Die Bundesregierung will die deutschen Besonderheiten zur Bestellungspflicht für Datenschutzbeauftragte abschaffen. Doch der versprochene Bürokratieabbau senkt keine materiellen Datenschutzpflichten. Was kurzfristig wie eine Entlastung wirkt, steigert mittelfristig alle Datenschutzrisiken. Das dürfte Unternehmen teuer zu stehen kommen.
Was plant die Bundesregierung zum Datenschutzbeauftragten?
Die Bundesregierung will im Rahmen des geplanten Bürokratieabbaus die besondere Bestellungspflicht für Datenschutzbeauftragte nach § 38 BDSG (Bundesdatenschutzgesetz) abschaffen. Ende 2019 war die deutsche Sonderregelung bereits aufgeweicht worden, so dass ein Datenschutzbeauftragter erst ab 20 Mitarbeitenden, die personenbezogene Daten verarbeiten, verpflichtend war (zuvor schon ab zehn Mitarbeitenden).
Im „Programm für Aufschwung und Beschäftigung“ des Koalitionsausschusses ist unter Ziffer 14 nachzulesen, dass „alle vorhandenen Spielräume der Datenschutz-Grundverordnung“ genutzt werden sollen. Und: „In kleineren und mittleren Unternehmen wollen wir die Zahl der betrieblichen Datenschutzbeauftragten reduzieren.“
Diese offene Formulierung eröffnet eine möglicherweise deutlich weitergehende Diskussion. Wir werden ggf. nicht mehr nur über Mitarbeiterzahlen nachdenken, wenn es um die Bestellpflicht von Datenschutzbeauftragten geht, sondern über den gesamten § 38 BDSG. Und – je nachdem, wie es weitergeht – über den Kündigungsschutz für Datenschutzbeauftragte gleich mit.
Das ist simpel gedacht, politisch einfach zu verkaufen, sachlich aber nicht richtig. Materiell ändert sich nämlich nichts. Vorbehaltlich künftiger Änderungen durch Omnibus-Vorhaben auf EU-Ebene (u.a. die derzeit angestrebte Reform der DSGVO) bleiben sämtliche Pflichten, Risiken und Haftungsfragen aus der DSGVO für Unternehmen erhalten. Entfallen wird lediglich die Figur, die darauf hinweist und zur Einhaltung anmahnt, soweit sie nicht nach Art. 37 DSGVO dennoch zu bestellen ist.
Warum ergab der Zwang zur Bestellung eines Datenschutzbeauftragten Sinn?
Die deutsche Sonderregelung war kein gesetzgeberischer Ausrutscher. Sie war Ausdruck einer nüchternen Einschätzung: Datenschutz setzt sich in Organisationen nicht von selbst durch. Er steht permanent im Spannungsfeld zu Umsatz, Effizienz, Produktentwicklung und Bequemlichkeit.
Der Datenschutzbeauftragte war deshalb bewusst als Pflichtfunktion ausgestaltet: als jemand, der unangenehme Fragen stellt, Risiken benennt und Entscheidungen dokumentationsfest einordnet. Das ist unbequem. Für den Datenschutz aber ist es sinnvoll. Nicht primär wegen einzelner Prüfhandlungen, sondern als dauerhafte, unabhängige und interne Störstelle.
Früher war die Alternative zur Bestellung eines Datenschutzbeauftragten nicht Freiheit, sondern Kontrolle. Wer keinen Beauftragten bestellte, musste sich häufiger direkt bei der Aufsichtsbehörde melden. Der Gesetzgeber hat damals bewusst entschieden, welche Art von Aufsicht er bevorzugt. Wenn künftig weniger interne Kontrolle besteht, liegt die Folge auf der Hand.
Warum ist das gesetzgeberischer Populismus statt Entlastung?
Die geplante Abschaffung ist vor allem symbolpolitisch motiviert. Sie bedient das Narrativ, Datenschutz sei ein besonders großer Hemmschuh der Wirtschaft.
Einem Realitätscheck hält diese Erzählung nicht stand. Die DSGVO gilt weiterhin, ohne dass der deutsche Gesetzgeber daran rütteln könnte. Die Pflicht zur anlasslos nachweisbaren Umsetzung aller Datenschutzgrundsätze bleibt. Die Bußgelder bleiben. Die Aufsichtsbehörden behalten ihre Befugnisse. Und das Risiko, von möglicherweise sehr vielen Betroffenen in Anspruch genommen zu werden, wächst eher schneller als langsamer.
Was wegfällt, ist der Mensch, der daran erinnert. Wer glaubt, ohne Bestellungspflicht weniger tun zu müssen, irrt.
Entfallen würden in der Praxis lediglich formale Organisationspflichten: keine Benennung, keine Meldung, weniger laufende Kosten, weniger sichtbare Datenschutzstruktur. Das ist sofort spürbar und deshalb politisch kurzfristig gut zu verkaufen. Nur ist es keine materielle Entlastung, sondern der Wegfall eines organisatorischen Sicherungsmechanismus.
Die Annahme, Unternehmen würden Datenschutz künftig gezielter und risikoabhängiger umsetzen, ist eine Milchmädchenrechnung. Es gibt im Grunde keine datenschutzfreien Bereiche in Unternehmen. Überall werden personenbezogene Daten verarbeitet. Schon deshalb führt der Wegfall der Bestellungspflicht nicht automatisch zu einer Konzentration auf ausgewählte Verarbeitungsvorgänge.
Hinzu kommt, dass ja gerade nicht mehr sichergestellt wäre, dass risikoreichere Bereiche überhaupt korrekt identifiziert würden. Wer die Fachkunde nicht hat, erkennt auch das Risiko nicht. Dann wird nicht risikobasiert priorisiert, sondern schlicht übersehen.
Praktisch bedeutet eine fehlende Bestellung eines Datenschutzbeauftragten weniger Präsenz und weniger Auseinandersetzung. Der Datenschutzbeauftragte war häufig Überbringer schlechter Nachrichten und Spielverderber. Projekte wurden verzögert, Risiken sichtbar gemacht, Begeisterung gedämpft. Dass sich viel Frustration vermeiden ließe, wenn Datenschutz von Anfang an bedacht und nicht erst kurz vor Launch einbezogen würde, ist eine andere Geschichte. Wer nicht nach dem richtigen Weg fragt und deshalb falsch abbiegt, muss zurücklaufen. Jedes einzelne Mal wieder.
Mit dem Wegfall der Bestellung verschwindet die Rolle des Kümmerers, wo sie nicht freiwillig oder aus nüchterner Abwägung weitergeführt wird. Die Pflichten bleiben dann abstrakt, diffus, unsichtbar und leicht zu verdrängen – bis etwas schiefgeht.
Das reduziert keine Komplexität. Es verlagert sie nach hinten.
In diesem Kontext muss immer wieder darauf hingewiesen werden, dass die persönliche Verantwortung des Managements fortbesteht, sich immer die erforderliche Fachkunde zu verschaffen. Wer dies nicht tut, verstößt gegen seine Pflichten und haftet persönlich.
Tipp: Lesen Sie dazu unseren Ratgeber zu Verantwortung, Haftung und Delegierbarkeit des Datenschutzes im Unternehmen.
Was sind die Folgen für den Markt externer Datenschutzbeauftragter?
Der Markt wird sich vorhersehbar verändern. Ein großer Teil der aktuellen Anbieter lebt erkennbar vom Formalzwang. Unrealistisch günstige Pauschalen, minimale Leistung, Fokus auf Benennung statt Beratung. Feigenblätter und Datenschutzkosmetik statt solider Umsetzung. Das Honorar quasi als Schweigegeld.
Dieses Marktsegment dürfte schrumpfen, was kein Verlust ist. Diese Modelle funktionieren nur, solange Unternehmen irgendjemanden brauchen, den sie der Aufsicht melden und in der Datenschutzerklärung nennen können; nicht, weil sie guten Rat suchen. Wer allerdings denkt, er spare sich nicht nur den Datenschutzbeauftragten, sondern gleich die ganze Datenschutzarbeit, irrt auf eine Art, die sich erst später, dafür umso teurer zeigt.
Gleichzeitig dürfte die Annahme falsch sein, über den Wegfall wenig qualifizierter Berater würde der Datenschutz insgesamt automatisch an Qualität gewinnen. Ohne den indirekten Zwang, sich über den Datenschutzbeauftragten mit datenschutzrechtlichen Themen auseinanderzusetzen, sinkt auch die Wahrscheinlichkeit, dass Datenschutz dauerhaft und präventiv adressiert wird. Beratung dürfte vorhersehbar erst gesucht werden, wenn die Krise bereits da ist.
Warum kommt Beratung (erst) im Ernstfall immer teuer?
Fehlt der laufend bestellte Datenschutzbeauftragte, fehlt im kritischen Moment der eingearbeitete Ansprechpartner. Kurzfristig wird externe Beratung benötigt, etwa nach Datenschutzverletzungen, bei Beschwerden, bei Prüfungen, bei Übernahmen, Deals, Mergern und anderen Gelegenheiten, bei denen offengelegt werden muss, wie es um die Compliance steht.
Auch die Annahme, Berater würden dann eben wirtschaftlich sinnvoll nur gezielt bei konkretem Bedarf eingesetzt, trägt nicht weit. Solcher Bedarf muss immerhin erst einmal erkannt werden. Solche Erkenntnis entsteht aber praktisch oft erst durch ein bereits bestehendes ernstes Problem. Dass in solchen Fällen Rechtsberatung den Rechtsanwälten vorbehalten ist, scheinen dabei auch nicht viele auf dem Schirm zu haben. Die anwaltliche Beratung im akuten Ernstfall ist meist teurer, unvorhersehbarer und risikobehafteter. Sie setzt auf Reaktion statt Prävention. Der kontinuierliche Effekt des bestellten Datenschutzbeauftragten entfällt.
Gerade kleine Unternehmen können den Wegfall eines tauglichen Beraters kaum kompensieren. Eine Rechtsabteilung gibt es nicht. Und selbst in großen Organisationen fehlt dort häufig das Detailwissen, das für Datenschutzprozesse, Datensicherheit, Betroffenenrechte, Löschkonzepte, Datenschutz-Folgenabschätzungen oder Auftragsverarbeitung im Tagesgeschäft erforderlich ist. Datenschutz ist nicht nur Rechtsfrage, sondern Managementprozess mit Organisations-, Prozess- und Dokumentationsarbeit.
Besonders sichtbar wird das auch bei Betroffenenanfragen und Beschwerden, die Rückfragen der Aufsichtsbehörden und anschließenden Erklärungsbedarf auslösen. Dann muss das Unternehmen darlegen, warum es ohne belastbare Fachkunde, etablierte Prozesse und laufende Kontrolle gleichwohl meint, seine Pflichten ordnungsgemäß erfüllt zu haben. Das wird selten elegant und liefert ggf. dem Anwalt des Betroffenen auch noch reichlich Munition.
Funktioniert es in anderen Ländern nicht ebenso?
Richtig ist, dass die regelmäßige Bestellungspflicht im europäischen Vergleich eine deutsche Besonderheit ist. Falsch ist aber die häufig anzutreffende Folgerung, Deutschland habe strengere Datenschutzregeln. Die DSGVO hat hierzulande exakt den gleichen Text wie in den übrigen EU-Mitgliedstaaten.
Die vielleicht verspürten Unterschiede liegen weniger im Rechtstext als in der Organisation. Die in Deutschland bislang weiter verbreitete Bestellung eines Datenschutzbeauftragten sorgt insgesamt doch für etwas mehr Befassung. Dadurch wirkt Datenschutz hier sichtbarer und wird als strenger wahrgenommen.
Wer – wie unsere Experten bei der Beratung internationaler Konzerne – mit Einschätzungen, Vorarbeiten oder Kooperationen aus anderen Regionen zu tun hat, kennt das Gegenbild: Datenschutz wird dort oft anders und nicht selten erst behandelt, wenn das Problem bereits auf dem Tisch liegt. Ob das in anderen Märkten wegen einer anderen Risikolage, friedlicheren Betroffenen oder Behörden weniger riskant ist, mag man überlegen. Für deutsche Unternehmen ist das aber keine empfehlenswerte Strategie.
Fazit
Die Abschaffung der Bestellungspflicht für Datenschutzbeauftragte senkt keine Anforderungen. Sie vereinfacht keine Prozesse. Sie reduziert weder den Handlungsbedarf noch die Haftung.
Der einzig zu erwartende Effekt ist, dass der ohnehin oft schwache Umsetzungsstand des Datenschutzes in Unternehmen weiter sinkt. Risiken bleiben zunächst unerkannt, steigen aber im Ernstfall drastisch. Der einzelne Datenschutzvorfall legt leicht das ganze organisatorische Desaster offen: fehlende Zuständigkeiten, fehlende Dokumentation, fehlende Prozesse, fehlende Kontrollen und fehlende Fachkunde.
Wer all dies durchdenkt, müsste zu einigen Schlussfolgerungen kommen:
- Die Aufgaben bleiben. Die Fachkunde, sie korrekt zu erledigen, muss zwingend vorhanden sein.
- Den Datenschutz links liegen zu lassen, wird zum unkalkulierbaren Risiko.
- Die freiwillige Bestellung eines externen Datenschutzbeauftragten bleibt eine kostengünstige und flexible Alternative zur internen Vorhaltung der Fachkunde. Dem Datenschutzbeauftragten wäre in seinem Bereich auch die Rechtsberatung ausnahmsweise erlaubt.
- Oder man bestellt keinen Datenschutzbeauftragten, sucht sich aber eine passende Rechtsanwaltskanzlei, die laufend zum Datenschutz und zu weiteren Compliance-Themen berät und bei Bedarf – mit Unternehmenskenntnis – im Ernstfall sofort bereitsteht.
Wer glaubt, durch die Befreiung von der Bestellungspflicht den Datenschutz einfacher erledigen zu können, wird das Gegenteil erleben – nur eben ggf. mit Verzögerung und ohne Vorwarnung.