30. Nov 2019
Die verpflichtende Benennung eines Datenschutzbeauftragten greift jetzt erst ab 20 Mitarbeitern. Mit der Anhebung sollen vor allem kleinere und mittlere Unternehmen sowie ehrenamtlich tätige Vereine unterstützt werden.
Datenschutzbeauftragter nun erst ab 20 Mitarbeitern
Am 26.11.2019 ist das sogenannte zweite Datenschutzanpassungs- und Umsetzungsgesetz in Kraft getreten. Es handelt sich dabei um ein Gesetzespaket, welches 150 deutsche Gesetze an die DSGVO anpassen und umsetzen soll, um die europäischen Vorgaben umzusetzen. In der Praxis vieler kleiner und mittelständiger Unternehmen, aber auch in Vereinen sowie bei Freiberuflern wird vermutlich die bedeutsamste Änderung die Anhebung der Mitarbeiterzahl sein, ab der die Benennung eines Datenschutzbeauftragten zur gesetzlichen Pflicht wird.
Mit Inkrafttreten der DSGVO im Mai 2018 wurde ein extern zu
bestellender Datenschutzbeauftragter verpflichtend, wenn in der Regel
mindestens zehn Personen ständig mit der automatisierten Verarbeitung
personenbezogener Daten beschäftigt waren. Die Kritik entzündete sich an dem
als sehr niedrig empfundenen Schwellenwert von zehn Personen, da vor allem
kleinere Betriebseinheiten damit überfordert sind und zusätzliche
Bürokratiekosten entstanden sind.
Die verpflichtende Benennung eines betrieblichen
Datenschutzbeauftragten greift jetzt erst ab 20 Mitarbeitern. Mit der Anhebung
der maßgeblichen Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter
zu benennen ist, sollen laut Gesetzesbegründung vor allem kleinere und mittlere
Unternehmen sowie ehrenamtlich tätige Vereine unterstützt werden.
Ein leichtfertiges Aufatmen verbietet sich dennoch. Denn an die umfangreichen und strengen Datenschutzregelungen gelten weiterhin für alle, gleich welcher Größe, sei es mit oder ohne Datenschutzbeauftragten.
Ich empfehle dringend, gleichwohl jemanden mit der datenschutzrechtlichen Expertise im Betrieb, im Verein oder in der Praxis zu haben. Ist dies bislang auch mit der neuen Bezugsgröße noch nicht der Fall, sollte man die Bestellung natürlich schnellstmöglich nachholen. Der Datenschutzbeauftrage überwacht die Datenverarbeitungsprozesse, er ist der Unternehmens- oder Vereinsführung direkt unterstellt, in der Wahrnehmung seiner gesetzlichen Aufgaben aber nicht weisungsgebunden (Art. 38 Abs. 3 DSGVO). Der Datenschutzbeauftragte unterrichtet und berät die Geschäftsführung und wirkt auf die Einhaltung des Datenschutzrechts hin. Zudem soll er die an den Verarbeitungsvorgängen beteiligten Personen sensibilisieren und schulen. Gibt es eine Beschwerde, ist der Datenschutzbeauftragte die erste Anlaufstelle für die Datenschutzbehörde.
Mein Fazit: Auch wenn kleinere und mittlere Unternehmen bei der Bestellung von Datenschutzbeauftragten entlasten werden sollen, so gibt es keinen Grund zur Entwarnung im Datenschutzrecht. Denn die umfangreichen und strengen Vorgaben zum Schutz von Daten und zur IT-Sicherheit gelten auch für kleinere und mittlere Unternehmen weiter – egal, ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.