Frank Spaeing

Bundesrat hat gegen Änderung der Bestellpflicht gestimmt

Am 19.10.2018 ist der Bundesrat in seiner Sitzung nicht den Empfehlungen des Ausschusses für Innere Angelegenheiten (In) und des Wirtschaftsausschusses (Wi) gefolgt und hat die vorgeschlagenen Änderungen am § 38 BDSG abgelehnt.

Die beiden Ausschüsse hatten vier verschiedene Versionen zur Änderung des § 38 BDSG vorgeschlagen:

In der ersten Version sollte im Absatz 1 der erste Satz komplett gestrichen werden. Somit wäre die Bestellpflicht bei mehr als 10 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, abgeschafft worden.
Der Satz 2 des ersten Absatzes sollte so formuliert, werden, dass auch die Notwendigkeit zur Durchführung einer Datenschutz-Folgenabschätzung keine Bestellpflicht mehr ausgelöst hätte.

Die zweite Variante sah vor, dass nur der erste Satz des Absatz 1 des § 38 BDSG gestrcihen werden sollte. So hätte immerhin immer noch die Notwendigkeit einer Datenschutz-Folgenabschätzung eine Bestellpflicht ausgelöst.

In der dritten Variante sollte der erste Satz des 1. Absatz des § 38 BDSG wie folgt geändert werden:
„In § 38 Absatz 1 Satz 1 werden nach dem Wort ‚beschäftigen‘ die Wörter „und die Verarbeitung gewerblichen Zwecken dient‘ angefügt.“
Mit dieser Änderung wäre die Bestellpflicht auf die Gewerblichkeit eingeschränkt worden aber dort unverändert bei der Zehnerschwelle geblieben. Auch die Datenschutz-Folgenabschätzung hätte weiterhin eine Bestellpflicht ausgelöst.

In der vierten und letzten Variante wurde vorgeschlagen, die Anzahl zehn durch 50 zu ersetzen.

Wie eingangs bereits festgestellt wurden alle Änderungsvorschläge abgelehnt.

Dieses bedeutet allerdings nicht, dass diese Entscheidung jetzt permanent ist.

Am 12.10.2018 fand erste Lesung des 2. DSAnpUG-EU (Datenschutz-Anpassungs- und Umsetzungsgesetzes, 2. Auflage) statt. In dieser wurde auch die Notwendigkeit, über die Zehner-Schwelle diskutieren müssen, angesprochen (Stenografischer Bericht: 56. Sitzung – Berlin, Freitag, den 12. Oktober 2018, Seite 6216 / 74).

Es gibt also immer noch Bemühungen, die Bestellpflicht im Zuge des „Bürokratieabbaus“ zu entschärfen. Wobei bestimmt bei Gelegenheit jemand darlegen kann, was genau an bürokratischem Mehraufwand die Position der Datenschutzbeauftragten schafft. Die Meldepflicht der DSB gegenüber der Aufsichtsbehörde?
Oder geht es doch nur darum, Kosten zu sparen? Und sind sie gut gespart, wenn eine der wenigen Personen beim Verantwortlichen, die hoffentlich hinreichend Ahnung vom Datenschutzrecht hat, abgeschafft wird? Nicht, dass wir demnächst noch alle Klingelschilder abmontieren müssen…

Aber dieser Beschluss bzw. die Weigerung des Bundesrats die Bestellpflicht einzuschränken ist auf jeden Fall ein wünschenswertes Zwischenergebnis.

Autor:
Frank Spaeing

Ein Kommentar

  • Peter Müller sagt:

    Sehr geehrte Damen und Herren,

    Arbeitgeber sind laut § 167 Abs. 2 SGB IX verpflichtet ein BEM (Betriebliches-Eingliederungsmanagement) einzuführen.

    Da dieses Verfahren eine Datenschutz Folgeabschätzung voraussetzt.

    Kommentar der Aufsichtsbehörde:

    Mit der Regelung des § 35 DSGVO sind die Anforderungen zur Minimierung der spezifischen Risiken der automatisierten Datenverarbeitung für die Rechte und Freiheiten der betroffenen Personen bekanntlich noch weiter spezifiziert worden.
    Vor dem Hintergrund spricht vieles dafür, von einer grundsätzlichen Pflicht zur Erstellung einer DSFA.

    Damit wäre Grundsätzlich eine Bestellung eines Datenschutzbeauftragten erforderlich unabhängig von der Anzahl der Mitarbeiter die ständig mit der Verarbeitung personenbezogener Daten beschäftig sind.

Schreibe einen Kommentar zu Peter Müller Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert