“Ob durch die Anpas­sung jedoch Ver­ei­nen und Unter­neh­men gehol­fen ist, darf bezwei­felt wer­den.” – Eileen Binder

Der Bun­des­tag hat am 27.06.2019 dem Zwei­ten Daten­schutz­an­pas­sungs­ge­setz zuge­stimmt. Das Gesetz liegt der­zeit beim Bun­des­rat zur Bestä­ti­gung vor. Damit macht der Bun­des­tag erneut von der Mög­lich­keit für Mit­glied­staa­ten gebrauch, den Daten­schutz auf natio­na­ler Ebe­ne anzupassen.

Durch das Zwei­te Anpas­sungs­ge­setz soll ins­be­son­de­re die Pflicht zur Benen­nung eines Daten­schutz­be­auf­trag­ten gelo­ckert wer­den. Der­zeit ist nach § 38 BDSG ein Daten­schutz­be­auf­trag­ter zu bestel­len, wenn in Unter­neh­men mehr als zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­tigt sind. Durch das Anpas­sungs­ge­setz soll die­se Gren­ze auf 20 Mit­ar­bei­ter erhöht werden.

Mit der Ände­rung reagiert der Bun­des­tag auf Kri­tik und Beschwer­den von Ver­bän­den, Ver­ei­nen und Klein­un­ter­neh­men, die dem von der DSGVO erzeug­ten erheb­li­chen büro­kra­ti­schen Auf­wand mit den Ihnen zur Ver­fü­gung ste­hen­den Mit­teln nicht gerecht wer­den konn­ten. Befür­wor­ter der Geset­zes­in­itia­ti­ve gehen davon aus, dass 90% aller Unter­neh­men in Deutsch­land von der Neu­re­ge­lung betrof­fen sein werden.

Ob durch die Anpas­sung jedoch Ver­ei­nen und Unter­neh­men gehol­fen ist, darf bezwei­felt werden.

Wäh­rend die Rege­lung zur Benen­nung eines Daten­schutz­be­auf­trag­ten auf­ge­weicht wer­den soll, soll das  Zwei­te Datenschutz-Anpassungsgesetz kei­ne Vor­schlä­ge zur Umset­zung oder Anpas­sung ande­rer daten­schutz­recht­li­cher Kri­tik­punk­te ent­hal­ten. Ver­ei­ne und Unter­neh­men mit weni­ger als 10 Mit­ar­bei­tern lau­fen Gefahr, die Locke­rung über die Benen­nung eines Daten­schutz­be­auf­trag­ten als gene­rel­le Locke­rung der Umset­zung des Daten­schut­zes zu interpretieren.

Die­se Gefahr sieht eben­falls der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber und nennt es einen “Trug­schluss”, dass die neue Rege­lung eine Ent­las­tung für die Unter­neh­men dar­stellt. “Spä­tes­tens wenn man auf­grund des fach­li­chen Kom­pe­tenz­ver­lusts mit­tel­fris­tig teu­res exter­nes Wis­sen ein­kau­fen muss oder sich wegen Daten­schutz­ver­stö­ßen der Buß­geld­for­de­rung der Auf­sichts­be­hör­de gegen­über sieht, wird man fest­stel­len, dass hier am fal­schen Ende gespart wur­de”, sag­te der Bundesdatenschutzbeauftragte.

Der von Kel­ber erkann­te „Trug­schluss“ und die damit ver­bun­de­ne Gefahr, am fal­schen Ende zu spa­ren, äußern sich ins­be­son­de­re dar­in, dass sich für Unter­neh­men hin­sicht­lich ihrer daten­schutz­recht­li­chen Pflich­ten kei­ne Ände­run­gen erge­ben wer­den. Doku­men­ta­ti­ons­pflich­ten und die Pflicht zur Füh­rung eines Ver­ar­bei­tungs­ver­zeich­nis­ses bestehen unver­än­dert fort.

Soll­te die Locke­rung der Benenn­pflicht eines Daten­schutz­be­auf­trag­ten Kri­ti­kern der DSGVO ent­ge­gen­kom­men, so könn­te das Haf­tungs­ri­si­ko für Unter­neh­men und Ver­ei­ne nun deut­lich stei­gen, wenn sie nicht mehr auf die Fach­kun­de einen Daten­schutz­ex­per­ten ange­wie­sen sind.