Bestellung eines Datenschutzbeauftragten

Anpassung des § 38 BDSG durch das zweite Datenschutzanpassungsgesetz – Was bringt die Absenkung der Anforderungen an die Bestellung eines Datenschutzbeauftragten?

Nachdem nun der Bundesrat dem zweiten Datenschutzanpassungsgesetz (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU –  2. DSAnpUG-EU) zugestimmt hat, ist die von Wirtschaft, Verbänden und Vereinen geforderte Absenkung der Anforderungen an die Bestellungen eines Datenschutzbeauftragten (DSB) in greifbare Nähe gerückt. Sobald das Gesetz in Kraft tritt, wirkt die Anpassung des § 38 Abs. 1 BDSG. Danach muss dann ein Datenschutzbeauftragter erst bestellt werden, wenn in der Regel 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bisher lag die Grenze bei zehn Personen.

Leider entsteht bei der positiven Berichterstattung über diese Anpassung der Bestellpflicht leicht der falsche Eindruck, dass damit auch die datenschutzrechtlichen Anforderungen an die Unternehmen, Verbände und Vereine abgesenkt oder sogar entfallen sind. Das ist gerade nicht der Fall. Mit der Bestellung eines Datenschutzbeauftragten, sei es aufgrund gesetzlicher Verpflichtung oder auf freiwilliger Basis, wurde und wird diese Verpflichtung nicht auf den Datenschutzbeauftragten abgewälzt. Die Verpflichtung zum Einhalten des Datenschutzes trifft vielmehr weiterhin den sog. Verantwortlichen, vertreten durch die Geschäftsleitung bzw. den Vorstand. 

Dies vorangestellt stellt sich die Frage, was die Änderung also den Verantwortlichen bringt.

Vielfach stellen wir in der Beratungspraxis fest, dass das Bild zur Rolle und Aufgaben des Datenschutzbeauftragten in einer Organisation unklar ist. Der Datenschutzbeauftragte hat nach der DSGVO zwei Kernaufgaben: Die Beratung und die Überprüfung des Verantwortlichen bezüglich der Einhaltung des Schutzes personenbezogener Daten. Er hat damit die sog. Überwachungsverantwortung. Die sog. Umsetzungsverantwortung verbleibt stets beim Verantwortlichen. 

Aus dieser Stellung des Datenschutzbeauftragten leitet sich der Schutz vor Abberufung ab. Auch darf er keine Funktion in der Organisation ausüben, die zu einem Interessenkonflikt zwischen Umsetzungs- und Überwachungsverantwortung führt (z.B. Geschäftsführer oder IT-Leiter).

Dass es kleinen Organisationen schwer fällt, intern eine entsprechende Person zu finden und dieser ausreichende Ressourcen einzuräumen, ist nachvollziehbar und verständlich. Dies gilt insbesondere, wenn es um die Benennung eines internen Datenschutzbeauftragten geht, der im Zweifel ausgebildet werden muss und der Kündigungsschutz genießt. Aber auch die Beauftragung eines externen Datenschutzbeauftragten kann für kleine Einheiten kostenkritisch sein. Von daher stellt die zukünftige Rechtlage eine Entlastung dar. 

Auf der anderen Seite entfällt die Beratung durch den Datenschutzbeauftragten, die dann auf anderem Wege in die Organisation zur Wahrung der Umsetzungsverantwortung einfließen muss. Verantwortlich und haftbar sind die Verantwortlichen. Deren Geschäftsführung und Vorstände sind damit oft überfordert. Gerade aus Ressourcen- und Kostengründen, kann es daher sinnvoll und ratsam sein, diese Leistung extern einzukaufen. 

Praxishinweis: Sollte eine kleine Organisation einen Datenschutzbeauftragten benannt haben und liegen die Voraussetzungen für die Bestellpflicht nach Inkrafttreten der Änderungen des § 38 Abs1 BDSG nun nicht mehr vor, so entfallen der Abberufungs- und Kündigungsschutz nach § 38 Abs. 2 iVm § 6 Abs. 4 BDSG (Gola/Heckmann/Rücker/Dienst, 13. Aufl. 2019, BDSG § 38 Rn. 48, 49). 

Hintergrund zum 2. DSAnpUG-EU:

Seit dem 25. Mai 2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 in Kraft. Diese regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr. Diese Verordnung ist in der jeweils geltenden Fassung unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Dadurch will die Europäische Union ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten erreichen. 

Gleichwohl hat die Verordnung eine ganze Reihe von Öffnungsklauseln, die nationale Gesetzgeber für spezifisch nationale Datenschutzregelungen nutzen kann. Die Bundesrepublik Deutschland hat diese Klauseln vielfach genutzt, etwa durch die Neufassung des Bundesdatenschutzgesetzes (BDSG). 

Mit dem „Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU –  2. DSAnpUG-EU“, wird das bereichsspezifische Datenschutzrecht auf die Vereinbarkeit mit der Verordnung (EU) 2016/679 überprüft und, soweit nötig, angepasst. Dieses Artikelgesetz hat die Abstimmung im Bundestag und Bundesrat inzwischen durchlaufen. Die Ausfertigung durch den Bundespräsidenten sowie die Verkündung im Bundesgesetzblatt stehen aktuell noch aus.