zurück zum Artikel

Unter dem viel versprechenden Titel "Erstes Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft" traten am 26. August 2006 verschiedene Änderungen des Bundesdatenschutzgesetzes in Kraft.

Nicht nur Datenschützer kritisieren das "Erstes Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft" als unnötigen Abbau von Datenschutzvorschriften. Die reduzierte Anforderung an die Fachkunde eines Datenschutzbeauftragten und der Wegfall der Verpflichtung, auch in Kleinbetrieben einen Datenschutzbeauftragten zu bestellen, können als falsches Signal verstanden werden. Wenn Datenschutzvorschriften – wie es die Gesetzesüberschrift nahe legt - als abzubauende bürokratische Hemmnisse gesehen werden, führt dies nicht zu einer Priorisierung des Themas "Datenschutz" in den Unternehmen.

Eine der wesentlichen Gesetzesänderungen erfolgt in Satz 4 des Paragraphen 4 f des Bundesdatenschutzgesetzes (BDSG) zur Benennung eines Datenschutzbeauftragten. Sie bezieht sich auf die Sätze 1 und 2, in denen es heißt: "Öffentliche und nichtöffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nichtöffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet." Diese Verpflichtung ist nun nur noch für nichtöffentliche Stelen anzuwenden, die in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Hieraus ergeben sich gleich vier Änderungen gegenüber den bisherigen gesetzlichen Vorgaben:

Die bisherige Mindestanzahl von mehr als vier, spricht fünf, wird auf mehr als neun, sprich zehn, angehoben.

Das Gesetz spricht nunmehr nicht mehr von Arbeitnehmern, sondern von "Personen". Damit sind nicht nur die angestellten Mitarbeiter bei der Zählung mit einzubeziehen, sondern alle Personen, die mit personenbezogenen Daten automatisiert umgehen. Dies können beispielsweise Leiharbeitnehmer, freie Mitarbeiter, aber auch die Unternehmensleitung selbst sein.

Das Gesetz stellt jetzt auf die ständige Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten ab. Wenn Personen, beispielsweise Arbeitnehmer, nur hin und wieder personenbezogene Daten automatisiert verarbeiten, sind diese nicht mitzuzählen.

Die vierte Änderung betrifft die Frage, inwieweit Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Damit sind beispielsweise Mitarbeiter von der Zählung ausgenommen, die für ihre Arbeit ausgedruckte Listen mit personenbezogenen Daten nutzen, aber nicht selbst am PC arbeiten. Wer dagegen die gleichen Listen am Bildschirm oder am (Mobil-)Terminal nutzt und verarbeitet, ist bei der Zählung zu berücksichtigen. Als "Verarbeiten" wird in § 3 Abs. 4 BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten definiert. Nur wenn das beispielsweise auf mobilen Endgeräten mit personenbezogenen Daten möglich ist, werden Mitarbeiter mitgezählt, die mit diesen Geräten umgehen.

Datenschützer sehen in der nunmehr gewählten Bezeichnung "Personen" eine gute Klarstellung und Verbesserung der bisherigen Rechtsposition. Auch der Verweis auf die Beschäftigung mit automatisierter Verarbeitung personenbezogener Daten klärt manche Abgrenzungsfrage. Im Gegenzug dazu führt allerdings die Erhöhung der Mindestzahl von fünf auf zehn in der Praxis dazu, dass viele Unternehmen aus der Pflicht zur Bestellung eines Datenschutzbeauftragten herausfallen.

Auch wenn dies bei einem Unternehmen der Fall ist, kann es deshalb nicht alle Regelungen des BDSG außer acht lassen. Das Gesetz verdeutlicht dies in § 4 g Abs. 2 a BDSG. Soweit bei einer nicht-öffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nicht-öffentlichen Stelle die Erfüllung der Aufgaben sicherzustellen. Damit muss die Unternehmensleitung die Aufgabe des Datenschutzbeauftragten entweder selber wahrnehmen oder an einen Datenschutzverantwortlichen delegieren.

Misslungene Klarstellung

Misslungene Klarstellung

Ein misslungener Versuch der Klarstellung ist in § 4 f Abs. 2 BDSG festzustellen. In der bisherigen Fassung des BDSG wurde darauf verwiesen, dass ein betrieblicher Datenschutzbeauftragter die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen muss. Dies versucht der Gesetzgeber mit einer Änderung zu präzisieren. Nunmehr heißt § 4 f Abs. 2 S. 2 BDSG:

"Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet."

Diese Formulierung lässt Fragen unbeantwortet und eröffnet (neue) Interpretationsspielräume. Wie ist beispielsweise "Umfang" gemeint? Will der Gesetzgeber auf die Menge oder die Intensität der Datenverarbeitung in Form des papierlosen Büros abstellen? Der Verweis auf den Schutzbedarf bringt eine Klassifizierung mit sich. Welche Kriterien führen zu einem höheren oder niedrigeren Schutzbedarf und damit zu geringeren Anforderungen an die Fachkunde des Datenschutzbeauftragten? Wenn der Gesetzgeber von "insbesondere" spricht, lässt dies den Rückschluss zu, dass noch andere/weitere Kriterien das Maß der erforderlichen Fachkunde bestimmen. Anhaltspunkte, in welche Richtung der Gesetzgeber gedacht hat, finden sich im neuen Gesetzestext allerdings nicht.

Blick ins eigene Unternehmen

Viele Systemhäuser und Fachhändler werden die Änderungen im BDSG möglicherweise nutzen, um auf die Benennung eines betrieblichen Datenschutzbeauftragter zu verzichten. Möglicherweise wird das ja im Sinne des Gesetzes als Erleichterung empfunden. Allerdings bleibt es bei der Verpflichtung, die Regelungen des BDSG zu beachten. Hier wechseln nur die Verantwortlichkeiten und führen zu einer Verpflichtung der Unternehmensleitung.

In der Praxis werden die Aufgaben des Datenschutzes und die damit verbundenen Verantwortlichkeiten in Systemhäusern und IT-Fachhandelsunternehmen von der Unternehmensleitung weg delegiert und ein "Datenschutzverantwortlicher" benannt werden. Dann stellt sich allerdings die Frage, welcher qualitative Unterschied zwischen einem "Datenschutzverantwortlichen" und einem "betrieblichen Datenschutzbeauftragten" besteht, wenn die Delegation von Verantwortlichkeiten aus den datenschutzrechtlichen Vorschriften ernst genommen wird

Neues Geschäftsfeld

Ein interessantes Betätigungsfeld könnte sich aus den geänderten Vorgaben für externe Datenschutzbeauftragte ergeben. Bisher war insbesondere bei Steuerberatern, Ärzten oder Rechtsanwälten umstritten, ob diese Berufsgruppen externe Datenschutzbeauftragte benennen können. Dies bejaht der Gesetzgeber in § 4 f Abs. 2 S. 3 BDSG. Installiert ein Unternehmen aus dieser Berufsgruppe einen externen Datenschutzbeauftragten, so erstreckt sich die Kontrolle auf personenbezogene Daten, die einem Berufs- und besonderen Amtsgeheimnis unterliegen. Auch das Steuergeheimnis ist hier mit umfasst.

Ergänzt wird die Vorschrift durch einen neu eingeführten § 4 f Abs. 4 a BDSG. Nach dieser gesetzlichen Neuregelung steht einem externen Datenschutzbeauftragten das gleiche Zeugnisverweigerungsrecht wie dem Leiter der nicht-öffentlichen Stelle, also beispielsweise einem Steuerberater, Rechtsanwalt oder Arzt, zu.

Der kritische Blick

Die Erwartungshaltung, die mit der Überschrift "Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft" bei IT-Fachhändlern und Systemhäuser erweckt wird, ist durch die gesetzlichen Änderungen aus August 2006 nicht erfüllt. Dass sich der Gesetzgeber gerade den Bereich Datenschutz ausgesucht hat und schon wenige Änderungen des BDSG als "Bürokratieabbau" preist, stimmt bei näherer Betrachtung nachdenklich. Die Anhebung der Mindestzahl kann wahrlich nicht als Abbau eines Hemmnisses bezeichnet werden, da damit nur die Anforderungen von einem betrieblichen Datenschutzbeauftragten auf die Unternehmensleitung verlagert werden. Qualitativ ändert sich nichts daran, dass die Betriebe die Regelungen des Bundesdatenschutzgesetzes zu beachten haben. Datenvermeidung und Datensparsamkeit bleiben als Grundprinzip der datenschutzrechtlichen Anforderungen erhalten. Es bleibt zu hoffen, dass nach einem "Ersten Gesetz zum Abbau bürokratischer Hemmnisse" schnell ein zweites mit einem höheren Wirkungsgrad folgt.

Die Änderungen im Überblick

Das Wichtigste im Überblick:

Änderungen des BDSG

Durch die am 26. August 2006 in Kraft getretene Änderung des Bundesdatenschutzgesetzes ergeben sich folgende neue rechtliche Anforderungen:

1. Die Pflicht zur Ernennung eines Datenschutzbeauftragten betrifft nur noch Unternehmen, in denen mindestens 10 Mitarbeiter mit der datentechnischen Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten beschäftigt sind. Dabei geht das Gesetz nunmehr von "Personen" aus und umfasst damit auch Leiharbeitnehmer und freie Mitarbeiter. Auch die Unternehmensleitung ist gegebenenfalls mitzuzählen. Neu ist die Anforderung, dass die Personen "ständig" mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

2. Nach den gesetzlichen Neuregelungen ist die Fachkunde des Datenschutzbeauftragten unternehmens-individuell zu bestimmen. Die wichtigsten Faktoren sind dabei der Umfang der Datenverarbeitung und der konkrete Schutzbedarf der jeweiligen verantwortlichen Stelle.

3. Berufsgeheimnisträger, wie etwa Rechtsanwälte, Steuerberater und Ärzte, dürfen nunmehr einen externen Datenschutzbeauftragten bestellen.

4. Es bleibt bei der Verpflichtung der jeweiligen Unternehmensleitung, den Datenschutz und die Einhaltung der gesetzlichen Vorgaben des Bundesdatenschutzgesetzes sicherzustellen. Mit dem Wegfall der Pflicht zur Bestellung eines Datenschutzbeauftragten entfallen nicht generell die Anforderungen des BDSG.

Der Autor:

Thomas Feil [1] ist Rechtsanwalt in Hannover. [2] (gs [3])

URL dieses Artikels:
https://www.heise.de/-274194

Links in diesem Artikel:
[1] http://www.heise.de/resale/koepfe/879/
[2] http://www.recht-freundlich.de/
[3] mailto:gs@ct.de

Copyright © 2006 Heise Medien