Fällt die Bestellpflicht für Datenschutzbeauftragte?
Vielleicht haben Sie es bereits mitbekommen. Immer wieder gibt es Initiativen, den Datenschutz zu „entbürokratisieren“ und die DSGVO gerade für kleinere Unternehmen handhabbarer zu machen. Dies ist auch aus unserer Sicht ein grundsätzlich löbliches Anliegen. Ein Teil dieser Initiativen zielt dabei darauf, die Grenze, ab der ein Unternehmen einen Datenschutzbeauftragten verpflichtend bestellen muss, zu erhöhen. Ein solches Vorhaben wurde bereits durch unionsgeführte Länder in den Bundesrat eingebracht, scheiterte aber dort.
Auch die noch amtierende Bundesregierung hat entsprechende Pläne im Rahmen ihrer Wachstumsinitiative publik gemacht. Eine konkrete Gesetzesinitiative gibt es allerdings nicht und damit ist in der verbleibenden Legislaturperiode auch nicht mehr zu rechnen. Neuwahlen stehen nun früher bevor, als seinerzeit gedacht.
Dennoch könnte hier sehr bald Bewegung ins Recht kommen. Fällt die Bestellpflicht für Datenschutzbeauftragte?
Bestellpflicht: Was sind die Vorgaben und Vorschläge?
Derzeit müssen Verantwortliche zwingend einen Datenschutzbeauftragten bestellen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. So sieht es § 38 Abs. 1 S. 1 BDSG vor. Ausreichend ist insoweit, dass diese Personen Zugang zu einem Laptop, Smartphone o. ä. haben, auf dem das Unternehmen personenbezogene Daten speichert. Dies betrifft also sehr viele Unternehmen in Deutschland. Der Datenschutzbeauftragte kann intern bestellt werden, oder eine externe Person bzw. Unternehmen sein. Er muss bestimmte Anforderungen an Qualifikation und Unabhängigkeit erfüllen. Auch wir bieten dies als Dienstleistung für Unternehmen an.
Die amtierende Bundesregierung plante im Rahmen der Wachstumsinitiative, diese Grenze auf 50 Personen anzuheben. Gedanke dabei ist, kleinere Unternehmen zu entlasten, denn Datenschutzbeauftragte kosten natürlich Geld und nehmen Ressourcen in Anspruch. Außerdem gibt es Vorschläge, die Bestellpflicht vollständig von der Anzahl der Personen im Unternehmen zu lösen. So ist es auch in anderen EU-Ländern nicht unüblich.
Sind die Vorschläge sinnvoll?
Auf den ersten Blick scheint diese vermeintliche Entlastung kleinerer Unternehmen sinnvoll. Das eigentliche Problem liegt allerdings woanders. Die umfangreichen Pflichten der DSGVO und des BDSG müssen diese Unternehmen nämlich weiterhin umsetzen. Aufgabe eines Datenschutzbeauftragten ist, diese dabei mit Fachkunde und zeitlichen Ressourcen zu unterstützen und die Umsetzung zu überprüfen. Hier liegt der eigentliche Aufwand für Unternehmen. Und ohne eine fachkundige Person wie einem Datenschutzbeauftragten wird dies mit Sicherheit nicht einfacher werden. Leider fällt dies auch vielen Unternehmen, die pro forma einen Datenschutzbeauftragten bestellt haben, erst dann auf, wenn das Kind in den Brunnen gefallen ist und etwa eine Prüfung durch die Aufsichtsbehörde ansteht. Oft wird dann hektisch versucht, bestehende Defizite im Schnellverfahren zu beheben. Ebenso oft ist dies kaum möglich. Eine dauerhafte Begleitung durch einen Datenschutzbeauftragten ist also sinnvoll. Der (teilweise) Wegfall der Bestellpflicht würde daran nichts ändern.
Bestellpflicht: Weitere Vorgaben
Wissen muss man weiterhin, dass es neben der Bestellpflicht aus § 38 Abs. 1 S. 1 BDSG weitere Vorgaben dazu gibt, unter welchen Voraussetzungen ein Datenschutzbeauftragter zu bestellen ist. Dies ist der Fall, wenn
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht, oder
- der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung unterliegen, oder
- diese personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Unabhängig von der Personenzahl werden also viele Unternehmen auch bei Erhöhung oder Abschaffung des Schwellenwertes weiterhin einen Datenschutzbeauftragten bestellen müssen. Es wird sogar schwieriger, festzustellen, ob dies der Fall ist.
Fazit und Empfehlungen
Fällt also die Bestellpflicht für Datenschutzbeauftragte? Derzeit kann man das nicht sicher sagen. Möglich ist, dass nach der kommende Bundestagswahl die Personengrenze erhöht oder ganz abgeschafft wird. Wichtiger wäre aus unserer Sicht, die Anforderungen der DSGVO für Unternehmen verständlicher und handhabbarer zu machen. Etwa dadurch, dass man große IT-Provider stärker in die Pflicht nimmt, indem man diesen auferlegt, DSGVO-konforme Datenschutznachweise, DSFA für ihre Produkte u. ä. öffentlich zur Verfügung zu stellen.
Beratungsbedarf wird unabhängig von der Bestellpflicht weiterhin bestehen.
Wir halten Sie dazu gerne auf dem Laufenden. Abonnieren Sie doch einfach unseren Newsletter, um nichts zu verpassen.