WISSENSWERTES | 30.09.2019
Benennung eines Datenschutzbeauftragten – künftig erhöhter Schwellenwert
Art. 37 DSGVO regelt die Pflicht zur Benennung eines Datenschutzbeauftragten unter der Ägide des europäischen Datenschutzrechts. Gemäß Art. 37 Abs. 1 DSGVO ist ein Datenschutzbeauftragter zwingend zu benennen, sofern die Verarbeitung von einer öffentlichen Stelle durchgeführt wird und die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO besteht. Unabhängig davon kann jederzeit aus Eigeninitiative heraus ein Datenschutzbeauftragter benannt werden (Art. 37 Abs. 4 S. 1 DSGVO). Diese Norm enthält in ihrem zweiten Halbsatz eine Öffnungsklausel, nach der die Mitgliedstaaten eigenständige Regelungen zur Benennung treffen können. Von dieser Ermächtigung hatte der deutsche Gesetzgeber Gebrauch gemacht und in § 38 BDSG eine Schwellenregelung zur Benennung eines Datenschutzbeauftragten umgesetzt, die nunmehr durch das Zweite Datenschutzanpassungs- und Umsetzungsgesetz vom 28. Juni 2019 geändert wurde. Was als Entlastung für kleine und mittelständische Unternehmen gedacht war, entpuppt sich beim genaueren Hinsehen leider als eine in Gesetzesform gegossene Erhöhung des Haftungsrisikos für die Verantwortlichen.
Das Bundesdatenschutzgesetz und der deutsche „Sonderweg“
Der deutsche Gesetzgeber hatte bereits mit dem Ersten Datenschutzanpassungs- und Umsetzungsgesetz vom 30. Juni 2017. von der Öffnungsklausel des Art. 37 Abs. 4 DSGVO Gebrauch gemacht und Regelungen zur Benennungspflicht in § 38 BDSG eingeführt. Danach hatten nicht-öffentliche Verantwortliche einen Datenschutzbeauftragten zu benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Anders als der Verordnungsgeber, der mit der DSGVO das Konzept der Risikoorientierung der Benennungspflicht des Datenschutzbeauftragten zugrunde legt, wählt der deutsche Gesetzgeber den bereits aus dem alten Recht (§ 4f Abs. 1 BDSG a.F.) bekannten Ansatz fester Schwellenwerte, wonach die Benennungspflicht an eine bestimmte Anzahl von Personen geknüpft ist, die ständig mit personenbezogenen Daten arbeiten. Auf der einen Seite erspart man sich auf diese Weise zwar die der Auslegung zugängliche Risikoeinschätzung, eröffnet aber auf der anderen Seite die Möglichkeit, sich hinsichtlich der Schwellenwerte kleinzurechnen – zum Nachteil der Verantwortlichen hierzulande.
Erhöhung der Schwellenwerte: 20 Personen
Nach einigem Hin und Her im Gesetzgebungsverfahren fand der Ausschuss für Inneres und Heimat einen Kompromiss für die Änderung des Bundesdatenschutzgesetzes durch Anhebung des Schwellenwertes auf 20 Personen, was so auch vom Bundestag beschlossen wurde.
Damit ist jedoch nicht viel mehr als eine „symbolische Entlastung“ kleiner und mittelständischer Unternehmen erreicht. Zwar werden sich nun für den ein oder anderen Verantwortlichen Möglichkeiten „kreativer Datenschutzmathematik“ eröffnen, um unterhalb der Schwelle zu bleiben. Das allerdings – und darauf muss das Augenmerk gelegt werden – entbindet die Verantwortlichen freilich nicht von der Einhaltung der formellen und materiellen Vorgaben aus der DSGVO und dem BDSG. Gerade in Bezug auf das schwelende Haftungsrisiko könnte durch die Gesetzesänderung eine trügerische Sicherheit vermittelt werden, die mit der bestehenden Praxis nicht in Einklang zu bringen ist. Jedenfalls in der Aufbauphase einer Datenschutz-Compliance ist zusätzliche Kompetenz zur Beurteilung der jeweils einzelfallbezogenen klärungsbedürftigen Pflichten der Verantwortlichen unerlässlich.
Ausblick
Erst in den kommenden Monaten und Jahren wird man anhand der auflaufenden Datenschutzverstöße (und der verhängten Bußgelder) sehen, ob sich die eben dargestellten Befürchtungen in der Praxis wiederfinden und im Ergebnis nicht eher das Gegenteil dessen – nämlich eine erhöhte Gefährdung der Daten der Betroffenen – erreicht wird, was ursprünglich vom Gesetzgeber gewollt war. Unternehmen jeder Größe sind nach wie vor gut beraten, das Thema der Datenschutz-Compliance in den Fokus zu stellen. Wer sich als Verantwortlicher diesem Zukunftsthema annimmt und sich entsprechend aufstellt, hat zudem gute Chancen auf erhebliche Wettbewerbsvorteile.