Datenschutz

Das Wichtigste zur Anpassung des Datenschutzrechts

23.07.2019
Von   
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten soll entschärft werden. Was bedeutet das für kleine Unternehmen?

Der Deutsche Bundestag hat in der Nacht zum 27. Juni 2019 das zweite Datenschutzanpassungsgesetz beschlossen. Nachdem das deutsche Datenschutzrecht bereits im Rahmen einer umfangreichen Reform im letzten Jahr zahlreiche Änderungen erfuhr, werden nun hauptsächlich Änderungen redaktioneller Art umgesetzt.

Nochmal neu! Der Bundestag hat ein Gesetz zur Anpassung des Datenschutzrechts in Deutschland beschlossen, das einige Pflichten kleiner Betriebe lockert.
Nochmal neu! Der Bundestag hat ein Gesetz zur Anpassung des Datenschutzrechts in Deutschland beschlossen, das einige Pflichten kleiner Betriebe lockert.
Foto: Illus_man - shutterstock.com

So werden die Begrifflichkeiten in 154 Fachgesetzen an die Datenschutzgrundverordnung angepasst. Außerdem nutzt der deutsche Gesetzgeber eine Öffnungsklausel in der DSGVO und regelt die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten. Diese wird dahingehend geändert, dass die Pflicht nunmehr erst bei 20 anstatt 10 Mitarbeitern besteht, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Der Bundesrat muss dem Gesetz noch zustimmen.

Die Änderung in der Kritik

Die Vorteile der Regelungen werden im Bürokratieabbau und der Entlastung von kleinen und mittelständischen Unternehmen gesehen. Dagegen wird jedoch eingewendet, dass es sich hierbei um eine "Milchmädchenrechnung" handele. Mit der Einschränkung zur Bestellpflicht gehe nämlich ein Kompetenzverlust in den Unternehmen einher. Der Datenschutzbeauftragte sei nicht nur als Belastung zu betrachten, sondern biete auch eine Hilfestellung bei der Erfüllung der datenschutzrechtlichen Pflichten. Gerade Startups, bei denen die Verarbeitung personenbezogener Daten häufig den Kernpunkt der Tätigkeit bilde, liefen hier Gefahr, den datenschutzrechtlichen Pflichten nicht vollumfänglich gerecht zu werden.

Steigende Zahl von Anfragen an die Aufsichtsbehörden

Wie wichtig die Beratung durch den betrieblichen Datenschutzbeauftragten ist, zeige sich auch an der steigenden Zahl der Anfragen an die Aufsichtsbehörden. Diese bestätige, dass in den Unternehmen starke Unsicherheit in Bezug auf die Pflichten nach der DSGVO herrsche, die sich mit einem Abbau der Datenschutzbeauftragten noch weiter verstärken würde, ohne dass eine beratende Anlaufstelle wie bisher bestehe.

Die Datenschutzbehörden seien bisher schon überlastet und können eine intensivere Einzelberatung aufgrund der personellen Engpässe nicht leisten. Folglich führe die Abmilderung der Pflicht zur Bestellung eines Datenschutzbeauftragten zu einer Verschärfung der Haftungsrisiken in den Unternehmen.

Hintergrund und Anforderungen an den Datenschutzbeauftragten

Nach der aktuellen Gesetzeslage ist ein Datenschutzbeauftragter zu bestellen, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die gesetzlichen Hauptaufgaben des Datenschutzbeauftragten liegen in der Beratung des Verantwortlichen in Bezug auf seine datenschutzrechtlichen Pflichten und der Überwachung der Einhaltung dieser Pflichten. Außerdem arbeitet er mit den Aufsichtsbehörden zusammen.

Darüber hinaus können dem Datenschutzbeauftragten auch weitere Aufgaben übertragen werden. Er muss über besondere Fachkunde auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen. Neben diesen umfassenden Kenntnissen des Datenschutzrechts muss der Datenschutzbeauftragte außerdem Wissen im Bereich der Informations- und Kommunikationstechnik und im Datenschutzmanagement sowie eine betriebswirtschaftliche Grundkompetenz und Branchenkenntnisse aufweisen.

Der Verantwortliche kann einen externen Datenschutzbeauftragten benennen oder auch einen seiner Mitarbeiter für diesen Posten wählen. Hier kann die besondere Stellung des Datenschutzbeauftragten relevant werden, da diese nicht ohne Auswirkungen auf die unternehmerische Gestaltungsfreiheit sein kann. Der Datenschutzbeauftragte ist unabhängig und weisungsfrei in Bezug auf die Erfüllung seiner Aufgaben. Er kann von dem Verantwortlichen die Ausstattung mit den erforderlichen Ressourcen verlangen. Neben personellen und finanziellen Mitteln beinhaltet das auch genügend Zeit, um seine Aufgaben zu erfüllen und die fachliche Bildung sowie Weiterbildung. Er kann außerdem nicht ordentlich gekündigt werden.

Ausblick

Besonders bedeutsam ist die Neuregelung, wenn man beachtet, dass 90 Prozent der Unternehmen in Deutschland weniger als 20 Mitarbeiter haben. Fällt die Bestellpflicht weg, kann die betriebliche Praxis erheblich entlastet werden. Als Verantwortlicher sollte man aber erwägen, ob es nicht dennoch sinnvoll ist, einen Datenschutzbeauftragten zu bestellen, auch wenn keine gesetzliche Verpflichtung besteht. Hier gilt es, den damit verbundenen Aufwand gegen die Vorteile durch Kompetenz abzuwägen.