Abschaffung des betrieblichen Datenschutzbeauftragten? datenschutzticker.de

Abschaffung des betrieblichen Datenschutzbeauftragten?

22. März 2024

Momentan wird im Rahmen der Neuauflage des Bundesdatenschutzgesetzes (BDSG) über die Abschaffung des betrieblichen Datenschutzbeauftragten diskutiert. Der Innenausschuss des Bundesrats hat am 11.03.2023 die Streichung der Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter vorgeschlagen. Der Vorschlag stößt jedoch auf Kritik.

Rechtlicher Kontext

Nach § 38 BDSG müssen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten ernennen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Außerdem müssen Organisationen, die einer Datenschutzfolgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig zur Übermittlung oder für Markt- oder Meinungsforschung verarbeiten, unabhängig von der Anzahl der Beschäftigten einen Datenschutzbeauftragten benennen. Hierbei handelt es sich um eine Erweiterung zu den Vorgaben des Datenschutzgrundverordnung (DSGVO). Nach Art. 37 Abs. 1 DSGVO ist dies nur erforderlich bei Verarbeitungen durch eine Behörde oder öffentliche Stelle, oder für private Verantwortliche oder Auftragsverarbeiter, wenn die Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung ist oder wenn besondere Datenkategorien betroffen sind.

Reform des BDSG

Am 07.02.2024 hat das Bundeskabinett einen Gesetzesentwurf zur Änderung des BDSG verabschiedet. Hiermit reagiert die Bundesregierung unteranderem auf ein EuGH-Urteil zum Schufa-Scoring. Außerdem soll die Reform die Datenschutzaufsicht stärken und für verbesserte Auskunftsrechte sorgen.

Position des Bundesrats

Auf den Gesetzesentwurf hat nun der Innenausschuss des Bundesrats reagiert. Laut den Empfehlungen der Ausschüsse für die bevorstehende Plenartagung am 22.03.2024 soll § 38 BDSG vollständig gestrichen werden. Das begründet er damit, dass nach dem Willen des europäischen Gesetzgebers kleine und mittlere Unternehmen nicht mit bürokratischem Aufwand überlastet werden sollen. Außerdem sei ein risikobasierter Ansatz zu wählen. Bei der pauschalen Pflicht ab 20 zuständigen Beschäftigten, handle es sich um eine Grenze, die völlig unabhängig von einem etwaigen Risiko sei.

Kritik: Wichtige Stellung des Datenschutzbeauftragten

Die Initiative, die betrieblichen Datenschutzbeauftragten abzuschaffen, stößt jedoch auf erheblichen Widerspruch. Insbesondere der Vorstandsvorsitzende des Berufsverbands der Datenschutzbeauftragten (BvD), Thomas Spaeing, warne davor. Auch wenn ein Unternehmen keinen Datenschutzbeauftragten hat, müsse es sich weiterhin an die Vorgaben der DSGVO halten, wie er gegenüber heise online begründet. Zur Reduzierung von Bürokratie müsse man vielmehr die Dokumentationspflichten abändern. Die Abschaffung des betrieblichen Datenschutzbeauftragten würde die Unternehmen lediglich mit der Bewältigung der Aufgaben allein lassen.

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sieht den Vorschlag ähnlich kritisch. Laut ihrem Blogbeitrag, birgt die Abschaffung die Gefahr einer verschlechterten Datenschutzumsetzung in Unternehmen und Risiken für Bußgelder und Schadensersatzansprüche. Zudem weist die GDD darauf hin, dass man vor dem Hintergrund neuer Gesetze wie der KI-Vorordnung und dem Data Act auf qualifizierte fachliche Beratung nicht verzichten sollte.

Positionierung des Bundesrats zum Scoring

Im Übrigen bezieht der Ausschuss auch Stellung zu den sonstigen Gesetzesänderungen. Die geplanten Änderungen zum Schufa-Scoring in § 37a BDSG n. F. begrüßt er grundsätzlich. Im Weiteren bittet er die Bundesregierung zusätzliche Schutzmaßnahmen zu prüfen und erweiterte Informationspflichten zum Verbraucherschutz einzuführen. Insgesamt wünscht er sich in diesem Bereich konkretere Regelungen.

Fazit

Bei der Stellungnahme des Innenausschusses handelt es sich lediglich um eine Empfehlung. Welche Entscheidung der Bundesrat in ihrer Folge treffen wird, ist noch nicht ersichtlich. Die Positionierung unterstreicht jedoch die allgemeinen Spannungen, die sich zwischen Datenschutz und der freien Wirtschaft aufzeigen. Trotzdem ist der Kritik zuzustimmen. Eine mögliche Streichung des § 38 BDSG würde Unternehmen vor mehr Herausforderungen stellen als sie ohnehin schon meistern müssen. Es bleibt abzuwarten, wie sich die Diskussion entwickelt und welche Auswirkungen dies auf den Datenschutz in Deutschland haben wird.