BMI überarbeitet BDSG-E: Deut­scher Allein­gang beim Daten­schutz?

2/2: Datenschutzbeauftragte gibt es weiterhin

Obwohl Unternehmen nach der DSGVO nur unter sehr engen Voraussetzungen einen Datenschutzbeauftragten (DSB) benennen müssen, brauchen sich deutsche DSB wohl keine Sorgen um  ihren Arbeitsplatz machen. Denn § 36 BDSG-E sieht vor, dass Unternehmen einen DSB benennen, falls sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen.

Unternehmen müssen auch dann einen DSB benennen, wenn sie (risikobehaftete) Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Die Bestellpflicht gilt auch, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Dies ist sinnvoll und schafft Rechtssicherheit für DSB und Unternehmen mit Niederlassungen in Deutschland.

Immense Bußgelder bei Datenschutzverstößen

Die  DSGVO sieht drakonische Bußgelder von  bis zu 20 Millionen Euro vor. Für große Unternehmen kommen sogar noch höhere Bußgelder in Betracht: Bei Verstößen können bis zu vier Prozent des globalen Umsatzes Strafe fällig werden. Zwar sieht der BDSG-E für Personen, die "in Ausübung ihrer Tätigkeit" gegen die Vorgaben der DSGVO verstoßen, eine Obergrenze bei den Bußgeldern von EUR 300.000 vor. Doch auch hier dürfte fraglich sein, ob diese Regelung mit der in Art. 83 Abs. 1 DSGVO angeordneten Vorgabe vereinbar ist, dass Bußgelder "wirksam und abschreckend" sein müssen.

Zudem hilft die Regelung den Vorständen oder Geschäftsführern nur bedingt, wenn Datenschutzverstöße in ihren Verantwortungsbereich fallen. Denn in einem solchen Fall sehen sie sich Regressansprüchen des Unternehmens ausgesetzt, für die wiederum die am Umsatz orientierten Bußgelder Anwendung finden können. Da es hier in der Regel um vorsätzliche Handlungen geht, treten eventuelle D&O-Versicherungen wohl nicht ein, da sie solche vorsätzliche Taten zumeist nicht abdecken.

Worauf sollen sich Unternehmen jetzt verlassen?

Der erste Eindruck des geplanten BDSG-E verheißt aus Unternehmenssicht nicht viel Gutes. Zwar versucht das BMI erkennbar, die Wirtschaft zu unterstützen. So sieht der Entwurf sieht viele Ausnahmen vor, die die Pflichten von Unternehmen bei der Datenverarbeitung einschränken sollen, was aus Unternehmenssicht zu begrüßen ist. Allerdings ist der Entwurf so schwer verständlich, dass er für Laien kaum anwendbar ist – gerade im Zusammenspiel mit der auch nicht eben einfach strukturierten DSGVO. Zudem könnten sich viele Regelungen als europarechtswidrig herausstellen.

Gerade die daraus folgende Unsicherheit stellt deutsche Unternehmen vor eine in Bezug auf künftige Risiken wichtige Weichenstellung. Denn sie müssen nun entscheiden, ob sie sich in laufenden Umsetzungsprojekten an den Vorgaben der DSGVO oder an denen des BDSG-E orientieren. Bauen sie auf den Referentenentwurf des BMI, stehen sie vor großen Problemen, wenn der Entwurf den deutschen Bundestag nicht passiert, bereits in der Ressortabstimmung scheitert oder sich – im schlimmsten Fall – im Nachhinein als nicht mit den europäischen Vorgaben vereinbar entpuppt.

Zudem erschwert das geplante BDSG-E es Unternehmen, europaweite Konzepte zur Umsetzung der DSGVO zu entwickeln und umzusetzen. Aus Sicht der Wirtschaft wäre es ausgesprochen zweckmäßig, in der gesamten EU ein einheitliches Datenschutz-Konzept anzuwenden. Der bisherige Flickenteppich von 28 unterschiedlichen Datenschutzgesetzen sollte jetzt nicht durch die Hintertür vermeintlicher Ausführungsregelungen wieder eingeführt werden. Daher werden gerade größere Unternehmen voraussichtlich eher die Anforderungen der DSGVO als die des BDSG-E in ihre Planung bei der DSGVO-Umsetzung einbeziehen. In Deutschland tätige Unternehmen sollten die weitere Entwicklung des BDSG-E jedenfalls genau weiter beobachten.

Der Autor Tim Wybitul ist Partner bei Hogan Lovells und berät Unternehmen umfassend zum Datenschutz. Bundesgerichtshof und Bundesarbeitsgericht zitieren seine Veröffentlichungen in mehreren Entscheidungen.