von Sarah Freytag

Gesetzesänderung: Datenschutzbeauftragter erst ab 20 Mitarbeitern?

News vom 20.09.2019, 08:20 Uhr | Keine Kommentare

Im Mai letzten Jahres trat die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Gleichzeitig wurde auch das deutsche Bundesdatenschutzgesetz an die neuen europäischen Anforderungen angepasst und weitgehend synchronisiert. Da jedoch das Bundesdatenschutzgesetz an manchen Stellen strengere Anforderungen als die DSGVO stellt, wird immer wieder gefordert, die Hürden des Datenschutzes herab zu setzen, insbesondere um bürokratischen Aufwand für Unternehmen zu vermindern. Im Sommer hat nun der Bundestag beschlossen, die Mitarbeiterzahl, ab der es eines Datenschutzbeauftragten bedarf, herabzusetzen.

I. Die aktuelle Rechtslage

Bevor man sich mit der geplanten Gesetzesänderung vertraut macht, bietet sich ein kurzer Überblick über die aktuelle Rechtslage an:

Starterpaket

1. Wann braucht ein Betrieb einen Datenschutzbeauftragten?

Auf europäischer Ebene verlangt Art. 37 DSGVO die Benennung eines betrieblichen Datenschutzbeauftragten, wenn im Unternehmen Kerntätigkeiten i.S.d. Art. 37 Abs. 1 b) DSGVO als Haupttätigkeiten vorzunehmen sind: Diese sind bei Datenverarbeitungsvorgängen gegeben, die eine umfangreiche, „regelmäßige und systematische Überwachung der betroffenen Personen“ erfordern, sowie wenn in großem Umfang persönliche Daten von besonderer Kategorie (wie z.B. Gesundheitsdaten oder konfessionelle Daten) oder strafrechtlich relevante Daten wie z.B. Daten über gerichtliche Verurteilungen und Straftaten verarbeitet werden.

Die Schwelle zur Bestellpflicht ist vom deutschen Gesetzgeber jedoch sehr niedrig angesetzt. Sie greift gemäß § 38 Abs. 1 BDSG bereits dann, wenn mehr als neun Mitarbeiter im Unternehmen beschäftigt sind, die ständig mit einer Datenverarbeitung befasst sind. Was bedeutet nun im Einzelnen „Personen, die in der Regel ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind“?

  • "Personenbezogene Daten" sind beispielsweise Daten von Kunden im Rahmen der Bestellung von Produkten.
  • Eine „automatisierte“ Verarbeitung wiederum liegt vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden. Hierunter fällt bereits die bloße Textverarbeitung mittels PC, soweit personenbezogene Daten betroffen sind.

Da als Mitarbeiter auch Teilzeitkräfte sowie Leiharbeiter zählen und eine automatisierte personenbezogene Datenverarbeitung schon dann vorliegt, wenn die Beschäftigten bei ihrer Arbeit allein ein E-Mail Programm, wie z.B. Outlook nutzen, ist man bei der Bestellpflicht des Datenschutzbeauftragten überaus schnell dabei.

2. Was sind die Aufgaben eines Datenschutzbeauftragten?

Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen hinsichtlich seiner datenschutzrechtlichen Pflichten. Er überwacht, schult und sensibilisiert Unternehmen und Mitarbeiter hinsichtlich der Einhaltung der Gesetze zum Datenschutz. Er fungiert auch als Beratungsstelle aller Fragen zum Datenschutz und arbeitet erforderlichenfalls mit der Aufsichtsbehörde zusammen

3. Wer kann als Datenschutzbeauftragter benannt werden?

Die Stelle des Datenschutzbeauftragten kann von einem internen Mitarbeiter wie auch von einem externen besetzt werden. Der Datenschutzbeauftragte muss frei in seinem Handeln und in seinen Empfehlungen zu sein, so dass er seiner Tätigkeit vollkommen unabhängig nachkommen kann. Die Anforderungen an die fachliche datenschutzrechtliche Kompetenz hängt von der Höhe des Schutzbedarfes der Daten ab.

II. Was soll sich nun ändern?

Am 27.06.2019 hat der Bundestag ein zweites Datenschutzanpassungs- und Umsetzungsgesetz beschlossen. Konkret wurde dabei unter anderem die besagte Änderung des § 38 Abs. 1 BDSG beschlossen. Die Vorschrift soll dahingehend geändert werden, dass nun erst ab einer Schwelle von 20 Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, die Bestellung eines Datenschutzbeauftragten verpflichtend sein soll. Dies würde für kleinere und mittlere Unternehmen eine bürokratische Entlastung bedeuten.

Nach der Sommerpause wird das Änderungsgesetz heute (20. September) auf der Tagesordnung des Bundesrates stehen, der das Gesetz noch billigen muss. Wir halten Sie hier gerne auf dem Laufenden.

Update: Am Freitag, den 20. September 2019, hat der Bundesrat nun - ohne weitere Aussprache - das Änderungsgesetz passieren lassen. Damit wird nun die Schwelle, ab der die Pflicht besteht, einen Datenschutzbeauftragen zu benennen, von 10 auf 20 Beschäftigte erhöht.

III. Fazit

Die Änderung soll, laut der Begründung des Bundestages (BT-Drs. 19/11181) insbesondere kleine und mittlere Unternehmen entlasten. Dennoch ist Vorsicht geboten – die Vorschriften des Datenschutzrechtes gelten weiterhin für jedermann! Auch wenn die Bestellung eines offiziellen Datenschutzbeauftragten nun für einige Unternehmen obsolet wird, ist zu raten intern oder extern Personal mit den relevanten datenschutzrechtlichen Themen des Unternehmens zu betrauen um (teuren) Rechtsverstößen vorzubeugen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Sarah Freytag
freie jur. Mitarbeiterin der IT-Recht Kanzlei

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller