So oder so ähnlich titeln gerade viele Publikationen. Es geht darum, dass der Bundestag am 27.6.2019 ein Gesetz veranschiedet hat, wonach die im §38 BDSG festgeschriebene Benennungspflicht für Datenschutzbeauftragte bei Unternehmen, in denen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, auf „mindestens 20 Personen“ angehoben wird. Der Hintergrund ist klar: seit etwa eineinhalb Jahren arbeiten diverse Lobbyorganisationen des Mittelstands (deren Arbeit ich insgesamt keinesfalls als negativ darstellen möchte) massiv daran, die Datenschutzvorgaben für KMU „erträglicher“ zu machen. So weit, so begrüßenswert. Das Ziel der Bundesregierung ist – so erklärt man es zumindest offiziell – die Reduzierung der Bürokratie. Ich persönlich kenne auch dabei niemanden, der diesem Ziel nicht zustimmen würde.
Der bürokratische Aufwand im Datenschutz hat mit dem Datenschutzbeauftragten überhaupt nichts (wirklich: NULL) zu tun.
Was die Autoren diverser Publikationen nicht beachten (oder aber bewusst verdrehen) ist die Tatsache, dass durch diese Neuregelung eben genau keine Erleichterungen in den Datenschutzvorgaben für KMU geschaffen werden und schon erst recht keine Bürokratie verringert wird. Denn der bürokratische Aufwand, hat mit dem DSB überhaupt nichts (wirklich: NULL) zu tun. Die Bürokratie trifft den Verantwortlichen und genau diesen Aspekt lässt die Entscheidung des Bundestags völlig außen vor. Das Gegenteil ist der Fall:
Der Datenschutzbeauftragte ist genau die Person, die den Unternehmer von überbordender Bürokratie des Datenschutzmanagements entlasten kann.
Denn der Datenschutzbeauftragte (sofern er angemessen kompetent ist, eine anständige Dienstleistung erbringt und nicht zu den Scharlatanen gehört, die im Mai 2018 sozusagen aus dem Nichts erschienen sind, weil sie „DSGVO“ einigermaßen fehlerfrei buchstabieren konnten und seitdem den Unternehmen schlechte und überteuerte Dienstleistungen andrehen) ist genau die Person, die den Unternehmer von überbordender Bürokratie des Datenschutzmanagements entlastet. Ein guter DSB weiß, was warum wie zu tun ist und was eben nicht, hat die richtigen Werkzeuge an Bord und sorgt dafür, dass der Verantwortliche eben genau so wenig wie möglich Aufwand in das Thema Datenschutz investieren muss (dafür aber an genau den richtigen Stellen).
Der Bundesdatenschutzbeauftragte Ulrich Kelber schrieb dazu auf Twitter:
Wie befürchtet: (Falscher) Beschluss zum Abbau Benennungspflicht Datenschutzbeauftragte löst gefährlichen Irrglauben aus, dass Betriebe jetzt weniger Datenschutzpflichten hätten: “Bundestag lockert Datenschutz für Kleinbetriebe - https://t.co/tjcNjzHoeb” https://t.co/GHB20RSLgc pic.twitter.com/tFjKHwTmsW
— Ulrich Kelber (@UlrichKelber) June 28, 2019
Redebeitrag von Dr. Konstantin von Notz bei der Bundestagsdebatte am 28.6.2019
Rein fachlich unterliegen viele Unternehmer nämlich einem Trugschluss bezüglich der Benennungspflicht: die 10 (oder nun 20) Personen-Regel ist nicht das einzige Kriterium zur Entscheidung, ob ein Datenschutzbeauftragter zu benennen ist. Vielmehr legen Art. 73 DSGVO und darauf basierend §38 BDSG einen Kriterienkatalog fest, an dem die Benennungspflicht festzumachen ist.
Die 10 (oder nun 20) Personen-Regel ist nicht das einzige Kriterium zur Entscheidung, ob ein Datenschutzbeauftragter zu benennen ist.
Aus gutem Grund: denn die alleinige Betrachtung der Anzahl der Mitarbeiter berücksichtigt nicht das Risiko, das von der Verarbeitung für die Rechte und Freiheiten der betroffenen Personen ausgeht. So sind bspw. im Gesundheitswesen (Krankenhäufer, Pflegeheime und -dienste, usw.) ganz andere Kriterien ebenso maßgebend. Gem. Art. 37 Abs. 1 Buchst. c DSGVO basiert hier die Benennungspflicht regelmäßig auf folgenden Kriterien:
- Verarbeitung von besonderen Kategorien von Daten nach Art. 9, 10 DSGVO
- als Kerntätigkeit und
- im Rahmen einer umfangreichen Verarbeitung
Die Kerntätigkeit ist nicht zuletzt aufgrund gesetzlicher Vorgaben zur Dokumentation genau diese umfangreiche Verarbeitung besonderer personenbezogener Daten (hier. Gesundheitsdaten). Die Anzahl der Mitarbeiter spielt hierbei oft eine untergeordnete bis keine Rolle.
Die Gesetzesänderung hat also in vielen Bereichen (bspw. im Bereich des Gesundheitswesens) keinerlei positive Auswirkungen (nur dass erneut Verunsicherung mittelständischer Unternehmer billigend in Kauf genommen und das „Image“ eines so wichtigen Gesetzes weiter beschädigt wurde).
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung oder Datenschutz für Ihr Unternehmen? Sind Sie Projektverantwortlicher oder betrieblicher Datenschutzbeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor. Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studenten.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen