Gibt es Änderungen beim Datenschutzbeauftragten in Deutschland?
Benennungspflicht soll uU eingeschränkt werden.
Private Organisationen (Unternehmen, Vereine, Freiberufler ...) sind in Deutschland verpflichtet, einen Datenschutzbeauftragten zu bestellen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. (siehe § 38 Abs 1 BDSG)
Die Verpflichtung zur Bestellung nach Art 37 DSGVO wurde daher sehr stark durch eine Ausnützung einer Öffnungsklausel erweitert. Österreich hat dies zB nicht getan.
Am 05.10.2018 haben der federführende Ausschuss für Innere Angelegenheiten (In) und der Wirtschaftsausschuss (Wi) eine Empfehlung an den Bundesrat übermittelt.
1. Empfehlung:
1.1. keine 10-Personen-Grenze mehr
Die Bestellpflicht des § 38 Abs 1 Satz 1 BDSG soll zur Gänze gestrichen und § 38 Abs 1 Satz 2 BDSG soll geändert werden, sodass dieser dann
lautet:
Soweit der Verantwortliche oder der Auftragsverarbeiter personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, haben sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu bestellen.
Es wird empfohlen, die aktuelle Regelung zu beseitigen, damit die Belastung, insbes. die finanzielle Belastung der kleineren und mittleren Unternehmen, Vereine oder Freiberufler zu reduzieren. Es wird auch darauf hingewiesen, dass in anderen Mitgliedstaaten die Regelung des Art 37 DSGVO nicht erweitert wurde, und die Organisationen dort diesen Anforderungen nicht unterliegen.
1.2. Datenschutz-Folgenabschätzung und Bestellpflicht
Die Bezugnahme auf die Datenschutz-Folgenabschätzung, die – wenn diese notwendig sein sollte – auch die Verpflichtung zur Bestellung eines DSB auslöst, soll ebenfalls (ist in § 38 Abs 1 S 2 1. Alternative BDSG verankert) gestrichen werden. Diese sei nicht nötig, da ohnehin eine DSFA erfolge, und damit die Risiken beurteilt werden, und diese durch ausreichende technische und organisatorische Maßnahmen reduziert werden, sodass diese nicht mehr als „hoch“ einzustufen sind.
2. weitere Empfehlungen:
2.1. Beschränkung auf gewerbliche Zwecke
Eine Hilfsempfehlung der Ausschüsse ist auch, die 10-Personen-Grenze beizubehalten, aber die Art der Tätigkeit auf Verarbeitungen zu gewerblichen Zwecken einzuschränken.
2.1. Ersatz der 10-Personen-Grenze durch „50 Personen“
Eine weitere Hilfsempfehlung der Ausschüsse ist, die 10-Personen-Grenze des § 38 Abs 1 S 1 BDSG durch eine höhere Grenze von 50 Personen zu ersetzen.
Dies sei sinnvoll, da der DSB beratende und kontrollierende und keine operativen Aufgaben wahrnehme. Der Verantwortliche muss sich daher die datenschutzrechtlichen Kompetenzen selbst aneignen.
Die Erhöhung soll daher insbes. ehrenamtlich Tätige (zB in Vereinen) und kleine und mittlere Unternehmen entlasten.
Kommentar schreiben