Mit dem zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU, das am 27. Juni 19 im Bundestag beschlossen wurde, ergibt sich eine wesentliche Änderung hinsichtlich der Pflicht zur Benennung eines Datenschutzbeauftragten für Unternehmen. Bisher musste diese in Unternehmen erfolgen, in denen mindestens 10 Personen regelmäßig personenbezogene Daten verarbeiteten. Diese Grenze wurde nun auf 20 Personen angehoben.
Macht das Sinn?
Der ursprüngliche Gedanke, gerade kleine Unternehmen bei der Umsetzung der DSGVO entlasten zu wollen, ist sicherlich gut. Auch in unserer Beratungspraxis stoßen wir immer wieder auf Unternehmen, die ihr Datenschutzniveau vor Geltung der DSGVO mit überschaubaren Aufwand auf einem sehr guten Stand halten konnten. Die DSGVO hat in manchen Bereichen jedoch Spielregeln verändert und konfrontiert nun auch kleine Unternehmen, Handwerksbetriebe oder Freelancer mit den gleichen Anforderungen, denen sich Mittelständler gegenübersehen. Das sorgte und sorgt auch jetzt noch für zum Teil große Schwierigkeiten bei der Umsetzung der Vorschriften. Es wäre also durchaus zweckmäßig, hier bundesweit für Erleichterungen zu sorgen.
Die Wahl der Waffen
Bei der Umsetzung dieses Gedankens im DSAnpUG-EU wurde allerdings aus unserer Sicht zur falschen Waffe gegriffen: die Pflicht zur Benennung des Datenschutzbeauftragten. Aus diesen Gründen wird das Thema für Unternehmen zum Drahtseilakt:
- Das Datenschutz-Knowhow ist in den von der Änderung betroffenen Unternehmen in der Regel gering. Das ist auch verständlich, denn Geschäftsführer und andere Akteure sind in Unternehmen der entsprechenden Größenordnung in der Regel operativ ausgelastet und haben keine Möglichkeit, sich in ein so komplexes Themenfeld wie den Datenschutz ausreichend einzuarbeiten. Aus diesem Grund fällt die Wahl meistens auf externe Datenschutzbeauftragte mit entsprechender Kompetenz. So konnten Unternehmen von externem Knowhow profitieren und möglichen Schaden abwenden. Fällt diese Funktion weg, haben Unternehmer keinen Sparringspartner mehr, wenn es um die Frage geht, ob die ergriffenen Maßnahmen richtig sind, oder welche Maßnahmen überhaupt notwendig sind.
- Zum Jahrestag der Geltung der DSGVO gab es einige Umfragen zum Stand der Umsetzung der DSGVO in Unternehmen, die allesamt zum gleichen Schluss kamen: die überwiegende Menge der befragten Firmen hat noch keine oder nur unzureichende Aktivitäten im Datenschutz ergriffen. Nun fällt für eine große Zahl der Unternehmen die Pflicht zur Benennung des Datenschutzbeauftragten weg – und das Thema rutscht damit gefährlich weit weg von den Schreibtischen der Verantwortlichen. Die Risiken, die für Unternehmen durch Nicht-Einhaltung der DSGVO bestehen, sind allerdings die gleichen geblieben.
- Dieser Punkt wird noch durch die Berichterstattung unterstützt. Nachdem die Medien im vergangenen Jahr voll von Berichten über die DSGVO waren, liest heute kaum noch jemand bis zum Schluss, wenn über ein „DSAnpUG-EU“ berichtet wird. Lediglich die Änderung der Benennungsgrenze wird wahrgenommen. Die Gefahr, dass das Thema Datenschutz auch dadurch aus den Köpfen der Verantwortlichen verschwindet, ist groß.
Klarzustellen ist, dass es sich nur um den Wegfall der Funktion des Datenschutzbeauftragten für bestimmte Unternehmen handelt. Durch diese Anpassung ändert sich der rechtliche Rahmen, in dem die Unternehmen sich bewegen und der einzuhalten bzw. umzusetzen ist, nicht. Von einer Erleichterung kann also höchstens hinsichtlich der Kosten gesprochen werden, die für die Benennung eines externen Datenschutzbeauftragten anfallen. Diese Kosten stehen jedoch in der Regel in keinem Verhältnis zu dem Aufwand, den ein Unternehmer betreiben muss, um sich selbst oder einem Mitarbeiter das notwendige DSGVO-Knowhow zu verschaffen und die Vorgaben umzusetzen.
Unser Tipp
Aus unserer Beratung bei Steuerkanzleien und Rechtsanwälten können wir schon lange einen Trend erkennen, der völlig gegenläufig zur Anpassung der Benennungsgrenze läuft: die freiwillige Benennung in kleinen Kanzleien. In diesen Berufsständen wurde schon lange erkannt, dass eine saubere Datenschutzweste mit zu den Grundlagen für eine vertrauensvolle und nachhaltige Kundenbeziehung gehört. Nicht selten hängt die Benennungsurkunde des Datenschutzbeauftragten direkt neben wichtigen Zertifikaten, z.B. zum Qualitätsmanagement, als Aushängeschild in den Kanzleien.
Wir empfehlen daher gerade kleineren Unternehmen, in Sachen Datenschutz auf jeden Fall am Ball zu bleiben. Auch wenn die Benennung eines Datenschutzbeauftragten für ein Unternehmen nicht mehr notwendig ist, unterstützen Dienstleister wie wir die Verantwortlichen dabei, den Datenschutz nicht aus den Augen zu verlieren, die richtigen Maßnahmen umzusetzen und sich regelmäßig um die Aktualisierung zu kümmern. Die DSGVO wird bleiben, auch wenn sie in Zukunft sicherlich noch einigen Änderungen unterliegen wird. Die Anforderungen an Unternehmen werden mit Sicherheit nicht einfacher werden. Sich hier durch den Wegfall der Funktion des Datenschutzbeauftragten auf der sicheren Seite zu wägen ist riskant.