In den vergangenen Wochen wurde immer mal wieder zu möglichen Erleichterungen für Kleinbetriebe, Mittelstand und Vereine in punkto Umsetzung der DSGVO diskutiert.
Eine der am häufigsten vorgebrachten Forderung seitens der Politik war dabei die Abschaffung der Bestellpflicht eines Datenschutzbeauftragten. Insbesondere rieb man sich an der in § 38 Abs. 1 BDSG enthaltenen Bestellpflicht, sobald mehr als 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt seien. Diese Bestellpflicht belaste gerade kleinere Unternehmen über Gebühr, da hierfür Mitarbeiter zu qualifizieren oder einzustellen seien.
Aber jetzt mal ganz ehrlich: auf der einen Seite besteht ein Wehklagen, dass die DSGVO so umfangreich in der Umsetzung sei (was auch nicht ganz von der Hand zu weisen ist). Auf der anderen Seite wird aber gefordert, dass diejenigen, die die Verordnung umsetzen könnten, aus Kostengründen nicht mehr in Betrieben etabliert werden müssen.
Das passt doch logisch nicht so ganz zusammen, oder? Genauso könnte man sagen: “ Wir sind zwar gerade in schwerer See. Aber was soll’s: wir müssen sparen und schmeißen den Lotsen von Bord.“
Käme diese sog. „Erleichterung“, wer sollte denn dann bitte für eine vernünftige und anforderungskonforme Umsetzung im Betrieb sorgen? Wo wäre denn die dazu erforderliche Expertise und berufliche Qualifikation? Es ist doch ein Irrglaube anzunehmen, wenn die Bestellpflicht wegfiele, dass im gleichen Atemzug auch die Pflichten aus dem Datenschutzrecht entfielen und man weniger Arbeit hätte.
Ein Wegfall der Benennungspflicht mag vielleicht kurzfristig (und auch kurzsichtig) eine Kostenentlastung bedeuten. Mittelfristig schneidet sich das Unternehmen jedoch ins eigene Fleisch, da die Pflichten aus der DSGVO eben nicht entfallen. Im Gegenteil: mit der kommenden ePrivacy-Verordnung wird die ohnehin schon komplexe Datenschutzwelt nochmal ein Stück undurchdringlicher (sofern man sich nicht hauptberuflich damit auseinandersetzt).
Erfreulicherweise sieht die Datenschutzkonferenz (DSK) als nationales Gremium der deutschen Aufsichtsbehörden dies ebenso und plädiert in ihrer Entschließung vom 23.04.2019 für eine Beibehaltung des Datenschutzbeauftragten im Betrieb. Drücken wir die Daumen, dass sie damit Gehör findet…