Die Bundesregierung plant derzeit im Rahmen einer „Wachstumsinitiative“ u. a. Maßnahmen, um den bürokratischen Aufwand bei der Anwendung datenschutzrechtlicher Anforderungen zu reduzieren.
Nach aktueller Gesetzeslage müssen Verantwortliche gemäß § 38 Abs. 1 S. 1 BDSG einen Datenschutzbeauftragen benennen, „[…] soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“
Diese Grenze soll laut Regierungsplan nun von 20 auf 50 Mitarbeitende erhöht werden (vgl. Abschnitt II, Punkt 13 c. im oben genannten Dokument).
Kein Datenschutzbeauftragter, dann auch kein Datenschutzrecht mehr?
Eine mögliche Folge dieser Erhöhung könnte durchaus sein, dass kleinere Unternehmen keine Pflicht mehr haben, einen Datenschutzbeauftragten zu benennen – doch die Freude dürfte nur von kurzer Dauer sein: An das Datenschutzrecht müssen sie sich natürlich nach wie vor halten.
Denn die Anwendbarkeit und damit auch die Pflicht zur Einhaltung der Vorschriften der Datenschutz-Grundverordnung (DSGVO) knüpft nicht an die Ernennung und die Existenz eines Datenschutzbeauftragten im Unternehmen an, sondern u. a. an Art. 2 der DSGVO und damit auch an den Umstand, dass „eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“ stattfindet bzw. „eine nicht automatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.
Dass nach § 38 Abs. 1 S. 2 BDSG viele Unternehmen völlig unabhängig von der Anzahl ihrer Beschäftigten einen Datenschutzbeauftragten benennen müssen, sofern sie Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, sei an dieser Stelle ebenfalls erwähnt.
Und wer ist künftig für den Datenschutz im Unternehmen zuständig?
Mit der Aufgabe des Datenschutzbeauftragten kann entweder ein Mitarbeiter des Unternehmens betraut werden oder ein externer Dienstleister. Beide Optionen haben ihre Vorteile. Ein interner Datenschutzbeauftragter ist mit den Abläufen im Unternehmen als „Insider“ meist am besten vertraut, während ein externer Datenschutzbeauftragter, gerade wenn er Teil eines Teams ist, auf einen größeren Wissenspool zurückgreifen kann und ein Ausfall durch Krankheit, Urlaub oder Elternzeit hier keine Rolle spielt.
Entfällt die Pflicht zur Benennung eines Datenschutzbeauftragten in kleineren oder mittelständischen Unternehmen, dürfte sich in den Unternehmen bald die Frage stellen, an wen man sich nun im Falle von datenschutzrechtlichen Fragen oder bei einer Datenpanne wenden soll. Schließlich gilt die DSGVO ja weiterhin.
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. sieht als Folge der geplanten Erhöhung der Benennungsgrenze für einen Datenschutzbeauftragten keinerlei Entbürokratisierung, sondern vor allem für kleine und mittelständische Unternehmen den Verlust eines „wichtigen, fachkundigen Berater[s]“, der gerade bei der Einführung neuer Technologien (z. B. KI) dringend benötigt wird.
Fazit
Mit der geplanten Erhöhung der Benennungsgrenze für einen Datenschutzbeauftragten mag für manch ein Unternehmen die Pflicht zur Benennung entfallen, die datenschutzrechtlichen Anforderungen und Pflichten aus der DSGVO bleiben jedoch.
Fehlt die Fachexpertise durch den internen Datenschutzbeauftragten, werden Unternehmen ohne eigene Rechtsabteilung wohl auf die Unterstützung durch einen Rechtsanwalt oder eine auf Datenschutz spezialisierte Beratung zurückgreifen müssen, um den gesetzlichen Anforderungen gerecht zu werden. Sobald ein externer Dienstleister ins Spiel kommt, muss sich das Unternehmen bzw. der Verantwortliche auch mit diesem abstimmen, was wiederum die Rolle eines Datenschutzkoordinators im Unternehmen erforderlich machen kann.
Ob sich am Ende durch die geplanten Änderungen wirklich der Aufwand und auch die Kosten für Unternehmen reduzieren lassen, bleibt daher abzuwarten. Wir werden Sie in unserem Blog über dieses Thema auf dem Laufenden halten.