2. DSAnpUG: Entschärft die Koalition das Datenschutzrecht?

News

Die Koalitionsparteien wollen kleine und mittelständische Unternehmen sowie Vereine beim Datenschutz entlasten. SPD und Union sollen sich hierfür auf eine Entschärfung des nationalen Datenschutzrechts verständigt haben. Der Plan sieht unter anderem vor: Die Pflicht zur Bestellung eines Datenschutzbeauftragten soll zukünftig erst bei mindestens zwanzig mit der Datenverarbeitung befassten Mitarbeitern bestehen.

Aktuelle Pflicht zur Benennung eines Datenschutzbeauftragten

Die Pflicht zur Benennung eines Datenschutzbeauftragten kann sich für Private sowohl aus der Datenschutz-Grundverordnung (DSGVO), als auch aus dem nationalen Bundesdatenschutzgesetz (BDSG) ergeben.

Nach Art. 37 Abs. 1 lit. b, c DSGVO müssen private Stellen in jedem Fall einen Datenschutzbeauftragten benennen, sofern der Kern ihrer Tätigkeit eine umfangreiche oder systematische Beobachtung von Personen beinhaltet oder wenn die Kerntätigkeitdarin besteht, umfangreich besonders sensible Daten zu verarbeiten (z.B.: Daten, aus denen die rassische und ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugung, Gesundheitsdaten oder Daten zur sexuellen Orientierung hervorgeht). Die EU-Mitgliedstaaten haben gemäß Art. 37 Abs. 4 S. 1 DSGVO die Möglichkeit, die Pflicht zur Benennung eines Datenschutzbeauftragten in ihren nationalen Gesetzen auch auf weitere nicht-öffentliche Stellen auszudehnen.

Der deutsche Gesetzgeber hat dies in § 38 Abs. 1 BDSD-neu geregelt. Die Benennung eines Datenschutzbeauftragten ist derzeit erforderlich, sofern in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

FDP und Niedersachsen fordern Datenschutzvorschriften zu lockern

Insbesondere das Land Niedersachsen hatte als Vorreiter am 03.04.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht, worin es fordert: „die in § 38 Abs. 1 S. 1 BDSG genannte Mindestzahl von zehn Personen deutlich anzuheben.“ Das Land erhofft sich dadurch, Mittelständler und Vereine von den zusätzlichen Bürokratiekosten eines Datenschutzbeauftragten befreien zu können.

Darüber hinaus hat auch die FDP die Bundesregierung dazu aufgefordert, die Datenschutzvorschriften zu lockern. In einem Positionspapier zum Jahrestag der DSGVO hatte die Bundestagsfraktion gefordert, die Bestellungspflicht eines Datenschutzbeauftragten gänzlich abzuschaffen. FDP-Europaabgeordnete Nicola Beer hatte der Regierung vorgeworfen, die nationalen Regelungen zum Datenschutz seien unpraktisch und kaum umsetzbar. Schuld daran, so Beer, sei auch die Bundesregierung. Diese sei „in einigen Punkten über das Ziel hinausgeschossen“. Die FDP ist der Ansicht, dass dem Datenschutz keinen Gefallen getan wird, wenn der Kanuverein und der Handwerksbetrieb behandelt werden wie Facebook oder die Schufa.

Bestellpflicht zukünftig erst ab 20 Mitarbeitern

Diesen Forderungen scheinen nunmehr auch die Fraktionen der großen Koalition im Bundestag nachkommen zu wollen. Gemeinsam haben CDU/CSU und SPD in einem Änderungsantrag die Novellierung der bestehenden Regelung beschlossen. Demnach soll in Zukunft die Zahl der Mitarbeiter, die sich „ständig mit der Verarbeitung personenbezogener Daten beschäftigen“ müssen von zehn auf zwanzig angehoben werden.

Normative Anpassung eine „Milchmädchenrechnung“?

Der Bundesdatenschutzbeauftragte Ulrich Kelber warnt indes davor, den Datenschutz aufzuweichen:

„Wer den Datenschutz als Wirtschaftshemmnis darstellt, ist nicht auf der Höhe der Zeit.“

Und in der Tat sollte nicht nur dem Gesetzgeber, sondern auch den Betroffenen klar sein, dass die Anpassung kleine Unternehmen und Vereine zwar von der Pflicht zur Bestellung eines internen oder externen Datenschutzbeauftragten befreien kann, keineswegs jedoch von den übrigen datenschutzrechtlichen Pflichten der DSGVO. Somit bietet der Vorstoß den betroffenen Unternehmen nur eine geringfügige Entlastung.

Müssen es bei der Bestellpflicht unbedingt 10 Mitarbeiter sein?

Ursprünglich verfolgte der Gesetzgeber im BDSG mit der Vorgabe einen unmittelbar verantwortlichen Datenschutzbeauftragten stellen zu müssen ein System der abgestuften Selbstkontrolle. Die Einhaltung des Datenschutzrechts sollte nicht durch einen weitverzweigten Behördenapparat, sondern durch ein Zusammenspiel von betrieblichen Datenschutzbeauftragten, den Beschwerderechten der Betroffenen und behördlichen Kontrollen gewährleistet werden. 2006 wurde dann die Grenze zum Abbau bürokratischer Hemmnisse des Mittelstandes von 5 auf 10 Beschäftigte angehoben.

Schon hier wurde sichergestellt, dass Kleinstunternehmen, welche den größten Anteil der Unternehmen in Deutschland ausmachen, unmöglich der Bestellpflicht unterliegen. Als Ausgleich wurden weder Beschwerderechte, noch die Ausstattung der Datenschutzaufsichtsbehörden zur Kompensierung entsprechend angepasst. Die Einhaltung des Datenschutzrechts hat sich durch die „magische Zahl“ 10 also grundlegend verschlechtert. Durch die erneute Verdoppelung der Personengrenze wird sich dieser Effekt nochmal verstärken. Denn die Aufsichtsbehörden sind jetzt schon chronisch überlastet und diskutieren deshalb, ob individuelle Beratungen zu den Pflichtaufgaben gehören und diese künftig abzulehnen.

Es ist davon auszugehen, dass der Beratungsbedarf durch den Wegfall des betrieblichen Datenschutzbeauftragten aber gerade bei KMUs weiter ansteigen wird. Es ist daher naheliegend, dass eine angemessene Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben zukünftig nur dann wirksam erfüllt werden könnte, sofern die Datenschutzaufsichtsbehörden umfassend ausbaut werden. Denn ca. 500 Behördenmitarbeiter werden kaum 3,4 Millionen Unternehmen effektiv kontrollieren können. Zudem müssten vermehrt Unternehmen ohne Datenschutzbeauftragten anlasslos kontrolliert werden. Es darf bezweifelt werden, ob diese Entwicklung letztlich im Sinne der kleinen und mittelständischen Unternehmen ist. Kelber warnt daher zurecht, dass die vermeintliche Ersparnis schnell zu einer „Milchmädchenrechnung“ werden könnte.

Update 28.06.2019

Wie erwartet wurde gestern Nacht vom Bundestag die Änderung an der Benennungspflicht in das Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG) aufgenommen und der Gesetzesentwurf verabschiedet. Das Gesetz benötigt nun noch die Zustimmung des Bundesrates.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Die Pflicht zur Benennung eines Datenschutzbeauftragten kann sich für Private sowohl aus der Datenschutz-Grundverordnung (DSGVO), als auch aus dem nationalen Bundesdatenschutzgesetz (BDSG) ergeben. Privat? Sollte es hier nicht eher nicht öffentliche Stellen heißen? Meiner Ansicht nach fällt die private Datenverarbeitung nicht unter die DSGVO.

  2. Es ist frustrierend, wenn Datenschutzbeauftragte als Bürokratieaufwand, verunglimpft werden. Die Milchmädchenrechnung wird aber noch viel teurer. Ohne Bestellung keine Fachkunde. Ohne Fachkunde wird auch die ehrenamtliche Beratung in Vereinen deutlich weniger werden. Und immer wieder ist es dasselbe: Überraschte Reaktionen, wenn man erklärt, dass die datenschutzrechtliche Verantwortung bleibt. Denn das Signal wird durchaus mißverstanden: Kein DSB=Datenschutz gilt für uns nicht.

  3. Ich war bisher der Auffassung, dass die DSGVO ein Mininumstandard sein soll und die einzelnen Staaten ihre Gesetze zwar schärfer, aber nicht schwächer gestalten dürfen.
    Was haben die Parteien an der DSGVO nicht verstanden? Wer soll geschützt werden?? Der Kanuverein, der Handwerksbetrieb oder der Betroffene, dessen Daten verarbeitet werden? Ich erwarte von jeder Daten verarbeitenden Stelle, dass Verantwortungsvoll und gesetzeskonform mit meinen Daten umgegangen wird.

    • Vollkommen richtig, die DSGVO bildet den Mindeststandard. Dieser wird aber von dem Gesetz nicht unterschritten, da die europäischen Vorgaben zur Benennung eines Datenschutzbeauftragten immer noch weniger streng sind, als die geplanten Deutschen.

      Bei der strengeren Bestellungspflicht handelte es sich um eine deutsche Eigenart, die der Gesetzgeber, wie dargestellt, einst als eins von mehreren Modellen gewählt hatte, um die Überwachung der Datenschutzgesetze sicherzustellen.

      Da in Deutschland, sowohl die wettbewerbliche Datenschutzkontrolle (durch Abmahnungen), als auch die Selbstkontrolle (durch den DSB) für den Mittelstand eingeschränkt werden soll, könnte man aber fragen, ob die Datenschutzaufsichtsbehörden noch gem. 52 Abs. 4 DSGVO, Erwägungsgrund 120 ausreichend ausgestattet sind, um hier den Gefährdungen durch eine sich ständig fortentwickelnde Datenverarbeitungswelt wirksam entgegenwirken zu können.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.