Regelung zur Benennungspflicht für betriebliche Datenschutzbeauftragte wird geändert

Publiziert in Datenschutz

Mindestanzahl der mit der Datenverarbeitung Beschäftigten auf 20 erhöht

Der Bundestag hat dann doch mal geliefert. Rund ein Jahr nach Einführung der DSGVO wurde eine Vielzahl von nationalen Gesetzen an die Verordnung angepasst. Notwendig war das, weil die europäische Verordnung - sofern sie für bestimmte Regelungen keine sogenannten „Öffnungsklauseln“ vorsieht - das nationale Recht überlagert und dieses der Verordnung nicht widersprechen darf. Deshalb muss es angepasst werden.

Nun wurde am 27. Juni 2019 vom Bundestag das 2. DSAnpUG-EU (Datenschutz-Anpassungs-und Umsetzungsgesetz EU) ebenso wie das DSUmsAnpG-EU (Datenschutz-Umsetzungs- und Anpassungsgesetz EU) verabschiedet. Inhalt dieser Gesetze sind lediglich vielfältige Anpassungen von anderen Gesetzen, unter anderem auch bei dem am 25. Mai 2018 in Kraft getretenen neuen Bundesdatenschutzgesetz (BDSG neu).

Die DSGVO beinhaltet für die Regelung des Datenschutzbeauftragten nichtöffentlicher Stellen eine solche Öffnungsklausel und deshalb heißt es nun in der vom Bundestag beschlossenen Fassung:

„In § 38 Absatz 1 Satz 1 (Datenschutzbeauftragte nichtöffentlicher Stellen) wird das Wort „zehn“ durch die Angabe „20“ ersetzt.“

Interessant zu lesen ist in dem Zusammenhang natürlich die Begründung der Ausschussempfehlung des Bundestagsausschusses für Inneres und Heimat, der die Änderungen zum BDSG koordiniert hat:

„In § 38 Absatz 1 Satz 1 wird die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von 10 auf 20 angehoben. Angestrebt wird damit vor allem eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.“

Fakt ist allerdings:

Für die meisten Unternehmen ist die Erhöhung der Mindestanzahl zur Bestellungspflicht lediglich von symbolischer Bedeutung, denn an den rechtlichen Anforderungen an die Unternehmen ändert sich dadurch nichts. Es sind nach wie vor sämtliche bisherigen Umsetzungs- und Dokumentationspflichten der DSGVO zu erfüllen und auch die Sanktionsmechanismen bleiben unverändert.

Und an diesen gesamten Rahmenbedingungen wird sich auch in absehbarer Zeit nichts ändern, weil diese alle in der DSGVO auf europäischer Ebene verankert sind und von der nationalen Gesetzgebung nicht verändert werden können.

Mein persönliches Fazit:

Irgendwie erinnert mich die gesamte Prozedur ein wenig an das Hornberger Schießen.

Die Grenze der Mindestanzahl von Beschäftigten ist nämlich völlig unerheblich, denn: Somebody has to do the job.

Vielmehr interessant ist doch: Der Verantwortliche eines Unternehmens hat grundsätzlich die Entscheidung zu treffen, welche Bedeutung (oder eben welche Nicht-Bedeutung) dem „Datenschutz“ beigemessen werden soll. Misst man dem Thema keine Bedeutung bei, dann ist es doch völlig egal, welche Mindestanzahl für die Bestellung eines Datenschutzbeauftragten gefordert wird.

Entscheidet man sich hingegen für eine angemessene Umsetzung im Unternehmen, stellt sich vielmehr die Frage, ob man sich externer Expertise bedienen will oder nicht: Make or buy. Und auch für diese Antwort spielt die Mindestgrenze keine Rolle.

Ich betreue auch Tierarztpraxen mit fünf Beschäftigten bei der Umsetzung der Datenschutzanforderungen. Das sind ausnahmslos verantwortungsbewusste Inhaber*innen, welche mein Wissen und meine Erfahrung nachfragen, die ich u.a. durch die Arbeit mit größeren Tierkliniken/Tierarztpraxen erworben habe. Ihnen ist es wichtig, das Thema „Datenschutz“ in ihrer Praxis angemessen umzusetzen. Und dieser Wissenstransfer rechnet sich auch noch für die Praxisinhaber im Vergleich zum Aufbau von eigenem Wissen im Unternehmen, weil ich weiß, wo geliefert werden muss und wo man auch mal pragmatisch vorgehen kann.

Und in solchen Konstellationen ist es doch völlig unerheblich, ob ich auch noch die Funktion des Datenschutzbeauftragten offiziell wahrnehme oder nicht. Sämtliche speziellen Anfragen oder Problemstellungen mit Kunden, Mitarbeitern oder gar Behörden landen sowieso auf meinem Schreibtisch - unabhängig davon, ob ich „der Datenschutzbeauftragte“ bin oder nicht.
Einzig das Ergebnis zählt - und zwar völlig unabhängig von der Mindestanzahl.

Ein Hinweis zum Schluss:

Beide Gesetze bedürfen noch der Zustimmung des Bundesrates. Die nächste Sitzung des Bundesrates ist nach der Sommerpause am 20. September 2019. Danach erfolgt die Unterzeichnung durch den Bundespräsidenten und die Verkündung im Bundesgesetzblatt. Ab dem Tag nach der Verkündung tritt das 2. DSAnpUG-EU in Kraft. Das wird vermutlich um den 24. September 2019 sein.