Am 25. Mai 2018 endet die Umsetzungsfrist der EU-Datenschutzgrundverordnung (EU-DSGVO), das sollte sich jetzt herumgesprochen haben. Gerade jetzt, als man denken könnte, die Unternehmen hätten sich so langsam mit der Materie vertraut gemacht und mit den wichtigsten, sich aus der Europäisierung des Datenschutzrechts ergebenden, Problemstellungen auseinandergesetzt, da veröffentlicht der deutsche Gesetzgeber im Bundesgesetzblatt ein neues Bundesdatenschutzgesetz (BDSG 2017), das am selben Stichtag in Kraft treten soll. Da wird sich der ein oder andere – zurecht – die Frage stellen: „Was soll das?“.
Allerdings handelt es sich, anders als der – aufgrund des beibehaltenen Terminus „Bundesdatenschutzgesetz“ gleichgebliebene – Wortlaut vermuten lässt, nicht um ein Gesetz, das wie sein Vorgänger, den gesamten Bereich des Datenschutzrechts in Deutschland ausschließlich regeln soll, sondern lediglich um ergänzende Vorschriften, die neben der EU-DSGVO gelten werden. Insoweit wurde den Mitgliedstaaten in der EU-DSGVO durch zahlreiche Öffnungsklauseln die Möglichkeit eingeräumt, einzelne Fallgestaltungen durch nationale Vorschriften zu konkretisieren und auszugestalten.
An einigen Stellen versucht das neue BDSG 2017 die Unternehmen hinsichtlich der strengeren Vorschriften in der EU-DSGVO zu entlasten, beispielsweise in Bezug auf die sich aus Art. 13 und 14 EU-DSGVO ergebenden Informationspflichten. Hier versucht es mit den §§ 32 und 33 BDSG 2017 in Richtung des vorherigen Schutzniveaus des alten BDSG „zurückzurudern“, wobei der Erfolg dieses Unterfangens abzuwarten bleiben dürfte. Dies aus dem einfachen Grund, dass die EU-DSGVO hierfür keine eindeutige Öffnungsklausel vorsieht, wodurch die Erleichterungen potenziell rechtswidrig und somit nicht anzuwenden sein könnten. Schon jetzt melden Aufsichtsbehörden Zweifel an und betonen in erster Linie an die EU-DSGVO mit ihren Regelungen gebunden zu sein.
Eine weitere – der ansonsten eher spärlich ausfallenden – erwähnenswerte Neuerung ist die Ausweitung der Fallkonstellationen, die die Pflicht begründen, einen Datenschutzbeauftragten zu bestellen. So wird einerseits, wie nach altem Recht, an der „10-Personen-Regel“ festgehalten, andererseits begründet die Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß Art. 35 EU-DSGVO personenunabhängig eine Bestellung.
Aufgrund der unübersichtlichen Rechtsmaterie und um Kosten (z.B. für Schulungen, Weiterbildungsmaßnahmen, etc. eines internen Datenschutzbeauftragten) zu sparen, kann die Auslagerung dieses Postens auf einen externen Dienstleister für zahlreiche Unternehmen eine echte Alternative darstellen. Diese und weitere Optionen bietet die Creditreform Compliance Services GmbH mit Sitz in Neuss an. Von Schulungen und Seminaren über modulare Beratung bis hin zur Übernahme der Funktion des externen Datenschutzbeauftragten stehen Ihnen die Berater der CCS mit langjähriger Berufserfahrung und fachlicher Expertise aus der Praxis zur Seite.
Abschließend bleibt zu sagen, dass das BDSG 2017 vergleichsweise wenig Neues bringt und die gewünschten Erleichterungen, jedenfalls teilweise, unter einem großen Fragezeichen stehen, so dass es die weitere Entwicklung zu beobachten gilt. Um allerdings jederzeit up to date zu sein und im Regelungsdickicht des neuen Datenschutzrechts nicht den Überblick zu verlieren, empfiehlt es sich, gerade auch für kleinere und mittelständige Unternehmen, die Position des Datenschutzbeauftragten auszulagern.
Sollten insofern Rückfragen bestehen, kontaktieren Sie uns gerne jederzeit unter: info@creditreform-compliance.de