IT-Recht und Datenschutz

Entlastung für kleine und mittlere Unternehmen durch Entschärfung des BDSG

Artikel drucken

07.07.2019 | Autor: Nikoleta Giannoulidou
Lesezeit: 5 Minuten

 

Mit Einführung der DSGVO und dem BDSG-neu befürchteten viele eine Abmahnwelle, die besonders kleine und mittlere Unternehmen (KMUs) treffen würde. Die erwartete Abmahnwelle blieb zwar aus, jedoch belasten datenschutzrechtliche Regelungen vor allem KMUs weiterhin stark. 

 

Die DSGVO gilt in den EU-Mitgliedsstaaten unmittelbar, lässt jedoch durch Öffnungsklauseln zu, dass nationale Gesetzgeber ergänzende Regelungen auf nationaler Ebene erlassen.
Durch nationale Regelungen dürfen die Vorgaben der DSGVO jedoch nicht unterlaufen, sondern nur ergänzt oder verschärft werden. Eine solche ergänzende Regelung stellt das BDSG-neu dar. Hier normiert § 38 Abs. 1 S. 1 BDSG-neu eine Verschärfung der Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 DSGVO, da durch die nationale Regelung eine Bestellungspflicht dort vorgeschrieben wird, wo nach der DSGVO noch keine Pflicht bestünde.

 

Kurz vor der Sommerpause hat der Bundestag nun beschlossen, KMUs zu entlasten. Die Pflicht einen Datenschutzbeauftragten gemäß § 38 Abs. 1 S. 1 BDSG-neu zu benennen, soll in Zukunft nur noch für Unternehmen gelten, in denen mindestens zwanzig Mitarbeiter, die ständig mit personenbezogenen Daten befasst sind, beschäftigt sind. Aktuell sieht § 38 Abs. 1 S. 1 BDSG-neu eine Grenze von zehn Mitarbeitern vor. Das Gesetz ist allerdings zustimmungspflichtig und muss noch vom Bundesrat verabschiedet werden.

 

Die FDP Fraktion hatte mit ihrer Anfrage vom 21. Juni 2019 die Auswirkungen der DSGVO auf KMUs kritisiert. Der deutsche Gesetzgeber sei in einigen Bereichen - so wie mit § 38 Abs. 1 S. 1 BDSG-neu - über die Verpflichtungen der DSGVO hinausgegangen. Vor dem Hintergrund einer umfassenden EDV-Verarbeitung und Datenspeicherung durch nahezu alle Beschäftigten, müsste fast jeder Betrieb mit zehn oder mehr Mitarbeitern einen Datenschutzbeauftragten stellen. Besonders Unternehmen, die im E-Commerce tätig sind, sind in der Regel von der Vorschrift des § 38 BDSG-neu betroffen. Der hohe Beratungsbedarf kann zwar auf der einen Seite durch eine zunehmend spezialisierte Beratungsbranche gedeckt werden. Auf der anderen Seite mangelt es jedoch an Zertifizierungen für Datenschutzbeauftragte, sodass der Markt an Beratungsleistungen für viele Unternehmen immer intransparenter wird. Die Kosten und der bürokratische Aufwand für die Bestellung eines Datenschutzbeauftragten, seine Aus- und Weiterbildungskosten führen gerade bei KMUs zu teilweise untragbaren Belastungen im Unternehmen. Besonders im Hinblick auf die Konkurrenzfähigkeit auf dem europäischen Markt ist dies zu beachten. Denn die Pflicht zur Bestellung eines Datenschutzbeauftragten ist gerade eine deutsche Besonderheit und könnte inländische Unternehmen gegenüber Unternehmen aus anderen Ländern benachteiligen. 

 

Die Unternehmen jedoch allein von der Pflicht zur Bestellung eines Datenschutzbeauftragten zu befreien, dürfte wohl kaum ausreichen, um eine tatsächliche Entlastung von KMUs zu erreichen. Denn für diese gelten die DSGVO und das BDSG-neu weiterhin in demselben Umfang wie für große Unternehmen. KMUs müssen weiterhin ihren sonstigen Pflichten, wie zum Beispiel der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten oder der Erfüllung von Informationspflichten, umfassend nachkommen.

 

Kritisch betrachtet stellt sich somit die Frage, ob KMUs tatsächlich dadurch geholfen wird, dass diese von der Bestellungspflicht des § 38 Abs. 1 S. 1 BDSG-neu ausgenommen werden. Dies könnte dazu führen, dass die dringend erforderliche Expertise in Bezug auf datenschutzrechtliche Fragen in Unternehmen nicht mehr vorhanden ist. Die finanzielle Ersparnis stünde in einem Fall von datenschutzrechtlichen Verstößen jedoch in keinem Verhältnis zu den oftmals drohenden Bußgeldern. Gerade bei kleineren Unternehmen mit eher beschränkten finanziellen und organisatorischen Mitteln, stand die Frage des Datenschutzes auf der Prioritätenliste bisher an eher untergeordneter Stelle. Entfällt nun auch die Pflicht zur Bestellung eines Datenschutzbeauftragten, könnte dies dazu führen, dass sich in KMUs kaum noch jemand für die Einhaltung der Datenschutzregelungen verantwortlich fühlt. 


Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich gegen eine Abschaffung oder Verwässerung der nationalen Regelungen der Pflicht zur Benennung eines Datenschutzbeauftragten ausgesprochen. Denn Datenschutzbeauftragte tragen zu einer kompetenten datenschutzrechtlichen Beratung bei und können somit Datenschutzverstöße bereits im Vorfeld vermeiden. 

 

Sollte die Neuregelung des § 38 Abs. 1 S. 1 BDSG-neu verabschiedet werden, könnte der Wegfall der Pflicht einen Datenschutzbeauftragten zu benennen, wahrscheinlich kurzfristig als Entlastung empfunden werden. Langfristig gesehen würde dies jedoch zu Einbußen an interner datenschutzrechtlicher Kompetenz führen. Die Befreiung von der Bestellungspflicht könnte für KMUs mithin - entgegen aller Vorfreude - langfristig gesehen eher eine Be- als eine Entlastung darstellen.
 

Associate
Nikoleta Giannoulidou

"Häufig empfohlene Kanzlei in D’dorf […]"


JUVE Handbuch Wirtschaftskanzleien 2017/2018

 

Diesen Blogartikel teilen: