Bestellpflicht von Datenschutzbeauftragten gelockert

Bedeutet die Datenschutzanpassung bürokratische Entlastung?

Der Gesetzesentwurf, der bereits im Juni mit dem etwas sperrigen Namen „Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an  die Verordnung  (EU)  2016/679 und  zur Umsetzung  der  Richtlinie (EU)  2016/680“ vom Bundestag beschlossen wurde, umfasst 553 Seiten und enthält Änderungsvorschläge zu mehr als 150 Einzelgesetzen.

Neben diversen Begriffsanpassungen sollen auch inhaltliche Änderungen vorgenommen werden. Die Pflicht einen Datenschutzbeauftragten zu bestellen, wird nun auf Unternehmen mit einer Beschäftigtenzahl von zwanzig angehoben. Ein Punkt, der vor allem kleinere Unternehmen entlasten soll. Laut der Stellungnahme des Bundestagsabgeordneten Axel Müller (CDU/CSU) sollen 90 Prozent der Handwerksbetriebe davon betroffen sein. Trotzdem merkt der Bundesdatenschutzbeauftragte Ulrich Kelber an, dass die Datenschutzverpflichtungen der DS-GVO im gleichen Rahmen bestehen bleiben. Auf Twitter schrieb er: „Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB [betrieblicher Datenschutzbeauftragter]. Folge werden mehr Datenschutzverstösse [sic!] und Bußgelder sein.“

Tatsächlich vermisst man weitere Entlastungen für die Privatwirtschaft. Lediglich für Behörden und öffentliche Stellen werden einige Erleichterungen zur Datenverarbeitung beschlossen.

Dennoch dürften viele Kleinunternehmen erfreut sein, keinen betrieblichen Datenschutzbeauftragten mehr benennen zu müssen. Auch DER MITTELSTANDSVERBUND begrüßt die Anhebung auf zwanzig Mitarbeiter. Sein Geschäftsführer Ludwig Veltmann führt dazu aus: „Es ging und geht uns dabei nicht um eine Umgehungsmöglichkeit des Datenschutzes. Auch mittelständische Unternehmen müssen die Pflichten des Datenschutzes ernst nehmen und die aufgestellten Grundsätze verinnerlichen. Gerade die Bestellung des Datenschutzbeauftragten stellt jedoch oftmals eine kostenintensive Formalie dar.“

Wie wird gezählt?

In meinen Seminaren und auch in Gesprächen mit Kollegen wird dieser Punkt der Zählweise oft kontrovers diskutiert. Denn die Schwelle (auch bereist bei zehn Mitarbeitern) ist leider interpretierbar. Gemäß des Paragraphen 38 des BDSG-neu kommt es auf zwei Umstände an. Die Beschäftigten werden mitgezählt, wenn sie sich ständig und mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ein Handwerker, der lediglich eine Anschrift erhält oder in seinen elektronischen Kalender schaut, wo er den nächsten Auftrag zu erfüllen hat, beschäftigt sich nicht ständig mit der Verarbeitung personenbezogener Daten. Die gleiche Auffassung vertritt auch das Bayrische Landesamt für Datenschutzaufsicht. Und da nur von der automatisierten Verarbeitung die Rede ist, werden Mitarbeiter, die sich fast ausschließlich mit papierhaften Dokumenten befassen (denkbar wären auch hier Beispiele aus dem Handwerk), ebenfalls nicht mitgezählt.

Wichtig: Festangestellte, Teilzeitangestellte, Auszubildende und auch Praktikanten zählen alle gleich, wenn sie sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Und bei Datenschutz-Folgenabschätzungen?

Wer den Gesetzesentwurf und seine Folgeanträge studiert, wird früher oder später feststellen, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen bleibt, falls das Unternehmen Datenschutz-Folgenabschätzungen gem. Art. 35 DS-GVO durchführen muss oder sich im Bereich der Markt- und Meinungsforschung betätigt (§38 S. 2 BDSG-neu). Diese Pflicht gilt dann unabhängig von der Mitarbeiteranzahl und trifft vor allem Start-ups im Onlinebusiness oder kleinere Dienstleister in der Gesundheitsbranche.

Dadurch verteilt der Gesetzesentwurf diese bürokratische Erleichterung nicht mit der Gießkanne, sondern schafft einen schwierigen Spagat. Die Erleichterung für Handwerksbetriebe und andere kleinere Unternehmen, deren Datenverarbeitung zumeist unkritisch ist, war tatsächlich überfällig, um die Akzeptanz für den Datenschutz aufrechtzuerhalten. Auf der anderen Seite bleibt die Bestellpflicht für Unternehmen bestehen, die sensible Verarbeitungstätigkeiten ausführen, weil sie sich z.B. neue Geschäftsfelder im Onlinegeschäft erschließen wollen. In diesem Segment müssen neue Geschäftsansätze von Anfang an auch datenschutzrechtlich betrachtet werden, was ohne entsprechende Expertise, sehr schwierig werden kann.