Noch vor der Sommerpause hat sich der Bundestag auf eine Anpassung der nationalen Datenschutzregelungen geeinigt.
Die DSGVO sieht in Ihren 99 Artikeln an einigen Stellen Öffnungsklauseln vor, die der nationale Gesetzgeber mit eigenen Regelungen füllen kann. Von dieser Möglichkeit hat der deutsche Gesetzgeber bereits zum Geltungstag der DSGVO mit dem Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. Nun erfolgen weitere inhaltliche Anpassungen.
Von besonderer Relevanz für den Mittelstand und somit auch für den Online-Handel ist dabei die vorgesehene Änderung für die verpflichtende Benennung eines betrieblichen Datenschutzbeauftragten.
Datenschutzbeauftragter erst bei 20 Mitarbeitern
Nach Ansicht der großen Koalition ist die zusätzliche Regelung zur Benennung eines Datenschutzbeauftragten nicht mittelstandsfreundlich konzipiert und mit einem nicht unerheblichen Kostenfaktor für kleine Unternehmen verbunden. Aktuell gilt:
Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 Satz 1 BDSG).
Der neue Gesetzesentwurf der Bundesregierung sieht vor, einen Datenschutzbeauftragten zu benennen, sofern mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Ziel der Anhebung der maßgeblichen Personenanzahl ist es, gerade kleine Unternehmen die bürokratische Last im Zuge der Einhaltung des Datenschutzrechts zu erleichtern, die aufgrund der Bestellung sowie der Aus- und Fortbildung eines Datenschutzbeauftragten entstehen.
Auswirkungen auf Online-Shops
Gemäß den Vorgaben nach Art. 37 Abs. 1 DSGVO ist für Unternehmen ein Datenschutzbeauftragter insbesondere zu benennen, wenn
- Die Kerntätigkeit des Unternehmens darin besteht, Datenverarbeitungsprozesse durchzuführen, die eine umfangreiche und regelmäßige systematische Überwachung von betroffenen Personen erforderlich macht oder
- Die Kerntätigkeit in der Verarbeitung von besonderen Kategorien personenbezogenen Daten liegt.
Für den Online-Handel ist vor allem der erste Punkt relevant, nachdem die Benennung eines Datenschutzbeauftragten verpflichtend ist, wenn die Haupttätigkeit des Unternehmens in der umfangreichen und regelmäßigen Überwachung von Kundendaten liegt. Dazu gehört beispielsweise Verarbeitungstätigkeiten im Rahmen von umfangreichen Retargeting-Maßnahmen.
Nach Art. 37 Abs. 4 DSGVO steht es den Mitgliedstaaten frei, zusätzliche Anforderungen für die Bestellung eines betrieblichen Datenschutzbeauftragten zu erlassen. Eine solche zusätzliche Anforderung wurde durch den deutschen Gesetzgeber im Bundesdatenschutzgesetz geschaffen. In Ergänzung zu den aufgestellten Anforderungen der DSGVO hat der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten zu benennen,
soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Der Tatbestand ist bereits erfüllt, sofern Mitarbeiter gemäß ihrer normalen Arbeitstätigkeit IT-gestützte Datenbearbeitungen (z.B. E-Mail-Kommunikation) durchführen.
Unabhängig von der Mitarbeiteranzahl, welche ständig mit der Datenverarbeitung betraut sind, sollten Unternehmen dagegen prüfen, ob sie nicht unter einen der in Art. 37 DSGVO genannten Tatbestände fallen und ebenfalls einen Datenschutzbeauftragten bestellen müssen. Die Anzahl der Beschäftigten spielt dabei keine Rolle.
Verbesserung für Unternehmen?
Bereits in Jahre 2006 wurde der Schwellenwert zur Benennung des betrieblichen Datenschutzbeauftragten von 5 auf 10 Mitarbeiter angehoben. Hintergrund war schon zu diesem Zeitpunkt der Abbau bürokratischer Hemmnisse für den Mittelstand. Fraglich ist, ob eine Entlastung des Mittelstands durch die vorgenommene normative Feinjustierung des Schwellenwertes erreicht wird, denn Folgendes sollten sich Unternehmer immer vor Augen führen:
Der Datenschutzbeauftragte fungiert als Organ der unternehmerischen Selbstkontrolle, dem Verantwortlichen bei der Umsetzung und Einhaltung der datenschutzrechtlichen Vorgaben beratend zur Seite zu stehen.
So warnt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber:
Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein.
Wenn nicht formell aufgrund der gesetzlichen Vorgaben, so wird auch bei Unterschreitung der Personenanzahl für die Benennung eines Datenschutzbeauftragten wohl informell ein Mitarbeiter für die Überwachung der datenschutzkonformen Verarbeitungen im Unternehmen benannt werden müssen. Dies ist in gerade im Hinblick auf die Einhaltung der umfangreichen Informations- und Rechenschaftspflichten (z.B. das Verzeichnis der Verarbeitungstätigkeiten) und für die Entlastung der Unternehmensführung erstrebenswert.
Die vorgeschlagene Anpassung des BDSG ändert auch nichts an der Tatsache, dass der sachliche Anwendungsbereich der Datenschutzgesetze bestehen bleibt. Werden personenbezogene Daten durch Online-Händler verarbeitet, gelten die umfangreichen Informations- und Dokumentationspflichten der DSGVO. Dabei spielt es keine Rolle, ob es sich hierbei um ein kleines Unternehmen oder einen Konzern handelt.
Einen Paradigmenwechsel im Datenschutzrecht wird es durch das zweite Datenschutzanpassungsgesetz nicht geben. Über eine Erleichterung an Informationspflichten sowie über eine nachträgliche Anpassung des Umfangs an Dokumentationspflichten kann allein nur der europäische Gesetzgeber entscheiden (vgl. Art. 97 DSGVO).
Ob der deutsche Gesetzgeber durch die vorgenommene normative Stellschraube eine Entlastung des Mittelstands herbeiführt, ist daher eher skeptisch zu betrachten.
