Anpassungen an DSGVO

Gesetz beschlossen: Datenschutzbeauftragter erst ab 20 Personen

Veröffentlicht: 20.09.2019 | Geschrieben von: Melvin Louis Dreyer | Letzte Aktualisierung: 05.07.2022
Offene Aktenschublade Personenbezogene Daten

Ganze 154 Fachgesetze werden nun geändert: Der Bundesrat hat heute grünes Licht für zahlreiche Anpassungen bestehender Gesetze an die DSGVO gegeben. Darunter befindet sich auch eine Änderung im Hinblick auf die Pflicht, einen betrieblichen Datenschutzbeauftragten zu beschäftigen. Kleine und mittlere Unternehmen sowie ehrenamtliche Vereine sollen hierdurch entlastet werden.

Ab Inkrafttreten ausschlaggebend: 20 statt 10 Personen

Bislang benötigten Unternehmen grundsätzlich einen Datenschutzbeauftragten, wenn sich mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Diese Schwelle wird nun, sobald die Änderung in Kraft tritt, auf 20 Personen angehoben, wie es in einer Mitteilung des Bundesrates vom heutigen Tage heißt. Viele Unternehmen sind dadurch nicht mehr verpflichtet, einen solchen Beauftragten zu benennen.

Eine theoretische Entlastung kleiner Unternehmen lässt sich damit nicht von der Hand weisen. Ob diese Anpassung aber auch praktisch als Erleichterung begriffen wird, muss wohl jeder Unternehmer selbst entscheiden. Denn an den grundsätzlichen Anforderungen der DSGVO ändert sich nichts: Betroffene haben etwa nach wie vor spezielle Rechte, wie etwa jenes auf Auskunft oder auf Löschung von Daten. Auch müssen der Datenschutz durch technische und organisatorische Maßnahmen gesichert und weitere Anforderungen erfüllt werden. Ein Datenschutzbeauftragter kann hier die nötige Expertise bieten und Unternehmer dort unterstützen, wo Fachwissen gefragt ist. Die freiwillige Beauftragung eines Datenschutzbeauftragten oder zumindest die Unterstützung durch einen Experten ist damit auch im Hinblick auf steigende Bußgelder womöglich die nachhaltigere Alternative.

Was ist eine ständige Beschäftigung?

Ausschlaggebend ist, wie viele Mitarbeiter sich in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 

  • „In der Regel“ kann so verstanden werden, dass vom Regelbetrieb des Unternehmens ausgegangen werden soll. Kleine vorübergehende Schwankungen der Personenzahl sollen demnach nicht beachtet werden. 

  • „Ständig“ legt nahe, dass es eine gewisse Kontinuität der Datenverarbeitung durch die Person braucht. Dabei kann diese regelmäßig sein, aber auch die nur wiederkehrende Beschäftigung mit personenbezogenen Daten reicht aus. 

  • Als „Mitarbeiter“ zählen nicht zwingend nur fest angestellte Arbeitnehmer, sondern auch Personen wie Praktikanten, Teilzeit- oder freie Mitarbeiter.

  • Für die „automatisierte Verarbeitung personenbezogener Daten“ sollte berücksichtigt werden, dass hier auch schon der Zugriff auf solche Daten relevant ist – also wenn ein Mitarbeiter etwa Zugriff auf entsprechende Datenbanken oder E-Mails hat. 

Ob er damit einer Pflicht zur Benennung eines Datenschutzbeauftragten unterliegt, muss jeder Unternehmer im Einzelfall selbst beurteilen. 

Das Gesetz wird nun über die Bundesregierung dem Bundespräsidenten zur Unterzeichnung zugeleitet und soll überwiegend am Tag nach der Verkündung in Kraft treten.

Über den Autor

Melvin Louis Dreyer
Melvin Louis Dreyer Experte für: IT- und Verbraucherrecht

Melvin ist seit Mitte 2018 Teil des juristischen Redaktionsteams. Er hat schon während seines Rechtswissenschaft-Studiums leidenschaftlich gerne Beiträge verfasst und Fachwissen vermittelt. Jetzt berichtet er als Redakteur regelmäßig zu rechtlichen Neuigkeiten und Fragestellungen in der Welt des E-Commerce und verwirklicht damit nebenbei auch noch seine Interessen an Gesellschaft und Wirtschaft. 

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Melvin Louis Dreyer

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.