Ganze 154 Fachgesetze werden nun geändert: Der Bundesrat hat heute grünes Licht für zahlreiche Anpassungen bestehender Gesetze an die DSGVO gegeben. Darunter befindet sich auch eine Änderung im Hinblick auf die Pflicht, einen betrieblichen Datenschutzbeauftragten zu beschäftigen. Kleine und mittlere Unternehmen sowie ehrenamtliche Vereine sollen hierdurch entlastet werden.
Ab Inkrafttreten ausschlaggebend: 20 statt 10 Personen
Bislang benötigten Unternehmen grundsätzlich einen Datenschutzbeauftragten, wenn sich mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen. Diese Schwelle wird nun, sobald die Änderung in Kraft tritt, auf 20 Personen angehoben, wie es in einer Mitteilung des Bundesrates vom heutigen Tage heißt. Viele Unternehmen sind dadurch nicht mehr verpflichtet, einen solchen Beauftragten zu benennen.
Eine theoretische Entlastung kleiner Unternehmen lässt sich damit nicht von der Hand weisen. Ob diese Anpassung aber auch praktisch als Erleichterung begriffen wird, muss wohl jeder Unternehmer selbst entscheiden. Denn an den grundsätzlichen Anforderungen der DSGVO ändert sich nichts: Betroffene haben etwa nach wie vor spezielle Rechte, wie etwa jenes auf Auskunft oder auf Löschung von Daten. Auch müssen der Datenschutz durch technische und organisatorische Maßnahmen gesichert und weitere Anforderungen erfüllt werden. Ein Datenschutzbeauftragter kann hier die nötige Expertise bieten und Unternehmer dort unterstützen, wo Fachwissen gefragt ist. Die freiwillige Beauftragung eines Datenschutzbeauftragten oder zumindest die Unterstützung durch einen Experten ist damit auch im Hinblick auf steigende Bußgelder womöglich die nachhaltigere Alternative.
Was ist eine ständige Beschäftigung?
Ausschlaggebend ist, wie viele Mitarbeiter sich in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
- „In der Regel“ kann so verstanden werden, dass vom Regelbetrieb des Unternehmens ausgegangen werden soll. Kleine vorübergehende Schwankungen der Personenzahl sollen demnach nicht beachtet werden.
- „Ständig“ legt nahe, dass es eine gewisse Kontinuität der Datenverarbeitung durch die Person braucht. Dabei kann diese regelmäßig sein, aber auch die nur wiederkehrende Beschäftigung mit personenbezogenen Daten reicht aus.
- Als „Mitarbeiter“ zählen nicht zwingend nur fest angestellte Arbeitnehmer, sondern auch Personen wie Praktikanten, Teilzeit- oder freie Mitarbeiter.
- Für die „automatisierte Verarbeitung personenbezogener Daten“ sollte berücksichtigt werden, dass hier auch schon der Zugriff auf solche Daten relevant ist – also wenn ein Mitarbeiter etwa Zugriff auf entsprechende Datenbanken oder E-Mails hat.
Ob er damit einer Pflicht zur Benennung eines Datenschutzbeauftragten unterliegt, muss jeder Unternehmer im Einzelfall selbst beurteilen.
Das Gesetz wird nun über die Bundesregierung dem Bundespräsidenten zur Unterzeichnung zugeleitet und soll überwiegend am Tag nach der Verkündung in Kraft treten.
Kommentar schreiben