der Datenschutz-Grundverordnung allgemein verständlich aufbereitet. Wir haben hierbei unterschiedliche Informationen und Deutungen frei verfügbarer Quellen zusammengetragen und nach bestem Wissen und Gewissen sorgfältig ediert. Die Lektüre soll und kann keine Rechtsberatung ersetzen! Jede Entscheidung, die ein Unternehmen fällt, um den gesetzlichen Maßgaben zu entsprechen, muss in technischer und organisatorischer Hinsicht auf das jeweilige Unternehmen angepasst sein und sollte in jedem Fall von einem rechtlichen Beistand geprüft werden. Als Anbieter einer CRM-Lösung sind Datenschutz und IT-Sicherheit für uns von größter Bedeutung. Bitte beachten Sie daher auch zukünftige Blog-Beiträge zum Thema IT-Sicherheit sowie kommende Software-Releases, die bestimmte Gesichtspunkte der DSGVO adressieren.