Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU

Der Bundesrat hat letzte Woche einigen Anpassungen nationaler Vorschriften an die Datenschutzgrundverordnung (DSGVO) zugestimmt. Das Gesetz wird nach Unterzeichnung des Bundespräsidenten verkündet und tritt am Tag nach der Verkündung in Kraft. Der Bundestag hatte bereits Ende Juni das ca. 150 Artikel starke „Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ beschlossen. An vielen Stellen des Gesetzes werden lediglich Begriffsbestimmungen und kleinere Anpassungen an Rechtsgrundlagen zur Datenverarbeitung sowie Regelungen zu den Betroffenenrechten angepasst, eine substanzielle Änderung erfolgt zumeist aber nicht.

Eine als Entlastung für kleine Unternehmen und Vereine angedachte Änderung dürfte aber manches Unternehmen erfreuen. Die Pflicht, einen Datenschutzbeauftragten zu bestellen bzw. zu benennen, gilt künftig nicht mehr ab 10 sondern erst ab 20 Personen, die regelmäßig mit Datenverarbeitung beschäftigt sind.

Leider könnte diese Änderung aber bei einigen Verantwortlichen den Irrtum verstärken, dass die datenschutzrechtlichen Vorgaben der DSGVO erst ab 20 Personen einzuhalten sind. Das ist aber nicht der Fall, es muss nur lediglich keine Person mehr bestellt werden, die sich als dedizierter Ansprechpartner um die Einhaltung der DSGVO kümmert.

Unter dem Strich dürfte sich aber auch durch diese Anpassung nicht viel ändern, vielmehr ist es wohl ähnlich wie mit der Steuererklärung die jedes Unternehmen erstellen muss. Kein Unternehmen muss hierzu einen Steuerberater beauftragen – aber wer kann seine Steuerklärung schon selbst erstellen?

Das Datenschutzrecht fordert die Umsetzung folgender Punkte:

  • Einhaltung der Rechenschaftspflicht
  • Erstellung eines Verzeichnis von Verarbeitungstätigkeiten
  • Durchführung einer Risikoanalyse und Folgeneinschätzung zu den Verfahren
  • Abschluss von Verträgen zur Geheimhaltung und zur Auftragsverarbeitung
  • Entwicklung von Richtlinien zur Sicherheit der Verarbeitung
  • Dokumentation der Technischen und Organisatorischen Maßnahmen
  • Erstellung eines Lösch- und Sperrkonzepts
  • Schulung und Verpflichtung der Mitarbeiter
  • Beachtung der Betroffenenrechte nebst Fristen

Aufgrund der Komplexität des Themas sollte sich jedes Unternehmen zumindest in der Einführungsphase fachkundig beraten lassen.

Immerhin drohen bei fehlerhafter Umsetung Bußgelder durch die Aufsichtsbehörde oder Abmahnungen durch Konkurrenten oder Betroffene, die durchaus beachtliche Höhen erreichen können.

 

Matthias Walter, tec4net GmbH  http://www.tec4net.com
EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit

————————————————————————————————————————-
Quellen und Links:

Zustimmung durch den Bundesrat
https://www.bundesrat.de/DE/plenum/bundesrat-kompakt/19/980/980-pk.html#top-3

Gesetzesbeschluss des Deutschen Bundestages
https://www.bundesrat.de/SharedDocs/drucksachen/2019/0301-0400/380-19.pdf?__blob=publicationFile&v=1