Sie sind hier: Home » Recht » Deutschland » Gesetze

Bürokratieabbau und Datenschutz


Bürokratieabbaugesetz vereinfacht den Datenschutz nicht
Viele Kleinstunternehmen können in Zukunft auf einen eigenen Datenschutzbeauftragten verzichten - die Probleme bleiben aber


(04.12.06) - Zwar können viele Kleinstunternehmen in Zukunft auf einen eigenen Datenschutzbeauftragten verzichten, dann aber stehen sie mit einer ellenlangen Liste bürokratischer, technischer und organisatorischer Datenschutzpflichten alleine da. Zudem sehen die wesentlichen Ziele des Datenschutzes oft anders aus. Mit dem "Ersten Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständigen Wirtschaft" vom 22. August 2006 (oft kurz "Bürokratieabbaugesetz" genannt) ist auch das Bundesdatenschutzgesetz (BDSG) in einigen wesentlichen Teilen verändert worden, mit der Absicht, die Datenschutzbürokratie zu verringern. Diese Absicht ist weitgehend misslungen, weil der Gesetzgeber an den falschen Stellen angesetzt hat, was insbesondere Kleinunternehmen zu spüren bekommen werden.

Zwar müssen nach den neuen Vorschriften Datenschutzbeauftragte in der Regel jetzt erst dann bestellt werden, wenn mehr als neun Personen personenbezogene Daten automatisiert verarbeiten. Wegen weitreichender Ausnahmevorschriften werden aber Arztpraxen, Rechtsanwalts- und Steuerberaterkanzleien trotzdem in den meisten Fällen einen Datenschutzbeauftragten bestellen müssen.

Auch wenn nach diesen neuen Vorschriften kein Datenschutzbeauftragter mehr bestellt werden muss, ist trotzdem der erforderliche Sachverstand vorzuhalten oder als Beratungsleistung einzukaufen. Jetzt ist nämlich der Leiter eines solchen Kleinunternehmens selbst verpflichtet, dafür zu sorgen, dass doch recht umfangreiche Forderungen des Bundesdatenschutzgesetzes (BDSG) sichergestellt werden. Dazu gehören bürokratische Maßnahmen des Datenschutzes ebenso wie entsprechende technische und organisatorische Maßnahmen des Datenschutzes und der IT-Sicherheit. Besonders aufwendig in diesem Zusammenhang: Internes und externes (öffentliches) Verfahrensverzeichnis und die Gestaltung der innerbetriebliche Organisation, die nach §9 BDSG (Anlage) auch bei Kleinunternehmen den Anforderungen des Datenschutzes gerecht werden muss. Der Abschied vom Datenschutzbeauftragten bedeutet alles andere als Abschied vom Datenschutz. Es muss für das kleine Unternehmen auch weiterhin eine Person verfügbar sein, die über die erforderliche Datenschutzausbildung oder eine entsprechende Schulung oder Weiterbildung im Bereich Datenschutz und IT-Sicherheit verfügt.

Werden die in dieser Liste aufgeführten Maßnahmen nicht entsprechend der DV-Situation im Unternehmen umgesetzt, kann auch bei kleineren Unternehmen ein Verstoß gegen das BDSG vorliegen. §43 BDSG enthält eine Liste derjenigen Verstöße, die als Ordnungswidrigkeit gelten und mit einem Bußgeld entweder von bis zu 25.000 Euro oder bis zu 250.000 Euro geahndet werden. Unter bestimmten Gegebenheiten können sie sogar als Straftat angesehen werden, die mit Geld- oder Freiheitsstrafe bestraft wird. Nach §38 Abs. 1 BDSG ist die zuständige Aufsichtsbehörde für den Datenschutz befugt, im Falle eines Verstoßes gegen das Bundesdatenschutzgesetz oder gegen andere Vorschriften über den Datenschutz die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten.

Der Ausweg aus den Problemen, die dem Mittelstand durch die Neuerungen im Bundesdatenschutzgesetz (BDSG) beschert werden, kann nur darin bestehen, dass die betroffenen Klein- und Mittelbetriebe auch in Zukunft ein gewisses Datenschutz- Know-how vorhalten. Hier bietet sich vor allem ein externer Datenschutz-Experte an, der seine Fachkunde gleichzeitig und kostengünstig in einer ganzen Reihe von Kleinunternehmen einbringen kann. In Unternehmen, in denen besondere Berufsgeheimnisse eine Rolle spielen (z.B. Arztpraxen, Anwalts- und Steuerkanzleien) sollten diese Experten (auch dann, falls keine Verpflichtung dazu besteht) als Datenschutzbeauftragte bestellt werden. Denn das neue Gesetz zum Abbau bürokratischer Hemmnisse sieht in diesem Fall eine Schweigepflicht für den Datenschutzbeauftragten und seine Mitarbeiter vor, wie sie bereits seit langem für Ärzte, Rechtsanwälte, Steuerberater usw. besteht.

Hinzu kommt ebenfalls ein entsprechendes Zeugnisverweigerungsrecht für den Datenschutzbeauftragten und ein Beschlagnahmeverbot für seine Unterlagen. Eine professionelle Ausbildung zum Datenschutzbeauftragten bzw. eine Ausbildung zur Datenschutzbeauftragten, wie sie die Dozenten von udis Ulmer Akademie für Datenschutz und IT-Sicherheit seit 1990 anbieten, ist also weiterhin sinnvoll. Auch für diejenigen, die bereits eine Fortbildung z.B. eine Ausbildung nach dem Ulmer Modell, absolviert haben ist wegen der vielfältigen Änderungen des Bundesdatenschutzgesetzes (BDSG) eine Auffrischung ihrer Kenntnisse zu empfehlen. Am 15. Dezember 2006 bietet udis eine entsprechende eintägige Fortbildung an.

Zwar können viele Kleinstunternehmen in Zukunft auf einen eigenen Datenschutzbeauftragten verzichten, dann aber stehen sie mit einer ellenlangen Liste bürokratischer, technischer und organisatorischer Datenschutzpflichten alleine da. Zudem sehen die wesentlichen Ziele des Datenschutzes oft anders aus.

Mit dem "Ersten Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständigen Wirtschaft" vom 22. August 2006 (oft kurz "Bürokratieabbaugesetz" genannt) ist auch das Bundesdatenschutzgesetz (BDSG) in einigen wesentlichen Teilen verändert worden, mit der Absicht, die Datenschutzbürokratie zu verringern. Diese Absicht ist weitgehend misslungen, weil der Gesetzgeber an den falschen Stellen angesetzt hat, was insbesondere Kleinunternehmen zu spüren bekommen werden.

Zwar müssen nach den neuen Vorschriften Datenschutzbeauftragte in der Regel jetzt erst dann bestellt werden, wenn mehr als neun Personen personenbezogene Daten automatisiert verarbeiten. Wegen weitreichender Ausnahmevorschriften werden aber Arztpraxen, Rechtsanwalts- und Steuerberaterkanzleien trotzdem in den meisten Fällen einen Datenschutzbeauftragten bestellen müssen.

Auch wenn nach diesen neuen Vorschriften kein Datenschutzbeauftragter mehr bestellt werden muss, ist trotzdem der erforderliche Sachverstand vorzuhalten oder als Beratungsleistung einzukaufen. Jetzt ist nämlich der Leiter eines solchen Kleinunternehmens selbst verpflichtet, dafür zu sorgen, dass doch recht umfangreiche Forderungen des Bundesdatenschutzgesetzes (BDSG) sichergestellt werden. Dazu gehören bürokratische Maßnahmen des Datenschutzes ebenso wie entsprechende technische und organisatorische Maßnahmen des Datenschutzes und der IT-Sicherheit. Besonders aufwendig in diesem Zusammenhang: Internes und externes (öffentliches) Verfahrensverzeichnis und die Gestaltung der innerbetriebliche Organisation, die nach §9 BDSG (Anlage) auch bei Kleinunternehmen den Anforderungen des Datenschutzes gerecht werden muss. Der Abschied vom Datenschutzbeauftragten bedeutet alles andere als Abschied vom Datenschutz. Es muss für das kleine Unternehmen auch weiterhin eine Person verfügbar sein, die über die erforderliche Datenschutzausbildung oder eine entsprechende Schulung oder Weiterbildung im Bereich Datenschutz und IT-Sicherheit verfügt.

Werden die in dieser Liste aufgeführten Maßnahmen nicht entsprechend der DV-Situation im Unternehmen umgesetzt, kann auch bei kleineren Unternehmen ein Verstoß gegen das BDSG vorliegen. §43 BDSG enthält eine Liste derjenigen Verstöße, die als Ordnungswidrigkeit gelten und mit einem Bußgeld entweder von bis zu 25.000 Euro oder bis zu 250.000 Euro geahndet werden. Unter bestimmten Gegebenheiten können sie sogar als Straftat angesehen werden, die mit Geld- oder Freiheitsstrafe bestraft wird. Nach §38 Abs. 1 BDSG ist die zuständige Aufsichtsbehörde für den Datenschutz befugt, im Falle eines Verstoßes gegen das Bundesdatenschutzgesetz oder gegen andere Vorschriften über den Datenschutz die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten.

Der Ausweg aus den Problemen, die dem Mittelstand durch die Neuerungen im Bundesdatenschutzgesetz (BDSG) beschert werden, kann nur darin bestehen, dass die betroffenen Klein- und Mittelbetriebe auch in Zukunft ein gewisses Datenschutz- Know-how vorhalten. Hier bietet sich vor allem ein externer Datenschutz-Experte an, der seine Fachkunde gleichzeitig und kostengünstig in einer ganzen Reihe von Kleinunternehmen einbringen kann. In Unternehmen, in denen besondere Berufsgeheimnisse eine Rolle spielen (z.B. Arztpraxen, Anwalts- und Steuerkanzleien) sollten diese Experten (auch dann, falls keine Verpflichtung dazu besteht) als Datenschutzbeauftragte bestellt werden. Denn das neue Gesetz zum Abbau bürokratischer Hemmnisse sieht in diesem Fall eine Schweigepflicht für den Datenschutzbeauftragten und seine Mitarbeiter vor, wie sie bereits seit langem für Ärzte, Rechtsanwälte, Steuerberater usw. besteht.

Hinzu kommt ebenfalls ein entsprechendes Zeugnisverweigerungsrecht für den Datenschutzbeauftragten und ein Beschlagnahmeverbot für seine Unterlagen. Eine professionelle Ausbildung zum Datenschutzbeauftragten bzw. eine Ausbildung zur Datenschutzbeauftragten, wie sie die Dozenten von udis Ulmer Akademie für Datenschutz und IT-Sicherheit seit 1990 anbieten, ist also weiterhin sinnvoll. Auch für diejenigen, die bereits eine Fortbildung z.B. eine Ausbildung nach dem Ulmer Modell, absolviert haben ist wegen der vielfältigen Änderungen des Bundesdatenschutzgesetzes (BDSG) eine Auffrischung ihrer Kenntnisse zu empfehlen. Am 15. Dezember 2006 bietet udis eine entsprechende eintägige Fortbildung an.

Fachkundige externe Datenschutzbeauftragte, die alle sieben Aspekte des Datenschutzes beherrschen und auch die erforderlichen Kenntnisse im Bereich IT-Sicherheit besitzen vermittelt neben udis (www.udis.de) auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. unter www.bvdnet.de. (udis: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Gesetze

  • Datenübermittlung und Datenpflege

    Als Unterrichtung durch die Deutsche Bundesregierung liegt der "Evaluierungsbericht des Zweiten Gesetzes zur Verbesserung der Registrierung und des Datenaustausches zu aufenthalts- und asylrechtlichen Zwecken" (20/10200) vor.

  • Durchsetzung des DSA

    Die Deutsche Bundesregierung hat das Digitale-Dienste-Gesetz (20/10031) zur Umsetzung des Digital Services Act (DSA) auf nationaler Ebene vorgelegt. Während die ab 17. Februar 2024 in der Europäischen Union geltende DSA-Verordnung etwa Sorgfaltspflichten für Online-Dienste im Kampf gegen Desinformation und Hassrede im Internet und die Durchsetzung auf EU-Ebene regelt, konkretisiert der Gesetzentwurf der Bundesregierung Zuständigkeiten der Behörden in Deutschland.

  • Klarstellung für Betriebsräte und Unternehmen

    Die Bundesregierung will das Betriebsverfassungsgesetz ändern. Durch einen entsprechenden Gesetzentwurf (20/9469) sollen nach einem Urteil des Bundesgerichtshofes vom Januar 2023 entstandene Rechtsunsicherheiten beseitigt werden.

  • 1:1-Umsetzung wird angestrebt

    Die von der Bundesregierung geplante Umsetzung einer EU-Richtlinie zur Kraftfahrzeug-Haftpflichtversicherung in nationales Recht war Thema einer öffentlichen Anhörung im Rechtsausschuss des Bundestages am. Die Sachverständigen sahen den Opferschutz durch den Regierungsentwurf gestärkt, sprachen sich aber für eine Reihe von Nachbesserungen aus.

  • Modernisierung der Registerlandschaft

    Mit der Annahme eines Gesetzentwurfs (20/8866) der Deutschen Bundesregierung in geänderter Fassung hat der Wirtschaftsausschuss in seiner Sitzung einer Änderung des Unternehmensbasisdatenregistergesetzes einstimmig zugestimmt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen