Verpflichtende Benennung eines Datenschutzbeauftragten erst ab 20 Mitarbeitern
Künftig sollen Unternehmen in Deutschland erst ab 20 Mitarbeitern verpflichtet sein, einen betrieblichen bzw. externen Datenschutzbeauftragten zu benennen. In der Sitzung vom 27. Juni 2019 stimmte der Bundestag zwei entsprechenden Gesetzen zur Änderung des Datenschutzrechts zu, die am 20.09.2019 durch den Bundesrat bestätigt wurden. Bisher waren die meisten Unternehmen in Deutschland schon ab zehn Mitarbeitern verpflichtet, einen Datenschutzbeauftragten zu bestellen.
Achtung: Die Gesetzesnovelle wird nicht mit sonstigen Erleichterungen zur Umsetzung von Datenschutzanforderungen in Unternehmen einhergehen.
Bestellpflicht in Deutschland
Seit Wirksamwerden der EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wurde der Wunsch nach einer Neuregelung des damals angepassten Bundesdatenschutzgesetzes (BDSG) laut. Vielfach wurde angemahnt, die dort festgesetzte Grenze von zehn Mitarbeitern für die verpflichtende Bestellung eines Datenschutzbeauftragten würde den Bedürfnissen vieler kleiner Unternehmen nicht gerecht. Die Vorschläge reichten bis hin zur gänzlichen Abschaffung der Bestellpflicht im BDSG.
Anders als andere EU-Mitgliedstaaten beschreitet Deutschland auf nationaler Ebene einen schärferen Weg, als dies in der DSGVO vorgeschrieben ist. Die Möglichkeit einer abweichenden Regelung durch die Mitgliedstaaten ist in Art. 37 DSGVO explizit vorgesehen.
Namentlich geht es um die Änderung des § 38 BDSG, wonach jedes Unternehmen mit mehr als neun Mitarbeitern in der Regel einen betrieblichen Datenschutzbeauftragten benennen muss. Diese formelle Bestellpflicht geht mit der Plicht des Unternehmens einher, den Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden zu müssen.
Falsches Signal aus Berlin
Durch die Lockerung der Bestellpflicht wird der Eindruck erweckt, dass damit ebenfalls eine Lockerung der datenschutzrechtlichen Anforderungen verbunden ist. Die gesetzlichen Voraussetzungen und damit die Verpflichtungen jedes Unternehmens bestehen aber unverändert fort. Die in der unternehmerischen Wirklichkeit oftmals schwierig zu durchdringende und umzusetzende Querschnittsmaterie des Datenschutzes erfordert eine Menge Fachkunde. Nicht umsonst wird in Art. 37 Abs. 5 DSGVO das zwingend notwendige Fachwissen des Datenschutzbeauftragten vorausgesetzt.
Sollten Unternehmen mit weniger als 20 Mitarbeitern nun keinen Datenschutzbeauftragten mehr bestellen, wird die unweigerliche Folge sein, dass das Thema im Unternehmen aufgrund einer fehlenden, kompetenten Ansprechperson weniger Beachtung findet und die Umsetzung auf der Strecke bleibt. Dies ist nicht nur ein Nachteil für die Mitarbeiter im Unternehmen, die sich vertraulich an den Datenschutzbeauftragten wenden können müssen. Es entsteht außerdem der Trugschluss, dass die Erleichterung in der Bestellpflicht zu einer Entlastung des Unternehmens beiträgt. Der finanzielle Vorteil wird jedoch spätestens durch die erhöhte Bußgeldgefahr infrage gestellt. Unternehmen werden sich bei künftigen Bußgeldverfahren weiterhin nicht auf die Tatsache berufen können, dass sie keine Bestellpflicht trifft.
Pro und Kontra der neuen Regelung
Mit der Gesetzesinitiative ist die Gesetzgebung den Rufen der kleineren Unternehmen gefolgt. Die Befürworter gehen davon aus, dass bis zu 90 Prozent der Handwerksbetriebe in Deutschland von der Neuregelung betroffen sein werden.
Damit werden gerade die Betriebe erreicht, die bis zu diesem Zeitpunkt die Bestellung selbst durch einen der Mitarbeiter realisiert haben oder aber die einen der zahlreichen, auf dem Markt positionierten externen Dienstleister beauftragt haben, deren Leistung sich in der Regel in der Bestellung erschöpft. So sehr zu begrüßen ist, dass sich voraussichtlich die Qualität der angebotenen Datenschutz-Dienstleistungen steigern wird, zu einer wirklichen Entlastung führt dieser Weg nicht.
Fazit: Wichtige Änderungen bleiben unbeachtet
Die wichtigen Kritikpunkte an der Datenschutz-Grundverordnung werden nicht angegangen. Es bedarf konkreter Maßnahmen zum Bürokratieabbau für kleinere Unternehmen. Gerade die Fragen nach dem Wie der Umsetzung der DSGVO-Anforderungen sollten sich nach Unternehmensgröße richten.
So könnte zum Beispiel über eine abgestufte Rechenschaftspflicht nachgedacht werden, was eine Neukonzeption der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten mit einschließt. Die faktisch ins Leere laufende Ausnahme nach Art. 30 Abs. 5 DSGVO wird dem Willen des Verordnungsgebers nicht gerecht.
Noch immer fehlt es bei vielen Datenschutzthemen an der rechtlichen Klärung durch die Rechtsprechung. Um Ihr Unternehmen im Bereich Datenschutz abzusichern, holen Sie sich Expertenrat.
