Die derzeitige Bundesregierung strebt bekanntermaßen eine Entbürokratisierung an. Im Rahmen der Ministerpräsidentenkonferenz am 4. Dezember dieses Jahres stellte der Bundeskanzler zusammen mit den Regierungschefinnen und Regierungschefs der Bundesländer daher ein ambitioniertes Vorhaben zur Staatsmodernisierung vor, das auch Pläne mit folgenreichen Änderungen im deutschen Datenschutzrecht beinhaltet.

In dem rund 55-seitigen Dokument werden unter anderem im Kapitel „Vereinfachungen im Datenschutzrecht“ konkrete Änderungen am derzeitigen Bundesdatenschutzgesetz (BDSG) vorgestellt. Diese sollen auch die Aufhebung der deutschen Regelungen zur Benennung eines Datenschutzbeauftragten (§ 38 Abs. 1 BDSG) für nichtöffentliche Stellen beinhalten.

Der Vorschlag aus dem Beschluss der MPK lautet konkret: „Der Bund wird bis zum 31.12.2026 eine Aufhebung des § 38 Abs. 1 BDSG einbringen und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Art. 37 DSGVO beschränken.“ (Rn. 160, S. 31).

Mit dieser angestrebten Gesetzesänderung soll erreicht werden, dass sich die Pflicht der Benennung eines Datenschutzbeauftragten für entsprechende Stellen nur noch aus Art. 37 DSGVO ergibt und die nationalen Besonderheiten wegfallen.

Denn anders als Art. 37 DSGVO gilt in Deutschland für nichtöffentliche Stellen die Vorgabe, dass eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter bereits dann zu benennen ist, wenn der Verantwortliche oder der Auftragsverarbeiter „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

Doch gerade diese gesetzlich klar festgelegte Schwelle der Anzahl an Beschäftigten als transparentes und objektives Kriterium soll nun wegfallen.

Folgen für Unternehmen, Verbände und sonstige nichtöffentliche Stellen

Zunächst würde die Streichung der derzeitigen Regelung in § 38 Abs. 1 BDSG dazu führen, dass die allgemeinen Vorgaben aus der geltenden DSGVO greifen und dann die Pflicht zur Benennung eines Datenschutzbeauftragen vorschreiben. Das dient auf dem ersten Blick einer europaweiten Harmonisierung, dürfte hierzulande aber zu neuen Irritationen führen, da diese Regelungen aus Art. 37 DSGVO äußerst abstrakt formuliert sind.

So kommt es nicht auf eine bestimmte Anzahl an Beschäftigten bei der Stelle an, sondern praktisch auf das jeweilige Risiko der Datenverarbeitung bzw. dessen Einsatz. Das mag passgenauer sein, aber erfordert mehr Kenntnis über alle relevanten Vorgänge.

Daher ist ein Datenschutzbeauftragter bei einer nichtöffentlichen Stelle zu benennen, wenn

„die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,“ (Art. 37 Abs. 1 lit. b DSGVO)

oder wenn

„die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“ (Art. 37 Abs. 1 lit. c DSGVO).

In der Praxis ist es für Unternehmen aber oftmals unklar, ob und wann diese Voraussetzungen vorliegen und wann sich daher eine gesetzlich vorgesehene Pflicht zu Benennung eines Datenschutzbeauftragten ergibt.

Es droht Rechtsunsicherheit

Daher droht insbesondere Unternehmen eine deutliche Rechtsunsicherheit, wenn die konkreten Verarbeitungsvorgänge oder Risiken für die Datenverarbeitung nicht hinreichend regelmäßig geprüft und bekannt sind. Zunehmend werden komplexe Tools oder Systeme für die umfangreiche Verarbeitung von personenbezogenen Daten oder in der HR-Abteilung für die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten bei Krankmeldung oder Arbeitsunfällen, eingesetzt. Auch elektronische Zeiterfassungssysteme oder bestimmte Funktionen von Apps wie beispielsweise bei M365 – Teams könnten entsprechende (sensible) Verarbeitungen begünstigen.

Gleiches gilt, wenn Verarbeitungsvorgänge durchgeführt werden, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, was möglicherweise bereits die IT-Sicherheit oder der Gebäudeschutz (durch intelligente Videoüberwachungsanlagen) einfordern.

Ferner müsste dann bewertet werden, ob diese Prozesse als „Kerntätigkeit“ des Unternehmens zu betrachten wären, was auch im Laufe der Zeit variieren könnte und von vielen Aspekten abhängig ist. Im Zweifel setzt dies eine flächendeckende Risikoanalyse voraus.

Fazit und Empfehlung

Alles in allem würde sich wohl für viele der nichtöffentlichen Stellen beim Einsatz von digitalen Anwendungen und modernen, komplexen Systemen im Ergebnis nichts ändern. Die Pflicht zu Benennung eines Datenschutzbeauftragten würde sich dann nach der Risikoeinschätzung zur Datenverarbeitung grundsätzlich aus Art. 37 Abs. 1 DSGVO ergeben.

Aber selbst wenn nicht, gelten alle weiteren Regelungen aus der DSGVO unbeirrt weiter, d.h. die datenschutzrechtlichen Pflichten wie auch die Dokumentation von Prozessen im Rahmen der Rechenschaftspflichten müssen die Unternehmen ohnehin erfüllen, ungeachtet der Pflicht zur Benennung eines Datenschutzbeauftragten. Das gilt z. B. bei der Umsetzung von Betroffenenanfragen und den Informationspflichten, beim Umgang mit Datenschutzvorfällen oder dem Abschluss von Datenschutzverträgen mit externen Dienstleistern.

Das entsprechende Know How ist in einem Großteil der Unternehmen jedoch nicht vorhanden – es liegt seit Jahrzehnten bei den internen oder externen Datenschutzbeauftragten. Mit einer Streichung des § 38 BDSG schickt man die Lotsen von Bord bei gleichbleibenden Untiefen und Unsicherheiten, da die Prüf- und Rechenschaftspflichten bleiben. Sie werden NICHT weniger, sondern wachsen als weiteres Aufgabengebiet allein bei der Geschäftsführung der Unternehmen an, die sich nun selbst prüfen und kontrollieren sollen. Als Folge werden Datenschutzverstöße und damit Grundrechtsverstöße gegen die Rechte der Betroffenen zunehmen und wohl auch mehr Bußgelder dürften verhängt werden.

| | | , , , , | 1 Kommentar