Bundesrat möchte betriebliche Datenschutzbeauftragte weitestgehend abschaffen
Die Bundesregierung hat im Februar 2024 den Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes (BDSG) beschlossen und Bundestag und Bundesrat zur Beratung und Beschlussfassung vorgelegt.
Der Bundesrat wird in der Sitzung vom 22.03.2024 zum Gesetzentwurf der Bundesregierung Stellung nehmen. Drei Ausschüsse des Bundesrats haben dazu eine Beschlussempfehlung vorbereitet. In dieser Beschlussempfehlung (dort S. 14) wird zu § 38 BDSG lapidar gefordert: „§ 38 wird aufgehoben.“ Dieser Paragraf des BDSG regelt bisher die Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter, „soweit… in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind.
Mit dieser Empfehlung greifen die ausschüsse des Bundesrats die Forderung vor allem einiger Wirtschaftsverbände und wirtschaftnaher Lobbygruppen auf, die vehement eine sogenannte „Entbürokratisierung“ (sprich: Deregulierung) von Wirtschaft- und Sozialbeziehungen fordern. Dabei enthält die Begründung für die Aufhebung des § 38 BDSG einen (durch Schlampigkeit entstandenen?) Fehler: „Der Bundesgesetzgeber regelt über die Vorgaben… hinausgehend eine Pflicht für nichtöffentliche Stellen, einen behördlichen (richtig wäre: betrieblichen) Datenschutzbeauftragten zu bestellen. Gerade kleine und mittlere Unternehmen sollten aber auch nach den Vorstellungen des europäischen Gesetzgebers (Erwägungsgrund 13 der DSGVO) nicht unnötigen bürokratischen Anforderungen ausgesetzt werden…“
Würden Bundesregierung und Bundestag der Empfehlung des Bundesrats folgen, würde sich die Pflicht zur Benennung der Datenschutzbeauftragten nur noch aus Art. 37 DSGVO ergeben. Dort ist in Abs. 1 geregelt: “Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird… b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.”
Mit der Streichung des § 38 BDSG könnte sich vermutlich der größte Teil aller Privatunternehmen der Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten entledigen. Dies dürfte mit massiven Nachteilen sowohl für die Beschäftigten und die Betriebsräte der Unternehmen, aber auch für die Verbraucher*innen verbunden sein.