Beschlossen: Datenschutzbeauftragter künftig erst ab 20 Mitarbeitern nötig
Der Bundesrat hat heute das insgesamt über 150 Artikel umfassende „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ abgesegnet. Das Gesetz passt national geltende Vorschriften an die seit Mai und EU-weit geltende DSGVO an und greift in 154 Fachgesetze ein. Mit dem Gesetz werden Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen für die Datenverarbeitung und Regelungen zu den Betroffenenrechten angepasst, wie unter anderem aus einem Bericht von heise.de hervorgeht. Das Gesetz wird über die Bundesregierung dem Bundespräsidenten zur Unterzeichnung zugeleitet und soll überwiegend am Tag nach der Verkündung in Kraft treten.
Entlastung für kleine Organisationen
Durch die Anpassungen sollen vor allem kleine Unternehmen, aber auch Vereine entlastet werden. So greift die bislang ab einer Organisationsgröße von 10 Mitarbeitern geltende Pflicht, einen Datenschutzbeauftragten zu benennen, künftig erst ab einer Organisationsgröße von 20 Personen. Dies befreit Unternehmen, die weniger Mitarbeiter haben und folglich keinen Datenschutzbeauftragten benennen müssen jedoch nicht von den Pflichten der DSGVO.
Mit den Anpassungen wird zudem die Einwilligung von Beschäftigten zur Datenverarbeitung vereinfacht. War bislang die Schriftform notwendig, reicht zukünftig eine E-Mail. Weitere Änderungen hatte der Bundestag bei der Melderegisterauskunft, der Gewerbeanzeige sowie bei der Datenverarbeitung durch Industrie- und Handelskammern beschlossen, die der Bundesrat bei der ersten Anpassung vorgeschlagen hatte.
Vorschlag von Altmaier: Schwelle auf 50 Mitarbeiter anheben
In der Großen Koalition hatten die geplanten Anpassungen bereits eine Diskussion entfacht. Bundeswirtschaftsminister Altmaier (CDU) hatte bezüglich der Schwelle, ab der ein Datenschutzbeauftragter benannt werden muss, angekündigt, diese auf 50 Mitarbeiter enorm anheben zu wollen. Der Koalitionspartner SPD lehnte dies jedoch ab. Es sei Augenwischerei, wenn der Eindruck vermittelt würde, dass über die Anhebung der Grenze, die Pflichten aus der DSGVO abgemildert werden könnten. Ein Datenschutzbeauftragter fehle dann in vielen Organisationen, was mehr Datenschutzverstöße nach sich zöge.