Gesetzgebung

Bundesrat stimmt zu: Daten­schutz­be­auf­tragter künftig erst ab 20 Mitar­beitern

Mann am Computer

Bislang müssen nicht-öffentliche Stellen – und damit auch Kanzleien – mit mehr als 10 Beschäftigten in der Datenverarbeitung einen betrieblichen Datenschutzbeauftragten benennen. Das wird sich bald ändern. Der Bundestag hat die Grenze auf 20 Mitarbeiter angehoben. Den Bundesrat hat dem Gesetzentwurf am 20. September 2019 zugestimmt, so dass es in Kürze im Bundesgesetzblatt veröffentlicht werden kann. Das Gesetz tritt einen Tag nach der Verkündung in Kraft.

Seit Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten der EU. Sie gilt für alle unmittelbar. Auch Anwaltskanzleien kommen nicht an ihr vorbei. Zugleich ist im vergangenen Jahr auch ein neues Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Damit Anwältinnen und Anwälte bei der Umsetzung der neuen Vorgaben in den Kanzleialltag nicht im Paragraphendschungel verloren gehen, hatte das Anwaltsblatt alles Wichtige zum neuen Recht in einem DAV-Merkblatt zusammengefasst (veröffentlicht als AnwBl Online 2018, 188 (pdf) und AnwBl Online 2018, 188 (html) siehe auch die Anwaltsblatt-Meldung: Datenschutz-Grundverordnung: Jede Kanzlei muss handeln)

Derzeit: Daten­schutz­be­auf­tragter ab 10 Mitar­beitern!

Derzeit haben nicht nur öffentliche Stellen und Behörden, sondern auch alle nicht öffentlichen Stellen, wie zum Beispiel Unternehmen, Kanzleien und Organisationen einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte zu benennen, wenn zehn oder mehr Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Vor allem kleinerer Betriebseinheiten waren damit überfordert.

Bald: Daten­schutz­be­auf­tragter erst ab 20 Mitar­beitern?

Der Gesetzgeber will das nun ändern. Die verpflichtende Benennung eines betrieblichen Datenschutzbeauftragten soll erst ab 20 Mitarbeitern greifen. Der Bundestag hatte am 27. Juni 2019 kurz vor den Parlamentsferien ein entsprechendes Gesetz in dritter Lesung mit den Stimmen der CDU/CSU und SPD beschlossen (Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU, BT-Drs. 380/19). Mit dem Gesetz werden bestehende Datenschutzregelungen unter anderem nunmehr an die EU-Vorgaben angepasst. 

Unterstützung kleinerer Betriebe

Die Gesetzesinitiative geht zurück auf einen Entwurf der  Bundesregierung genau vor einem Jahr (BR-Drs. 430/18 und BT-Drs. 19/4674). Im ursprünglichen Gesetzentwurf war von einer Anhebung hingegen noch nichts zu lesen. Dieser Passus hat erst auf eine Empfehlung des federführenden Bundestagsausschusses für Inneres und Heimat seinen Weg in den Entwurf gefunden (BT-Drs. 19/11181). Mit der Anhebung der maßgeblichen Personenzahl, ab  der ein betrieblicher Datenschutzbeauftragter zu benennen ist, sollen laut Begründung vor allem kleinere und mittlere Unternehmen sowie ehrenamtlich tätige Vereine unterstützt werden.

Daten­schutz­ex­pertise trotzdem gefragt

Ein entspanntes Zurücklehnen verbietet sich aber dennoch. Denn an die Datenschutzregelungen sind alle gebunden – mit oder ohne Datenschutzbeauftragten. Es ist daher dringend zu empfehlen, gleichwohl jemanden mit datenschutzrechtlicher Expertise im Betrieb (oder bei Anwältinnen und Anwälten in der Kanzlei) zu haben.

Bundesrat stimmt zu

Der Bundesrat hat in seiner Sitzung am 20. September 2019 dem Gesetzentwurf zugestimmt (siehe TOP 3 Tagesordnung 980. Sitzung des Bundesrates). Das Gesetz muss nun vom Bundespräsidenten unterzeichnet werden und tritt am Tag nach der Verkündung in Kraft.

Alles, was man zum betrieb­lichen Daten­schutz­be­auf­tragten wissen muss:

Filterfrage: 10-Personen-Regel

Nach Art. 37 Abs. 4 DSGVO in Verbindung mit § 38 Abs. 1 BDSG gilt (noch) eine 10-Personen-Regel: Sind mindestens zehn Personen (bald 20) in der Kanzlei mit der Datenverarbeitung beschäftigt, muss ein Datenschutzbeauftragter bestellt werden. Ist dies bislang nicht der Fall, sollte man die Bestellung schnellstmöglich nachholen.

Bei der 10-Personen-Regel ist zu beachten, dass es allein um die Anzahl der Personen geht, die mit Datenverarbeitung ständig befasst sind. Ob es sich um Partner oder Studenten, Buchhalter oder freie Mitarbeiter, Vollzeit- oder Teilzeitkräfte handelt, spielt keine Rolle. Es kommt allein auf die Kopfzahl an.

Aufgabe: Der Daten­schutz­be­auf­tragte in der Kanzlei

Der Datenschutzbeauftragte ist der Kanzleiführung direkt unterstellt, in der Wahrnehmung seiner gesetzlichen Aufgaben aber nicht weisungsgebunden (Art. 38 Abs. 3 DSGVO). Er überwacht die Datenverarbeitungsprozesse in der Kanzlei, unterrichtet und berät die Kanzleiführung und wirkt auf die Einhaltung des Datenschutzrechts hin. Zudem soll er die an den Verarbeitungsvorgängen beteiligten Anwälte und Mitarbeiter sensibilisieren und schulen. Gibt es eine Beschwerde, ist der Datenschutzbeauftragte die erste Anlaufstelle für die Datenschutzbehörde.

Tipp: Angestellter Anwalt mit IT-Affinität

Ob und unter welchen Voraussetzungen ein Partner der Kanzlei zugleich Datenschutzbeauftragter sein kann, ist unter den Datenschutzrechtlern umstritten. Unklar ist auch, ob ein IT-Leiter zum Datenschutzbeauftragten berufen werden kann. Optimal ist die Bestellung eines angestellten Anwaltes oder eines anderen Mitarbeiters mit gewisser IT-Affinität. Auch die Bestellung eines externen Datenschutzbeauftragten ist möglich. Dies ist mit § 203 StGB konform.

Warum handeln? Nichts ist leichter zu überwachen

Für eine Datenschutzbehörde ist es leicht zu prüfen, ob eine Anwaltskanzlei einen Datenschutzbeauftragten hat, da der Datenschutzbeauftragte in allen Datenschutzinformationen namhaft gemacht werden muss (Art. 37 Abs. 7 DSGVO). Jede Kanzlei, in der mindestens zehn Personen (zukünftig 20) am Rechner tätig sind, sollte daher einen Datenschutzbeauftragten haben. Fällt die Auswahl schwer, sollte man beachten, dass ein schwach geeigneter Datenschutzbeauftragter allemal besser ist als kein Datenschutzbeauftragter.

Keine Entwarnung für die, die keinen Daten­schutz­be­auf­tragten brauchen

Ein Hinweis ist am Ende wichtig: Auch wenn der Gesetzgeber kleinere Unternehmen (und auch Kanzleien) bei der Bestellung von Datenschutzbeauftragten entlasten will, so gibt es keinen Grund zur Entwarnung im Datenschutzrecht. Denn die strengen Vorgaben zum Schutz von Daten und zur IT-Sicherheit gelten auch für kleinere Unternehmen weiter – egal, ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.


Zurück