31. Juli 2008 - Änderungen im Bundesdatenschutzgesetz

Bürokratieabbau nach Art der Großen Koalition

Manche sprechen irrtümlich sogar von einem „neuen BDSG“, das vor einiger Zeit in Kraft getreten sein soll. In der Realität sind lediglich einige Bestimmungen des BDSG mit dem Ziel geändert worden, für Unternehmen den Aufwand beim Datenschutz zu verringern. Ob das geglückt ist, darf man bezweifeln. Den Änderungen steht der Kompromisscharakter auf die Stirn geschrieben. Die Praxis wird gleichwohl mit den Neuregelungen auch da leben müssen, wo sie neue Unklarheiten bringen.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Anlass der neuen Regelungen waren weder europäische Vorgaben noch der technische Wandel oder ähnliche Sachgründe. Worum es geht, zeigt vielmehr die Überschrift des aus 16 Artikeln bestehenden „Omnibusgesetzes“, das u.a. auch das BDSG geändert hat. Sie spricht vom „Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft“.

15 Rechtsvorschriften wurden zwecks Bürokratieabbau geändert

Um solchen Hemmnissen beizukommen, ändert das Gesetz in einem Aufwasch insgesamt 15 Rechtsvorschriften, vom Fahrlehrergesetz bis zum Hochbaustatistikgesetz. Die Änderungen des BDSG sind in Artikel 1 des Gesetzes enthalten.

Ein Omnibusgesetz regelt ganz verschiedene Bereiche

Die Bezeichnung „Omnibusgesetz“ für ein solches Vorgehen kommt übrigens daher, dass – genau wie in einem Omnibus, in dem viele verschiedene Fahrgäste sitzen – in einem solchen Gesetz viele ganz unterschiedliche Gesetze geändert werden, die sachlich meist nichts miteinander zu tun haben.

Das Gesetz stempelt Datenschutz als bürokratisches Hemmnis ab

Was negativ aufstößt, ist die Titulierung des Datenschutzes als bürokratisches Hemmnis. Dass Kunden Datenschutz durchaus schätzen und fordern, erwähnt die Gesetzesbegründung leider mit keinem Wort.

Der Bundesrat stößt ins gleiche Horn

Und der Bundesrat hält die Anhebung des Schwellenwerts für die Bestellung eines Datenschutzbeauftragten von vier auf neun Beschäftigte gar für eine „wichtige Entlastungsmaßnahme für die Unternehmen“, die dazu beitrage, neue Handlungsspielräume für Unternehmen zu schaffen.

In Zukunft brauchen weniger Unternehmen einen offiziellen DSB

Die oben angesprochene Anhebung des Schwellenwerts legt fest, dass ein Unternehmen künftig keinen DSB mehr braucht, wenn es „in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt (§ 4f Abs. 1 Satz 4). Das bedeutet:

  • Unternehmen mit bis zu neun Beschäftigten brauchen generell keinen DSB mehr. Etwas anderes gilt weiterhin z.B. für Auskunfteien, Marktforschungsunternehmen und Ähnliche (Details siehe § 4d Abs. 4). Sie brauchen auch dann einen DSB, wenn sie sehr klein sind.
  • Die „Neunergrenze“ wird dadurch weiter aufgeweicht, dass nur Beschäftigte zählen, die „ständig“ personenbezogene Daten verarbeiten. Die Empfangsdame, die manchmal auch in der Buchhaltung mithilft, zählt nicht mit. Gleiches gilt für die Ferienaushilfe oder den Zeitarbeiter.
  • In der Praxis führt dies dazu, dass Unternehmen mit über einem Dutzend Beschäftigten denkbar sind, die dennoch keinen DSB brauchen. Dabei verlangt es im Einzelfall oft längere Recherchen („Wer macht zu wie viel Prozent über das Jahr hinweg was?“), um festzustellen, ob ein DSB nötig ist oder nicht.

Mittelweg zwischen „alles wird anders“ und „alles bleibt beim Alten“

Wegen dieser Unklarheiten kann die Regelung nur als missraten bezeichnet werden. Sie ist ein Kompromiss zwischen der Forderung, Unternehmen mit bis zu 19 Beschäftigten generell von der Pflicht zur Bestellung eines DSB freizustellen, und der, alles beim Alten zu belassen.

Externe DSBs sind künftig in allen Unternehmen zulässig

Immerhin stellt die Neuregelung aber einen Punkt klar. Bisher wurde von manchen bezweifelt, ob ein externer DSB z.B. in einer Arztpraxis oder einer Anwaltskanzlei zulässig ist. Denn dort geht es ja um Daten, die einer besonderen Schweigepflicht unterliegen. Daraus hatte u.a. die Bundesrechtsanwaltskammer gefolgert, dass dann kein externer DSB bestellt werden könne.

Das ist nun anders entschieden. § 4f Abs. 2 Satz 3 BDSG lässt den externen DSB künftig auch in solchen Fällen eindeutig zu.

Das eröffnet neue Tätigkeitsfelder für den externen DSB

Somit entsteht hier ein kleines zusätzliches Geschäftsfeld für externe DSBs. Einen internen DSB haben Kanzleien und Arztpraxen nämlich nur selten.

Wo kein DSB nötig ist, muss die Unternehmensleitung den Datenschutz sicherstellen!
Die Befreiung von der Pflicht, einen DSB zu haben, bedeutet keineswegs, dass das Unternehmen den Datenschutz völlig vergessen kann. Im Gegenteil: Dann ist eben der Chef selbst gefordert!

So sagt es künftig leicht verschnörkelt § 4g Abs. 2a des BDSG: „Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen.“

Das bedeutet:

  • Entweder der Unternehmer muss sich selbst um den Datenschutz kümmern.
  • Oder er muss jemanden damit beauftragen. „Datenschutzbeauftragter“ muss er ihn nicht nennen – obwohl dieser funktional genau das ist!

Es wundert nicht, dass ein Geschäftsführer dem Autor dazu sagte: „Wissen Sie, da werden doch die Leute verschaukelt. Da behalte ich doch lieber gleich den vorhandenen DSB, dann ist wenigstens alles geregelt.“

Theoretisch können die Aufsichtsbehörden künftig verstärkt beraten

Folgende Regelung über die Aufgaben der Aufsichtsbehörde für den Datenschutz wurde als § 38 Abs. 1 Satz 2 BDSG neu aufgenommen: „Sie berät und unterstützt die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse.“

In der Praxis wird sich diese Beratung aber nicht umsetzen lassen

Realistisch gesehen wird diese Regelung weitgehend auf dem Papier stehen. Denn eine Personalaufstockung der Aufsichtsbehörden wird es nicht geben – und einen Anspruch der Unternehmen auf Beratung auch nicht. Die Regelung ist nämlich eine reine Aufgabenbeschreibung – mehr nicht.

Eine umfassende BDSG-Novelle ist – glücklicherweise – nicht zu erwarten

Als das jetzt geltende BDSG im Jahr 2001 in Kraft trat, kündigte die damalige Bundesregierung an, das BDSG umfassend umgestalten und an die neuen Gegebenheiten in Technik und Gesellschaft anpassen zu wollen. Davon ist keine Rede mehr.

Betrachtet man die Qualität der jetzt vorgenommenen Änderungen, so kann man nur sagen: Das ist auch gut so. Denn unter dem Zwang zu Kompromissen, der im Augenblick die Bundespolitik beherrscht, käme dabei kaum etwas Brauchbares heraus.

Dr. Eugen Ehmann

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln