Koalition will Bestellpflicht für den Datenschutzbeauftragten entschärfen

Der Ausschuss für Inneres und Heimat des Deutschen Bundestages hat am 26.06.2019 einen Änderungsantrag zum geplanten „Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ eingebracht, der vorsieht, dass nichtöffentliche Stellen zukünftig erst dann einen Datenschutzbeauftragten bestellen müssen, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Bisherige Gesetzeslage

Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Diese Verpflichtung entspricht inhaltlich im Wesentlichen der Regelung des § 4f Abs. 1 Satz 6 BDSG alter Fassung.

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 der DSGVO unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen immer einen Datenschutzbeauftragten zu benennen.

Eine Beschränkung bezüglich der Bestellung eines betrieblichen Datenschutzbeauftragten nach dem BDSG besteht darin, dass nur Beschäftigte berücksichtigt werden müssen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Das Wort „ständig“ bezieht sich allein auf die zeitliche Dauer der Beschäftigung. Die Art, der Umfang und die Tiefe der Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten sind dagegen nicht entscheidend, es kommt lediglich auf die Regelmäßigkeit des Zugriffs an. Damit zählen Aushilfen, die nur über wenige Wochen beschäftigt werden (z. B. Urlaubsvertretungen), nicht zu diesem Personenkreis. Auch Festangestellte, die nur gelegentlich und aushilfsweise bei der automatisierten Bearbeitung personenbezogener Daten tätig werden, werden nicht mitgezählt. Andererseits ist es ausreichend, dass eine ständig beschäftigte Person überhaupt – und sei es auch nur in geringem Ausmaß – regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst ist, ohne dass dies den Schwerpunkt der Tätigkeit ausmachen muss.

Entscheidend ist, dass die automatisierte Verarbeitung personenbezogener Daten in einem nicht völlig untergeordneten Umfang ständiger Bestandteil der Tätigkeit einer Person ist.

Mit dem Begriff „Personen“ verdeutlicht der Gesetzgeber, dass nicht nur angestellte Arbeitnehmer, sondern alle Personen, die personenbezogene Daten automatisiert verarbeiten, den Bestimmungen des Gesetzes unterliegen, unabhängig von ihrem arbeitsrechtlichen Status. Somit zählen neben den fest beschäftigten Mitarbeitern sowohl die Mitglieder der Unternehmensleitung selbst als auch Auszubildende, Teilzeitkräfte und ehrenamtliche oder freie Mitarbeiter zu diesem Kreis, soweit sie an der automatisierten Verarbeitung beteiligt sind. Es sind also auch Personen dazuzählen, die in keinerlei Arbeitnehmerverhältnis zur verantwortlichen Stelle stehen.

Andererseits müssen nur die Personen gezählt werden, die mit der automatisierten Verarbeitung beschäftigt sind. Damit fallen Personen, die ohne Rechnernutzung personenbezogene Daten erheben oder – obwohl sie selbst an keinem Rechner arbeiten – aus der automatisierten Datenverarbeitung gewonnene Ergebnisse (z. B. Druckerzeugnisse) nutzen, nicht unter den angesprochenen Personenkreis des § 38 Abs. 1 BDSG.

Der Begriff „automatisiert verarbeiten“ ist wie folgt zu verstehen: Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.

Geplante Gesetzesänderung

Der Ausschuss für Inneres und Heimat des Deutschen Bundestages hat beschlossen, den Gesetzentwurf der Bundesregierung bezüglich eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die

Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680

(Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) unter anderem dahingehend zu ergänzen, dass die maßgebliche Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von zehn auf 20 angehoben wird.

Die Änderung beruht auf einem entsprechenden Antrag des Landes Niedersachsen im Bundesrat, in dem eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten gefordert wird, die durch das neue Datenschutzrecht entstehen. Die geplante Gesetzesänderung würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggf. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.

Fundstelle:

Drucksache Nr. 19/11181 des Deutschen Bundestages vom 26.06.2019 – abrufbar unter >> dipbt.bundestag.de/dip21/btd/19/111/1911181.pdf