In der Nacht zum 28.6.2019 wurde das 2. Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) durch den deutschen Bundestag verabschiedet.
Neben Änderungen in 154 deutschen Gesetzen (oftmals sprachliche Anpassungen an die DSGVO) wurde § 38 des Bundesdatenschutzgesetzes (BDSG), die Benennungspflicht eines Datenschutzbeauftragten, geändert.
Somit ist die Bestellung eines Datenschutzbeauftragten nicht mehr wie bisher für Unternehmen mit 10 Mitarbeitern, sondern erst ab 20 Mitarbeitern (, die sich ständig mit der Verarbeitung personenbezogener Daten beschäftigen) gesetzlich vorgeschrieben.
Diesem Gesetz muss noch der Bundesrat zustimmen. Das hätte schon am Freitag, den 28.6.2019 passieren sollen, wird aber vermutlich erst Ende September der Fall sein. Einen Tag nach der Verkündung im Bundesgesetzblatt tritt diese Regelung in Kraft (https://www.bundestag.de/dokumente/textarchiv/2019/kw26-de-datenschutz-649218).
Ich halte diese neue Regelung für problematisch, weil alle Unternehmen weiterhin zur Einhaltung der DSGVO sowie dem BDSG verpflichtet sind. Nur müssen sich diese nun selbständig um die Umsetzung und Einhaltung der Pflichten kümmern, wenn sie sich nicht freiwillig Unterstützung ins Haus holen.
Wie der Bundesdatenschutzbeauftragte Ulrich Kelber (@UlrichKelber) richtig twitterte: „Mit der Verwässerung der Anforderung zur Ernennung eines Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne DSB. Folge werden mehr Datenschutzverstöße und Bußgelder sein.“
Die freiwillige Benennung eines Datenschutzbeauftragten bietet Unternehmen trotzdem mehr Sicherheit und weniger Aufwand bei der Einhaltung der DSGVO (z. B. bei der Argumentation bei Prüfungen durch die Aufsichtsbehörde). Zusätzlich kann die freiwillige Bestellung eines Datenschutzbeauftragten ein Marketingaspekt und zusätzlicher Vertrauensbonus bei Kunden sein.