Datenschutzbeauftragter nun erst ab 20 Mitarbeitern

Am 26.11.2019 ist das sogenannte zweite Datenschutzanpassungs- und Umsetzungsgesetz in Kraft getreten.

Es handelt sich dabei um ein Gesetzespaket, welches 150 deutsche Gesetze an die DSGVO anpassen und umsetzen soll, um die europäischen Vorgaben umzusetzen. In der Praxis vieler kleiner und mittelständischer Unternehmen, aber auch in Vereinen sowie bei Freiberuflern wird vermutlich die bedeutsamste Änderung die Anhebung der Mitarbeiterzahl sein, ab der die Benennung eines Datenschutzbeauftragten zur gesetzlichen Pflicht wird.

Mit Inkrafttreten der DSGVO im Mai 2018 wurde ein extern zu bestellender Datenschutzbeauftragter verpflichtend, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt waren. Die Kritik entzündete sich an dem als sehr niedrig empfundenen Schwellenwert von zehn Personen, da vor allem kleinere Betriebseinheiten damit überfordert sind und zusätzliche Bürokratiekosten entstanden sind.

Die verpflichtende Benennung eines betrieblichen Datenschutzbeauftragten greift jetzt erst ab 20 Mitarbeitern. Mit der Anhebung der maßgeblichen Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, sollen laut Gesetzesbegründung vor allem kleinere und mittlere Unternehmen sowie ehrenamtlich tätige Vereine unterstützt werden.

Ein leichtfertiges Aufatmen verbietet sich dennoch. Denn an die umfangreichen und strengen Datenschutzregelungen gelten weiterhin für alle, gleich welcher Größe, sei es mit oder ohne Datenschutzbeauftragten.

Ich empfehle dringend, gleichwohl jemanden mit der datenschutzrechtlichen Expertise im Betrieb, im Verein oder in der Praxis zu haben. Ist dies bislang auch mit der neuen Bezugsgröße noch nicht der Fall, sollte man die Bestellung natürlich schnellstmöglich nachholen. Der Datenschutzbeauftrage überwacht die Datenverarbeitungsprozesse, er ist der Unternehmens- oder Vereinsführung direkt unterstellt, in der Wahrnehmung seiner gesetzlichen Aufgaben aber nicht weisungsgebunden (Art. 38 Abs. 3 DSGVO). Der Datenschutzbeauftragte unterrichtet und berät die Geschäftsführung und wirkt auf die Einhaltung des Datenschutzrechts hin. Zudem soll er die an den Verarbeitungsvorgängen beteiligten Personen sensibilisieren und schulen. Gibt es eine Beschwerde, ist der Datenschutzbeauftragte die erste Anlaufstelle für die Datenschutzbehörde.

Mein Fazit: Auch wenn kleinere und mittlere Unternehmen bei der Bestellung von Datenschutzbeauftragten entlasten werden sollen, so gibt es keinen Grund zur Entwarnung im Datenschutzrecht. Denn die umfangreichen und strengen Vorgaben zum Schutz von Daten und zur IT-Sicherheit gelten auch für kleinere und mittlere Unternehmen weiter – egal, ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.


Rechtsanwalt & Fachanwalt für Steuerrecht Tillmann R. Weber, Friedberg
www.raws.de

Mehr Infos ...