Aus einem aktuellen Sondierungspapier vom 8. März 2025 von CDU, CSU und SPD ist unter der Überschrift Bürokratie rückbauen zu entnehmen, dass die Parteien planen, künftig „die Zahl der gesetzlich vorgeschriebenen Betriebsbeauftragten signifikant reduzieren“ zu wollen. Auch wenn hierbei die betreffenden Beauftragten (noch) nicht näher bezeichnet werden, ist ziemlich sicher davon auszugehen, dass hiervon auch die Regelungen in Bezug auf den (betrieblichen) Datenschutzbeauftragten betroffen sein werden. Schließlich wird bereits seit längerem darüber diskutiert, die bisherige Benennungsgrenze anzuheben oder die – ergänzend zur DS-GVO bestehende – nationale Regelung gänzlich abzuschaffen. Der nachfolgende Blog-Beitrag gibt einen Überblick über die derzeitige Rechtslage und potenzielle künftige Änderungen.
Derzeitige Rechtslage
Grundsätzlich wird in Art. 37 Abs. 1 DS-GVO geregelt, in welchen konkreten Fällen die Benennung eines Datenschutzbeauftragten verpflichtend ist. Hierzu zählen ausschließlich (a) Datenverarbeitungen durch Behörden oder öffentliche Stellen, mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeiten, (b) Kerntätigkeiten in der Durchführung von Datenverarbeitungen, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z. B. Auskunfteien, Anbieter von Fitness-Apps, Detekteien) sowie (c) Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO, z. B. Altersheime, Arztpraxen, Krankenhäuser) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO, z. B. Anwaltskanzleien mit Bezug zum Strafrecht).
Ergänzend zu diesen Regelungen im Rahmen der DS-GVO wird in der nationalen Vorschrift des § 38 Abs. 1 BDSG geregelt, unter welchen weiteren Voraussetzungen die Benennung eines (betrieblichen) Datenschutzbeauftragten verpflichtend ist. In Satz 1 heißt es: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 [DS-GVO, Anm. d. Autors] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Eine solche automatisierte Verarbeitung personenbezogener Daten liegt in der Regel bereits dann schon vor, wenn die betreffenden Beschäftigten im Rahmen ihrer Tätigkeiten über einen E-Mail-Zugang verfügen.
Unabhängig von der konkreten Zahl der Beschäftigten heißt es in Satz 2 weiter: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Wann eine solche Datenschutz-Folgenabschätzung regelmäßig durchzuführen ist, ergibt sich beispielsweise durch eine Auflistung der Datenschutzkonferenz.
Hauptsächlich die Regelung des § 38 Abs. 1 Satz 1 BDSG sorgt dafür, dass eine Vielzahl von Unternehmen und Vereinen in Deutschland zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet sind.
Mögliche Umsetzungsvarianten
Eine Anpassung der Rechtslage zur verpflichtenden Benennung von Datenschutzbeauftragten ist durch die neue Bundesregierung auch ausschließlich in Bezug auf die nationale Regelung des § 38 BDSG – also insbesondere in Bezug auf die Beschäftigtenzahl – möglich. Diesbezüglich ergeben sich grundsätzlich zwei mögliche Varianten:
- Anhebung des Schwellwertes: In der Vergangenheit wurde bereits des Öfteren über eine Anhebung des derzeitigen Schwellwertes diskutiert. Nachdem bereits im Jahr 2019 die ursprüngliche Grenze von zehn Beschäftigten auf 20 Beschäftigten angehoben wurde, wären 50, 100 oder 250 Beschäftigte eine nächste mögliche Stufe. Auch bereits eine solche Anhebung würde dazu führen, dass die Zahl der zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichteten Stellen signifikant sinken würde.
- Streichung der Regelung: Weiterhin wäre auch eine komplette Streichung der Regelung des § 38 BDSG möglich. In diesem Falle würden zukünftig ausschließlich die Regelungen des oben dargestellten Art. 37 Abs. 1 DS-GVO greifen. Infolgedessen wären zukünftig wohl die wenigsten Organisationen zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet.
Derzeit ist noch unklar, welche konkreten Änderungen uns bevorstehen und ob sich eher die Forderungen der SPD (in der Vergangenheit: Anhebung des Schwellwertes) oder der CDU/CSU (in der Vergangenheit: Streichung des § 38 BDSG) durchsetzen werden. Die freiwillige Benennung eines betrieblichen Datenschutzbeauftragten wird aller Voraussicht nach jedoch auch in Zukunft möglich sein.
Weniger Datenschutzbeauftragte ≠ weniger Bürokratie
In diesem Zusammenhang wird jedoch regelmäßig verkannt, dass die Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.
Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
