Das Anheben der Mitarbeitergrenze für die Bestellpflicht eines Datenschutzbeauftragten senkt nicht die Bürokratie

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Die Uni­ons­par­tei­en las­sen sich fei­ern bzw. fei­ern sich selbst. Von einem Weg­fall der Büro­kra­tie im Daten­schutz für klei­ne Betrie­be und Ver­ei­ne ist die Rede. Das The­ma Daten­schutz sei jetzt viel ein­fa­cher und weni­ger auf­wän­dig für eine Viel­zahl von Betrie­ben und Ver­ei­nen. Anlass ist die Ver­ab­schie­dung eines Anpas­sungs­ge­set­zes mit not­wen­di­gen Kor­rek­tu­ren in 154 natio­na­len Geset­zen im Bun­des­tag am ver­gan­ge­nen Frei­tag, zu nächt­li­cher Unzeit. Und es stimmt, eine Anpas­sung zahl­rei­cher natio­na­ler Geset­ze und Rege­lun­gen war durch die DSGVO aus Mai 2018 not­wen­dig gewor­den. Doch was aktu­ell in ver­schie­de­nen Medi­en als Erfolg für den Abbau von Büro­kra­tie gefei­ert wird, allen vor­an bei Hand­werks­kam­mern und Ver­ei­nen, das ent­behrt einer Grund­la­ge. Noch dazu zeugt es davon, dass die Betei­lig­ten, das The­ma Daten­schutz und die recht­li­chen Anfor­de­run­gen nicht ganz umris­sen haben.

Hin­ter­grund ist die Anhe­bung der Mit­ar­bei­ter­gren­ze, ab der für Unter­neh­men und Ver­ei­ne die Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­liegt. War hier bis­her die Gren­ze von min­des­tens 10 (mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befass­ten) Mit­ar­bei­tern gezo­gen, soll zukünf­tig — die Zustim­mung im Bun­des­rat vor­aus­ge­setzt — erst ab 20 Mit­ar­bei­tern eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­lie­gen. Die Ver­ant­wort­li­chen ver­spre­chen den betrof­fe­nen Unter­neh­men und Ver­ei­nen eine spür­ba­re büro­kra­ti­sche Ent­las­tung im Daten­schutz. Ist dem so?

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

Ein kla­res NEIN. Und das ist auch ganz ohne juris­ti­sche Kennt­nis­se ganz leicht zu beant­wor­ten. Die DSGVO schreibt (wie übri­gens auch das vor­he­ri­ge Daten­schutz­recht) die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unter gewis­sen Vor­aus­set­zun­gen vor. Eben­so beinhal­tet das Bun­des­da­ten­schutz­ge­setz in neu­er Fas­sung 2018 die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten und kon­kre­ti­siert im Rah­men einer sog. Öff­nung­klau­sel wei­te­re Vor­aus­set­zun­gen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/​679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen. Neh­men der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter Ver­ar­bei­tun­gen vor, die einer Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 35 der Ver­ord­nung (EU) 2016/​679 unter­lie­gen, oder ver­ar­bei­ten sie per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung, haben sie unab­hän­gig von der Anzahl der mit der Ver­ar­bei­tung beschäf­tig­ten Per­so­nen eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten zu benennen.

Die­se Gren­ze von min­des­tens 10 Per­so­nen für die Bestell­pflicht eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten soll nun mit den aktu­el­len Anpas­sun­gen, denen der Bun­des­rat noch zustim­men muss (was sehr wahr­schein­lich ist), auf 20 Per­so­nen ange­ho­ben wer­den. Weder in den bis­he­ri­gen Begrün­dun­gen und Erläu­te­run­gen zu die­sem Geset­zes­ent­wurf noch in den zahl­rei­chen Pres­se­ar­ti­keln der Uni­ons­par­tei­en, den Befür­wor­tern die­ser Ände­rung oder Wirt­schafts­ver­bän­den ist jedoch eine nach­voll­zieh­ba­re Erklä­rung vor­han­den, wie­so dies nun weni­ger Büro­kra­tie für die betrof­fe­nen Unter­neh­men und Ver­ei­ne bedeutet.

Es wird auch sehr schwer sein, eine sol­che Erklä­rung zu fin­den. Denn der Daten­schutz­be­auf­trag­te sorgt nicht für die Büro­kra­tie im Daten­schutz. Das über­neh­men die Geset­ze und teil­wei­se auch die nicht immer kla­ren bzw. gele­gent­lich pra­xis­fer­nen Aus­le­gun­gen der Landesdatenschutzbehörden.

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Auch hier wie­der eine kla­re Aus­sa­ge: DOCH! Ohne jetzt mal eine Unter­schei­dung zwi­schen Behör­den, Unter­neh­men oder Ver­ei­nen vor­zu­neh­men: Ein Para­graph von 85 ins­ge­samt im BDSG n.F. wur­de ange­passt, die sons­ti­gen Anfor­de­run­gen aus dem BDSG und der DSGVO (99 wei­te­re Arti­kel) blei­ben von der Gren­ze zur Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unbe­rührt. Rech­nen wir doch ein­fach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathe­ma­tisch kei­ne all­zu­gro­ße Ent­las­tung bei her­aus­kom­men. Denn um es mit aller Deut­lich­keit zu sagen, ALLE Anfor­de­run­gen, die von Unter­neh­men und Ver­ei­nen als büro­kra­ti­sche “Belas­tung” emp­fun­den wer­den, blei­ben wei­ter­hin bestehen und müs­sen ent­spre­chend erfüllt wer­den (eini­ge Beispiele):

• Pflicht zum Erstel­len und Pfle­gen eines Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
• Iden­ti­fi­ka­ti­on, Bewer­tung und Mel­dung von Daten­pan­nen an Auf­sichts­be­hör­de und Betrof­fe­ne nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
• Prü­fen aus­rei­chen­der tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men von exter­nen Dienst­leis­tern und Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
• Bear­bei­ten und Sicher­stel­len von Betrof­fe­nen­rech­ten nach Art. 12–23 DSGVO inkl. Zusam­men­stel­len und Zur­ver­fü­gung­stel­len der Anga­ben zu den Infor­ma­ti­ons­pflich­ten? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
• Sicher­heit der eige­nen Ver­ar­bei­tung regel­mä­ßig prü­fen und not­wen­di­ge Anpas­sun­gen sicher­stel­len nach Art. 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
• Risi­ko­ab­schät­zung von Ver­ar­bei­tungs­tä­tig­kei­ten bis hin zur Daten­schutz-Fol­gen­ab­schät­zung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
• Regel­mä­ßi­ge Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern, nicht nur am Tag der Ein­stel­lung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
• Und die­se Lis­te lie­ße sich noch um vie­le wei­te­re (durch­aus auch mal) “büro­kra­tie­be­haf­te­te” Tätig­kei­ten fort­füh­ren .… CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden

Die von der beschlos­se­nen Anpas­sung aus­ge­sen­de­te Bot­schaft ist durch­aus als toxisch zu bezeich­nen. Der Fehl­glau­be, mit Weg­fall der Bestell­pflicht ent­fie­len auch alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen war auch im alten BDSG vor 2018 weit ver­brei­tet. Aus unse­rer Erfah­rung quä­len sich seit der DSGVO gera­de die Betrie­be und Ver­ei­ne mit dem Daten­schutz am meis­ten, wel­che es in den Jah­ren davor unter dem alten Daten­schutz­recht etwas läs­sig haben ange­hen las­sen. Für die­se Ver­säum­nis­se und auch die gene­rel­len recht­li­chen For­ma­li­tä­ten im Daten­schutz­recht kann der Daten­schutz­be­auf­trag­te jedoch nichts. Im Gegen­teil: Der Daten­schutz­be­auf­trag­te wäre der idea­le Ansprech­part­ner mit aus­rei­chend Wis­sen und Sach­ver­stand, um die­se büro­kra­ti­schen Anfor­de­run­gen pro­blem­los zu meis­tern und für eine Daten­schutz-Kul­tur in der Orga­ni­sa­ti­on zu sorgen.

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Man muss kein Wahr­sa­ger sein, dass sowohl die Zahl der Daten­schutz­ver­stö­ße und die der Buß­gel­der nun zuneh­men wird. Die Lan­des­da­ten­schutz­be­hör­den haben bereits in 2018, in der Pla­nungs­pha­se für die­ses Anpas­sungs­ge­setz signa­li­siert, mit der vor­han­de­nen Per­so­nal­aus­stat­tung kei­ne bera­ten­den, son­dern nur noch kon­trol­lie­ren­de Tätig­kei­ten aus­üben zu kön­nen. Eine Auf­sto­ckung ist nach unse­rem Kennt­nis­stand in kei­nem Bun­des­land geplant. Sorg­te bis­her der Daten­schutz­be­auf­trag­te für das not­wen­di­ge Wis­sen in klei­nen Unter­neh­men und Ver­ei­nen, so geht die­ses Wis­sen nun im Rah­men der ver­meint­li­chen “Ent­bü­ro­kra­ti­sie­rung” von Bord. Damit ste­hen übli­cher­wei­se Inha­ber, Geschäfts­füh­rer und Ver­eins­vor­stän­de in der Pflicht, für die kor­rek­te Umset­zung und den Betrieb des Daten­schut­zes Sor­ge zu tra­gen. Und da reden wir bis­her nur von den For­ma­li­tä­ten, sie­he Abschnitt zuvor. Ein akti­ver Daten­schutz­be­auf­trag­ter ist Bera­ter, Coach, Moti­va­tor und Kon­trol­leur zugleich. Ein akti­ver Daten­schutz­be­auf­trag­ter sorgt bei guter Auf­ga­ben­er­fül­lung für einen geleb­ten Daten­schutz in der Orga­ni­sa­ti­on. Auch die­se Auf­ga­be obliegt nun ande­ren Ver­ant­wort­li­chen. Woher kommt der not­wen­di­ge Zeit­an­teil dafür, wo doch alle Unter­neh­men per­so­nell auf spit­zer Kan­te fah­ren? Woher kommt das not­wen­di­ge Wis­sen für die kor­rek­te Umset­zung des Daten­schut­zes? Wird es jetzt 4‑stündige Crash-Kur­se der ein­schlä­gi­gen Anbie­ter geben “DSGVO ohne Büro­kra­tie und Auf­wand für Geschäfts­füh­rer und Ver­eins­vor­stän­de”, selbst­ver­ständ­lich mit bun­tem Zer­ti­fi­kat auf Hoch­glanz? Gute Kur­se zum Ein­stieg für einen DSB dau­ern 5 Tage. Und danach hat der DSB immer noch einen lan­gen Weg vor sich, bis er weiß, was und wie es kon­kret zu tun ist!

Und wenn etwas pas­siert oder im Fal­le einer Über­prü­fung als Man­gel fest­ge­stellt wird, die Haf­tung bleibt. Die bis­he­ri­ge Art von “Ver­si­che­rung” oder zumin­dest die Mög­lich­keit zur Ver­rin­ge­rung von Ein­tritts­wahr­schein­lich­kei­ten von Risi­ken und Män­geln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bun­des­rat nicht noch zur Ver­nunft kommt.

Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber twit­ter­te nicht zu Unrecht:

Mit der Ver­wäs­se­rung der Anfor­de­rung zur Ernen­nung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten wird den Unter­neh­men nur Ent­las­tung sug­ge­riert. Daten­schutz­pflich­ten blei­ben, Kom­pe­tenz fehlt ohne bDSB. Fol­ge wer­den mehr Daten­schutz­ver­stös­se und Buß­gel­der sein ☹️

Im Ergeb­nis haben klei­ne Unter­neh­men und Ver­ei­ne nur weni­ge Möglichkeiten:

1. Igno­ranz des The­mas Daten­schutz: Sie­he Haf­tung und Bußgelder
2. Eigen­re­gie und Prin­zip Hoff­nung: Inha­ber, Geschäfts­füh­rer oder Ver­eins­vor­stand eig­nen sich in ihrer eh schon knap­pen Zeit das not­wen­di­ge Know How an, hal­ten die­ses aktu­ell und küm­mern sich um die kor­rek­te Umset­zung in der eige­nen Orga­ni­sa­ti­on. Wie rea­lis­tisch wird das sein?
3. Exter­nes Know How zukau­fen: Da das not­wen­di­ge Wis­sen und die Mög­lich­keit zur Wei­ter­bil­dung nicht gege­ben sind, wird das Know How extern zugekauft
4. Inter­nen Mit­ar­bei­ter für das The­ma Daten­schutz aus­bil­den und Auf­ga­ben über­tra­gen: Kos­ten für die Aus- und Wei­ter­bil­dung, not­wen­di­ge Zeit­an­tei­le müs­sen ein­ge­plant werden

Übri­gens sind die Vari­an­ten 3 und 4 ganz nah am exter­nen und inter­nen Daten­schutz­be­auf­trag­ten. Und ob Vari­an­ten 1 und 2 so geschickt sind, die Erfah­rung muss jetzt jeder Ver­ant­wort­li­che für sich selbst machen. Sofern die­ser in Betracht zieht, die Auf­wei­chung zur Gren­ze der Bestell­pflicht nach oben für die eige­nen Orga­ni­sa­ti­on zu nutzen.

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Die Sinn­haf­tig­keit der Anhe­bung der Gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten kann man durch­aus in Zwei­fel zie­hen. Dabei hät­te der Gesetz­ge­ber — zumin­dest in Tei­len — durch­aus die Mög­lich­keit gehabt, für Klar­heit zu sor­gen. Die­se wur­de jedoch ver­säumt. So hät­te der immer noch schwe­len­de Kon­flikt mit dem Recht auf freie Mei­nungs­äu­ße­rung und dem Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung auch oder gera­de im Rah­men jour­na­lis­ti­scher Tätig­kei­ten gelöst wer­den kön­nen. Ein paar klä­ren­de Para­gra­phen zu der noch immer herr­schen­den Unsi­cher­heit beim Anfer­ti­gen und Nut­zen von Foto­gra­fien im Kon­flikt mit dem KUG hät­ten durch­aus auch Charme gehabt. Ob es zweck­dien­lich für das The­ma Daten­schutz ist, das BSI von Tei­len der Betrof­fe­nen­rech­te zukünf­tig aus­zu­neh­men und die Rechen­schafts­pflicht hier ein­zu­schrän­ken, darf durch­aus auch in Zwei­fel gezo­gen wer­den. Man hät­te sich aber auch um den vom Bun­des­ver­fas­sungs­ge­richt vor kur­zem für ungül­tig erklär­ten § 4 Abs. 1 BDSG zur Video­über­wa­chung küm­mern kön­nen oder zumin­dest klar­stel­len kön­nen, dass euro­päi­sches Recht hier gilt. Da kann man es auch nur noch mit einem leich­ten Schmun­zeln zur Kennt­nis neh­men, dass jetzt auch der Digi­tal­funk der Poli­zei einer 75-tägi­gen Vor­rats­da­ten­spei­che­rung unter­wor­fen wer­den soll. Und das, wo die aktu­el­le Frist von 70 Tagen zur Zeit aus­ge­setzt ist und vor dem Bun­des­ver­fas­sungs­ge­richt geklärt wird.

Es gibt viel Ver­bes­se­rungs­po­ten­ti­al im Bereich Daten­schutz, gar kei­ne Fra­ge. Ein­heit­li­che und pra­xis­na­he Aus­le­gun­gen sei­tens der Lan­des­da­ten­schutz­be­hör­den hät­ten enor­mes Poten­ti­al, auch die Akzep­tanz des The­mas Daten­schutz gene­rell zu erhö­hen. Hier kann der Gesetz­ge­ber jedoch nicht regelnd ein­grei­fen, außer man wür­de die Lan­des­da­ten­schutz­be­hör­den auf­lö­sen und in einer zen­tra­len Orga­ni­sa­ti­on des Bun­des zusam­men­fas­sen. Statt­des­sen wird nun in klei­nen Schif­fen und Boo­ten der Lot­se von Bord geschickt. Die Zukunft wird zei­gen, ob die gewünsch­te Ent­bü­ro­kra­ti­sie­rung damit Ein­zug hält. Es steht nicht zu vermuten.

Übri­gens ein Schelm, wer Böses dabei denkt: Der Pas­sus zur Anhe­bung der Gren­ze von 10 auf 20 Mit­ar­bei­ter wur­de erst Mon­tag, den 24.06.2019 — also sehr kurz­fris­tig vor der Ver­ab­schie­dung am Frei­tag im Bun­des­tag — (wie­der) eingefügt.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.