Zum Inhalt springen Zur Navigation springen
Befreiung von Benennungspflicht für Datenschutzbeauftragte ohne Effekt

Befreiung von Benennungspflicht für Datenschutzbeauftragte ohne Effekt

Zwei Ausschüsse des Bundesrates empfehlen die Abschaffung oder Aufweichung der besonderen Pflicht in Deutschland, ab 10 Mitarbeitern einen Datenschutzbeauftragten benennen zu müssen. Das damit verfolgte Ziel, Vereine, Freiberufler und KMU zu entlasten, kann so jedoch nicht erreicht werden.

Die Empfehlungen der Ausschüsse des Bundesrats

Wie heute durch Prof. Taeger auf Twitter bekannt wurde, haben die Ausschüsse für Innere Angelegenheiten und der Wirtschaftsausschuss des Bundesrates die Empfehlung ausgesprochen, die Verpflichtung für Unternehmen, ab 10 Mitarbeitern einen Datenschutzbeauftragten benennen zu müssen, entweder gänzlich abzuschaffen oder zumindest aufzuweichen.

Konkret werden verschiedene Varianten zur Änderung der Benennungspflicht vorgeschlagen:

  • Radikalste und politisch kaum vermittelbare Umsetzung wäre die Streichung der besonderen Benennungspflicht in Deutschland (mit Einschränkungen in Ziffer 2 und vollständig in Ziffer 3).
  • Als vermittelnde Lösungen werden die Beschränkung der Benennungspflicht auf Unternehmen, die Daten „zu gewerblichen Zwecken“ verarbeiten (Ziffer 4) oder
  • die Anhebung der Grenze für die Bestellungspflicht von zehn auf 50 Mitarbeiter (Ziffer 5) vorgeschlagen.

Befreiung von DSB-Pflicht würde keine Entlastung bringen

Es dürfte wenig überraschen, dass wir als externe Datenschutzbeauftragte schon aus eigenem Interesse wenig von diesem Vorstoß halten. Allerdings sprechen auch objektive Gründe eindeutig gegen die geplante Aufweichung des erst kürzlich neu geschaffenen BDSG:

Erklärtes Ziel der Empfehlungen ist die Entlastung von KMU, Freiberuflichen, Vereinen und Organisationen mit Ehrenamtlichen. Tatsächlich kann eine Entlastung aber nicht dadurch erreicht werden, dass man niemanden mehr benennen muss, der sich um die Einhaltung datenschutzrechtlicher Pflichten kümmert.

Die Empfehlungen für den Bundesrat bauen auf dem weitverbreiteten Irrtum auf, dass die 10-Personen-Grenze des § 38 BDSG irgendwelche Auswirkungen darauf hätte, ob Maßnahmen zur DSGVO-Umsetzung durchgeführt werden müssten oder nicht (z.B. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten oder Erfüllung von Informationspflichten). Eine Streichung oder Anhebung der Grenze würde jedoch lediglich dazu führen, dass z.B. ein Sportverein mit 30 Beschäftigten, die an einem PC mit Mitgliederdaten arbeiten, keinen Datenschutzbeauftragten mehr benennen muss. Die genannten Pflichten der DSGVO müssten sie aber trotzdem erfüllen.

Eine bloße Lockerung der Pflicht zur Benennung eines Datenschutzbeauftragten würde also bloß dazu führen, dass die Vorgaben der DSGVO und des BDSG wieder weitreichender unbeachtet blieben. Im Falle des kleinen Sportvereins vielleicht zu verschmerzen, bei einem Unternehmen mit Hunderten von Mitarbeitern oder Kunden aber kaum.

Wie man KMU und Vereine entlasten könnte

Da meckern immer einfach ist, sollte ergänzend diskutiert werden, wie man KMU und Vereine tatsächlich entlasten könnte. Denn ganz offensichtlich sind die Vorschriften der DSGVO für kleine Unternehmen und Vereine zum Teil überbordend und überfordernd.

Naheliegend wäre z.B. eine Erleichterung bei den Informationspflichten für Freiberufler und Vereine. Hier hätte der deutsche Gesetzgeber im Rahmen der DSGVO-Öffnungsklausel reichlich Spielraum, den er in den bisherigen Regelungen der §§ 32 und 33 BDSG aber kaum genutzt hat. Generell wünschenswert wäre auch, die Erleichterung für KMU in Art. 30 Abs. 5 DSGVO bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten zu erweitern (was allerdings nicht Sache des deutschen Gesetzgebers ist).

Von den Empfehlungen der Ausschüsse erscheint allenfalls die Anhebung der Zehn-Personen-Grenze auf 50 Personen als annehmbar, weil die formale Benennung eines DSB bei sehr kleinen Unternehmen oder Vereinen häufig übertrieben scheint. Alle anderen Vorschläge würden aber lediglich zu einer erneuten Aufweichung des Datenschutzes in Deutschland führen, ohne dabei den gewünschten Entlastungseffekt zu erzielen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Ich stimme zu, dass der Wegfall einer Bestellpflicht nichts an der datenschutzrechtlichen Verantwortung für die Datenverarbeitung selbst ändern würde. Nach m.E. rächt es sich, dass die Aufsichtsbehörden nicht besser personell ausgestattet sind, um ihrer Beratungsfunktion besser nachkommen zu können. Sicher, z.B. das BayLDA bietet speziell für Vereine Hilfestellungen an. Allerdings kann ich aus eigener Erfahrung aus meinem Sportverein berichten, dass eben viele Verantwortliche und das schließt die Dachverbände mit ein komplett verloren sind.

  • Eine Aufweichung gerade in dieser Frage? Das ist die (mit Verlaub) „dümmste“ Entscheidung, die man überhaupt treffen kann. Genau diese Unternehmen, die eben in dieser Kategorie (bis 50 Mitarbeiter) angesiedelt sind, haben eigentlich die größten Probleme mit der Verständnis, der Umsetzung und Anwendung der DSGVO. Bei einigen ist eine Ignoranz festzustellen, die genau in diese Kerbe treffen würde. Das käme so vielen unwilligen Unternehmen gerade recht. Denn dann wird das Thema Datenschutz erst recht ganz unten angestellt (wenn überhaupt). Hier zeigte sich, dass gerade ein DSB diese gefährliche Lücke schließen kann. Natürlich sind durch die DSGVO viele „neue“ Kollegen entstanden, die leider auch das Preisgefüge auf ein erschreckend hohes Niveau katapultiert haben. Und das machte die Akzeptanz zur DSGVO nicht unbedingt einfacher. Wenn aber jetzt wirklich darüber nachgedacht wird, den DSB erst ab 50 Mitarbeitern einzusetzen, dann funktioniert Datenschutz einfach mehr so, wie es gerade für die Betroffenen notwendig ist. So ist z.B. in der Wohnungswirtschaft festzustellen, dass der größte „Brocken“ zur Bewältigung der sehr umfänglichen Anforderungen in einer Immobilienverwaltung nicht ohne Begleitung eines Fachmanns funktioniert. Selbst dann, wenn ein DSB das ganze überwacht, geht vieles sehr schleppend oder gar nicht. Das in den „Hintern treten“ durch den DSB ist eine der wichtigsten Tätigkeiten eines DSBs. Und wenn nun diese Institution nicht mehr vorhanden wäre, gilt für viele diese (Zitat: „total bescheuerte“) DSGVO schlichtweg nicht mehr. Alles wieder auf Anfang. Hier schiebe ich auch wirklich viel Verantwortung und auch etwas Schuld den Behörden in die Schuhe. Uneinigkeit in Definition von Gesetzen, verspätete Prozesse (siehe Meldung des DSB), wenige bis gar keine Vorlagen und Muster (außer Bayern) und eine Bundesdatenschutzbeauftragte, die nicht präsent ist. Datenschutz scheint ein großer zahnloser Papiertiger zu sein, der zwar droht, aber irgendwie nicht zubeisst. Im Datenschutz geht es um viel mehr, als um die lästige Frage, ob es einen DSB braucht oder nicht. Natürlich ist es auch immer eine Frage der Kosten. Wenn man den Nutzen und vor allem auch die Notwendigkeit von allen Seiten transparenter und besser darstellen könnte, wäre es wohl sicher ein Stück einfacher den Datenschutz in die Köpfe der Verantwortlichen zu bringen. Aber wenn es jetzt schon so losgeht, sehe ich einfach genau das Gegenteil. Nämlich keinen Datenschutz bei KMUs. Vereine will ich mal nicht so sein. Aber Unternehmen? Nö das wird so nix.

  • Warum wird hierüber nicht berichtet?
    Doch keine Änderung der Bestellpflicht für Datenschutzbeauftragte
    [Text von anderer Website entfernt]

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.