„Mit KI-Anwendungen und automatisierten Datenauswertungen werden die Daten zumeist nur von einer kleinen Anzahl von Personen ‚verarbeitet‘. Insofern ist das Konzept, die Benennung eines Datenschutzbeauftragten von einer Anzahl von Mitarbeitern abhängig zu machen, von gestern“, unterstrich Spaeing. Jeder Verantwortliche, der personenbezogene Daten zum Geschäft mache oder umfänglich verarbeite, müsse einen Datenschutzbeauftragten an seiner Seite haben.
Die Automobilindustrie beispielsweise arbeite bereits an eigenen Datenschutz-Vorgaben und Zertifizierungen von Lieferanten, um deren Zulieferung abzusichern. „Ein Zulieferer, der mit Datenschutz- oder Datensicherheitsproblemen kämpft, ist für seine Kunden ein Risiko“, unterstrich Spaeing. Auch in anderen Branchen seien Datenschutzaudits bei Zulieferern und Dienstleistern längst Standard.
„Wer nicht mithalten kann, bekommt keinen Auftrag“, sagte Spaeing. Das treffe zunehmend auch junge Start-Ups, die ihre Ideen im vermeintlich rechtsfreien Raum entwickelten. „Wenn dann die Compliance-Anforderungen der Kunden kommen, reagieren junge Unternehmen oft mit Unverständnis, - für sie ist das ein desaströser Wettbewerbsnachteil.“
Der Wirtschaftspolitik wirft Spaeing Versagen vor: „Wir müssen die Unternehmen besser auf die Anforderungen bei Digitalisierung und Datenschutz vorbereiten, anstatt sie auf sich selbst gestellt zurückzulassen. Wir befreien z. B. Start-Ups auch nicht von den Anforderungen des Bau- oder Steuerrechts.“
„Hier wurde eindeutig Kompetenz abgebaut und somit zwangsläufig die Bürokratie erhöht, da sämtliche Anforderungen der EU-DSGVO trotzdem zu erfüllen sind“ stellte Spaeing fest.
Er schlug darüber hinaus eine gesicherte finanzielle Ausstattung der Stiftung Datenschutz vor, die gerade kleine Unternehmen, Handwerker und Start-Ups bei der rechtskonformen Aufstellung beim Thema Datenschutz unterstütze. „Das stärkt die Wirtschaft nachhaltig und hilft den Unternehmen Anforderungen größerer Kunden zu bestehen.“
Die Regierungskoalition hatte in einer Nachtsitzung mit Sparbesetzung die Annahme des 2. DSAnpUG am Freitag um 01:30 Uhr beschlossen. Dieses Gesetz nimmt Änderungen in 154 weiteren Gesetzen vor. Neben der Änderung der Benennungspflicht in § 38 BDSG wurde auch § 26 BDSG angepasst. In § 26 Abs. 2 Satz 3 BDSG entfällt das Schriftformerfordernis für die Einwilligung im Beschäftigtenverhältnis und wird durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.
Dem vom Bundestag beschlossenen 2. DSAnpUG muss noch der Bundesrat zustimmen, der am Freitag tagt. Die Änderungen sollen einen Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten.
Siehe auch:
https://www.bundestag.de/dokumente/textarchiv/2019/kw26-de-datenschutz-649218
Der BvD e.V. hatte den langen Gesetzgebungsprozess intensiv begleitet und immer wieder auf die Risiken für Unternehmen und Betroffene hingewiesen.