Editorial : Aus 10 mach 20 – zur Anhebung der Bestellpflicht von betrieblichen Datenschutzbeauftragten
Auf der Tagesordnung der bis in die Morgenstunden des 27. Juni verlaufenden Marathonsitzung des Bundestags stand u.a. die abschließende Beratung des Entwurfs eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU)2016/679 und zur Umsetzung der Richtlinie (EU)2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpU). Für die Aussprache waren 27 Minuten vorgesehen, die zum Teil für den – nicht angenommenen – Antrag noch verbliebener AfD-Abgeordneter auf Beendigung der Sitzung wegen Beschlussunfähigkeit des Parlaments verbraucht wurden. Die meisten der zur Aussprache angemeldeten Abgeordneten gaben ihre Reden zu Protokoll. Drei Abgeordnete äußerten sich kurz und zwar – trotz der mit dem 2. DSAnpU anstehenden 152 Gesetzesänderungen – im Wesentlichen zu der von der CDU-Fraktion eingebrachten Änderung in § 38 Abs. 1 Satz 1 BDSG das Wort „zehn“ durch die Angabe „20“ zu ersetzen. (27.06.2019 – BT-Plenarprotokoll 19/107, S. 13295D – 13296A http://dipbt.bundestag.de:80/dip21/btp/19/19107.pdf#P.13295).
Der Abgeordnete Axel Müller (CDU) begründete dies als „Erleichterung“ für „rund 90 Prozent der Handwerksbetriebe und die überwiegende Mehrzahl der Vereine“. „Damit erfüllen wir eine Forderung, die nach Einführung der Datenschutz-Grundverordnung vielfach an uns herangetragen wurde. Das zeigt auch, dass dieser Gesetzgeber durchaus in der Lage ist, sich veränderten Bedingungen anzupassen und dafür Sorge zu tragen, dass Auswüchse abgestellt werden.“
Anders bewertete der Abgeordnete Dr. Notz (Grüne) das „vermeintliche Geschenk an die Wirtschaft“. Vielmehr schade es der Wirtschaft mehr, als es ihr nütze; denn die rechtlichen Pflichten blieben exakt dieselben. Es sei nur niemand mehr zuständig. Das Einzige, was steige, sei die Haftung.
Auch seitens der SPD war zuvor – obwohl sie koalitionstreu die Gesetzesänderung mittrug – zu bedenken gegeben worden, dass nur von einer scheinbaren Entbürokratisierung gesprochen werden könne, da auch unterhalb der Grenze der 20 Beschäftigten die Datenschutzpflichten unvermindert sind und fortgelten. Wichtig sei deshalb hervorzuheben, dass es künftig niemandem verwehrt sei, bereits unterhalb der neuen Schwelle einen betrieblichen Datenschutzbeauftragten zu bestellen. Seitens der FDP wurde eingewandt, dass der eigentliche Punkt bei der Bestellung eines Datenschutzbeauftragten nicht getroffen werde. Relevant sei nicht die Frage der Anzahl der Mitarbeiter, sondern die Art der Datenverarbeitung sei entscheidend.
Wie man auch immer zu der Gesetzesänderung steht: Es darf – im Gegensatz zu dem Argument der FDP – nicht übersehen werden, dass die Bestellpflicht bereits nach der DS-GVO auch bei Kleinstbetrieben und Vereinen abhängig von den Zwecken der Verarbeitung und eben auch der Art der verarbeiteten Daten durchaus weiterhin besteht (Art. 37 Abs. 1 Nr. 2 und 3 DS-GVO). Und selbstverständlich bleibt – mit oder ohne DSB – die Durchführungsverantwortung sowieso bei dem Handwerker oder Vereinsvorstand. Es steht ihm aber nunmehr frei zu entscheiden, ob er dazu Hilfe benötigt.