Am 27.06.2019 beschloss der deut­sche Bun­des­tag mit der Mehr­heit der Stim­men durch die Frak­tio­nen von CDU, CSU und SPD das zwei­te deut­sche Datenschutzanpassungsgesetz.Über hun­dert Geset­ze sind durch die geplan­te Ände­rung betrof­fen, viel­fach dis­ku­tiert wird aber eine (mög­li­che) Auf­wei­chung der Benen­nungs­pflicht eines DSB von Unter­neh­men.

Die DSGVO als Bürokratiemonster?

In der öffent­li­chen Wahr­neh­mung wird die DSGVO, die nun seit etwas über einem Jahr gül­tig ist, als büro­kra­ti­sches Hin­der­nis wahr­ge­nom­men. Ins­be­son­de­re Ver­ei­ne und KMU haben im letz­ten Jahr medi­al ihren Unmut über die Anfor­de­run­gen der DSGVO kund­ge­tan, die als zu umständ­lich und auf­wen­dig emp­fun­den wer­den.  So ver­wun­dert es denn auch nicht, dass beson­ders Wirt­schafts­ver­bän­de oder etwa die CDU-Mit­tel­stands­ver­ei­ni­gung die als zu hoch wahr­ge­nom­me­ne Belas­tung für klei­ne und mit­tel­stän­di­sche Unter­neh­men redu­zie­ren wol­len.

10 oder 20?

Gewis­ser­ma­ßen sym­bo­lisch ent­zün­de­te sich die­se Dis­kus­si­on an der Fra­ge, ab wie vie­len (per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten­den) Mit­ar­bei­tern von Sei­ten des Unter­neh­mens ein DSB zu bestel­len ist. Bis­her, so ist es im BDSG-neu fest­ge­hal­ten, sind dies zehn Mit­ar­bei­ter. Dort lässt sich in § 38 BDSG-neu nach­le­sen:

„Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen.“

Die­se Per­so­nen­gren­ze von zehn Mit­ar­bei­tern, so die Mit­tel­stands­ver­tre­ter, sei deut­lich zu nied­rig ange­setzt und belas­te daher klei­ne Unter­neh­men unver­hält­nis­mä­ßig.

Gleiches Recht für alle?

Tat­säch­lich ist es der Ansatz der DSGVO, im Prin­zip, von eini­gen Aus­nah­men wie etwa die Ver­hält­nis­mä­ßig­keit bei TOMs abge­se­hen, kei­nen Unter­schied zwi­schen „klei­nen“ und „gro­ßen“ Unter­neh­men zu machen.Zweifellos ver­fü­gen gro­ße Kon­zer­ne über erheb­lich mehr Res­sour­cen, um die Anfor­de­run­gen der DSGVO umzu­set­zen. Häu­fig uner­wähnt bleibt jedoch, dass natur­ge­mäß auch die­je­ni­gen Pro­zes­se, für die etwa Ver­fah­rens­ver­zeich­nis­se oder Infor­ma­ti­ons­pflich­ten erstellt wer­den müs­sen, mit abneh­men­der Unter­neh­mens­grö­ße weni­ger wer­den. Sprich: auch der Auf­wand, der betrie­ben wer­den muss, um eine Kon­for­mi­tät zu errei­chen, ist deut­lich gerin­ger. Zudem besteht zwi­schen der Ver­pflich­tung, einen DSB zu benen­nen und einer kon­for­men Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Unter­neh­men nur bedingt ein Zusam­men­hang. Haft­bar ist schließ­lich der Ver­ant­wort­li­che, also die Unter­neh­mens­füh­rung. Es dürf­te also nicht sel­ten gän­gi­ge Pra­xis (gewe­sen) sein, einen inter­nen DSB zu mel­den, den Daten­schutz selbst aber nur sehr zöger­lich umzu­set­zen. Meh­re­re Stu­di­en erhär­ten die­sen Ver­dacht.

Nicht die Größe entscheidet

Es ist wei­ter­ge­hend falsch anzu­neh­men, dass Unter­neh­men- nun­mehr in der Grö­ße bis zwan­zig Mit­ar­bei­tern- von der Umset­zung des Daten­schut­zes befreit wären. Eher stellt sich die Fra­ge nach der vor­han­de­nen Exper­ti­se. War mit der Benen­nung eines DSB für die­sen zumin­dest abge­lei­tet ein Anspruch auf (Weiter-)Qualifikation ver­bun­den, ent­fällt die­ser nun für eine Rei­he von Unter­neh­men. Bei gleich­blei­ben­den Anfor­de­run­gen an den Daten­schutz im Unter­neh­men! Im Ergeb­nis wird wohl zuneh­mend auf exter­ne Res­sour­cen zurück­ge­grif­fen wer­den, was die Qua­li­tät des Daten­schut­zes unter dem Strich erhö­hen wird. Laut einer Umfra­ge von Daten­schutz­pra­xis wol­len aber immer­hin 19% der Unter­neh­men, die in der ent­spre­chen­den Unter­neh­mens­grö­ße lie­gen, fort­an kei­nen DSB mehr benen­nen.

Bußgelder für Unternehmen

Ohne­hin ist fest­zu­hal­ten, dass die deut­schen Auf­sichts­be­hör­den bis dato sehr spar­sam mit den deut­lich schär­fe­ren Mit­teln, die ihnen seit Gel­tung der DSGVO zur Ver­fü­gung ste­hen, umge­gan­gen sind. Buß­gel­der wur­den ent­we­der gar nicht (Bay­ern) oder nur in ange­mes­se­nem Aus­maß ver­hängt. Auch aus die­sem Erfah­rungs­wert her­aus ist anzu­neh­men, dass die Behör­den auch wei­ter­hin ein sehr gesun­des Augen­maß bei der Ver­hän­gung von Buß­gel­dern in Rela­ti­on zur Unter­neh­mens­grö­ße anle­gen wer­den. Und auch in gesamt­eu­ro­päi­scher oder gar glo­ba­ler Sicht waren jene Unter­neh­men von dras­ti­sche­ren Buß­gel­dern betrof­fen, deren Grö­ße eigent­lich genug Res­sour­cen für eine kon­for­me Umset­zung des Daten­schut­zes ver­mu­ten las­sen wür­den. Aktu­ell sind hier die Buß­geld­be­schei­de der bri­ti­schen Auf­sichts­be­hör­de an Bri­tish Air­ways (200 Mio) und Mar­riott (110 Mio) sowie der geschlos­se­ne Ver­gleich zwi­schen der US-Han­dels­be­hör­de FTC und Face­book zu nen­nen (5 Mil­li­ar­den US-Dol­lar).

Ausblick

Die Ent­schei­dung über das Zwei­te Daten­schutz­an­pas­sungs­ge­setz liegt nun beim Bun­des­rat. Unge­ach­tet des­sen, ob die­ses nun ver­ab­schie­det wird oder nicht, führt die Dis­kus­si­on über die Rele­vanz der Mit­ar­bei­ter­an­zahl in Hin­blick auf die Benen­nung eines DSB aus den genann­ten Grün­den in eine fal­sche Rich­tung.