Bayern möchte deutsches Datenschutzmodel aufweichen
Die bayrische Landesregierung hat am 10. Mai 2022 eine Initiative an den Bundesrat übergeben, mit der das deutsche Datenschutzmodel weitreichend aufgeweicht werden soll. Insbesondere soll nach dem Willen der bayrischen Regierung die Bestellung eines Datenschutzbeauftragten nur noch an die EU-Normen geknüpft werden und für ehrenamtliche und gemeinnützige Unternehmen und Vereine die Bestellpflicht ganz entfällt.
DSB Bestellpflicht im nicht-öffentlichen Bereich
Die DSGVO sieht vor, dass nationale Gesetzgeber die Bestellpflicht eines Datenschutzbeauftragten verschärfen können. Von diesem Recht der deutsche Gesetzgeber Gebrauch gemacht und 2017 die bis dahin auf nationaler Ebene bereits bestehende Regelung übernommen. Hiernach war eine Bestellung eines Datenschutzbeauftragten für nicht-öffentliche Bereiche verpflichtende, wenn mindestes 10 Beschäftigte ständig personenbezogene Daten mittels Datenverarbeitungsanlagen verarbeiten. 2019 wurde diese Grenze auf 20 Beschäftigte angehoben.
Mit der nun eingereichten Initiative möchte die bayrische Landesregierung diese Beschäftigtengrenze abschaffen und nur noch anwenden, wenn Unternehmen unter die gesetzlichen Bestellpflichten der DSGVO fallen. Dies hätte nicht nur einen erheblichen Wandel der deutschen Datenschutzkultur zur Folge, sondern würde auch gegen EU-Recht verstoßen. Denn die Öffnungsklausel der DSGVO sieht nur vor, dass der nationale Gesetzgeber eine Verschärfung der Regeln vornehmen kann. Die Bestellpflichten der DSGVO kennen jedoch keine Beschäftigtengrenzen, so eine Einfügung der 20 Beschäftigten eine Aufweichung darstellen würde.
Ziel der bayrischen Landesregierung ist es, klein und mittelständige Unternehmen durch die Maßnahme zu entlasten. Jedoch beantwortet die Initiative nicht, welche Entlastung mit der Maßnahme eintreten soll. Denn die Landesregierung lässt hierbei außer Acht, dass die Regelungen der Datenschutzgesetze auch ohne einen bestellten Datenschutzbeauftragten einzuhalten und umzusetzen sind. Das bedeutet, dass Unternehmen oder dessen Geschäftsführer sich weiterhin weiterbilden und qualifizieren müssen, dies jedoch nicht mehr Aufgabe einer klar benannten Person ist.
DSB Bestellpflicht bei ehrenamtlichen und gemeinnützigen Einrichtungen
Über die normale Bestellpflicht der DSGVO hinaus, möchte die bayrische Landesregierung zu dem erreichen, dass Vereine und gemeinnützige Unternehmen von der Bestellpflicht eines Datenschutzbeauftragten ausgenommen werden.
Unstreitig ist, dass die DSGVO insbesondere nicht gewerblich Vereine weitreichende neue Aufgaben und zum Teil auch Einschränkungen in ihrer ehrenamtlichen Tätigkeit auferlegt hat. Dennoch sollte nicht außer Acht gelassen werden, dass insbesondere gemeinnützige Unternehmen meist die Unternehmen sind, die hoch sensible Daten von Personen verarbeiten. Gerade hier sollte es aus dem gesellschaftlichen Interesse heraus, sichergestellt werden, dass Daten ordnungsgemäß verarbeitet werden. Denn bspw. Krankenhäuser, Pflege- und Jugendhilfeeinrichtungen werden häufig auch als gemeinnützige Unternehmen geführt.
Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten
Ebenso möchte die bayrische Landesregierung erreichen, dass Unternehmen, die keinen Datenschutzbeauftragten bestellt haben und weniger als 250 Mitarbeiter haben, von der Pflicht zur Erstellung eines Verfahrensverzeichnisses durch nationales Gesetz befreit werden.
Grundsätzlich kann derzeit bereits gesagt werden, dass die Erstellung eines Verfahrensverzeichnisses nicht an die Bestellung eines Datenschutzbeauftragten gekoppelte ist. Ebenso besteht die 250 Mitarbeitergrenze in der DSGVO.
Jedoch lässt die Landesregierung außer Acht, dass die DSGVO neben diesen Ausnahmen, Verpflichtungen vorsieht, wann in jedem Fall ein Verfahrensverzeichnis zu führen ist. Unteranderem, wenn die Verarbeitung nicht nur gelegentlich erfolgt oder besondere personenbezogene Daten verarbeiten werden. Insbesondere die Personaldatenverarbeitung wird hierunter gesehen, da diese regelmäßig erfolgt und besondere personenbezogene Daten, wie Gesundheitsinformationen (z.B. aus dem betrieblichen Wiedereingliederungsmanagement oder über AUBs), verarbeite werden.
Die Befreiung der Unternehmen von der Dokumentationspflicht durch nationales Recht würde ebenso eine unzulässige Einschränkung der DSGVO darstellen und damit auch gegen EU-Recht verstoßen.
Fazit
So schön es sich für Unternehmen anhört, wenn es um Erleichterungen für Sie geht, ist mit der Initiative der bayrischen Landesregierung jedoch Skepsis angebracht, ob diese tatsächlich Erleichterungen für Unternehmen bringen, diese zum Schatz des informationellen Selbstbestimmungsrechtes bei sensiblen Datenverarbeitungen beitragen oder europarechtskonform umgesetzt werden können. Man darf gespannt sein, was die anderen Bundesländer hierzu sagen.
Autor: Michael Konitzer
Bildquelle: LoboStudioHamburg / pixabay.com