Der betriebliche Datenschutz könnte durch eine Initiative des Bundesrats einen Kahlschlag erfahren. Die Bundesratausschüsse für Inneres und Wirtschaft haben in ihrer Stellungnahme zum Regierungsentwurf des 2. EU-Datenschutz-Anpassungs- und Umsetzungsgesetzes (2. DSAnpUGEU)  zusätzliche Änderungen im Bundesdatenschutzgesetz (BDSG-neu) vorgeschlagen.

Die Ausschüsse haben verschiedene Vorschläge für eine Neugestaltung des § 38 BDSG-neu eingebracht. Die Vorschläge sind stufenartig aufgebaut, sollte die Maximalforderung nicht angenommen werden greift Stufe 2 usw.

Zur Erinnerung: § 38 BDSG-neu regelt ergänzend zu Artikel 37 DSGVO die Bestellung eines Datenschutzbeauftragten nichtöffentlicher Stellen. Zwei wichtige Fälle für die Bestellung betrieblicher Datenschutzbeauftragter (bDSB) in § 38 BDSG-neu sollen nach dem Vorschlag der Bundesratsausschüsse gestrichen werden (Nr. 2 der Stellungnahme):

  1. wenn im Unternehmen mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind und
  2. wenn im Unternehmen nach der EU-Datenschutzgrundverordnung (DSGVO) eine Datenschutz-Folgenabschätzung nach Art. 35 stattfinden müsste, d.h. bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen.

Diese Maximalforderung würde dazu führen, dass in Deutschland keine besonderen Benennungspflichten für bDSB mehr gelten würden. bDSB müssten nur noch bestellt werden, wenn ein Unternehmen personenbezogene Daten geschäftsmäßig zur Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.

Für den Fall, dass diese Maximalforderungen nicht angenommen werden, machen die Bundesratausschüsse Alternativvorschläge (Nummern 3 – 5 der Stellungnahme). Der erste Alternativvorschlag sieht vor, dass bDSB nur zu bestellen sind, wenn eine Datenschutz-Folgenabschätzung durchzuführen ist oder personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung automatisiert verarbeitet werden.

Sollte auch dieser Vorschlag keine Zustimmung erhalten, soll Alternativvorschlag drei greifen, nach dem die Grenze zur Bestellpflicht eines bDSB bei Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, von zehn auf 50 hochgesetzt wird.

Zur Begründung sagt der Entwurf, dass Freiberufler, kleine und mittlere Unternehmen und Vereine entlastet werden müssten, insbesondere auch im Verhältnis zu europäischen Wettbewerbern, die diesen Pflichten nicht unterlägen. Die bDSB hätten nach der DSGVO nur noch Überwachungsaufgaben, keine operativen Funktionen.

Sollten die Maximalforderungen im Gesetzgebungsverfahren Bestand haben, würde dies dazu führen, dass nach dem BDSG-neu nur in wenigen Ausnahmefällen noch betriebliche Datenschutzbeauftragte bestellt werden müssten. Für die meisten Unternehmen bliebe es bei der europarechtlichen Regelung nach Art. 37 DSGVO. Danach müssen bDSB bestellt werden, wenn die Datenverarbeitung nach Art, Umfang oder Zweck eine systematische Überwachung von Personen erforderlich macht, oder wenn es dabei um besondere personenbezogene Daten nach Art. 9 oder 10 DSGVO geht: z.B. um Gesundheitsdaten oder strafrechtliche Verurteilungen.

Des Weiteren wollen die Bundesratausschüsse ins BDSG-neu einfügen, dass Datenschutz-Verstöße kein Klagerecht nach § 3a des Gesetzes über unlauteren Wettbewerb (UWG) begründen (Nr. 6 der Stellungnahme).

Beurteilung

Die Vorschläge der Bundesratsausschüsse sind kritisch zu sehen. Die derzeitigen Regelungen im BDSG-neu sind meiner Meinung nach durchaus angemessen. Betriebliche Datenschutzbeauftragte gewährleisten eine unabhängige Kontrolle und sorgen für korrekte Abläufe. Sie bedeuten für Kunden, Mitglieder oder Interessenten von Unternehmen das, was die Kontrolle durch Wirtschaftsprüfer für die Banken eines Unternehmens bedeutet, oder was Betriebsräte für die Arbeitnehmer eines Unternehmens sind. Datenschutzbeauftragte sind eine Instanz der Qualitätssicherung.

Es ist zu bedenken, dass der Wegfall der Bestellpflicht eines bDSB nicht die Pflichten eines Unternehmens, wie die Führung eines Verarbeitungsverzeichnisses, zur Folge hat. Es entfällt aber die Unterstützung bei der Umsetzung der rechtlichen Verpflichtungen und vor allem die Kontrolle, ob sie erfüllt werden.

Mit dem Inkrafttreten der DSGVO ist bei vielen Unternehmen und Vereinen eine „Datenschutz-Panik“ entstanden. Diese legt sich langsam. Hektische Korrekturen sind fehl am Platz.