Am 27.06.2019 beschloss der deutsche Bundestag mit der Mehrheit der Stimmen durch die Fraktionen von CDU, CSU und SPD das zweite deutsche Datenschutzanpassungsgesetz.Über hundert Gesetze sind durch die geplante Änderung betroffen, vielfach diskutiert wird aber eine (mögliche) Aufweichung der Benennungspflicht eines DSB von Unternehmen.

Die DSGVO als Bürokratiemonster?

In der öffentlichen Wahrnehmung wird die DSGVO, die nun seit etwas über einem Jahr gültig ist, als bürokratisches Hindernis wahrgenommen. Insbesondere Vereine und KMU haben im letzten Jahr medial ihren Unmut über die Anforderungen der DSGVO kundgetan, die als zu umständlich und aufwendig empfunden werden.  So verwundert es denn auch nicht, dass besonders Wirtschaftsverbände oder etwa die CDU-Mittelstandsvereinigung die als zu hoch wahrgenommene Belastung für kleine und mittelständische Unternehmen reduzieren wollen.

10 oder 20?

Gewissermaßen symbolisch entzündete sich diese Diskussion an der Frage, ab wie vielen (personenbezogene Daten verarbeitenden) Mitarbeitern von Seiten des Unternehmens ein DSB zu bestellen ist. Bisher, so ist es im BDSG-neu festgehalten, sind dies zehn Mitarbeiter. Dort lässt sich in § 38 BDSG-neu nachlesen:

„Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

Diese Personengrenze von zehn Mitarbeitern, so die Mittelstandsvertreter, sei deutlich zu niedrig angesetzt und belaste daher kleine Unternehmen unverhältnismäßig.

Gleiches Recht für alle?

Tatsächlich ist es der Ansatz der DSGVO, im Prinzip, von einigen Ausnahmen wie etwa die Verhältnismäßigkeit bei TOMs abgesehen, keinen Unterschied zwischen „kleinen“ und „großen“ Unternehmen zu machen.Zweifellos verfügen große Konzerne über erheblich mehr Ressourcen, um die Anforderungen der DSGVO umzusetzen. Häufig unerwähnt bleibt jedoch, dass naturgemäß auch diejenigen Prozesse, für die etwa Verfahrensverzeichnisse oder Informationspflichten erstellt werden müssen, mit abnehmender Unternehmensgröße weniger werden. Sprich: auch der Aufwand, der betrieben werden muss, um eine Konformität zu erreichen, ist deutlich geringer. Zudem besteht zwischen der Verpflichtung, einen DSB zu benennen und einer konformen Verarbeitung personenbezogener Daten im Unternehmen nur bedingt ein Zusammenhang. Haftbar ist schließlich der Verantwortliche, also die Unternehmensführung. Es dürfte also nicht selten gängige Praxis (gewesen) sein, einen internen DSB zu melden, den Datenschutz selbst aber nur sehr zögerlich umzusetzen. Mehrere Studien erhärten diesen Verdacht.

Nicht die Größe entscheidet

Es ist weitergehend falsch anzunehmen, dass Unternehmen- nunmehr in der Größe bis zwanzig Mitarbeitern- von der Umsetzung des Datenschutzes befreit wären. Eher stellt sich die Frage nach der vorhandenen Expertise. War mit der Benennung eines DSB für diesen zumindest abgeleitet ein Anspruch auf (Weiter-)Qualifikation verbunden, entfällt dieser nun für eine Reihe von Unternehmen. Bei gleichbleibenden Anforderungen an den Datenschutz im Unternehmen! Im Ergebnis wird wohl zunehmend auf externe Ressourcen zurückgegriffen werden, was die Qualität des Datenschutzes unter dem Strich erhöhen wird. Laut einer Umfrage von Datenschutzpraxis wollen aber immerhin 19% der Unternehmen, die in der entsprechenden Unternehmensgröße liegen, fortan keinen DSB mehr benennen.

Bußgelder für Unternehmen

Ohnehin ist festzuhalten, dass die deutschen Aufsichtsbehörden bis dato sehr sparsam mit den deutlich schärferen Mitteln, die ihnen seit Geltung der DSGVO zur Verfügung stehen, umgegangen sind. Bußgelder wurden entweder gar nicht (Bayern) oder nur in angemessenem Ausmaß verhängt. Auch aus diesem Erfahrungswert heraus ist anzunehmen, dass die Behörden auch weiterhin ein sehr gesundes Augenmaß bei der Verhängung von Bußgeldern in Relation zur Unternehmensgröße anlegen werden. Und auch in gesamteuropäischer oder gar globaler Sicht waren jene Unternehmen von drastischeren Bußgeldern betroffen, deren Größe eigentlich genug Ressourcen für eine konforme Umsetzung des Datenschutzes vermuten lassen würden. Aktuell sind hier die Bußgeldbescheide der britischen Aufsichtsbehörde an British Airways (200 Mio) und Marriott (110 Mio) sowie der geschlossene Vergleich zwischen der US-Handelsbehörde FTC und Facebook zu nennen (5 Milliarden US-Dollar).

Ausblick

Die Entscheidung über das Zweite Datenschutzanpassungsgesetz liegt nun beim Bundesrat. Ungeachtet dessen, ob dieses nun verabschiedet wird oder nicht, führt die Diskussion über die Relevanz der Mitarbeiteranzahl in Hinblick auf die Benennung eines DSB aus den genannten Gründen in eine falsche Richtung.