Die europäische Datenschutz Grundverordnung (DSGVO) enthält sog. Öffnungsklauseln für die nationalen Gesetzgeber, damit diese nationales Recht ggfs. anpassen und damit die nationale Umsetzung der DSGVO konkretisieren können. Das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2.DSAnpUG-EU) wurde am 27.06.2019 im Deutschen Bundestag beraten und mit den Stimmen der Regierungsfraktionen beschlossen. Die Zustimmung des Bundesrates steht noch aus.

Die neuen gesetzlichen Änderungen betreffen vor allem die öffentlich-rechtlichen Verwaltungen, Justiz und Sozialversicherung. Exemplarisch werden z.B. die Melderegisterauskunft und die gewerberechtliche Datenverarbeitung der Industrie- und Handelskammern wieder vereinfacht oder der Gültigkeitsbereich des elektronischen Identitätsnachweises („eID-Karte“) konkretisiert. Was als Bürokratieabbau angepriesen wird, dient vor allem der Verwaltungsvereinfachung.

Der Wirtschaft soll – immerhin – kein weiterer „Erfüllungsaufwand“ entstehen, so der Gesetzgeber ausdrücklich, es werden keine zusätzlichen Informationspflichten neu eingeführt, geändert oder aufgehoben.

Nicht-öffentliche Adressaten der aktuellen Änderungen sind vor allem kleine Unternehmen sowie ehrenamtlich tätige Vereine. Dafür wurde die Anhebung der maßgeblichen Personenzahl, ab der ein Datenschutzbeauftragter zwingend zu benennen ist, von 10 auf 20 beschlossen. (§38 BDSG Absatz 1 Satz 1). Für viele kleine Unternehmen und Vereine dürfte damit die Pflicht zur Bestellung eines Datenschutzbeauftragten tatsächlich entfallen. Allerdings wurden alle anderen Gründe, die unabhängig der Personenzahl die Bestellung eines Datenschutzbeauftragten erzwingen, unverändert beibehalten.

Dass der Gesetzgeber nun ausgerechnet Gruppen „entlastet“, die sich mit der Umsetzung rechtskonformen Datenschutzes schwertun oder gar als Berufsgruppe widerständig zeigen, sollte uns als potenziell Betroffene aufhorchen lassen. Schauen wir genauer hin und fragen uns: Wem „hilft“ die jüngste gesetzliche Änderung nun tatsächlich?

Zum einen gemeinnützigen Vereinen. Angesichts der Datenmengen, die Vereine heute digital – aber gleichzeitig fast immer unprofessionell und von jedem persönlichen Haftungsrisiko entlastet – verwalten, ist das wohlfeiler Populismus. Ich spreche hier nicht vom heimischen Fußballverein – auch wenn auch dort vieles datenschutzrechtlich im Argen liegt. Man denke z.B. an die zahllosen mobilen Pflegedienste in Vereinsform. Sie erbringen in der Regel abrechenbare medizinisch-pflegerische Dienstleistungen, ihre haupt- oder ehrenamtlichen verwalten dabei zwangsläufig besonders geschützte Gesundheitsdaten und geben diese wie selbstverständlich an Dritte weiter. Der Verzicht auf die Bestellung eines Datenschutzbeauftragten dürfte hier in vielen Fällen einem Verzicht auf eine tatsächlich rechtskonforme Datenschutzpraxis gleichkommen.

Auch die Apotheker frohlocken ob der Leistung ihrer Lobbyisten: Angesichts der Struktur der Branche, darf der Apothekenleiter künftig wieder ganz ohne professionelle Begleitung über den Schutz der ihm und seinen Mitarbeitern bekannt gewordenen Informationen verfügen. Vom vertraulichen Gespräch mit dem Apotheker sollten datenschutzsensible Kunden daher künftig absehen. https://www.deutsche-apotheker-zeitung.de/news/artikel/2019/06/28/bundestag-entschaerft-datenschutz-regeln-auch-fuer-apotheken

Sinn macht die Neuregelung tatsächlich bei klassischen Handwerksbetrieben, statistisch haben rund 90% der Betriebe weniger als 20 Mitarbeiter. Zugleich verarbeiten die meisten dieser Betriebe keine „sensiblen“ personenbezogenen Daten, begnügen sich mit den zur Abwicklung eines konkreten Rechtsgeschäfts notwendigen Daten erwachsener Vertragspartner. Viele haben zudem keinen Grund, Daten mit Dritten zu teilen, betreiben keine riskanten Online-Shops oder bespielen Social-Media-Kanäle, verarbeiten keine Gesundheitsdaten und verzichten grundsätzlich auf Videoüberwachung.

Allerdings sind auch diese Betriebe dann lediglich von der Pflicht zur Bestellung eines Datenschutzbeauftragten entbunden. ALLE anderen datenschutzrechtlichen Pflichten der Geschäftsleitung, die sich aus der DSGVO und BDSG ergeben, gelten natürlich fort.

Insofern sind betroffene Unternehmer nun beim Datenschutz in einer dem Steuerrecht vergleichbaren Situation: Zwar sind alle zu ordnungsgemäßer Buchführung sowie zur akkuraten Lohn- und Sozialversicherungsabrechnung verpflichtet, allerdings ist niemand gezwungen dafür Personalsachbearbeiter einzustellen oder einen Steuerberater zu beschäftigen.