Datenschutzbeauftragter – Ein Auslaufmodell?

Inhaltsverzeichnis

Nicht nur Datenschützer kritisieren das "Erstes Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft" als unnötigen Abbau von Datenschutzvorschriften. Die reduzierte Anforderung an die Fachkunde eines Datenschutzbeauftragten und der Wegfall der Verpflichtung, auch in Kleinbetrieben einen Datenschutzbeauftragten zu bestellen, können als falsches Signal verstanden werden. Wenn Datenschutzvorschriften – wie es die Gesetzesüberschrift nahe legt - als abzubauende bürokratische Hemmnisse gesehen werden, führt dies nicht zu einer Priorisierung des Themas "Datenschutz" in den Unternehmen.

Eine der wesentlichen Gesetzesänderungen erfolgt in Satz 4 des Paragraphen 4 f des Bundesdatenschutzgesetzes (BDSG) zur Benennung eines Datenschutzbeauftragten. Sie bezieht sich auf die Sätze 1 und 2, in denen es heißt: "Öffentliche und nichtöffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nichtöffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet." Diese Verpflichtung ist nun nur noch für nichtöffentliche Stelen anzuwenden, die in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Hieraus ergeben sich gleich vier Änderungen gegenüber den bisherigen gesetzlichen Vorgaben:

Die bisherige Mindestanzahl von mehr als vier, spricht fünf, wird auf mehr als neun, sprich zehn, angehoben.

Das Gesetz spricht nunmehr nicht mehr von Arbeitnehmern, sondern von "Personen". Damit sind nicht nur die angestellten Mitarbeiter bei der Zählung mit einzubeziehen, sondern alle Personen, die mit personenbezogenen Daten automatisiert umgehen. Dies können beispielsweise Leiharbeitnehmer, freie Mitarbeiter, aber auch die Unternehmensleitung selbst sein.

Das Gesetz stellt jetzt auf die ständige Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten ab. Wenn Personen, beispielsweise Arbeitnehmer, nur hin und wieder personenbezogene Daten automatisiert verarbeiten, sind diese nicht mitzuzählen.

Die vierte Änderung betrifft die Frage, inwieweit Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Damit sind beispielsweise Mitarbeiter von der Zählung ausgenommen, die für ihre Arbeit ausgedruckte Listen mit personenbezogenen Daten nutzen, aber nicht selbst am PC arbeiten. Wer dagegen die gleichen Listen am Bildschirm oder am (Mobil-)Terminal nutzt und verarbeitet, ist bei der Zählung zu berücksichtigen. Als "Verarbeiten" wird in § 3 Abs. 4 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten definiert. Nur wenn das beispielsweise auf mobilen Endgeräten mit personenbezogenen Daten möglich ist, werden Mitarbeiter mitgezählt, die mit diesen Geräten umgehen.

Datenschützer sehen in der nunmehr gewählten Bezeichnung "Personen" eine gute Klarstellung und Verbesserung der bisherigen Rechtsposition. Auch der Verweis auf die Beschäftigung mit automatisierter Verarbeitung personenbezogener Daten klärt manche Abgrenzungsfrage. Im Gegenzug dazu führt allerdings die Erhöhung der Mindestzahl von fünf auf zehn in der Praxis dazu, dass viele Unternehmen aus der Pflicht zur Bestellung eines Datenschutzbeauftragten herausfallen.

Auch wenn dies bei einem Unternehmen der Fall ist, kann es deshalb nicht alle Regelungen des BDSG außer acht lassen. Das Gesetz verdeutlicht dies in § 4 g Abs. 2 a BDSG. Soweit bei einer nicht-öffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nicht-öffentlichen Stelle die Erfüllung der Aufgaben sicherzustellen. Damit muss die Unternehmensleitung die Aufgabe des Datenschutzbeauftragten entweder selber wahrnehmen oder an einen Datenschutzverantwortlichen delegieren.