Neuregelung zur Benennung von Datenschutzbeauftragten in Deutschland passiert den Bundesrat

In seiner heutigen Sitzung hat der Bundesrat unter Tagesordnungspunkt 3 diversen Gesetzgebungsvorhaben des Bundestages zugestimmt.

Dazu gehört auch das zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU). Das Gesetz kann man sich in der Bundesrats-Drucksache 380/19 (PDF) ansehen.

Das 2. DSAnpUG-EU enthält aus meiner Sicht auch eine Verbesserung. Denn in § 26 BDSG ist nunmehr geregelt, dass Einwilligungen von Beschäftigten nicht mehr nur in Schriftform, sondern „schriftlich oder elektronisch“ erfolgen kann. Das ist wichtig und richtig, da in vielen Unternehmen die Kommunikation elektronisch erfolgt und das Erfordernis einer Schriftform dort für unnötige Hemmnisse sorgte.

Das 2. DSAnpUG-EU wird ansonsten wegen einer weiteren Änderung zurecht kritisch kommentiert. Denn § 38 BDSG wird in der künftigen Regelung diesen Wortlaut haben (Hervorhebung der Änderung von mir):

§ 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.


Die ursprüngliche Formulierung von „10“ Personen ist damit gefallen. Das führt nun bei etlichen kleinen Unternehmen dazu, dass diese womöglich freuen, dass sie nun keinen DSB mehr benennen zu brauchen. Und so vermeintlich Kosten sparen.

Die Freude sollte aber dadurch getrübt sein, dass damit eben nicht einher geht, dass man weniger Pflichten im Bereich Datenschutz hat. Nur fehlt jetzt halt ggf. eine Person, die hier mit Sachverstand zur Seite stand.

Da nun im Hinblick auf Datenschutzrecht nur Rechtsanwältinnen und Rechtsanwälte diese Unternehmen beraten dürfen, die in aller Regel wesentlich mehr kosten dürften, als ein Datenschutzbeauftragter, dürfte der Spareffekt sich allenfalls dann auswirken, wenn Unternehmen sich einfach nicht um die Umsetzung von datenschutzrechtlichen Vorgaben kümmern. Das dürfte doch eine ziemliche Fehlkalkulation sein.

Uns Anwälte dürfte es freuen. Nur haben zumindest die Datenschutzrechtler aktuell immer noch den Tisch so voll, dass hier neue Mandate nicht immer auf Begeisterung stoßen dürften.