Umsetzung der DSGVO

Weniger Datenschutzbeauftragte in Kleinstbetrieben erforderlich 

Ein Beitrag von Desiree Szitnick

Doch ob damit auch eine tatsächliche Entlastung der Unternehmen eintritt, wird derzeit heftig diskutiert. Der Bundestag hat einen Gesetzesentwurf zur Umsetzung der europäischen Vorgaben der Datenschutzgrundverordnung (DSGVO) verabschiedet. Insbesondere die Anforderungen an die Pflicht zur Benennung eines Datenschutzbeauftragten in Unternehmen sind damit gesunken.

Gesetzesentwurf vor der Sommerpause

In der letzten Sitzungswoche vor der Sommerpause ging es im Bundestag noch einmal um die Frage, wie die europäischen Datenschutzvorgaben in das nationale Datenschutzrecht umgesetzt werden sollen. Gegen die Stimmen der Opposition hat der Bundestag einen Gesetzesentwurf beschlossen, mit dem eine weitere Anpassung nationaler Vorschriften an die Vorgaben der DSGVO realisiert werden soll. Insgesamt sind von dem Gesetzesentwurf rund 154 einzelne Gesetze betroffen.

Bereits mit dem ersten Anpassungsgesetz nach der Einführung der DSGVO hat der deutsche Gesetzgeber versucht, die vorgesehenen Kontroll- und Betroffenenrechte abzuschwächen. Die strengen EU-Vorgaben wurden schon damals deutlich milder in nationalen Vorschriften umgesetzt.  Nun macht die Bundesregierung in der nächsten Anpassungsphase mit diesem Kurs weiter.

Bundestag senkt Voraussetzungen für Benennung von Datenschutzbeauftragten

Ein besonders umstrittener Punkt war die Frage nach der Umsetzung der Pflicht für Unternehmen, einen betrieblichen Datenschutzbeauftragten zu stellen (§ 38 Bundesdatenschutzgesetz). Im Ergebnis hat das Parlament die Grenze dafür deutlich erhöht. Damit müssen Kleinbetriebe weitestgehend keine Datenschutzbeauftragte einsetzen. Doch was auf den ersten Blick wie eine Erleichterung aussieht, könnte im Ergebnis hohe Bußgelder nach sich ziehen, warnen einige Kritiker des neuen Gesetzesentwurfes.

Die bisherige Pflicht zur Benennung sieht vor, dass ein Datenschutzbeauftragter bestellt werden muss, wenn mehr als 10 Mitarbeiter eines Betriebes regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind. In einem solchen Fall muss der Datenschutzbeauftragte dann die Einhaltung der geltenden Datenschutzvorschriften überwachen. Er bildet eine Schnittstelle zwischen Unternehmen und Behörde und steht beiden als Ansprechpartner zur Verfügung. Dabei kann der Datenschutzbeauftragte auch aus den eigenen Betriebsreihen stammen, benötigt aber eine gewisse Fachkenntnis.

Kleinstbetriebe von der Regelung ausgenommen

Nun hat der Bundestag im Rahmen des Gesetzesentwurfes die Grenze für die Einsetzungspflicht weiter erhöht. Die Pflicht zur Benennung eines Datenschutzbeauftragten beginnt nun erst bei 20 Mitarbeitern, die regelmäßig mit der Verarbeitung sensibler personenbezogener Daten befasst sind.

Damit sollen besonders kleinere Betriebe entlastet werden. Sie müssen zwar immer noch die übrigen Vorschriften der DSGVO einhalten – arbeiten weniger als 20 Personen mit personenbezogenen Daten, bleibt ihnen aber die Einsetzung eines Datenschutzbeauftragten erspart.

Doch genau darin liege auch die Schwachstelle für Kleinbetriebe, fragt man Kritiker des Gesetzesentwurfes. Während auf den ersten Blick Abschwächungen geschaffen werden und kleinere Betriebe vermeintlich weniger in Sachen Datenschutz beachten müssen, steigt bei ihnen aber auch die Gefahr, wegen Verstöße gegen Datenschutzvorschriften abgemahnt zu werden oder Bußgelder wegen DSGVO-Verstößen zu kassieren.

Gefahren bei Einhaltung der Vorgaben ohne Datenschutzbeauftragten

Bundesdatenschutzbeauftragter Ulrich Kelber hat sich auf Twitter kritisch über den Gesetzesentwurf geäußert. Mit den verwässerten Anforderungen, einen betrieblichen Datenschutzbeauftragten zu benennen, werde den Betrieben eine Entlastung nur suggeriert. Es sei vielmehr zu erwarten, dass besonders diese Unternehmen bald mehr und höhere Bußgelder zahlen müssen, wenn sie auf die Unterstützung eines Datenschutzbeauftragten verzichten. Im Ergebnis bleiben nämlich die Pflichten der DSGVO bestehen, doch die Kompetenz fehle dann ohne interne Zuständigkeit, so Kelber.  

So bemängeln viele Kritiker, dass am Ende für die Betriebe mehr Schaden als Nutzen entstehen könnte, wenn sie auf einen Datenschutzbeauftragten verzichten.  Auch Kleinstbetriebe müssen die Vorgaben der DSGVO umsetzen, nur kümmert sich dann nicht ein verpflichtend benannter Datenschutzbeauftragter um die korrekte Umsetzung der Vorgaben. Bei Verstößen droht eine Haftung der Geschäftsführung. 

Zunächst muss der Gesetzesentwurf vom Bundesrat bestätigt werden. Tritt das Gesetz tatsächlich Kraft,  wird sich erst dann zeigen, welche Auswirkungen die abgeschwächten gesetzlichen Vorgaben wirklich haben werden.