Neu

Änderungen im Datenschutzrecht

Der Bundesrat hat am 20.9.2019 die Vorlagen zu zwei Datenschutzanpassungsgesetzen gebilligt. Zum einen geht es um den Entwurf der Bundesregierung für ein zweites Gesetz zur Anpassung des Datenschutzrechts an die Datenschutz-Grundverordnung (DS-GVO) und zur Umsetzung der EU-Richtlinie 2016/680 (2. Datenschutz-Anpassungs- und Umsetzungsgesetz). Zum anderen wurde der Gesetzentwurf der Bundesregierung zur Umsetzung der EU-Richtlinie 2016/680 im Strafverfahren sowie zur Anpassung datenschutzrechtlicher Bestimmungen an die DS-GVO angenommen. Der Bundestag hatte die Gesetzesentwürfe bereits am 27.6.2019 verabschiedet.

Beide Entwürfe enthalten kein selbstständiges Gesetz, sondern Vorgaben zu Änderungen von zahlreichen anderen Gesetzen, teilweise sehr spezifischen Fachgesetzen. Dabei wurden bereichsspezifische Datenschutzregelungen des Bundes den EU-Vorgaben angepasst, insbesondere Begriffsbestimmungen und Verweisungen, Rechtsgrundlagen für die Datenverarbeitung oder Regelungen zu den Betroffenenrechten. Außerdem wurden Anpassungen aufgrund unmittelbar geltender Vorgaben der DSGVO zu technischen und organisatorischen Maßnahmen, zur Auftragsverarbeitung, zur Datenübermittlung an Drittländer oder an internationale Organisationen sowie zu Schadenersatz und Geldbußen vorgenommen.
Die Änderungen werden in Kürze in Kraft treten.

Im Zuge dieser Änderungen gibt es für die betriebliche Praxis vor allem zwei Punkte, die von Belang sind:

a)\tBestellung eines Datenschutzbeauftragten

Um vor allem kleinere und mittlere Unternehmen sowie ehrenamtlich tätige Vereine zu entlasten, wird in § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) die maßgebliche Zahl an (ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen) Personen, ab der ein betrieblicher Datenschutzbeauftragter zu bestellen ist, von 10 auf 20 angehoben.

Ob dies tatsächlich eine Verbesserung insbesondere für kleinere betriebliche Einheiten darstellt, kann jedoch bezweifelt werden, weil die datenschutzrechtlichen Verpflichtungen gleichwohl bestehen, das „Know-how“ ohne einen Datenschutzbeauftragten, der sich vertieft mit solchen Fragen befasst, aber vielfach fehlen wird.

b)\t„Schriftliche oder elektronische“ Einwilligung

Weiterhin wird § 26 Abs. 2 S. 3 BDSG geändert, der die Voraussetzungen regelt, unter denen im Beschäftigungsverhältnis eine Einwilligung eingeholt werden kann.

Nach der bisherigen Regelung bedarf die Einwilligung (zu einer Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses) der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.
Im Zuge der Neufassung wurde § 26 Abs. 2 S. 3 BDSG dahingehend geändert, dass es anstelle von „bedarf der Schriftform“ in Zukunft lediglich „hat schriftlich oder elektronisch zu erfolgen“ heißen wird. Schriftform, die bislang für Einwilligungen galt, bedeutet gemäß § 126 BGB, dass die Urkunde von dem Aussteller eigenhändig durch Namensunterschrift (oder mittels notariell beglaubigten Handzeichens) unterzeichnet werden muss, wobei auch bisher schon umstritten war, ob das BDSG überhaupt auf § 126 BGB Bezug nimmt oder nicht einen eigenen, weniger strengen Schriftform-Begriff regelt.

Die Gesetzesbegründung gibt nun Auskunft darüber, was zukünftig unter „schriftlich oder elektronisch“ zu verstehen ist, da es darin heißt: „Da die Einwilligung elektronisch erfolgen kann, genügt es beispielsweise, dass der Arbeitgeber sie als E-Mail abspeichert“ (BT-Drs. 19/1118, 17). Bei der elektronischen Form nach § 126a BGB muss der Aussteller der Erklärung seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen. Das ist beim bloßen Abspeichern einer E-Mail aber nicht der Fall, weshalb inzwischen wohl davon auszugehen ist, dass das Begriffspaar „schriftlich oder elektronisch“ unabhängig von den Vorgaben der §§ 126, 126a BGB auszulegen ist. Weder verlangt § 26 Abs. 2 S. 2 BDSG in seiner Neufassung eine eigenhändige Unterschrift noch eine qualifizierte elektronische Signatur.

Was heißt das nun konkret?

Für die Einwilligung der Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten genügt in Zukunft jeder dauerhaft gespeicherte und einer nachträglichen Manipulation entzogene Nachweis, die Daten verarbeiten zu dürfen, der den Aussteller erkennen lässt. Das kann z. B. eine (dauerhafte) Speicherung der Einwilligungserklärung in einer E-Mail sein, wobei eine unveränderbare Datei verwendet werden sollte. Denkbar ist aber z. B. auch eine Button-Lösung, wie sie in § 312j BGB geregelt ist, bei der die Einwilligungserklärung durch einen „Klick“ abgegeben wird, vorausgesetzt der Button ist hinreichend prominent und eindeutig gestaltet.

Da § 26 Abs. 1 BDSG n. F. bereits eine gesetzliche Grundlage für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis bietet, dürfte die Einwilligung, an deren Freiwilligkeit hohe Anforderungen gestellt werden, in der Praxis ohnehin nicht zur Anwendung kommen, wenn das Arbeitsverhältnis als solches betroffen ist, sondern eher, wenn es um Zusatzleistungen des Arbeitgebers geht (z. B. Anlegen von Geburtstagslisten, Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung). Gleichwohl wird die betriebliche Personalarbeit durch die Lockerung des Formerfordernis erleichtert.


S
U
B
M
E
N
Ü