Am 28.06.2019 stimmte der Bundestag dem zweiten Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) zu, welcher mitunter eine Bestellung eines Datenschutzbeauftragten erst dann vorsieht, wenn ein Unternehmen zwanzig Mitarbeiter beschäftigt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Damit wird in Zukunft der Schwellenwert für die Bestellung eines Datenschutzbeauftragten erhöht, um die Klein- sowie Handwerksunternehmen von der Pflicht der Bestellung eines Datenschutzbeauftragten zu befreien.
Ob dies wirklich eine Entlastung für Kleinunternehmer darstellt, was genau das DSAnpUG-EU ist und welche Neuerungen es bringen dürfte, erfahren Sie in diesem Beitrag.
DSAnpUG-EU – Datenschutz-Anpassungs- und Umsetzungsgesetz EU
Das Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) trat erstmals 2016 in Form eines Entwurfs, welches dem Bundestag vorgelegt wurde, in Erscheinung. Zweck des Umsetzungsgesetzes war es die sog. Öffnungsklauseln der damals bevorstehenden Datenschutz-Grundgrundverordnung (DS-GVO) zu nutzen, um diese mit nationalen Regelungen zu konkretisieren sowie Anpassungen geltender Regelungen an die DS-GVO vorzunehmen. Ende 2018 wurde der Entwurf eines zweiten DSAnpUG-EU eingebracht, über den im Juni 2019 entschieden wurde.
Forderung der Lockerung des Datenschutzes durch die FDP und das Land Niedersachsen
Das Land Niedersachsen hatte am 03.04.2019 dem Bundesrat einen Erschließungsantrag zugeleitet. Dieses bat darum, den Antrag in die Tagesordnung der 976. Sitzung des Bundesrats am 12.04.2019 aufzunehmen. Innerhalb des Antrags wurden mehrere Lockerungen im Bereich Datenschutz gefordert, um kleine und mittlere Unternehmen (kurz KMU) vor zusätzlichen Bürokratiekosten zu schützen. Erforderlich sei dies, weil KMUs bei der Umsetzung einiger geforderter datenschutzrechtlichen Maßnahmen finanziell stärker belastet würden, als Großunternehmen.
Es wurde in dem Antrag mitunter angebracht, die bestehende deutsche Regelung zur Bestellung eines Datenschutzbeauftragten anzupassen. Die derzeitige Regelung sieht vor, dass Unternehmen einen Datenschutzbeauftragten bestellen müssen, wenn mindestens 10 dort beschäftigte Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beauftragt sind. Zwar sei die Regelung gemäß der Angabe des Erschließungsantrags nicht neu, da dies bereits im § 4 f Abs. 1 Satz 4 BDSG a.F. (alte Fassung) verankert war, dennoch sei diese Regelung eine nationale Besonderheit und würde nur deutsche Unternehmen betreffen. Unternehmen anderer Mitgliedsstaaten im Regelfall jedoch nicht. Folglich seien ansässige deutsche Unternehmen gegenüber Unternehmen anderer Mitgliedstaaten mit mehr Bürokratieaufwand belegt worden, da die europäische Datenschutzvorschrift eine solche Voraussetzung nicht vorsieht und andere Mitgliedsstaaten keine vergleichbare nationale Regelung eingeführt hatten. Die Lösung der Problematik könnte nach Ansicht des Landes Niedersachsen mit einer erheblichen Erhöhung der im § 38 Abs. 1 Satz 1 BDSG n.F. benannten Mindestanzahl an Personen erzielt werden, da kleine und mittlere Unternehmen grundsätzlich nicht so viele Mitarbeiter dauerhaft mit der automatisierten Verarbeitung von personenbezogenen Daten betrauen und diese demnach von der Pflicht der Bestellung eines Datenschutzbeauftragten befreit wären. Ebenso reichte die FDP ein Positionspapier zum Jahrestag der DS-GVO ein, worin die FDP ebenfalls auf die geltende Regelung hinsichtlich der Bestellung des Datenschutzbeauftragten einging. Hierbei wurde ebenfalls die Bestellverpflichtung eines Datenschutzbeauftragten für Unternehmen ab 10 Personen, welche dauerhaft mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden, kritisiert. Die FDP merkt hierzu in ihrem Positionspapier an:
„Wir sollten die Pflicht abschaffen und stattdessen genauer festlegen, wann genau die Datenverarbeitung so risikoreich ist, dass ein Unternehmen einen betrieblichen Datenschutzbeauftragten braucht.“
Die Große Koalition nahm sich dem an und beschloss in einem Änderungsantrag die Novellierung der bestehenden Regelung.
Wann muss ein Datenschutzbeauftragter bestellt werden?
Nach Art. 37 Abs. 1 DS-GVO ist ein Datenschutzbeauftragter zu bestellen, wenn
„a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
Nach dem derzeitig geltenden § 38 Abs. 1 BDSG sollen ergänzend zu dem Art. 37 Abs. 1 lit. b und c DS-GVO für die Bestellung folgende Voraussetzungen hinzukommen:
- Einer Bestellung eines Datenschutzbeauftragten bedarf es – wie zuvor bereits erwähnt –, sofern mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftig sind.
- Sofern die Verarbeitungen, nach Art. 35 DS-GVO, einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung genutzt werden, muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein Datenschutzbeauftragter benannt werden.
Anpassung der Kriterien der Bestellungspflicht eines Datenschutzbeauftragten für Unternehmen
Am 27. Juni 2019 hatte der Bundestag unter anderem dem Entwurf des zweiten Gesetzes zur Anpassung des Datenschutzes an die Datenschutz-Grundverordnung zugestimmt. Dieses sieht zwar keine weitreichende Lockerung des Datenschutzrechtes vor, jedoch wird die Anpassung der Voraussetzungen zur Bestellung eines Datenschutzbeauftragten erfolgen. Es wird demnach eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten erst ab einer Anzahl von 20 Mitarbeitern eines Unternehmens notwendig sein, die dauerhaft mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben. Somit dürfte die derzeitig benötigte Anzahl von 10 (siehe § 38 Abs. 1 Satz 1 BDSG) auf 20 Personen steigen. Nach Abstimmung des Bundesrates wird die Änderung nach Veröffentlichung im Bundesgesetzblatt in Kraft treten.
Von 10 auf 20 – Kritik und Risiken bezüglich der Anpassung
In diesem Zusammenhang meldeten sich einige Datenschützer zu Wort, welche eine Steigerung der Hürde zur Bestellung eines Datenschutzbeauftragten nicht begrüßen. Die Berliner Beauftragte für Datenschutz und Informationssicherheit, Maja Smoltczyk, teilte in einer Pressemitteilung vom 27.06.2019 mit:
„Die geplante Regelung suggeriert kleinen Unternehmen eine Abnahme an Bürokratie, doch diese Rechnung wird nicht aufgehen. Ohne ein geregeltes Datenschutzmanagement und das Know-how von Experten wird die Umsetzung datenschutzrechtlicher Vorgaben für Unternehmen voraussichtlich arbeitsintensiver und teurer. Ich empfehle betroffenen Unternehmen und Vereinen daher dringend, auch ohne gesetzliche Verpflichtung weiterhin Datenschutzbeauftragte zu benennen und angemessen auszustatten.“
Der Bundesdatenschutzbeauftragte Ulrich Kelber verkündete hierzu:
„Sollte der Gesetzgeber tatsächlich den Schwellenwert für die Pflicht zur Benennung von Datenschutzbeauftragten erhöhen, hielte ich dies für eine falsche Maßnahme, die die Wahrung des hohen Datenschutzniveaus in Deutschland ernsthaft gefährden könnte.
[…]
Spätestens wenn man aufgrund des fachlichen Kompetenzverlusts mittelfristig teures externes Wissen einkaufen muss oder sich wegen Datenschutzverstößen der Bußgeldforderung der Aufsichtsbehörde gegenübersieht, wird man feststellen, dass hier am falschen Ende gespart wurde.“
Datenschutzbeauftragte sind insbesondere dafür da, Unternehmen bei datenschutzrechtlichen Fragestellungen zu unterstützen und sie vor negativen Konsequenzen, wie beispielsweise Bußgelder oder Schadensersatzansprüche im Zuge eines Verstoßes gegen datenschutzrechtliche Vorgaben mit möglich verbundenem Imageverlust, zu bewahren. Die Position des Datenschutzbeauftragten innerhalb der Unternehmen dient aber auch der Entlastung der Aufsichtsbehörden, welche durch hohe Arbeitsauslastungen den Fragestellungen der Betroffenen nicht immer im angemessenen Maß nachkommen dürften.
Welche weiteren Änderungen kommen mit dem zweiten DSAnpUG-EU?
Insgesamt wird das zweite DSAnpUG-EU 154 Gesetze an die bestehende DS-GVO anpassen. Die meisten Anpassungen ergeben sich dabei aus Text- und Begriffsmodifikationen, wobei auch Anpassungen der Rechtsgrundlagen für die Verarbeitung von Daten sowie Regelungen zu den Betroffenenrechten erfolgen.
Herausstechende Regelungsanpassungen sind neben der umstrittenen Erhöhung der Anforderung bezüglich der Bestellung eines Datenschutzbeauftragten, unter anderem die Anforderung für die Einwilligungseinholung bei Beschäftigungsverhältnissen, welche zukünftig keine Schriftform mehr verlangt. Das derzeit noch im § 26 Abs. 2 Satz 3 BDSG festgeschrieben Schriftformerfordernis wird damit geringfügig gelockert. So können Einwilligungen von Mitarbeitern, z. B. für Fotos, „schriftlich oder elektronisch“ erfolgen. Die Regelung des BDSG wird demnach der DS-GVO angeglichen, welche lediglich eine Einwilligung durch eine eindeutige bestätigende Handlung der betroffenen Person, um eine Zustimmung der Datenverarbeitung zu ermitteln, vorsieht (Art. 4 Nr. 11 DS-GVO). Eine Erleichterung der Handlung ist jedoch grundsätzlich nicht erkennbar, da eine schriftliche Einwilligung mit Unterschrift im Regelfall ein sichereres Beweismittel darstellen dürfte, als eine verfasste E-Mail.
Weiterhin wird der § 86 BDSG eingeführt, welcher die „Verarbeitung personenbezogener Daten für Zwecke staatlicher Aufzeichnungen und Ehrungen“ regeln soll. Nach diesem darf, für die Vorbereitung und Durchführung staatlicher Verfahren bei Aufzeichnung und Ehrungen, die dafür zuständige öffentliche oder nicht-öffentliche Stelle personenbezogene Daten auch ohne die Kenntnis der betroffenen Person verarbeiten. Eine ähnliche Reglung befindet sich bereits seit Längerem im Landesdatenschutzgesetz Bayern.
Hinzu dürfte kommen, dass einige Unternehmen in den Zuständigkeitsbereich des Bundesdatenschutzbeauftragten fallen werden. Dazu dürften solche Unternehmen gehören, welche aufgrund von Telekommunikationsdienstleistungen Daten von natürlichen oder juristischen Personen verarbeiten und die Zuständigkeit sich nicht bereits aus dem § 115 Abs. 4 TKG (Telekommunikationsgesetz) ergibt.
Fazit
Die beabsichtigten Änderungen, welche mit dem DSAnpUG-EU einhergehen sollen, dürften keine gravierenden Lockerungen des Datenschutzrechts zur Folge haben. Die Abänderung der Voraussetzung für die Bestellerforderlichkeit eines Datenschutzbeauftragten könnte für KMUs jedoch ein Risiko darstellen. Mit der Datenschutz-Grundverordnung hat sich nicht nur die Rechtslage im Bereich Datenschutz geändert, sondern wurde – aufgrund vieler allgemeiner Regelungen, welche noch nicht vollends konkretisiert wurden – auch wesentlich unübersichtlicher. Daher dürfte grundsätzlich eine Unterstützung einer Fachkraft in diesem Bereich unabdinglich sein, um insbesondere den gesetzlichen Anforderungen gerecht werden zu können. Diese Unterstützungsleistung kann durch die Bestellung eines Datenschutzbeauftragten gewährleistet werden. Die Bestellung eines Datenschutzbeauftragten dürfte jedoch auch mit einem Kosten- sowie Ressourcenaufwand verbunden sein, welcher für klein- und mittelständige Unternehmen oftmals zu groß sein könnte. Aufgrund dessen leitete die Politik eine Erhöhung des Schwellenwertes für die verpflichtende Bestellung eines Datenschutzbeauftragten für Unternehmen ein und versuchte damit KMUs zu entlasten. Hierbei wurde jedoch nicht beachtet, dass der Aufwand für kleine- sowie mittelständige Unternehmen damit nicht reduziert werden dürfte. Die datenschutzrechtlichen Anforderungen bleiben die gleichen, allerdings wird den Unternehmen, welche unter den neuen Schwellenwert für die verpflichtende Bestellung eines Datenschutzbeauftragten fallen dürften, freigestellt, wie diese die rechtlichen Verpflichtungen einhalten wollen. Aufgrund der ausgelasteten Aufsichtsbehörden – welche bereits darüber diskutieren, ob individuelle Beratungen zu deren Pflichtaufgaben zählen und diese ggf. zukünftig abgelehnt werden sollen – dürften die betroffenen Unternehmen oftmals mit ihren Datenschutzfragen alleine gelassen werden und somit nicht drum herumkommen datenschutzrechtliche Beratungsleistungen in Anspruch zu nehmen. Daher wäre es ratsam, dass Unternehmen, Vereine oder andere Einrichtungen mit weniger als 20 Mitarbeitern, welche regelmäßig mit der Verarbeitung von personenbezogenen Daten zu tun haben, zumindest ein Beratungsgespräch in Anspruch nehmen sollten, um insbesondere
- ihre datenschutzrechtlichen Risikofelder zu ermitteln,
- Maßnahmen zu entwickeln, um dem entgegen zu wirken
- sowie sich über die neuen rechtlichen Anforderungen zu informieren.
