Aus einem aktuellen Sondierungspapier vom 8. März 2025 von CDU, CSU und SPD ist unter der Überschrift Bürokratie rückbauen zu entnehmen, dass die Parteien planen, künftig „die Zahl der gesetzlich vorgeschriebenen Betriebsbeauftragten signifikant reduzieren“ zu wollen. Auch wenn hierbei die betreffenden Beauftragten (noch) nicht näher bezeichnet werden, ist ziemlich sicher davon auszugehen, dass hiervon auch die Regelungen in Bezug auf den (betrieblichen) Datenschutzbeauftragten betroffen sein werden. Schließlich wird bereits seit längerem darüber diskutiert, die bisherige Benennungsgrenze anzuheben oder die – ergänzend zur DS-GVO bestehende – nationale Regelung gänzlich abzuschaffen. Der nachfolgende Blog-Beitrag gibt einen Überblick über die derzeitige Rechtslage und potenzielle künftige Änderungen.

Derzeitige Rechtslage

Grundsätzlich wird in Art. 37 Abs. 1 DS-GVO geregelt, in welchen konkreten Fällen die Benennung eines Datenschutzbeauftragten verpflichtend ist. Hierzu zählen ausschließlich (a) Datenverarbeitungen durch Behörden oder öffentliche Stellen, mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeiten, (b) Kerntätigkeiten in der Durchführung von Datenverarbeitungen, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z. B. Auskunfteien, Anbieter von Fitness-Apps, Detekteien) sowie (c) Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DS-GVO, z. B. Altersheime, Arztpraxen, Krankenhäuser) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO, z. B. Anwaltskanzleien mit Bezug zum Strafrecht).

Ergänzend zu diesen Regelungen im Rahmen der DS-GVO wird in der nationalen Vorschrift des § 38 Abs. 1 BDSG geregelt, unter welchen weiteren Voraussetzungen die Benennung eines (betrieblichen) Datenschutzbeauftragten verpflichtend ist. In Satz 1 heißt es: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 [DS-GVO, Anm. d. Autors] benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Eine solche automatisierte Verarbeitung personenbezogener Daten liegt in der Regel bereits dann schon vor, wenn die betreffenden Beschäftigten im Rahmen ihrer Tätigkeiten über einen E-Mail-Zugang verfügen.

Unabhängig von der konkreten Zahl der Beschäftigten heißt es in Satz 2 weiter: „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ Wann eine solche Datenschutz-Folgenabschätzung regelmäßig durchzuführen ist, ergibt sich beispielsweise durch eine Auflistung der Datenschutzkonferenz.

Hauptsächlich die Regelung des § 38 Abs. 1 Satz 1 BDSG sorgt dafür, dass eine Vielzahl von Unternehmen und Vereinen in Deutschland zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet sind.

Mögliche Umsetzungsvarianten

Eine Anpassung der Rechtslage zur verpflichtenden Benennung von Datenschutzbeauftragten ist durch die neue Bundesregierung auch ausschließlich in Bezug auf die nationale Regelung des § 38 BDSG – also insbesondere in Bezug auf die Beschäftigtenzahl – möglich. Diesbezüglich ergeben sich grundsätzlich zwei mögliche Varianten:

• Anhebung des Schwellwertes: In der Vergangenheit wurde bereits des Öfteren über eine Anhebung des derzeitigen Schwellwertes diskutiert. Nachdem bereits im Jahr 2019 die ursprüngliche Grenze von zehn Beschäftigten auf 20 Beschäftigten angehoben wurde, wären 50, 100 oder 250 Beschäftigte eine nächste mögliche Stufe. Auch bereits eine solche Anhebung würde dazu führen, dass die Zahl der zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichteten Stellen signifikant sinken würde.

• Streichung der Regelung: Weiterhin wäre auch eine komplette Streichung der Regelung des § 38 BDSG möglich. In diesem Falle würden zukünftig ausschließlich die Regelungen des oben dargestellten Art. 37 Abs. 1 DS-GVO greifen. Infolgedessen wären zukünftig wohl die wenigsten Organisationen zur Benennung eines betrieblichen Datenschutzbeauftragten verpflichtet.

Derzeit ist noch unklar, welche konkreten Änderungen uns bevorstehen und ob sich eher die Forderungen der SPD (in der Vergangenheit: Anhebung des Schwellwertes) oder der CDU/CSU (in der Vergangenheit: Streichung des § 38 BDSG) durchsetzen werden. Die freiwillige Benennung eines betrieblichen Datenschutzbeauftragten wird aller Voraussicht nach jedoch auch in Zukunft möglich sein.

Weniger Datenschutzbeauftragte ≠ weniger Bürokratie

In diesem Zusammenhang wird jedoch regelmäßig verkannt, dass die Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.

Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Die nationale Regelung des § 38 Abs. 1 Satz 1 Bundesdatenschutzgesetz (BDSG) sieht neben den Regelungen des Art. 37 Abs. 1 DS-GVO vor, dass nicht-öffentliche Stellen einen Datenschutzbeauftragten zu benennen haben, sofern regelmäßig mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein aktuelles Positionspapier der Bundesregierung benennt nun im Zusammenhang mit der Reduktion datenschutzrechtlicher Anforderungen unter anderem die Heraufsetzung dieses Schwellwertes von 20 Beschäftigte auf 50 Beschäftigte. Ein kurzer Überblick.

Anwendung datenschutzrechtlicher Anforderungen reduzieren

„Zur Dynamisierung der deutschen Wirtschaft soll auch der bürokratische Aufwand bei der Anwendung datenschutzrechtlicher Anforderungen reduziert werden und die Anwendung auf europäischer Ebene vereinheitlicht werden“, heißt es unter Ziffer 13 in einem erst jüngst veröffentlichten Papier der Bundesregierung mit dem Titel „Wachstumsinitiative – neue wirtschaftliche Dynamik für Deutschland“.

Als konkrete Maßnahmen werden insgesamt sieben Punkte angeführt, darunter die Konzentration der Zuständigkeit einzelner Aufsichtsbehörden für bestimmte Branchen und Sektoren, eine stärkere bundesweite Vereinheitlichung der Anwendung des Datenschutzrechts durch verbindliche Beschlüsse der Datenschutzkonferenz, die Präzisierung und Konkretisierung im nationalen Recht zur Erhöhung der Rechtssicherheit und zur Erleichterung der Anwendung sowie eben benannte Erhöhung des Schwellenwerts zur verpflichtenden Benennung eines Datenschutzbeauftragten.

Unklar ist zunächst, in welchem zeitlichen Rahmen mit der Umsetzung der angeführten Maßnahmen gerechnet werden kann. Es ist jedoch nicht unwahrscheinlich, dass die beabsichtigten Änderungen früher oder später tatsächlich umgesetzt werden. Schließlich sind einige der angeführten Punkte nicht neu: Bereits mit der sich im Gesetzgebungsprozess befindlichen Änderung des Bundesdatenschutzgesetzes verfolgt der Gesetzgeber eine Institutionalisierung der Datenschutzkonferenz. Eine bereits beabsichtigte Vereinheitlichung der Anwendung des Datenschutzrechts dürfte allein hierdurch aber nicht erreicht werden. Im Zuge selbiger Änderung wurde zudem die Abschaffung der Benennungspflicht eines Datenschutzbeauftragten nach § 38 BDSG diskutiert. Das Argument: Entbürokratisierung. Die Abschaffung der Benennungspflicht nach nationalen Normen scheiterte jedoch.

Heraufsetzung des Schwellwertes

Grundsätzlich ist eine Heraufsetzung des Schwellwertes einer gänzlichen Abschaffung der Benennungspflicht vorzuziehen. Aber auch diese Herangehensweise ist nicht neu: Bereits im November 2019 wurde der damalige Schwellwert des § 38 BDSG von zehn auf 20 Beschäftigte erhöht. Danach wurden immer wieder Stimmen laut, die eine weitere Anhebung des Schwellwertes forderten. Eine mehrheitliche Unterstützung des Vorhabens im Bundestag und Bundesrat scheint indes gewiss. Ist eine solche Gesetzesänderung jedoch auch sinnvoll?

Sicherlich ist Deutschland eines der wenigen Länder – oder sogar das einzige Land – welches in Bezug auf die Benennung des Datenschutzbeauftragten zusätzliche Regelungen getroffen hat. Die EU-weit einheitliche Norm des Art. 37 DS-GVO fordert die Benennung eines Datenschutzbeauftragten ausschließlich im Falle von öffentlichen Stellen, umfangreichen und systematischen Überwachungen betroffener Personen oder einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO beziehungsweise von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO. Diese Regelung scheint in den anderen Mitgliedsstaaten ausreichend. Wieso also nicht auch in Deutschland?

Weniger Datenschutzbeauftragte ≠ weniger Bürokratie

In diesem Zusammenhang wird regelmäßig verkannt, dass die (verpflichtende) Benennung eines Datenschutzbeauftragten auch Erleichterungen mit sich bringen kann. Schließlich ist es gemäß Art. 39 Abs. 1 DS-GVO Aufgabe eines jeden Datenschutzbeauftragten, Verantwortliche und Auftragsverarbeiter hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung zu beraten und zu unterrichten. Weiterhin kann der Datenschutzbeauftragte im Rahmen interner Prüfungen Abweichungen von gesetzlichen Anforderungen feststellen und etwaige Korrekturmaßnahmen empfehlen, noch bevor datenschutzrechtliche Verstöße den betroffenen Personen oder Aufsichtsbehörden zur Kenntnis gelangen und negative Folgen für den Verantwortlichen nach sich ziehen. Der Datenschutzbeauftragte ist Wissensträger und Unterstützer zugleich – kein Bürokratiemonster.

Zudem ist anzumerken, dass die vielschichtigen Verpflichtungen aus den datenschutzrechtlichen Normen stets den Verantwortlichen, also das Unternehmen, den Verein oder die Behörde adressieren und gerade nicht den Datenschutzbeauftragten. Eine Erhöhung des Schwellwertes oder gänzliche Abschaffung der Benennungspflicht führt also gerade nicht zu einer Entbürokratisierung, sondern vielmehr zu einem Schwund an Know-how. Der Verantwortliche muss die datenschutzrechtlichen Anforderungen dann eben ohne Unterstützung des Datenschutzbeauftragten – mehr oder weniger – erfolgreich umsetzen.

Wenn Änderung, dann bitte konsequent!

Sollte es zu einer Änderung des Schwellwertes gemäß § 38 Abs. 1 Satz 1 BDSG kommen, ist nur zu hoffen, dass der Gesetzgeber diese Gelegenheit nutzt und die Regelung des § 38 Abs. 1 Satz 2 ebenfalls korrigiert: Nach dieser Norm ist die Benennung eines Datenschutzbeauftragten unter anderem ebenfalls verpflichtend, sofern der Verantwortliche oder der Auftragsverarbeiter zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO verpflichtet ist – und zwar unabhängig von einer Beschäftigtenzahl. In Zeiten von Hinweisgeberschutz und Künstlicher Intelligenz wären demnach weiterhin viele Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.