Das Ergebnis ist jedoch ernüchternd.

Der Bundestag hat in der letzten Sitzungswoche vor der Sommerpause in der Nacht zum Freitag, den 28.06.2019, um 1:30 Uhr ein zweites Gesetz zur Anpassung des Datenschutzrechts an die EU Verordnung 2016 / 679 und zur Umsetzung der EU- Richtlinie 2016 / 680 (Zweites Datenschutz-Anpassungs-und Umsetzungsgesetz EU - 2. DSAnpUG-EU) beschlossen, dem CDU/CSU und SPD zustimmten, während die Opposition ihn ablehnte.

I. Inhalt und Zweck des Anpassungsgesetzes

Das zweite Datenschutz-Anpassungsgesetz soll in erster Linie bereichsspezifische Datenschutzregeln in Fachgesetzen an die verbindlichen Vorgaben der DS-GVO anpassen.

Durch  den vorliegenden Gesetzentwurf  werden  die  bestehenden  bereichsspezifischen Datenschutzregelungen  des  Bundes mit  folgenden  Regelungsschwerpunkten an  die  unionsrechtlichen Vorgaben angepasst:

– Anpassung von Begriffsbestimmungen;

– Anpassung von Verweisungen;

– Anpassung (bzw. vereinzelt Schaffung)von Rechtsgrundlagen für die Datenverarbeitung;

– Regelungen zu den Betroffenenrechten;

– Anpassungen   aufgrund   unmittelbar   geltender   Vorgaben   der   Verordnung    (EU) 2016/679  zu  technischen  und  organisatorischen  Maßnahmen, zur Auftragsverarbeitung, zur Datenübermittlung an Drittländer oder an internationale Organisationen so-wie zu Schadenersatz und Geldbußen.

Darüber hinaus werden durch Änderungen im BDSG

– die Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Daten zu  Zwecken  staatlicher  Auszeichnungen  und  Ehrungen  aus  Anlass  der   Verordnung (EU) 2016/679 ausdrücklich normiert und damit die geltende Praxis abgesichert;

– die Voraussetzungen dafür geschaffen, dass sensible Informationen durch zivilgesellschaftliche Träger im Rahmen von Deradikalisierungsprogrammen verarbeitet und im Einzelfall an die Sicherheitsbehörden weitergegeben werden können.

Betroffen sind von dem Paket insgesamt 154 einzelne Gesetze. Ein besonderer Knackpunkt war der Ansatz der großen Koalition, die Pflicht für Firmen abzuschwächen, einen betrieblichen Datenschutzbeauftragten zu bestellen und die Betroffenenrechte weiter einzuschränken.

Hierzu im Einzelnen:

1. Benennung des Datenschutzbeauftragten

Bisher gilt: Wenn sich mehr als 10 Personen in einem Unternehmen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, muss ein Datenschutzbeauftragter die Einhaltung der Vorschriften überwachen. Diese Person benötigt entsprechende Fachkenntnisse und steht sowohl dem Unternehmen selbst als auch den Behörden als Ansprechpartner zur Verfügung.

Der Bundestag hat die Schwelle für das Benennen eines Datenschutzbeauftragten mit dem Anpassungsgesetz erhöht: von 10 auf 20 Mitarbeiter. Die Verantwortlichen versprechen den betroffenen Unternehmen und Vereinen eine spürbare bürokratische Entlastung im Datenschutz.

Weder in den bisherigen Begründungen und Erläuterungen zu diesem Gesetzesentwurf noch in den zahlreichen Presseartikeln der Unionsparteien, den Befürwortern dieser Änderung oder Wirtschaftsverbänden ist jedoch eine nachvollziehbare Erklärung vorhanden, wieso dies nun weniger Bürokratie für die betroffenen Unternehmen und Vereine bedeutet.

Viele Experten kritisieren zudem, dass dadurch mehr Schaden als Nutzen entstehe. Die DSGVO müssten Kleinbetriebe nach wie vor umsetzen, es würde sich künftig nur niemand mehr dafür verantwortlich fühlen.

Genau hier setzt die Kritik des Bundesdatenschutzbeauftragten Ulrich Kelber an: Das neue Gesetz vermittele den Eindruck, dass kleine Unternehmen nun weniger Pflichten beim Datenschutz unterlägen. Das sei aber nicht der Fall. Tatsächlich sei zu erwarten, dass entsprechende Betriebe bald mehr und höhere Bußgelder zahlen müssten, wenn sie auf die Unterstützung eines DSB verzichteten.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk zeigte sich besorgt, dass gerade Startups im Bereich Künstliche Intelligenz häufig viele und hoch sensitive Daten verarbeiteten. Werde die Privatsphäre der Betroffenen dabei nicht von Beginn an mitgedacht und abgesichert, drohten weitreichende Grundrechtsverletzungen sowie hohe wirtschaftliche Schäden.

2. Betroffenenrechte weiter eingeschränkt

Die in der DSGVO vorgesehenen Kontroll- und Betroffenenrechte hatte der Gesetzgeber mit dem ersten Anpassungsgesetz bereits eingeschränkt. Diesen Weg verfolgt die Koalition nun weiter. Vor allem beim Bundesamt für Sicherheit in der Informationstechnik (BSI) werden etwa das Widerspruchsrecht, die Informationspflicht, das Auskunftsrecht sowie Berichtigungs- und Löschpflichten jeweils beschnitten. Dazu kommen weite Zweckänderungsbefugnisse für die von der Behörde zu Sicherheitszwecken gesammelten Datenbestände.

Für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BOS) haben die Abgeordneten eine 75-tägige Vorratsdatenspeicherung eingebaut. Die frühere Bundesdatenschutzbeauftragte Andrea Voßhoff hatte im Gesetzgebungsverfahren kritisiert, dass eine so lange und unverhältnismäßige Speicherdauer nicht nachvollziehbar sei. Auch verbesserte Suchmöglichkeiten nach verlorenen Endgeräten taugten nicht, um das zu rechtfertigen, zumal die gängige, maximal 70-tägige Vorratsdatenspeicherung gerade ausgesetzt sei und vor dem Bundesverfassungsgericht verhandelt werde.

II. So geht es weiter

Die Geltung der Änderungen ist mit hoher Wahrscheinlichkeit erst ab dem 1. Januar 2020 zu erwarten.

Sollte ein Unternehmen sektorspezifischen Datenschutzregeln unterliegen, ist zeitig zu überprüfen, ob sich datenschutzrechtlich durch das 2. DSAnpUG-EU etwas an der Unternehmenspraxis ändern wird.

Zu beachten ist auch, dass die Nicht-Benennung eines Datenschutzbeauftragten die Anfälligkeit eines Datenschutzverstoßes für kleine und mittelständische Unternehmen erhöht und auch die Bürokratie nicht reduziert. Sicherheitshalber sollte hier die bisherige Praxis fortgeführt werden.