Am 27. Juni 2019 hat der Bundestag (oder besser gesagt ein kleines Häuflein Abgeordneter, es waren nur rund 100 Parlamentarier morgens um 1:30 h anwesend) beschlossen, das BDSG so anzupassen, dass Betriebe unter 20 Mitarbeitern zukünftig keiner Bestellpflicht für einen Datenschutz-Beauftragten (DSB) unterliegen.
§ 38 Abs. 1 BDSG wird also zukünftig wohl lauten (sofern der Bundesrat voraussichtlich im September 2019 zustimmen sollte): "...soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen."
Damit weicht der Gesetzgeber eine sinnvolle nationale Regelung auf.
Denn es stellt sich die Frage, wem diese Änderung tatsächlich hilft.
Aus der Praxis weiß man, dass die Umsetzung der Datenschutz-Vorgaben durchaus ein komplexes Thema ist. Gerade kleinere Betriebe sind damit häufig völlig überfordert. Selbst Organisationen die einen DSB bestellt haben, tun sich mit der konkreten Umsetzung und der Einführung dazu notwendiger Prozesse schwer und neigen dazu, dies alles "auf die lange Bank zu schieben".
Unternehmer werden aufatmen.
Kein Datenschutzbeauftragter, keine Kosten, kein Druck?
Ein Trugschluss. Die Vorgaben zum Datenschutz müssen umgesetzt werden. Dadurch, dass kein DSB "erforderlich" ist wird es auch kein Fachwissen im Betrieb geben und niemand wird zuständig sein.
Keiner wird zusammen mit dem Verantwortlichen zumindest die "nötigsten" Voraussetzungen schaffen, Datenschutz-konform und so wenigstens halbwegs gegen Bußgelder gefeit zu sein.
Änderungen? Prüfungen? Berücksichtigung von Rechtsprechung und geänderter Rechtslage? Anfragen von Betroffenen? Kommunikation mit Aufsichtsbehörden? ... Macht zukünftig alles der Unternehmer selbst.
Der Unternehmer wird also ein größeres Risiko eingehen und - da er sich mit Datenschutz selbst intensiv beschäftigen muss - ungleich höhere Kosten produzieren als ein entsprechend fach-kompetenter DSB (egal ob intern oder extern) kosten würde.
Aufsichtsbehörden werden zusätzlich belastet.
Bereits jetzt hat z.B. die BayLDA größtenteils auf Online-Beratung umgestellt, da die Kapazitäten für die Vielzahl an Anfragen zur praktischen Umsetzung des Datenschutzes einfach nicht ausreichen. (Gut ausgebildete) DSBs federn einen Großteil der ersten Fragen ab.
Sollten die rund 3 Mio. Klein- und Kleinst-Unternehmen in Deutschland doch mal aufwachen und versuchen, Datenschutz umzusetzen, so werden die Handreichungen für Kleinbetriebe nicht ausreichen. Es werden Fragen auftauchen oder wichtige Bereiche wie Betroffenenrechte, Datenschutz-Vorfälle, sichere Prozesse etc. einfach nicht abgedeckt sein.
Die betroffenen Personen und der DSB
Was oft vergessen wird ist, dass der DSB durchaus eine vermittelnde Position für externe Betroffene (und andere DSBs) einnimmt und auch Vertrauensperson für die Beschäftigten sein kann. Welcher Mitarbeiter möchte zum Chef gehen und sich über die Behandlung seiner Daten (gern genommen: Personalakten in offenen Regalen) beschweren?
Wie konsequent und umfassend wird ein Verantwortlicher eine Betroffenen-Anfrage beantworten können, wenn sich kein DSB in den dazu notwendigen Prozess und die Prüfung der Anfrage einbringt?
Es stellt sich also weiterhin die Frage, wem diese Änderung hilft.
Dem Unternehmer, der Datenschutz ernsthaft umsetzen will wohl eher nicht.
Dort wird im besten Fall sogar freiwillig ein DSB benannt, obwohl keine Pflicht dazu besteht. Oft auch auf Druck von Großkunden, die bei der sorgfältigen Auswahl von Auftragsverarbeitern einfach die Vorgabe machen, dass ihre Partner einen DSB bestellt haben müssen.
Den Betroffenen und dem Datenschutz selbst hilft diese Neuregelung sicher nicht. Alles was auf eine wirkliche und praxisnahe Umsetzung der bestehenden Datenschutz-Vorgaben abzielt (und das ist nun mal auch ein DSB) hilft und eine Lockerung ist hier nur kontraproduktiv.
Dem ausschließlich kostenbewussten Unternehmer, der sich erst einmal den DSB sparen kann?
Dann hätte ich da gleich noch ein paar andere Vorschläge: Wieso nicht Arbeitsschutz abschaffen? Wieso nicht das Betriebs-Verfassungsgesetz ändern und - sagen wir mal - "ab 50 ständigen wahlberechtigten Arbeitnehmern" ins Gesetz schreiben? Da gäbe es sicher noch einige andere Spar-Maßnahmen.
Oder wäre es vielleicht eher sinnvoll, die überbordenden Dokumentations-Pflichten zum Datenschutz ein klein wenig zu reduzieren und hier Entlastung für kleine Betriebe zu schaffen?