Der Bundesrat hat in seiner Sitzung vom 20. September 2019 das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG-EU) verabschiedet.

Das Gesetz enthält zwei wesentliche Änderungen:

1. § 26 BDSG wurde dahingehend angepasst, dass Einwilligungen zukünftig auch auf elektronischem Wege eingeholt werden können. Dies bringt eine gewisse Erleichterung für Einwilligungen im Rahmen von Software- oder Plattformeingaben.

2. Die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten wurde von zehn auf 20 Personen heraufgesetzt, die ständig personenbezogene Daten verarbeiten.

Kaum Erleichterung für Unternehmen:

Die beschlossenen Änderungen bringen allerdings kaum Erleichterungen für mittelständische Unternehmen. Auch wenn die Grenze für die Pflichtbenennung heraufgesetzt wurde, verkleinert dies den Umsetzungsaufwand für die Unternehmen nicht. Die Beratungsleistung des Datenschutzbeauftragten muss dann anderweitig erbracht werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder den Einkauf von externer Expertise zur Folge hat.

Die Pflicht zur Umsetzung der Anforderungen aus der DSGVO besteht für alle Unternehmen gleichermaßen. Die Pflichten sind nicht abhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten. Wird auf die Bestellung eines Datenschutzbeauftragten verzichtet, weil das Unternehmen zukünftig nicht mehr zur Bestellung verpflichtet ist, müssen die gesetzlichen Anforderungen durch den Verantwortlichen, also den Unternehmer selbst, erfüllt werden.

Sonderfall: Nutzung von Telematik und GPS

Eine weitere Besonderheit gilt für diejenigen Unternehmen, die Telematiksysteme oder GPS-Systeme einsetzen.

Die Datenschutzkonferenz hat eine Übersicht über sämtliche Verarbeitungstätigkeiten, die einer Datenschutzfolgeabschätzung bedürfen, veröffentlicht. Ziffer 8 dieser Liste fordert eine Datenschutzfolgeabschätzung für jede „umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden“. Als typische Beispiele einer solchen Verarbeitungstätigkeit werden das Erstellen von Bewegungsprofilen von Beschäftigten mittels GPS zur Sicherung des Personals, zum Schutz von wertvollem Eigentum des Arbeitgebers oder eines Dritten oder zur Koordination von Arbeitseinsätzen im Außendienst aufgezählt. Explizit genannt wird die Sicherung eines Lkw mit Ladung.

Die unmittelbare Folge dieser Eingruppierung von GPS-Systemen ist, dass für diese Verarbeitungen eine Datenschutzfolgeabschätzung notwendig ist. Hiermit verbunden sind die Wirkungen von § 38 Absatz 1 Satz 1 BDSG. Die Vorschrift bestimmt, dass Unternehmen, die Verarbeitungen vornehmen, die einer Datenschutzfolgeabschätzung bedürfen, unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten benennen müssen.

Dies bedeutet, dass alle Unternehmen, die entweder GPS oder Telematik einsetzen, verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu benennen.

Wir empfehlen betroffenen Unternehmen, sich diesbezüglich beraten zu lassen.
Quelle: AMÖ R_171_143_2019