2. DSAnpUG | Ambivalenz auf 600 Seiten

Wer den Datenschutz als Wirtschaftshemmnis darstellt, ist nicht auf der Höhe der Zeit

Ullrich Kälber

Wahre Worte, die der Bundesdatenschutzbeauftragte Ullrich Kälber in diesem Zusammenhang aussprach. Das Wahlgeschenk mit dem wohlklingenden Namen „2.DSAnpUG“ soll Verwaltungs- und Administrations-Aufwendungen für KMU reduzieren. Erhöht werden dadurch jedoch automatisch Risiken in der Datenschutz-Disziplin. Der Datenschutz wird noch immer als Hemmnis wahrgenommen: In der Politik und der Wirtschaft. Die Wettbewerbsvorteile hingegen, werden übersehen. Doch worum geht es hier genau?

Ganz einfach: Das sogenannte 2. DSAnpUG1 ist durch den Bundestag beschlossen worden. Der Bundesrat darf noch entscheiden. Eine Gegenwehr durch die Landesregierungen ist nicht zu erwarten. Damit haben wir in der Bundesrepublik, unter anderem eine neue Grenze für die Pflicht zur Benennung eines Datenschutzbeauftragten in Unternehmen. Viele Datenschutzbeauftragte sehen darin eher einen Fluch als einen Segen. Die Befürchtungen beziehen sich jedoch nicht auf vertriebliche Ansätze. Die Sorgen der Datenschutzbeauftragten sind tatsächlich berufsethischer Natur.

Doch vorab lohnt sich ein Blick in die „alte“ Welt des BDSG: Ab dem 25.05.2018, dem Datum des Inkrafttretens des BDSG-Neu, gilt für nichtöffentliche Stellen [Unternehmen, Vereine, Stiftungen, etc.] eine Benennungspflicht von Datenschutzbeauftragten, wenn diese Stellen mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten betraut haben. Weitere Kriterien für die Pflicht zur Bestellung finden sich in Art. 37 DSGVO. Die Pflicht zur Bestellung besteht demnach auch, wenn:

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO2 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO3 besteht.

Dadurch sind gemäß dieser numerischen Grenze knapp über 3,1 Millionen Unternehmen aus der Bestellpflicht herausgefallen4. Das entspricht ca. 89 Prozent aller Unternehmen in der Bundesrepublik.

Doch diese bundesdeutsche Besonderheit im Datenschutz ist nunmehr aufgeweicht worden. In Zukunft werden zwanzig Mitarbeiter notwendig sein, damit das Thema Datenschutz bei den betroffenen KMU auf dem Tisch liegen muss. Damit haben alle Unternehmen unter zwanzig Mitarbeitern keinen Datenschutzbeauftragten zu bestellen.

Doch eines ist gewiss unverändert: Der Datenschutz muss von allen Unternehmen umgesetzt werden. Egal wie viele Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut sind. Die gewünschten Erleichterungen für die KMU bergen ein Risiko. Die Wahrscheinlichkeit, dass es in eben jenen KMU, die keinen Beauftragten für den Datenschutz bestellt haben, zu Datenpannen kommt, ist dementsprechend höher.

Genannt seien hier beispielsweise einmal typische Berufsgeheimnisträger. Viele Arztpraxen, Rechtsanwaltskanzleien und Notare liegen deutlich unterhalb dieser marginalen Grenze. Interessante Brancheninfo: Überdurchschnittlich viele Datenpannen passieren bei eben diesen Berufsgruppen. Besonders interessant ist es dann, wenn die kompromittierenden Daten zu den sogenannten besonderen Kategorien zählen. Wenn die Vertreter – wie alle anderen Berufsklassen auch – nun quasi von der Bestellung befreit sind, dann ist es nur eine Frage der Zeit, bis diese Branchenvertreter in der Statistik der Datenpannen-verursachenden Marktteilnehmer die unanfechtbaren Spitzenplätze einnehmen.

Das diese Milchmädchenrechnung nicht aufgeht, ist im Zusammenhang mit der globalisierten Wirtschaft in Deutschland nur noch brisanter. Häufig braucht es Datenschutzbeauftragte für die großen Fragen: Da sind beispielsweise datenschutzrechtliche Fragen im Zusammenhang mit der Internationalen Kommunikation zu klären. Wie viele deutsche Geschäftsführer, mit Systemlieferanten aus den USA, wissen um den US-Cloud Act? Wie viele Unternehmen mit chinesischen Kontakten haben sich mit dem chinesischen Cyber-Security-Gesetz auseinandergesetzt?

Es drohen Abmahnungen, aufgrund datenschutzrechtlichem Fehlverhalten, auch bei den kleineren Herausforderungen: Noch immer ist vielen Geschäftsführern unklar, wann die Verarbeitung personenbezogener Daten mit Dritten Stellen nach einer Verschwiegenheitsvereinbarung, nach einem Auftragsverarbeitungsvertrag oder nach Vereinbarungen für gemeinsam Verantwortliche verlangt. Begeht man in derlei Fällen Fehltritte, können die Konsequenzen nicht nur monetärer Natur sein. Die Konsequenzen können auch öffentlichkeitswirksam vom Wettbewerb genutzt werden.

Dem entgegen zu treten ist die Aufgabe des Datenschutzbeauftragten. Sobald die bestellten internen oder externen Datenschutzbeauftragten alle Datenschutz-GAPs aufgedeckt haben, können diese geschlossen und entsprechende Maßnahmen geplant und umgesetzt werden.

Es bleibt zu hoffen, dass die, vom BDSG-Neu noch nicht angesprochen 89 Prozent der deutschen Unternehmen, diese Risiken sehen und den Datenschutz ernst nehmen. Was noch fehlt: Die guten Seiten des 2. DSAnpUG. Die sinnvollen Änderungen befassen sich mit Anpassungen in ca. 170 Einzel-Gesetzen und Verordnungen. Hier wurden Begriffsbestimmungen optimiert. Beispielsweise wurden Termini wie „löschen, speichern, offenlegen“ DSGVO-konform in „verarbeiten“ umgetauft.


1 Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 |Quelle: http://dipbt.bundestag.de/extrakt/ba/WP19/2390/239070.html

2 Bezieht sich auf Daten, die folgenden Charakter Tragen: Informationen zu rassischer und ethnischer Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen und Gewerkschaftszugehörigkeiten von betroffenen Personen. Außerdem zählen genetische und biometrische Daten, Gesundheitsdaten Informationen zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person mit hinzu. Die Verarbeitung dieser Daten ist zunächst untersagt. Es existieren jedoch Ausnahmeregelungen [Thema Datenschutz im Beschäftigungsverhältnis u.a.]

3 Artikel 10 gibt unter anderem wieder, dass die Verarbeitung von personenbezogenen Daten von Straftätern, Straftaten und Verurteilungen per se nur unter behördlicher Aufsicht geschehen darf.

4 Quelle: https://de.statista.com/statistik/daten/studie/1929/umfrage/unternehmen-nach-beschaeftigtengroessenklassen/

Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.