Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen in Deutschland einen betrieblichen bzw. externen Datenschutzbeauftragten bestellen. Diese Regelung gilt seit dem 26. November 2019, als das Gesetz zur Anpassung des Datenschutzrechts in Kraft trat. Bisher waren die meisten Unternehmen in Deutschland schon ab zehn solcher Beschäftigten verpflichtet, einen Datenschutzbeauftragten zu bestellen.
Achtung: Die Gesetzesnovelle geht nicht mit sonstigen Erleichterungen zur Umsetzung von Datenschutzanforderungen in Unternehmen einher.
Wann greift die Bestellpflicht?
Beschäftigte, die für die Prüfung einer Bestellpflicht mitzuzählen sind, sind nicht nur Arbeitnehmer sondern insbesondere auch Praktikanten, freie Mitarbeiter, Leiharbeiter, Freiwillige und Auszubildende. Dabei ist es egal, ob es sich um Voll- oder Teilzeitbeschäftigte handelt. Auf den konkreten Beschäftigten- oder Arbeitnehmerstatus kommt es nicht an, da Anknüpfungspunkt der Norm die Menge der Datenverarbeitung ist, die der Praktikabilität wegen in einer Personenzahl gemessen wird.
Eine ständige Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten liegt zum Beispiel schon vor, wenn die Person Zugang zu E-Mail-Systemen hat. Es sind nicht nur solche Personen zu berücksichtigen, deren Tätigkeit die Wahrnehmung einer abgeschlossenen Verarbeitungstätigkeit umfasst, sondern auch solche Personen, die nur Vorarbeiten oder Nacharbeiten erledigen. Beispielsweise Kassenpersonal, das elektronische Zahlungsmittel entgegennimmt und verarbeitet.
Es gibt auch Stimmen, die eine Negativabgrenzung vornehmen. Demnach sollen nur solche Personen nicht mit der automatisierten Verarbeitung beschäftigt sein, die überhaupt keinen Zugang zu Datenverarbeitungssystemen mit personenbezogenen Daten haben.
In der Praxis bedeutet das, dass so gut wie jeder Beschäftigte zu zählen sein wird. Das Gegenteil wird eher die Ausnahme als die Regel sein.
Der deutsche Sonderweg
Seit Wirksamwerden der EU-Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wurde der Wunsch nach einer Neuregelung des damals angepassten Bundesdatenschutzgesetzes (BDSG) laut. Vielfach wurde angemahnt, die dort festgesetzte Grenze von zehn ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen Angestellten für die verpflichtende Bestellung eines Datenschutzbeauftragten würde den Bedürfnissen vieler kleiner Unternehmen nicht gerecht. Die Vorschläge reichten bis hin zur gänzlichen Abschaffung der Bestellpflicht im BDSG.
Anders als andere EU-Mitgliedstaaten beschreitet Deutschland auf nationaler Ebene einen schärferen Weg, als dies in der DSGVO vorgeschrieben ist. Die Möglichkeit einer abweichenden Regelung durch die Mitgliedstaaten ist in Art. 37 DSGVO explizit vorgesehen.
Namentlich war § 38 BDSG betroffen, wonach jedes Unternehmen zunächst mit mehr als neun Mitarbeitern in der Regel einen betrieblichen Datenschutzbeauftragten benennen mussten. Diese formelle Bestellpflicht geht mit der Plicht des Unternehmens einher, den Datenschutzbeauftragten der zuständigen Aufsichtsbehörde melden zu müssen.
Falsches Signal aus Berlin
Durch die Lockerung der Bestellpflicht wird der Eindruck erweckt, dass damit ebenfalls eine Lockerung der datenschutzrechtlichen Anforderungen verbunden ist. Die gesetzlichen Voraussetzungen und damit die Verpflichtungen jedes Unternehmens bestehen aber unverändert fort. Die in der unternehmerischen Wirklichkeit oftmals schwierig zu durchdringende und umzusetzende Querschnittsmaterie des Datenschutzes erfordert eine Menge Fachkunde. Nicht umsonst wird in Art. 37 Abs. 5 DSGVO das zwingend notwendige Fachwissen des Datenschutzbeauftragten vorausgesetzt.
Da Unternehmen nunmehr mit weniger als 20 Mitarbeitern keinen Datenschutzbeauftragten mehr bestellen müssen, wird die unweigerliche Folge sein, dass das Thema im Unternehmen aufgrund einer fehlenden, kompetenten Ansprechperson weniger Beachtung findet und die Umsetzung auf der Strecke bleibt. Dies ist nicht nur ein Nachteil für die Mitarbeiter im Unternehmen, die sich vertraulich an den Datenschutzbeauftragten wenden können müssen. Es entsteht außerdem der Trugschluss, dass die Erleichterung in der Bestellpflicht zu einer Entlastung des Unternehmens beiträgt. Der finanzielle Vorteil wird jedoch spätestens durch die erhöhte Bußgeldgefahr infrage gestellt. Unternehmen werden sich bei künftigen Bußgeldverfahren weiterhin nicht auf die Tatsache berufen können, dass sie keine Bestellpflicht trifft.
Das Für und Wider der neuen Regelung
Mit der Gesetzesinitiative ist die Gesetzgebung den Rufen der kleineren Unternehmen gefolgt. Die Befürworter gehen davon aus, dass bis zu 90 Prozent der Handwerksbetriebe in Deutschland von der Neuregelung betroffen sein werden.
Damit werden gerade die Betriebe erreicht, die bis zu diesem Zeitpunkt die Bestellung selbst durch einen der Mitarbeiter realisiert haben oder aber die einen der zahlreichen, auf dem Markt positionierten externen Dienstleister beauftragt haben, deren Leistung sich in der Regel in der Bestellung erschöpft. So sehr zu begrüßen ist, dass sich voraussichtlich die Qualität der angebotenen Datenschutz-Dienstleistungen steigern wird, zu einer wirklichen Entlastung führt dieser Weg nicht.
Fazit: Wichtige Änderungen bleiben unbeachtet
Die wichtigen Kritikpunkte an der Datenschutz-Grundverordnung werden nicht angegangen. Es bedarf konkreter Maßnahmen zum Bürokratieabbau für kleinere Unternehmen. Gerade die Fragen nach dem Wie der Umsetzung der DSGVO-Anforderungen sollten sich nach Unternehmensgröße richten.
So könnte zum Beispiel über eine abgestufte Rechenschaftspflicht nachgedacht werden, was eine Neukonzeption der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten miteinschließt. Die faktisch ins Leere laufende Ausnahme nach Art. 30 Abs. 5 DSGVO wird dem Willen des Verordnungsgebers nicht gerecht.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!