Die nationale Regelung des § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) sieht neben den Regelungen des Art. 37 Abs. 1 DS-GVO vor, dass nicht-öffentliche Stellen einen Datenschutzbeauftragten zu benennen haben, sofern regelmäßig mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein aktuelles Positionspapier der Bundesregierung benennt nun im Zusammenhang mit der Reduktion datenschutzrechtlicher Anforderungen unter anderem die Heraufsetzung dieses Schwellwertes von 20 Beschäftigte auf 50 Beschäftigte. Ein kurzer Überblick.
Anwendung datenschutzrechtlicher Anforderungen reduzieren
„Zur Dynamisierung der deutschen Wirtschaft soll auch der bürokratische Aufwand bei der Anwendung datenschutzrechtlicher Anforderungen reduziert werden und die Anwendung auf europäischer Ebene vereinheitlicht werden“, heißt es unter Ziffer 13 in einem erst jüngst veröffentlichten Papier der Bundesregierung mit dem Titel „Wachstumsinitiative – neue wirtschaftliche Dynamik für Deutschland“.
Als konkrete Maßnahmen werden insgesamt sieben Punkte angeführt, darunter die Konzentration der Zuständigkeit einzelner Aufsichtsbehörden für bestimmte Branchen und Sektoren, eine stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz, die Präzisierung und Konkretisierung im nationalen Recht zur Erhöhung der Rechtssicherheit und zur Erleichterung der Anwendung sowie eben benannte Erhöhung des Schwellenwerts zur verpflichtenden Benennung eines Datenschutzbeauftragten.
Unklar ist zunächst, in welchem zeitlichen Rahmen mit der Umsetzung der angeführten Maßnahmen gerechnet werden kann. Es ist jedoch nicht unwahrscheinlich, dass die beabsichtigten Änderungen früher oder später tatsächlich umgesetzt werden. Schließlich sind einige der angeführten Punkte nicht neu: Bereits mit der sich im Gesetzgebungsprozess befindlichen Änderung des Bundesdatenschutzgesetzes verfolgt der Gesetzgeber eine Institutionalisierung der Datenschutzkonferenz. Eine bereits beabsichtigte Vereinheitlichung der Anwendung des Datenschutzrechts dürfte allein hierdurch aber nicht erreicht werden. Im Zuge selbiger Änderung wurde zudem die Abschaffung der Benennungspflicht eines Datenschutzbeauftragten nach § 38 BDSG diskutiert. Das Argument: Entbürokratisierung. Die Abschaffung der Benennungspflicht nach nationalen Normen scheiterte jedoch.
Heraufsetzung des Schwellwertes
Grundsätzlich ist eine Heraufsetzung des Schwellwertes einer gänzlichen Abschaffung der Benennungspflicht vorzuziehen. Aber auch diese Herangehensweise ist nicht neu: Bereits im November 2019 wurde der damalige Schwellwert des § 38 BDSG von zehn auf 20 Beschäftigte erhöht. Danach wurden immer wieder Stimmen laut, die eine weitere Anhebung des Schwellwertes forderten. Eine mehrheitliche Unterstützung des Vorhabens im Bundestag und Bundesrat scheint indes gewiss. Ist eine solche Gesetzesänderung jedoch auch sinnvoll?
Sicherlich ist Deutschland eines der wenigen Länder – oder sogar das einzige Land – welches in Bezug auf die Benennung des Datenschutzbeauftragten zusätzliche Regelungen getroffen hat. Die EU-weit einheitliche Norm des Art. 37 DS-GVO fordert die Benennung eines Datenschutzbeauftragten ausschließlich im Falle von öffentlichen Stellen, umfangreichen und systematischen Überwachungen betroffener Personen oder einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO beziehungsweise von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO. Diese Regelung scheint in den anderen Mitgliedsstaaten ausreichend. Wieso also nicht auch in Deutschland?
Weniger Datenschutzbeauftragte ≠ weniger Bürokratie
In diesem Zusammenhang wird regelmäßig verkannt, dass die (verpflichtende) Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.
Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.
Wenn Änderung, dann bitte konsequent!
Sollte es zu einer Änderung des Schwellwertes gemäß § 38 Abs. 1 Satz 1 BDSG kommen, ist nur zu hoffen, dass der Gesetzgeber diese Gelegenheit nutzt und die Regelung des § 38 Abs. 1 Satz 2 ebenfalls korrigiert: Nach dieser Norm ist die Benennung eines Datenschutzbeauftragten unter anderem ebenfalls verpflichtend, sofern der Verantwortliche oder der Auftragsverarbeiter zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verpflichtet ist – und zwar unabhängig von einer Beschäftigtenzahl. In Zeiten von Hinweisgeberschutz und Künstlicher Intelligenz wären demnach weiterhin viele Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
