Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnPUG)

Nachdem bereits im Mai 2018 zusammen mit der neuen Datenschutz-Grundverordnung (DSGVO) ein neues Bundesdatenschutzgesetz (BDSG) in Kraft getreten ist, die auch weitere spezifische Neuerungen und Änderungen diverser Datenschutzregelungen in bestimmten Bereichen (z. B. im Bereich des Sozialrechts) auf den Weg gebracht haben, erfolgte nun durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnPUG) eine weitere Anpassung bereichsspezifischer Datenschutzregelungen in Deutschland.

Durch Einführung der Datenschutz-Grundverordnung waren auch weitere Änderungen im nationalen Recht notwendig gewesen.

Die Änderungen, die mit dem Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) einhergingen, wurden nach Zustimmung im Bundestag und Bundesrat als zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der EU-Richtlinie 2016/680 am 25. November 2019 im Bundesgesetzblatt veröffentlich.

Insgesamt betreffen die Anpassungen des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) über 150 verschiedene Gesetze, wovon die meisten kurz unmittelbar nach Unterzeichnung durch den Bundespräsidenten und der Veröffentlichung im Bundesgesetzblatt in Kraft getreten sind.

Wesentliche Änderungen des Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) sind unter anderem die Veränderung der Pflicht zur Benennung eines Datenschutzbeauftragten sowie die Erweiterung der Schriftform um die elektronische Form bei der Einwilligung in Beschäftigungsverhältnissen. Die weiteren Anpassungen betreffen hauptsächlich technische Änderungen von bestehenden Gesetzen. Das Telemediengesetz und das Telekommunikationsgesetz sind von den Änderungen des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz jedoch nicht betroffen.

Weitere Kriterien zur Benennungspflicht eines Datenschutzbeauftragten

Neben der Pflicht zur Benennung eines Datenschutzbeauftragten aus dem § 38 des Bundesdatenschutzgesetzes (BDSG) sieht die DSGVO in Art. 37 drei weitere Kriterien vor, die zu einer Benennungspflicht führen können:

  • Der Verantwortliche ist eine Behörde oder andere öffentliche Stelle (außer Gerichte).
  • Die Kerntätigkeit erfordert eine umfangreiche regelmäßige und systematische Überwachung von Personen.
  • Die Kerntätigkeit besteht aus der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO.

Große Mengen an Daten können mit modernen IT-Verfahren und neuen Technologien wie Künstlicher Intelligenz (KI) von einer nur kleinen Anzahl an Personen verarbeiten werden. Diese Größenverhältnisse lassen sich vor allem am Beispiel von WhatsApp veranschaulichen. Facebook berichtete am 16.02.2016, dass mit nur 57 Entwicklern 1 Milliarde Benutzer betreut und täglich 42 Milliarden Nachrichten über den Dienst zugestellt werden. Schnell sind auch mit nur wenigen Personen aufgrund des Umfangs der Datenverarbeitung die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erfüllt. Auch in diesen Fällen sieht der Satz 2 des § 38 Abs. 1 BDSG vor, dass ein Datenschutzbeauftragter zu benennen ist.

Mit der Änderung der Pflicht zur Benennung eines Datenschutzbeauftragten ist zu befürchten, dass in ca. 9 von 10 deutschen Unternehmen keine Fachkompetenz zur Umsetzung der Datenschutz-Grundverordnung mehr zur Verfügung stehen wird und sich die dadurch fehlende Unterstützung bei der Umsetzung der Vorgaben mit Datenpannen, zahlreichen Bußgeldverfahren und Schadensersatzklagen rächen wird.

Änderungen des Bundesdatenschutzgesetzes (BDSG)

Artikel 12 enthält Änderungen des BDSG, welche insbesondere Erleichterungen für Unternehmen mit sich bringen.

Bisher bedurfte die Einwilligung der Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses gem. § 26 Abs. 2 BDSG der Schriftform; soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Durch die Änderungen kann jedoch in Zukunft auf Papierdokumente verzichtet werden, da die Einwilligung von nun an sowohl in Schriftform als auch elektronisch erfolgen darf. Mit dem Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) kann nun auch eine Einwilligung von Arbeitnehmern grundsätzlich. „schriftlich oder elektronisch“ zu erfolgen. Damit ist seit dem 26.11.2019 die Möglichkeit geschaffen worden eine Einwilligung im Beschäftigungsverhältnis auch per E-Mail einzuholen, was für Unternehmen eine erhebliche Erleichterung darstellt.

Zudem ist nun durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) auch die elektronische Speicherung der Einwilligungen möglich.

Änderungen der Zivilprozess- und Grundbuchordnung

Bedeutende Änderung der Zivilprozessordnung ist die Ergänzung des § 882i ZPO.

Durch diesen Paragraphen soll sichergestellt werden, dass die betroffene Person durch Einsicht in das Schuldnerverzeichnis über eine zentrale und länderübergreifende Abfrage im Internet ihr Auskunftsrecht und das Recht auf Erhalt einer Kopie gewahrt wird. Das Schuldnerverzeichnis ist ein Register aller Schuldner, die ihrer Pflicht zur Abgabe der Vermögensauskunft vor dem Gerichtsvollzieher nicht nachgekommen sind, bei denen eine Zwangsvollstreckung offensichtlich nicht geeignet wäre, zu einer vollständigen Befriedigung des Gläubigers zu führen, oder die dem Gerichtsvollzieher nicht die vollständige Befriedigung des Gläubigers nachweisen können.

Die im Schuldnerverzeichnis enthaltenen personenbezogenen Daten können nur nach Maßgabe des Art. 16 DSGVO berichtigt werden, wenn die Voraussetzungen des § 882e ZPO für Löschung von Eintragungen oder die Änderungen fehlerhafter Eintragungen vorliegen.

Das Widerspruchsrecht gem. Art. 21 DSGVO soll keine Wirkung in Bezug auf die personenbezogenen Daten, die im Schuldnerverzeichnis und in den an das zentrale Vollstreckungsgericht übermittelten Anordnungen der Eintragungen in das Schuldnerverzeichnis erhalten sind entfalten.

Auch in der Grundbuchordnung wurde zur Umsetzung der DSGVO, insbesondere des Auskunftsrechts nach Artikel 15 Abs. 1 DSGVO der § 12d GBO eingefügt.

Die betroffene Person kann nun Einsicht in das Grundbuch, die Urkunden zur Ergänzung einer Eintragung, die noch nicht erledigten Eintragungsanträge, sowie eine Abschrift verlangen.

Änderungen des Rechts der Industrie- und Handelskammern

Soweit den Industrie- und Handelskammern Daten nicht von der zuständigen Behörde übermittelt worden sind, können sie diese nach neuer Fassung von § 9 Abs. 1 IHGK auch bei öffentlichen Stellen erheben.

Auch der § 9 Abs. 4 IHKG wurde abgeändert: Nun können Industrie- und Handelskammern Daten, wie Name, Firma, Anschrift und Wirtschaftszweig von Kammerzugehörigen zur Förderung von Geschäftsabschlüssen und zu anderen dem Wirtschaftsverkehr dienenden Zwecken an andere Industrie- und Handelskammern auf Ersuchen oder durch automatisierte Abrufverfahren übermitteln, soweit dies für die Erfüllung ihrer Aufgaben erforderlich ist.

In § 9 Abs. 7 IHKG wird angefügt, dass für das Verändern, Einschränken der Verarbeitung oder Löschen der nach den Absätzen 1 und 2 erhobenen Daten sowie die Übermittlung der Daten nach Absatz 1 an öffentlichen Stellen trotz der DSGVO die Datenschutzgesetze der Länder gelten.