2. Datenschutzanpassungsgesetz vom Bundestag verabschiedet – Erleichterung für KMU?

Auf den Punkt

Nach der umfangreichen Reform des deutschen Datenschutzrechts zum Inkrafttreten der Datenschutzgrundverordnung wurde nun das zweite Datenschutzanpassungsgesetz im Bundestag verabschiedet. Es nimmt Änderungen in 154 Fachgesetzen vor. Diese sind überwiegend redaktioneller und begrifflicher Natur, inhaltliche Änderungen sind nur in wenigen Fällen vorgesehen. Diese könnten jedoch umso bedeutsamer sein und sind daher umstritten: Unter anderem soll die maßgebliche Personenanzahl, ab der ein betrieblicher Datenschutzbeauftragter bestellt werden muss, von zehn auf zwanzig Personen erhöht werden. Der Bundesrat muss dem Gesetz noch zustimmen.
 

Hintergrund

Nach der aktuellen Gesetzeslage ist ein Datenschutzbeauftragter zu bestellen, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die gesetzlichen Hauptaufgaben des Datenschutzbeauftragten liegen in der Beratung des Verantwortlichen in Bezug auf seine datenschutzrechtlichen Pflichten und der Überwachung der Einhaltung dieser Pflichten. Außerdem arbeitet er mit den Aufsichtsbehörden zusammen.

Er muss über besondere Fachkunde auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie dem Datenschutzmanagement verfügen. Daneben sollte der Datenschutzbeauftragte außerdem Wissen im Bereich der Informations- und Kommunikationstechnik sowie eine betriebswirtschaftliche Grundkompetenz und Branchenkenntnisse aufweisen.

Der Verantwortliche kann einen externen Datenschutzbeauftragten benennen oder einen seiner Mitarbeiter für diesen Posten wählen. In letzterem Fall sollte jedoch die besondere Stellung des Datenschutzbeauftragten relevant bedacht werden, da diese nicht ohne Auswirkungen auf die unternehmerische Gestaltungsfreiheit sein kann. Der Datenschutzbeauftragte ist unabhängig und weisungsfrei in Bezug auf die Erfüllung seiner Aufgaben. Er kann von dem Verantwortlichen die Ausstattung mit den erforderlichen Ressourcen verlangen, was neben personellen und finanziellen Mitteln auch genügend Zeit für die Erfüllung der Aufgaben und die fachliche Bildung sowie Weiterbildung beinhaltet. Er kann außerdem nicht ordentlich gekündigt werden.
 

Die Änderung in der Kritik

Die Vorteile der beabsichtigten Neuregelung werden im Bürokratieabbau und der Entlastung von kleinen und mittelständischen Unternehmen gesehen. Besonders bedeutsam ist die Regelung, wenn man beachtet, dass 90% der Unternehmen in Deutschland weniger als 20 Mitarbeiter haben. Dagegen wird jedoch eingewendet, dass es sich hierbei um eine „Milchmädchenrechnung“ handele. Mit der Einschränkung zur Bestellpflicht gehe nämlich ein Kompetenzverlust in den Unternehmen einher. Der Datenschutzbeauftragte sei nicht nur als Belastung zu betrachten, sondern biete auch eine Hilfestellung bei der Erfüllung der datenschutzrechtlichen Pflichten. Gerade Startups, bei denen die Verarbeitung personenbezogener Daten häufig den Kernpunkt der Tätigkeit bilde, liefen hier Gefahr, den datenschutzrechtlichen Pflichten nicht vollumfänglich gerecht zu werden.

Wie wichtig die Beratung durch den betrieblichen Datenschutzbeauftragten ist, zeige sich auch an der steigenden Zahl der Anfragen an die Aufsichtsbehörden. Diese bestätige, dass in den Unternehmen starke Unsicherheit in Bezug auf die Pflichten nach der DSGVO herrsche, die sich mit einem Abbau der Datenschutzbeauftragten noch weiter verstärken würde. Denn dardurch fiele eine beratende Anlaufstelle wie bisher ersatzlos weg. Die Datenschutzbehörden seien bisher schon überlastet und können eine intensivere Einzelberatung aufgrund der personellen Engpässe nicht leisten. Folglich führe die Abmilderung der Pflicht zur Bestellung eines Datenschutzbeauftragten zu einer Verschärfung der Haftungsrisiken in den Unternehmen.
 

Weitere Änderungen

Neben der Anhebung des Schwellenwertes zur Bestellung des Datenschutzbeauftragten enthält das Gesetz außerdem materielle Regelungen zu den Betroffenenrechten und Rechtsgrundlagen für die Datenverarbeitung. Demnach werden Auskunftsrechte unter anderem gegenüber der ordentlichen Gerichtsbarkeit und Staatsanwaltschaften und in Bezug auf Vereinsregister eingeschränkt. Für die Verarbeitung besonderer Datenkategorien wird eine neue Rechtsgrundlage geschaffen: im Rahmen von Deradikalisierungsprogrammen dürfen besonders sensible Daten durch zivilgesellschaftliche Träger künftig verarbeitet und an die Sicherheitsbehörden weitergegeben werden. Diese Regelungen werden besonders kritisiert, weil sie im Rahmen dieses Gesetzes ergehen sollen. Solche grundlegenden inhaltlichen Änderungen seien jedoch aufgrund des Umfangs von über 500 Seiten und seiner überwiegend redaktionellen Anpassungen kaum zu überblicken.
 

Unser Kommentar

Der Abbau von bürokratischen Hürden und finanziellen Belastungen, die mit der Bestellung eines betrieblichen Datenschutzbeauftragten insbesondere für kleine und mittelständische Unternehmen einhergehen, ist generell zu begrüßen. Es besteht jedoch auch die Gefahr, die datenschutzrechtlichen Pflichten zu unterschätzen und diesen nicht ausreichend nachzukommen. Diese gelten nämlich abgesehen von der Pflicht zur Bestellung des Datenschutzbeauftragten weiterhin in vollem Umfang. Die für die Datenverarbeitung Verantwortlichen sollten hier gründlich abwägen, ob sie auch ohne einen Datenschutzbeauftragten über die notwendige Fachkunde verfügen, auf Anfragen von betroffenen Personen oder den Aufsichtsbehörden angemessen zu reagieren und die Anforderungen der DSGVO ausreichend umzusetzen. Es bleibt jedoch auch stets die Möglichkeit, freiwillig einen Datenschutzbeauftragten zu bestellen.

Gerrit Feuerherdt Rechtsanwalt Associate Luther Rechtsanwaltsgesellschaft mbH Köln Telefon +49 221 9937 27059 gerrit.feuerherdt(at)luther-lawfirm.com