Vermeintliche Rettung bringt das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU, BT-Drs. 380/19).
Die Grenze zur Bestellung eines betrieblichen Datenschutzbeauftragten soll danach von zehn auf 20 Beschäftigte angehoben werden. Man ginge damit auf die Sorgen vieler Betriebe, Verbände und des Ehrenamtes ein und erhoffe sich Entlastung für diese, BT-Drs. 19/11181.
Der Bundesrat hat dem Gesetzesentwurf am 20.09.2019 zugestimmt. Damit muss nur noch der Bundespräsident das Gesetz ausfertigen und es anschließend im Bundesgesetzblatt veröffentlicht werden. Das Gesetz tritt einen Tag nach der Verkündung in Kraft.
Trügerische Sicherheit
Formell mag das eine sinnvolle Änderung sein. Ein böses Erwachen könnte es aber für all diejenigen geben, die denken, dass sich das Thema Datenschutz damit für sie erledigt hätte. Die Datenschutzregelungen gelten selbstverständlich unabhängig von der Pflicht zur Benennung eines Datenschutzbeauftragten. Letzterer darf daher nicht nur als lästige Pflicht und Schützer betroffener Personen verstanden werden, sondern auch als Organ der Selbstkontrolle. Ohne geeignete Datenschutzmaßnahmen besteht ein erhebliches Risiko für Datenschutzverstöße. Für die verantwortlichen Betriebe bedeutet das vor allem (auch), dass der Weg zu den gefürchteten Sanktionsvorschriften der Datenschutzgrundverordnung (DSGVO) frei ist. Noch haben die Aufsichtsbehörden der Länder selbst mit den Folgen der DSGVO zu kämpfen (eigene Pflichten und hohe Anzahl an eingehenden Beschwerden verbunden mit wenig Personal). Das wird sich aber in den kommenden Monaten ändern und dann ist damit zu rechnen, dass es zu deutlich mehr angekündigten oder auch unangekündigten Kontrollen durch die Aufsichtsbehörden kommen wird.
Datenschutzbeauftragter weiter sinnvoll
Auch wenn ein bestellter Datenschutzbeauftragter keine Garantie für 100-prozentige Datensicherheit ist, stellt er dennoch eine besonders geeignete Präventivmaßnahme gegen Datenschutzverstöße dar. Darüber hinaus hat die Artikel-29-Datenschutzgruppe (Vorläufer des Europäischen Datenschutzausschusses) in einer Stellungnahme ausgeführt, dass die Vorbereitungen eines Unternehmens zur Einhaltung der Datenschutzregelungen bei der Verhängung von Bußgeldern zu berücksichtigen sind. Es ist also davon auszugehen, dass eine freiwillige Bestellung eines Datenschutzbeauftragten sich positiv auf die Höhe eines etwaigen Bußgeldes auswirken wird. Insbesondere Unternehmen, die umfangreich personenbezogene Daten verarbeiten, sollten ernsthaft über die Benennung eines betrieblichen Datenschutzbeauftragten nachdenken, auch wenn sie weniger als 20 Beschäftigte haben, die von § 38 I BDSG erfasst sind.