Seite 2: Misslungene Klarstellung

Inhaltsverzeichnis

Misslungene Klarstellung

Ein misslungener Versuch der Klarstellung ist in § 4 f Abs. 2 BDSG festzustellen. In der bisherigen Fassung des BDSG wurde darauf verwiesen, dass ein betrieblicher Datenschutzbeauftragter die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen muss. Dies versucht der Gesetzgeber mit einer Änderung zu präzisieren. Nunmehr heißt § 4 f Abs. 2 S. 2 BDSG:

"Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet."

Diese Formulierung lässt Fragen unbeantwortet und eröffnet (neue) Interpretationsspielräume. Wie ist beispielsweise "Umfang" gemeint? Will der Gesetzgeber auf die Menge oder die Intensität der Datenverarbeitung in Form des papierlosen Büros abstellen? Der Verweis auf den Schutzbedarf bringt eine Klassifizierung mit sich. Welche Kriterien führen zu einem höheren oder niedrigeren Schutzbedarf und damit zu geringeren Anforderungen an die Fachkunde des Datenschutzbeauftragten? Wenn der Gesetzgeber von "insbesondere" spricht, lässt dies den Rückschluss zu, dass noch andere/weitere Kriterien das Maß der erforderlichen Fachkunde bestimmen. Anhaltspunkte, in welche Richtung der Gesetzgeber gedacht hat, finden sich im neuen Gesetzestext allerdings nicht.

Blick ins eigene Unternehmen

Viele Systemhäuser und Fachhändler werden die Änderungen im BDSG möglicherweise nutzen, um auf die Benennung eines betrieblichen Datenschutzbeauftragter zu verzichten. Möglicherweise wird das ja im Sinne des Gesetzes als Erleichterung empfunden. Allerdings bleibt es bei der Verpflichtung, die Regelungen des BDSG zu beachten. Hier wechseln nur die Verantwortlichkeiten und führen zu einer Verpflichtung der Unternehmensleitung.

In der Praxis werden die Aufgaben des Datenschutzes und die damit verbundenen Verantwortlichkeiten in Systemhäusern und IT-Fachhandelsunternehmen von der Unternehmensleitung weg delegiert und ein "Datenschutzverantwortlicher" benannt werden. Dann stellt sich allerdings die Frage, welcher qualitative Unterschied zwischen einem "Datenschutzverantwortlichen" und einem "betrieblichen Datenschutzbeauftragten" besteht, wenn die Delegation von Verantwortlichkeiten aus den datenschutzrechtlichen Vorschriften ernst genommen wird

Neues Geschäftsfeld

Ein interessantes Betätigungsfeld könnte sich aus den geänderten Vorgaben für externe Datenschutzbeauftragte ergeben. Bisher war insbesondere bei Steuerberatern, Ärzten oder Rechtsanwälten umstritten, ob diese Berufsgruppen externe Datenschutzbeauftragte benennen können. Dies bejaht der Gesetzgeber in § 4 f Abs. 2 S. 3 BDSG. Installiert ein Unternehmen aus dieser Berufsgruppe einen externen Datenschutzbeauftragten, so erstreckt sich die Kontrolle auf personenbezogene Daten, die einem Berufs- und besonderen Amtsgeheimnis unterliegen. Auch das Steuergeheimnis ist hier mit umfasst.

Ergänzt wird die Vorschrift durch einen neu eingeführten § 4 f Abs. 4 a BDSG. Nach dieser gesetzlichen Neuregelung steht einem externen Datenschutzbeauftragten das gleiche Zeugnisverweigerungsrecht wie dem Leiter der nicht-öffentlichen Stelle, also beispielsweise einem Steuerberater, Rechtsanwalt oder Arzt, zu.

Der kritische Blick

Die Erwartungshaltung, die mit der Überschrift "Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft" bei IT-Fachhändlern und Systemhäuser erweckt wird, ist durch die gesetzlichen Änderungen aus August 2006 nicht erfüllt. Dass sich der Gesetzgeber gerade den Bereich Datenschutz ausgesucht hat und schon wenige Änderungen des BDSG als "Bürokratieabbau" preist, stimmt bei näherer Betrachtung nachdenklich. Die Anhebung der Mindestzahl kann wahrlich nicht als Abbau eines Hemmnisses bezeichnet werden, da damit nur die Anforderungen von einem betrieblichen Datenschutzbeauftragten auf die Unternehmensleitung verlagert werden. Qualitativ ändert sich nichts daran, dass die Betriebe die Regelungen des Bundesdatenschutzgesetzes zu beachten haben. Datenvermeidung und Datensparsamkeit bleiben als Grundprinzip der datenschutzrechtlichen Anforderungen erhalten. Es bleibt zu hoffen, dass nach einem "Ersten Gesetz zum Abbau bürokratischer Hemmnisse" schnell ein zweites mit einem höheren Wirkungsgrad folgt.