Überraschend haben der Innen- und der Wirtschaftsausschuss im Bundesrat eine Empfehlung zur Änderung der deutschen Sonderregelung zur Bestellung eines Datenschutzbeauftragten (DSB) abgegeben. Ist damit das Ende des Erfordernisses zur Bestellung eines DSB für viele Unternehmen eingeläutet?
Gegenstand der Initiative
Derzeit durchläuft der Entwurf für das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) das Gesetzgebungsverfahren in Deutschland. In seiner Empfehlung hierzu schlagen der Innen- und der Wirtschaftsausschuss vor, der Bundesrat solle eine Gesetzesinitiative starten. Das Ziel: Die in § 38 Abs. 1 S. 1 BDSG enthaltene deutsche Sonderregelung zur Bestellungspflicht des DSB komplett zu streichen. Hilfsweise solle die Bestellungspflicht bereits ab zehn Mitarbeitern an die gewerbliche Verarbeitung personenbezogener Daten geknüpft werden oder aber nur noch für Stellen ab 50 Mitarbeitern gelten (Drucksache 430/1/18 des Bundesrates).
Der Vorstoß wird vor allem damit begründet, dass insbesondere kleine und mittlere Unternehmen (KMU) entlastet werden sollen, da diese im Vergleich zu den europäischen Nachbarn benachteiligt seien, welche keine so weitgehende nationale Bestellungspflicht vorsehen.
Jeder der Vorschläge führt zu einer deutlichen Beschränkung der DSB-Bestellpflicht.
Übrigens entscheidet sich am Freitag, 19. Oktober 2018, ob der Bundesrat tatsächlich einen Änderungsvorschlag gegenüber den anderen am Gesetzgebungsverfahren beteiligten Organen verlangen soll.
Konsequenzen aus dem Gesetzgebungsvorstoß
Nüchtern betrachtet, würde eine Umsetzung dieses Vorschlags dazu führen, dass ein DSB nur noch unter den allgemeinen Voraussetzungen des Art. 37 DSGVO bestellt werden müsste und damit kaum bis gar nicht mehr erforderlich wäre. Außer natürlich bei besonders großen Unternehmen, die dies ohnehin schon mussten oder aber bei Unternehmen, die mit besonders sensiblen Daten umgehen, wie z. B. Krankenkassen.
Der Vorschlag des Bundesrates übersieht dabei völlig, dass der Verantwortliche sich weiterhin mit dem Thema Datenschutz beschäftigen muss und die erhoffte Entlastung gerade nicht eintritt. Die Pflichten des Verantwortlichen im Unternehmen bleiben auch ohne DSB in völlig gleichem Umfang bestehen und ziehen bei Verstößen genauso Bußgelder der Aufsichtsbehörden und möglicherweise auch Schadensersatzansprüche der jeweiligen Betroffenen nach sich. Was passiert aber nun, wenn ein Unternehmen keinen DSB bestellt und in Folge dessen datenschutzrechtliche Pflichten nicht mehr sicherstellt?
Haftung des Geschäftsführers
Verletzt der Unternehmer seine Pflichten als Geschäftsführer, so hat dies schnell gravierende Folgen.
Es kommt eine persönliche Haftung mit dem Privatvermögen nach unterschiedlichsten Gesichtspunkten, z. B. § 93 Abs. 1 S. 1 AktG oder § 43 Abs. 1, 2 GmbHG, in Betracht. Der Vorstand oder Geschäftsführer eines Unternehmens hat die Pflicht, das Unternehmen sorgfältig zu führen. Er muss z. B. dafür sorgen, dass geltendes Gesetz erfüllt wird und die Einhaltung der Gesetze überwacht wird. U. a. die zuvor erwähnten Gesetze sprechen in diesem Zusammenhang von der Sorgfalt eines ordentlichen Geschäftsmannes. Was das Gesetz darunter versteht, bleibt offen. Die Gerichte haben diese Begrifflichkeit über die Jahre versucht zu definieren. Danach versteht man unter besagter Sorgfalt u. a. die Pflicht, das Unternehmen gewinnbringend zu führen, Namen und Ruf dessen zu verbessern und kalkulierbare Geschäftsrisiken einzugehen. Weil datenschutzrechtliche Schadensersatzklagen von Betroffenen und Bußgelder der Aufsichtsbehörden Gewinne des Unternehmens schmälern, muss sich der Geschäftsführer auch in diesem Feld sorgfältig verhalten.
Steht eine Verletzung dieser Pflichten im Raum, so muss der Geschäftsführer nachweisen, dass er alle seine Pflichten vollumfänglich erfüllt hat. Hat sich der Geschäftsführer nicht um die Einhaltung der datenschutzrechtlichen Compliance gekümmert, liegt ein eindeutiger Verstoß gegen seine Pflichten vor und er muss für den entstandenen Schaden, wie z. B. ein gegen das Unternehmen verhängtes Bußgeld, mit seinem Privatvermögen aufkommen.
Verzichtet nun ein Geschäftsführer darauf, dafür Sorge zu tragen, dass Anforderungen eines Gesetzes unter fachkundiger Anleitung erfüllt werden, so kann dies bspw. zu Fehlern bei der Umsetzung datenschutzrechtlicher Anforderungen führen und schnell als mangelnde Sorgfalt gelten, die die persönliche Haftung auslösen kann.
Verletzt der Geschäftsführer eine seiner Pflichten, so kann gegen ihn zusätzlich auch noch ein Bußgeld durch die zuständige Behörde verhängt werden (§ 130 Abs. 1 S. 1 OWiG). Handelt es sich bei der Pflichtverletzung bspw. um eine Straftat, so kommt ein Bußgeld von bis zu 1 Mio. Euro in Betracht.
Fazit
Selbst wenn die oben beschriebene Gesetzesänderung auch nur ansatzweise Wirklichkeit wird, sollte sich die Geschäftsführung genau überlegen, ob sie auf einen Datenschutzbeauftragten verzichten will oder das Thema Datenschutz sogar schleifen lässt. Es kommen also nicht nur diverse Ansprüche des Unternehmens gegen den Geschäftsführer in Betracht, sondern auch ein saftiges Bußgeld.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.