ius-IT.de - Abschaffung des betrieblichen Datenschutzes und des Datenschutzbeauftragten bei kleinen Unternehmen?

Home

Impressum

AGB

Datenschutz


Rechtsprechung


Beiträge

Beiträge:

< zurück zur Übersicht <	> ...Druckversion >

Stand: online seit 09/05

Von Jens Engelhardt, Darmstadt^*

Abschaffung des betrieblichen Datenschutzes und des Datenschutzbeauftragten bei kleinen Unternehmen?

1 Einleitung
Der Bundesrat hat am 23. September einen von den Ländern Niedersachsen und Hessen¹ eingebrachten Gesetzentwurf zur Vorlage im Bundestag beschlossen², wonach das Bundesdatenschutzgesetz (BDSG) aus Vereinfachungs- und Kostengründen zugunsten von Unternehmen abgeändert werden soll.

2 Änderungen
Entgegen der jetzigen Gesetzeslage sollen gemäß dem Beschluss des Bundesrates Unternehmen einen betrieblichen Datenschutzbeauftragten erst dann bestellen müssen, wenn im Unternehmen mehr als 19 Mitarbeiter personenbezogene Daten verarbeiten. Bisher tritt diese Verpflichtung bereits bei mehr als 4 Mitarbeitern ein, § 4f BDSG.³ Weil nach derzeitigem BDSG für Unternehmen eine Pflicht zur Meldung von Verfahren automatisierter Verarbeitungen von personenbezogenen Daten vor Inbetriebnahme der Datenverarbeitungsanlage besteht, soweit kein betrieblicher Datenschutzbeauftragter bestellt ist, soll diese Meldepflicht ebenfalls entfallen.⁴ Offen ist jedoch, ob gleichfalls die Meldepflicht für kleinere Unternehmen (</= 19 datenverarbeitender Mitarbeiter) in Fällen der geschäftsmäßigen Datenübermittlung und der Verarbeitung von besonders sensitiven Daten entfallen soll.⁵

Weiterhin soll nunmehr ein externer betrieblicher Datenschutzbeauftragter dem internen Datenschutzbeauftragten rechtlich gleichgestellt sein. Insbesondere soll auch der Einsatz eines externen Datenschutzbeauftragten bei Betrieben mit besonderen Geheimhaltungspflichten⁶ ermöglicht werden.

3 Konsequenzen
Soweit der Beschluss in ein Gesetz mündet, können zukünftig kleine und mittlere Betriebe auf die Bestellung einen Datenschutzbeauftragten verzichten bzw. bisherige Datenschutzbeauftragte von ihrer Aufgabe entbinden, soweit nicht mehr als 19 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

Zu beobachten wird sein, ob dennoch eine Meldepflicht und eine Vorabkontrolle der Datenverarbeitungsverfahren durchzuführen sein wird, wenn das Unternehmen die Daten geschäftsmäßig übermittelt⁷ oder besonders sensitive Daten⁸ verarbeitet.

Soweit so gut - so schlecht?

Die Abschaffung dieser Pflichten entbindet die kleineren und mittleren Unternehmen in keiner Weise davon, bei der Verarbeitung von personenbezogenen Daten die Vorschriften des Bundesdatenschutzgesetzes und anderer Datenschutzgesetze⁹ zu beachten.

4 Fazit
Ob mit oder ohne betrieblichen Datenschutzbeauftragten, das verantwortliche Unternehmen muss die Einhaltung der Datenschutzgesetze in jedem Falle gewährleisten.

Wenn demnach in diesen Unternehmen kein Datenschutzbeauftragter bestellt wird, muss jemand anderes im Unternehmen die Einhaltung der Datenschutzgesetze gewährleisten.

Insoweit bringt der Beschluss des Bundesrates im Ergebnis auch keinerlei Vereinfachung für kleine Unternehmen.

Im Gegenteil. Dadurch, dass in Deutschland die Kontrolle der Gesetzeseinhaltung überwiegend ein betrieblicher Datenschutzbeauftragter sicherstellt, ist eine staatliche (Vorab-)Kontrolle - anders als in anderen EU-Mitgliedsländern - nur in Ausnahmefällen notwendig.

Durch die faktische Abschaffung des betrieblichen Datenschutzbeauftragten für kleine Unternehmen droht die Konsequenz, dass die Kontrolle der Einhaltung der Datenschutzgesetze in kleinen Unternehmen ohne betrieblichen Datenschutzbeauftragten entweder verstärkt von den staatlichen Aufsichtsstellen sichergestellt werden muss. Dies würde jedoch ein Mehr an Staat bedeuten.

Oder aber es findet von staatlicher Seite keine vermehrte Kontrolle statt. Die Folge wäre, dass Datenschutz(-kontrolle) in diesen kleinen Unternehmen nicht mehr stattfindet.

Jede der aufgezeigten Konsequenzen wäre bedauerlich.

^* Der Autor ist Rechtsanwalt und Partner der Sozietät Engelhardt + Braune in Darmstadt und berät regelmäßig Unternehmen und Betroffene im Datenschutz.

¹ s. Entwurf Niedersachsen und Hessen:
http://www.bundesrat.de/coremedia/generator/Inhalt/Drucksachen/
2005/0599_2D05,property=Dokument.pdf

² Beschluss Bundesrat:
http://www.bundesrat.de/coremedia/generator/Inhalt/Drucksachen/
2005/0599_2D05B,property=Dokument.pdf

³ Vgl. § 4 f Abs. 1BDSG:
http://bundesrecht.juris.de/bundesrecht/bdsg_1990/index.html

⁴ Im Beschluss heißt es, dass die Unternehmen von der Meldepflicht freigestellt werden sollen.

⁵ Vgl. § 4 d Abs. 4, 5 BDSG: http://bundesrecht.juris.de/bundesrecht/bdsg_1990/index.html

⁶ z.B. Arztpraxen, Rechtsanwälten, Steuerberatern etc.

⁷ Vgl. § 3 Abs. 4 Nr. 3 BDSG.

⁸ Vgl. § 3 Abs. 9 BDSG: z.B. rassische und ethnische Herkunft, religiöse und politische Überzeugungen, Sexualleben etc.

⁹ z.B. Teledienstedatenschutzgesetz, Mediendienstestaatsvertrag, SGB I-X