In Deutschland müssen Unternehmen mit 20 oder mehr Mitarbeitern, die automatisiert Personendaten bearbeiten, einen betrieblichen Datenschutzbeauftragten benennen.
Diese deutsche Sonderregelung, die deutlich über die europäische Datenschutz-Grundverordnung (DSGVO) hinausgeht, soll abgeschafft werden.
Die Abschaffung ist Teil einer bayrischen Vorlage «zur Abschaffung und Erleichterung bürokratischer Hemmnisse für KMU» im Bundesrat, der deutschen Länderkammer (Antrag als PDF-Datei).
Für die geplante Abschaffung soll § 38 Abs. 1 des deutschen Bundesdatenschutzgesetzes (BDSG) ersatzlos gestrichen werden:
«Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.»
Und:
«Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung […] unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.»
In den Empfehlungen zum Entwurf für die entsprechende Änderung des BDSG (Empfehlungen als PDF-Datei) lautet wie Begründung wie folgt (mit Hervorhebungen):
«Der Bundesgesetzgeber regelt über die Vorgaben der Verordnung (EU) 2016/679 hinausgehend eine Pflicht für nichtöffentliche Stellen, einen behördlichen Datenschutzbeauftragten zu bestellen. Gerade kleine und mittlere Unternehmen sollten aber auch nach den Vorstellungen des europäischen Gesetzgebers (Erwägungsgrund 13 zu der Verordnung (EU) 2016/679) nicht unnötigen bürokratischen Anforderungen ausgesetzt werden.»
Und:
«Die derzeitige Regelung entspricht auch nicht dem in der Verordnung (EU) 2016/679 verfolgten risikobasierten Ansatz, da er eine Benennpflicht dann regelt, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – unabhängig davon, ob diese Verarbeitungstätigkeit auch nur ansatzweise risikobehaftet ist.»
Das politische Bekenntnis zum risikobasierten Ansatz ist auch ein klares Zeichen an die Datenschutz-Aufsichtsbehörden.
Datenschutzbeauftragter: Pflicht zur Benennung gemäss DSGVO
Die allfällige Pflicht, gemäss Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten zu benennen, wäre nicht betroffen.
Die DSGVO sieht für Unternehmen eine solche Pflicht aus zwei Gründen vor:
- [Die] Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters [besteht] in der Durchführung von Verarbeitungsvorgängen […], welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.»
- «[Die] Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters [besteht] in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 […].»
Die meisten deutschen Unternehmen müssten allein aufgrund der DSGVO keinen betrieblichen Datenschutzbeauftragten benennen. Ende 2019 hatte Deutschland bereits die Grenze für einen Datenschutzbeauftragten von 10 auf 20 Mitarbeiter erhöht.
Deutschland: Was würde die Abschaffung der Pflicht ab 20 Mitarbeitern bedeuten?
Aus Sicht vieler Unternehmen in Deutschland wäre es eine wesentliche Erleichterung, keinen betrieblichen Datenschutzbeauftragten mehr benennen zu müssen.
Die meisten betroffenen deutschen Unternehmen haben – wenn überhaupt – ohnehin nur pro forma einen Datenschutzbeauftragten. Externe Datenschutzbeauftragte können ab Kosten von 150 bis 250 Euro pro Monat benannt werden. Bei solchen Beträgen erscheint offensichtlich, dass die benannten Datenschutzbeauftragten kaum Spielraum haben, ihre Aufgaben zu erfüllen.
Auf diesen Punkt weist beispielsweise Thomas Helbing in einem Beitrag bei LinkedIn hin:
«In der Realität halten Unternehmen, denen Datenschutz gleichgültig ist, sich nicht an die Vorschriften, egal ob eine DSB-Pflicht besteht oder nicht. Es gibt genug Flatrate-Dienstleister, die sich ohne echte Leistung engagieren lassen und fürs Nichtstun bezahlt werden. Auf der anderen Seite können Unternehmen, denen Datenschutz wichtig ist, diesen auch ohne einen formal bestellten DSB umsetzen oder, wenn sie es wünschen, freiwillig einen bestellen.»
Ausserdem:
««Es stimmt, dass die DSGVO für alle gilt, unabhängig davon, ob ein DSB bestellt ist oder nicht. Aber nicht jedes Gesetz erfordert einen speziellen Beauftragten zur Einhaltung (StGB-Beauftragter?). […] Interessanterweise gibt es in den meisten EU-Ländern keine vergleichbaren nationalen Bestellpflichten. Warum also hält Deutschland an einer Regelung fest, die in der EU keine Mehrheit fand? Sind wir schlauer als alle anderen?»»
Ausführlich und differenziert – letztlich ernüchtert – äussert sich beispielsweise Marc Dauenhauer ebenfalls in einem Beitrag bei LinkedIn:
«Die Abschaffung des §38 BDSG wäre nicht deshalb schlimm, weil sich dadurch das ohnehin schwache Datenschutzniveau noch ein bisschen weiter absenken würde. Die Abschaffung wäre schlimm, weil sie symbolhaft für das Desinteresse des deutschen Staates an einer wirksamen Durchsetzung des Datenschutzes steht. Die Grundrechte aus Art. 8 GRCh sind ihm offensichtlich egal.»
Interessant:
«Der betriebliche Datenschutzbeauftragte war in Deutschland ein Mittel zur Entbürokratisierung des Datenschutzes und zur Vermeidung zahlreicher Meldepflichten im Datenschutz! Und das schon lange vor der DSGVO.»
In der Schweiz, wo der betriebliche Datenschutzbeauftragte gemäss Art. 10 DSG als «Datenschutzberater» bezeichnet wird, ist die Ernennung für private Verantwortliche immer freiwillig.
Webinar: Wann benötigen wir einen Datenschutzbeauftragten? (Datenschutzpartner Academy)
Nachtrag vom 22. März 2024: Keine Mehrheit für Abschaffung im Bundesrat
In der heutigen 1042. Sitzung des deutschen Bundesrates fand die Abschaffung von § 38 BDSG in der Abstimmung über die einschlägige Ziffer 15 keine Mehrheit:
Bild: OpenAI / ChatGPT 4.