Datenschutzanpassung: Entlastung für kleine Unternehmen?

Noch
vor der Sommerpause hat sich der Bundestag auf eine Anpassung der nationalen
Datenschutzregelungen geeinigt.

Die
DSGVO sieht in Ihren 99 Artikeln an einigen Stellen Öffnungsklauseln vor, die
der nationale Gesetzgeber mit eigenen Regelungen füllen kann. Von dieser
Möglichkeit hat der deutsche Gesetzgeber bereits zum Geltungstag der DSGVO mit
dem Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. Nun erfolgen weitere
inhaltliche Anpassungen.

Von
besonderer Relevanz für den Mittelstand und somit auch für den Online-Handel ist
dabei die vorgesehene Änderung für die verpflichtende Benennung eines
betrieblichen Datenschutzbeauftragten.

Datenschutzbeauftragter erst bei 20 Mitarbeitern

Nach
Ansicht der großen Koalition ist die zusätzliche Regelung zur Benennung eines
Datenschutzbeauftragten nicht mittelstandsfreundlich konzipiert und mit einem
nicht unerheblichen Kostenfaktor für kleine Unternehmen verbunden. Aktuell
gilt:

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 Satz 1 BDSG).

Der
neue Gesetzesentwurf der Bundesregierung sieht vor, einen
Datenschutzbeauftragten zu benennen, sofern mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschäftigt sind.

Ziel
der Anhebung der maßgeblichen Personenanzahl ist es, gerade kleine Unternehmen
die bürokratische Last im Zuge der Einhaltung des Datenschutzrechts zu
erleichtern, die aufgrund der Bestellung sowie der Aus- und Fortbildung eines
Datenschutzbeauftragten entstehen.

Auswirkungen auf Online-Shops

Gemäß
den Vorgaben nach Art. 37 Abs. 1 DSGVO ist für Unternehmen ein
Datenschutzbeauftragter insbesondere zu benennen, wenn

  • Die
    Kerntätigkeit des Unternehmens darin besteht, Datenverarbeitungsprozesse
    durchzuführen, die eine umfangreiche und regelmäßige systematische
    Überwachung von betroffenen Personen erforderlich macht oder
  • Die
    Kerntätigkeit in der Verarbeitung von besonderen Kategorien personenbezogenen
    Daten liegt.

Für
den Online-Handel ist vor allem der erste Punkt relevant, nachdem  die Benennung eines Datenschutzbeauftragten
verpflichtend ist, wenn die Haupttätigkeit des Unternehmens in der
umfangreichen und regelmäßigen Überwachung von Kundendaten liegt. Dazu gehört
beispielsweise Verarbeitungstätigkeiten im Rahmen von umfangreichen Retargeting-Maßnahmen.

Nach
Art. 37 Abs. 4 DSGVO steht es den Mitgliedstaaten frei, zusätzliche Anforderungen für die Bestellung eines betrieblichen Datenschutzbeauftragten
zu erlassen. Eine solche zusätzliche Anforderung wurde durch den deutschen
Gesetzgeber im Bundesdatenschutzgesetz geschaffen. In Ergänzung zu den
aufgestellten Anforderungen der DSGVO hat der Verantwortliche und der
Auftragsverarbeiter einen Datenschutzbeauftragten zu benennen,

soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Der
Tatbestand ist bereits erfüllt, sofern Mitarbeiter gemäß ihrer normalen
Arbeitstätigkeit IT-gestützte Datenbearbeitungen (z.B. E-Mail-Kommunikation)
durchführen.

Unabhängig
von der Mitarbeiteranzahl, welche ständig mit der Datenverarbeitung betraut
sind, sollten Unternehmen dagegen prüfen, ob sie nicht unter einen der in Art.
37 DSGVO genannten Tatbestände fallen und ebenfalls einen
Datenschutzbeauftragten bestellen müssen. Die Anzahl der Beschäftigten spielt
dabei keine Rolle.

Verbesserung für Unternehmen?

Bereits
in Jahre 2006 wurde der Schwellenwert zur Benennung des betrieblichen
Datenschutzbeauftragten von 5 auf 10 Mitarbeiter angehoben. Hintergrund war schon
zu diesem Zeitpunkt der Abbau bürokratischer Hemmnisse für den Mittelstand. Fraglich
ist, ob eine Entlastung des Mittelstands durch die vorgenommene normative
Feinjustierung des Schwellenwertes erreicht wird, denn Folgendes sollten sich
Unternehmer immer vor Augen führen:

Der
Datenschutzbeauftragte fungiert als Organ der unternehmerischen Selbstkontrolle,
dem Verantwortlichen bei der Umsetzung und Einhaltung der
datenschutzrechtlichen Vorgaben beratend zur Seite zu stehen.

So
warnt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Ulrich Kelber:

Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein.

Wenn
nicht formell aufgrund der gesetzlichen Vorgaben, so wird auch bei
Unterschreitung der Personenanzahl für die Benennung eines
Datenschutzbeauftragten wohl informell ein Mitarbeiter für die Überwachung der
datenschutzkonformen Verarbeitungen im Unternehmen benannt werden müssen. Dies
ist in gerade im Hinblick auf die Einhaltung der umfangreichen Informations-
und Rechenschaftspflichten (z.B. das Verzeichnis der
Verarbeitungstätigkeiten
)
und für die Entlastung der Unternehmensführung erstrebenswert.

Die
vorgeschlagene Anpassung des BDSG ändert auch nichts an der Tatsache, dass der
sachliche Anwendungsbereich der Datenschutzgesetze bestehen bleibt. Werden
personenbezogene Daten durch Online-Händler verarbeitet, gelten die umfangreichen
Informations- und Dokumentationspflichten der DSGVO. Dabei spielt es keine
Rolle, ob es sich hierbei um ein kleines Unternehmen oder einen Konzern
handelt.

Einen
Paradigmenwechsel im Datenschutzrecht wird es durch das zweite
Datenschutzanpassungsgesetz nicht geben. Über eine Erleichterung an
Informationspflichten sowie über eine nachträgliche Anpassung des Umfangs an
Dokumentationspflichten kann allein nur der europäische Gesetzgeber entscheiden
(vgl. Art. 97 DSGVO).

Ob
der deutsche Gesetzgeber durch die vorgenommene normative Stellschraube eine
Entlastung des Mittelstands herbeiführt, ist daher eher skeptisch zu
betrachten.

04.07.19
Konstantin Schröter

Konstantin Schröter