In der Vergangenheit wurde bereits mehrfach versucht Regelungen der Datenschutz-Grundverordnung inhaltlich pragmatischer zu fassen bzw. Öffnungsspielräume aus der europäischen Verordnung stärker zu nutzen.

I.

Einem Antrag des Landes Niedersachsens vom 04.04.2019 (vgl. http://dip21.bundestag.de/dip21/brd/2019/0144-19.pdf) zufolge ergäbe sich das folgende Stimmungsbild:

Das in Art. 1 DSGVO festgelegte Ziel, den Schutz personenbezogener Daten sicherzustellen, kann jedoch nur erreicht werden, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen auch anwenden (können). Laut einer Studie des Verbands Bitkom geben nur etwa ein Viertel der deutschen Unternehmen an, die DSGVO vollständig umgesetzt zu haben. Eine der entscheidendsten Hürden sei große Rechtsunsicherheit, die sich auch in stark ansteigenden Anfragen an die Landes-Aufsichtsbehörden äußert

Daher forderte der Bundesrat eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Mithin war Zielstellung:

• Die 10-Personen-Schranke aus § 38 Absatz 1 Satz 1 BDSG als Voraussetzung für einen notwendigen Datenschutzbeauftragten heraufzusetzen. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.
• Eingetragene Vereine sowie ehrenamtlich Tätige sollen von der Pflicht zur Bestellung eines Datenschutzbeauftragten ausgenommen werden.
• Evaluierung und Verlängerung der 72 Stundefrist aus Art. 33 Absatz 1 DS-GVO.
• Eindämmung von Abmahnrisiken.
• Prüfung, ob Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke in die datenschutzrechtlichen Bestimmungen implementiert werden können.

II.

Konträr zu dem Vorstehenden hat sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber geäußert. „Wer den Datenschutz als Wirtschaftshemmnis darstellt, ist nicht auf der Höhe der Zeit„, sagte Kelber. … „Statt den Datenschutz zu schleifen, sollten die Länder lieber ihre Aufsichtsbehörden personell weiter aufstocken, damit diese auch die Wirtschaft entsprechend beraten können.“

Diese Aussage ist durchaus spannend, hat er sich doch noch am 08. Mai bei der Vorstellung des 27. Tätigkeitsberichtes wie folgt geäußert:

„Die anstehende erste Evaluierung der DSGVO sollte genutzt werden, um vor allem beim Scoring und der Profilbildung die Rechte der Bürgerinnen und Bürger zu stärken. Zugleich sollten aber auch solche Informations- und Dokumentationspflichten auf den Prüfstand gestellt werden, die Bürgerinnen und Bürger, Vereine und kleine Unternehmen übermäßig belasten, ohne dass mit ihnen ein wesentlicher datenschutzrechtlicher Mehrwert verbunden ist. Zudem ist in Deutschland selbst die von der DSGVO vorgesehene Schaffung eines umfassenden Datenschutzrechts für Beschäftigte sowie Bewerberinnen und Bewerber überfällig.“

III.

In der Nacht zum 28.06.2019 hat der Bundestag zunächst eine erste Umsetzung beschlossen. Demnach soll die Schwelle, ab der Betriebe einen Datenschutzbeauftragten ernennen müssen, von 10 auf 20 Mitarbeiter steigen. Bevor die durchaus strittige Neuregelung in Kraft treten kann, muss noch der Bundesrat zustimmen (was aber angesichts der Darstellungen unter I. wohl nur noch Makulatur ist).

IV.         

Aus unserer Sicht handelt es sich vorliegend um eine Scheindebatte, zu Lasten einer pragmatischen Umsetzung gesetzlicher Datenschutzvorgaben. Denn unabhängig von der Zahl der Beschäftigten müssen die betroffenen Unternehmen die datenschutzrechtlichen Vorgaben aus der DS-GVO vorhalten, umsetzen und leben.

Ob ein Schwellenwert das Vorhandensein eines Datenschutzbeauftragten erfordert oder nicht ist für die meisten Unternehmen faktisch irrelevant. Man benötigt unbenommen hiervon eine klare Abgrenzung eines Verantwortungsbereiches mit entsprechenden Eskalations- und Transparenzbestimmungen sowie die Erfüllung der sonstigen Informations- und Dokumentationspflichten (prozessuale Umsetzung).

Mithin tritt weder eine Entlastung der Unternehmen noch eine Klarstellung der Sach- und Rechtslage ein.  Hierbei ist insbesondere zu bedenken, dass Art.37 DS-GVO in Absatz 1 lit. b) die Bestellpflicht eines Datenschutzbeauftragten auch dann normiert, wenn ein Unternehmen für eine Datenschutz-Folgeabschätzung relevante Verarbeitungen vornimmt. Die Prüfung der Voraussetzungen obliegt dem Unternehmen, wodurch sich das Haftungsrisiko nach Artt. 77 ff. bei einer Missachtung durch die Novellierung erheblich erhöht.