Abo

Editorial : Der Datenschutz braucht den betrieblichen Datenschutzbeauftragten : aus der RDV 5/2018, Seite 241 bis 242

Lesezeit 2 Min.

Anfang September 2018 hat die Bundesregierung den Entwurf eines zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 beschlossen. Das 2. DSAnpUG ist ein sog. „Omnibusgesetz“, das Detailfragen im Bereich des Datenschutzrechts an die DS-GVO anpasst. So gesehen ist das Gesetz für den betrieblichen Datenschutz wenig spektakulär. Allerdings wird es derzeit im parlamentarischen Raum diskutiert und es kann auch aus politischen Gründen geändert werden. Geht es etwa nach dem Bitkom, dann gibt es auch beim betrieblichen Datenschutzbeauftragten Anpassungsbedarf. In einer Stellungnahme aus dem Juli 2018 fordert der Internetwirtschaftsverband etwa die Anpassung des Schwellenwertes von mindestens zehn ständig mit automatisierter Datenverarbeitung befassten Beschäftigten auf 250. Die Anzahl dieser Unternehmen ist nur gering. Es käme dann, wie in der DS-GVO vorgesehen, darauf an, ob die Kerntätigkeit in der Überwachung von Personen besteht oder ob sensible Daten verarbeitet werden. In Berlin wird auch diskutiert, den Schwellenwert auf 15, 20 oder 50 ständig mit automatisierter Datenverarbeitung beschäftigte Mitarbeiter anzuheben.

Auf diese Weise will man den Unternehmen helfen, „Bürokratie abzubauen“. Dieser Schritt wäre fatal. In der unternehmerischen Praxis wird die Abschaffung des Datenschutzbeauftragten faktisch mit der Abschaffung des Datenschutzes gleichgesetzt. Davon kann natürlich keine Rede sein. Vielmehr würde der in der Verantwortung stehende Unternehmer als Verantwortlicher unmittelbar die komplexer gewordenen Interessen des Datenschutzes vertreten müssen. Dazu fehlt der Unternehmensleitung aber die Zeit und im Regelfall die Kompetenz. Mit der Vernachlässigung der datenschutzrechtlichen Pflichten erhöht sich das Bußgeldrisiko beträchtlich. Betrachtet man die Beschäftigtenzahlen, so beschäftigt der weit überwiegende Anteil deutscher Unternehmen ohnehin weniger als zehn Mitarbeiter und kommt ohne Datenschutzbeauftragten aus. Mit einer Anhebung des Wertes auf 20 würde die Zahl der Datenschutzbeauftragten in der Praxis deutlich reduziert und der Datenschutz geschwächt werden.

Weil sich der Datenschutzbeauftragte in vielen Jahren bewährt hat, ist der Gesetzgeber gut beraten, es bei der bewährten Bestellgrenze zu belassen. Um Missverständnissen etwa bei der Frage entgegenzuwirken, ob Friseure und Bäcker oder örtliche Tennisvereine auch unter der Bestellpflicht fallen, könnte der Gesetzgeber erwägen, den Begriff der ständigen Befassung zu überdenken und stattdessen den Begriff der Kerntätigkeit aus der DS-GVO aufzugreifen.

Zeitlich könnte das Gesetz noch in diesem Jahr verabschiedet werden. Will man es nicht in das Jahr 2019 verschieben, dann richtet sich der Terminplan für das Gesetz, dem der Bundesrat zustimmen muss, nach dessen Sitzungsplan. Wenn es schnell geht, dann können die nötigen drei Lesungen im Bundestag noch im November 2018 stattfinden, anderenfalls Mitte Dezember. Der Bundesrat könnte dann in seiner letzten Sitzung 2018 am 14. Dezember entscheiden. Danach tagt er erst wieder Mitte Februar 2019.

Professor Dr. Rolf Schwartmann

Prof. Dr. Rolf Schwartmann Kölner Forschungsstelle für Medienrecht der Technischen Hochschule Köln, Mitherausgeber von Recht der Datenverarbeitung (RDV) sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)