Ich muss kei­nen DSB benen­nen, also ist DSGVO kein Thema für mich

Wenn ich kei­nen inter­nen Daten­schutz­beauf­tragten benen­nen muss, geht mich die DSGVO auch nichts mehr an. Schön wär`s.

Aktua­li­sie­rung

Mitt­ler­weile ist die nach­ste­hende Geset­zes­än­de­rung amt­lich, d.h. die Benen­nungs­pflicht gilt nun erst ab 20 Mit­ar­bei­tern.

Benen­nung eines Daten­schutz­beauf­tragten – mehr Fra­gen als Ant­wor­ten

Rich­tig ist zwar, dass die ver­pflich­tende Benen­nung eines inter­nen oder exter­nen DSB nicht mehr ab 10, son­dern ab 20 Mit­ar­bei­tern grei­fen soll. Aber noch liegt eine Bestä­ti­gung der durch den Bun­des­tag ein­ge­brach­ten Geset­zes­än­de­rung sei­tens des Bun­des­ra­tes (noch) nicht vor. Auf dem Vor­schlags­tisch lag sogar die For­de­rung, die Benen­nungs­pflicht gemäß Bun­des­da­ten­schutz­ge­setz gänz­lich abzu­schaf­fen. Man kennt das Pro­ze­dere: Die Müh­len der Poli­tik mah­len nun ein­mal lang­sam. Sehr lang­sam. Selbst wenn es zu einer Abschaf­fung käme, ändert dies nichts an der Umset­zung der hohen Anfor­de­run­gen an den inner­be­trieb­li­chen Daten­schutz in einem Unter­neh­men. Zumal in der Geset­zes­no­velle keine Rede von sons­ti­gen Erleich­te­run­gen bezüg­lich der DSGVO-Anfor­de­run­gen vor­ge­se­hen sind.

Das Ver­ständ­nis zur Beja­hung der DSGVO droht zu sin­ken

Eine sol­che Ände­rung hätte jedoch nach­tei­lige Aus­wir­kun­gen für die Mit­ar­bei­ter, gerade wenn das Unter­neh­men weni­ger als 20 Mit­ar­bei­ter hat. Unwei­ger­lich würde der Daten­schutz weni­ger beach­tet wer­den, die Umset­zung der DSGVO ins­ge­samt lei­den, sie aber nicht außer Kraft set­zen. Für Mit­ar­bei­ter würde außer­dem ent­fal­len, sich mit drin­gen­den Fra­gen an den kom­pe­ten­ten Daten­schutz­beauf­tragten wen­den zu kön­nen. In der Folge könnte es ver­mehrt zu Daten­schutz­ver­stö­ßen kom­men, die wie­derum die Gefahr von Buß­gel­dern sei­tens der Auf­sichts­be­hör­den nach sich zie­hen könn­ten. Der ver­meint­li­che Vor­teil wan­delt sich ins Gegen­teil, wenn sich Unter­neh­men bei künf­ti­gen Buß­geld­ver­fah­ren dar­auf bezie­hen soll­ten, dass sie keine Benen­nungs­pflicht mehr träfe.

Aus­lö­ser der Geset­zes­in­itia­tive waren For­de­run­gen von klei­ne­ren Unter­neh­men, von denen rund 90 Pro­zent von der oben beschrie­be­nen Ände­rung betrof­fen wären. So weit, so gut. Zu einer spür­ba­ren Ent­las­tung der Ver­ant­wort­li­chen bezüg­lich des betrieb­li­chen Daten­schut­zes führt die ver­än­derte Benen­nungs­pflicht nicht. Aktu­ell ist es gän­gige Pra­xis, die Posi­tion des Daten­schutz­beauf­tragten in die Hand eines der Mit­ar­bei­ter im Unter­neh­men zu legen. Alter­na­tiv beauf­tra­gen ließe sich auch ein exter­ner DSB, des­sen Exper­ti­sen die Qua­li­tät des Daten­schut­zes sogar noch stei­gern könn­ten. Zu einer rea­li­täts­na­hen Ent­las­tung gerade klei­ne­rer Betriebe dürfte der poli­ti­sche Weg wahr­schein­lich nicht füh­ren, im Gegen­teil.

Gäbe es Alter­na­ti­ven?

Fach­leute sagen ja. Sie kri­ti­sie­ren, dass einer der wich­tigs­ten Kri­tik­punkte nicht auf der poli­ti­schen Agenda erschei­nen: die soge­nannte Rechen­schafts­pflicht. Auf ihrer Wunsch­liste stünde eine Neu­kon­zep­tion im Zusam­men­hang mit einer Abstu­fung der Rechen­schaft­pflich­ten, wie sie in Art. 30 DSGVO unter der Head­line „Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten“ fest­ge­schrie­ben sind. Zu den Vor­schrif­ten, die sich auf die Arbeit von Ver­ant­wort­li­chen und Daten­schutz­beauf­tragten aus­wir­ken, steht etwa die Doku­men­ta­ti­ons­pflicht inner­halb von Ver­ar­bei­tungs­tä­tig­kei­ten, bei­spiels­weise die Fest­le­gung der Ver­ar­bei­tungs­zwe­cke, der Kate­go­rien zur Spe­zi­fi­zie­rung per­so­nen­be­zo­ge­ner Daten, Wei­ter­ga­be­richt­li­nien per­so­nen­be­zo­ge­ner Daten an ein Dritt­land oder an eine andere inter­na­tio­nale Orga­ni­sa­tion sowie um die Vor­ga­ben und Richt­li­nien zur Fest­set­zung tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, bes­ser bekannt unter der Abkür­zung TOM. Nicht zu ver­ges­sen ist die Zusam­men­ar­beit mit der zustän­di­gen Auf­sichts­be­hörde, bei der ver­ant­wort­li­che Daten­schutz­be­auf­tragte gemel­det wer­den müs­sen.

Ver­ant­wor­tung für Daten­schutz besteht wei­ter­hin

Was die Ver­ant­wor­tung der Grund­sätze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten angeht, ist und bleibt der Ver­ant­wort­li­che (Art. 5 DGVO) Abs. 2.) Dabei han­delt er, unab­hän­gig von einem Daten­schutz­beauf­tragten in recht­mä­ßi­ger, nach­voll­zieh­ba­rer Weise sowie nach Treu und Glau­ben, beach­tet zudem die Trans­pa­renz sowie Zweck­bin­dung und Daten­spar­sam­keit aller ver­ar­bei­te­ten Daten unter Daten­schutz­prin­zi­pien.

Die Ein­hal­tung der Ein­satz­pflicht eines Daten­schutz­beauf­tragten mag künf­tig zwar erst ab 20 Mit­ar­bei­tern Gel­tung erlan­gen, ihn des­halb jedoch von sei­nen Pflich­ten zu befreien und der Mei­nung zu sein, die DSGVO würde für das Unter­neh­men nun nicht mehr gel­ten, wäre jedoch eine fal­sche Ent­schei­dung. Der Ver­ant­wort­li­che, bei­spiels­weise der Geschäfts­füh­rer oder Inha­ber eines Unter­neh­mens, würde in einem sol­chen Fall noch mehr Auf­ga­ben und Pflich­ten über­neh­men müs­sen, bei denen ihn sein DSB ansons­ten kon­kret zu unter­stüt­zen hätte.

Die Auf­ga­ben­flut bleibt gleich

Alter­na­tiv könnte es eine Lösung sein, einen exter­nen Daten­schutz­beauf­tragten zu benen­nen, der über die not­wen­di­gen juris­ti­schen und tech­ni­schen Exper­ti­sen ver­fügt. Oder der Ver­ant­wort­li­che über­nimmt die Auf­ga­ben des DSB mit. Ent­spre­chend müsste er sich dann um alle Belange der Daten­schutz­auf­ga­ben selbst küm­mern. Even­tu­elle Daten­schutz­ver­stöße wären fest­zu­stel­len und an die Auf­sichts­be­hörde zu mel­den, er hätte die Inan­spruch­nahme von Daten­schutz­rech­ten, zum Bei­spiel Aus­kunft- und Löschungs­rechte, die Berich­ti­gung per­so­nen­be­zo­ge­ner Daten oder das Recht auf Ein­schrän­kun­gen oder Wei­ter­gabe von per­sön­li­chen Daten an Dritte, zu bear­bei­ten. Es wäre dem­nach wei­ter­hin eine Flut von Auf­ga­ben zu bewäl­ti­gen, die sich rund um den Daten­schutz des Unter­neh­mens dre­hen. Inklu­sive der Füh­rung von Ver­zeich­nis­sen und Kon­zep­ten, die Wei­ter­ent­wick­lung tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, Daten­schutz­schu­lun­gen und und und.

Kurze Zusam­men­fas­sung:

„Ich brau­che kei­nen Daten­schutz­beauf­tragten zu benen­nen, für mich gilt die DSGVO also nicht“, ist als Aus­sage ebenso falsch wie im Gegen­zug zu behaup­ten: „Ich fahre nur 30 km/h. Für mich gilt des­halb die StVO nicht.“ Die poli­ti­schen Bestre­bun­gen, Klein­be­triebe von der Pflicht zur Benen­nung von Daten­schutz­beauf­tragten zu ent­las­ten, einen Bei­trag zum Büro­kra­tie­aus­bau anzu­stre­ben, ist mit Vor­sicht zu genie­ßen, da sie mit erhöh­ten Haf­tungs­ri­si­ken ein­her­ge­hen. Von Exper­ten wird die even­tu­elle Neu­ord­nung äußerst kri­tisch gese­hen: „Die Pflich­ten blei­ben exakt die­sel­ben, nur wäre nie­mand mehr zustän­dig“, ist zu hören. Im Gespräch sind rund 150 Ein­zel­ge­setze, mit denen die DSGVO ange­passt wer­den sol­len. Man darf getrost davon spre­chen, dass der befürch­tete Scha­den für die Wirt­schaft grö­ßer als der Nut­zen sein dürfte.

DSGVO Kontakt - Telefon Rückruf

OK

Vielen Dank für Ihre Nachricht, wir melden uns bei Ihnen.