Editorial : Entbürokratisierung durch betriebliche Datenschutzbeauftragte : aus der RDV 3/2025, Seite 123 bis 124

Im Rahmen der Diskussion um eine Entbürokratisierung des Datenschutzes steht die Abschaffung einer Bestellpflicht von betrieblichen Datenschutzbeauftragten für kleine und mittlere Unternehmen ab 20 Personen, die mit Datenverarbeitung befasst sind, zur Debatte. Das Bundesdatenschutzgesetz macht die Bestellung eines betrieblichen Datenschutzbeauftragten auch in Unternehmen dieser Größenordnung obligatorisch. Das ist klug und umsichtig, weil die Verarbeitung personenbezogener Daten von der DS-GVO komplex reguliert ist und auch kleine Verstöße scharf sanktioniert sind. Darin unterscheidet sich das Datenschutzrecht deutlich von anderen Wirtschaftsbereichen, etwa dem Gewerberecht oder dem Abfallrecht. Ein Verstoß gegen datenschutzrechtliche Pflichten ist hier mit Bußgeldern bis zu 4 % des Jahresumsatzes eines Unternehmens sanktioniert. Zu Datenschutzverstößen gehören auch Verstöße gegen die Datensicherheit. Nach der Rechtsprechung des Bundesgerichtshofes liegt eine Datenpanne schon dann vor, wenn personenbezogene Daten sich, ohne das weitere Konsequenzen erforderlich wären, kurz der Kontrolle des Unternehmens entziehen. Solche Vorfälle sind insbesondere in kleinen und mittleren Unternehmen an der Tagesordnung. Wenn man als Unternehmen von einer Datenpanne betroffenen ist, etwa weil Kundenkonten gehackt wurden, können betroffene Kunden nach der DS-GVO Schadensersatz vom Unternehmen verlangen. Da Datenpannen in der Regel eine Vielzahl von Kunden betreffen, drohen hier Massenklagen. Weil die Firmenleitungen mit den Anforderungen des Rechts überfordert sind, gibt es betriebliche Datenschutzbeauftragte. Sie beraten die Unternehmensleitung in Fragen des Datenschutzrechts und halten ihnen datenschutzrechtlich den Rücken frei. Sie tragen erheblich zur Vermeidung von Haftungs- und Schadensersatzrisiken bei. Der betriebliche Datenschutzbeauftragte reduziert die bürokratische Last, die die DS-GVO den Unternehmen aufbürdet. Er übernimmt als Datenschutzprofi im Unternehmen die Aufgaben, die die Firmenleitung zeitlich und fachlich überfordern. Er ist auch „Troubleshooter“, wenn sich Kunden oder Mitarbeiter über Datenschutzverstöße beschweren. Ohne ihn, landen die Beschwerden unmittelbar bei den Datenschutzaufsichtsbehörden. Deren Fragen muss die Unternehmensleitung dann unmittelbar selbst beantworten und gegebenenfalls weitere aufsichtsbehördliche Maßnahmen erdulden. Hebt der Gesetzgeber die niedrigschwellige Bestellpflicht auf, dann ermuntert er Unternehmen dazu, auf betriebliche Datenschutzbeauftragte zu verzichten. Damit setzt er sie erheblichen Gefahren aus. Denn auch wenn der Datenschutzbeauftragte entfällt, bleibt das Datenschutzrecht mit seinen Pflichten und Sanktionen bestehen. Die Abschaffung der niedrigschwelligen Bestellpflicht mag auf den ersten Blick wie eine Erleichterung aussehen; bei Licht betrachtet wäre sie ein Danaergeschenk des Gesetzgebers.