Datenschutzbeauftragter künftig erst ab 20 Mitarbeitern Pflicht

Eine Erleichterung für kleine Unternehmen – wirklich???

Bislang galt laut § 38 BDSG-neu, dass ein Datenschutzbeauftragter (intern oder extern) bestellt werden muss, sobald in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ständig und automatisiert bedeutet, dass ein Mitarbeiter wiederkehrend (unerheblich ob täglich, einmal pro Woche oder einmal im Monat) personenbezogene Daten mit Hilfe eines technischen Geräts, wie z.B. einem Tablett, Handy oder PC erfasst bzw. verarbeitet.

Buchstäblich über Nacht wurde am 27.06.19 im Bundestag die Gesetzesänderung des § 38 BDSG-neu verabschiedet. Kern dieser Änderung ist die Anhebung der Grenze von 10 auf 20 Personen. Jedoch bedarf es noch einer Bestätigung des Gesetzes durch den Bundesrat.

Anstoß zu dieser Gesetzesänderung gab der Ruf nach weniger Bürokratie und finanzieller Entlastung für kleine und mittelständige Unternehmen, sowie Vereine.

Insbesondere in den Zeitschriften und Onlinepräsenzen zahlreicher Berufsverbände liest man dieser Tage von „DSGVO-Lockerung“, „Erleichterung für Betriebe“ oder „Entlastung für kleine Unternehmen“. Das hört sich gut an, wie könnte man das schlecht finden.

Aber ist es denn wirklich so?

Statistisch gesehen sind hiervon lediglich 293.000 Betriebe in Deutschland betroffen. 3,1 Mio.  Betriebe bleiben weiterhin verunsichert und allein gelassen.

Kritisch wir die Änderung von Landesdatenschutzbeauftragten gesehen. Worte wie „Milchmädchenrechnung“, „Bärendienst“ und „falsche Signale“ fielen in diesem Zusammenhang. Bundesdatenschutzbeauftragter Ulrich Kelber äußerte sich bei Twitter:

 „Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert.“ Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein“

Diese Aussage verdeutlicht, dass die monetäre Entlastung der Zielgruppe ein Trugschluss ist. Nicht nur die Arbeitszeiten die intern ohne Unterstützung eines DSB zu Buche schlägt, auch die höhere Wahrscheinlichkeit von Bußgeldern durch die Datenschutzbehörde oder einer Abmahnung durch Mitbewerber werden recht schnell zur teuren Fehlkalkulation.

Schaut man sich die Meinungen von Datenschutzexperten an, so wird schnell klar, dass es hier nicht ganz so leicht wird, wie die Schlagzeilen ankündigen.

Die Praxis zeigt leider, dass es viele Unklarheiten darüber gibt, was man im Hinblick auf den Datenschutz im eigenen Unternehmen zu tun hat und was nicht. Insbesondere die Unternehmen, die auch bis jetzt noch nichts in Sache Datenschutz unternommen haben, fühlen sich in ihrer Untätigkeit bestätigt. Die Interpretation der Nachricht „Bestellpflicht eines Datenschutzbeauftragten zukünftig ab 20 Personen“ wird schnell zu „Ich habe sowieso weniger als 20 Mitarbeiter, das mit dem Datenschutz betrifft mich nicht.“

Dies trifft jedoch nicht zu. Jeder Selbständige, jedes Unternehmen, jeder Verein – unabhängig von der Mitarbeiterzahl – ist verpflichtet die Gesetze der DSGVO und des BDSG einzuhalten.

Bürokratische To-Do`s wie die Dokumentation und Prüfung der Verarbeitungstätigkeiten, sowie den technischen und Organisatorischen Maßnahmen wird keiner entkommen! Kommen Mitarbeiter oder Auftragsverarbeiter ins Spiel, so kommen noch weitere Formalitäten hinzu. Hiervon wird man nicht entlastet, da wird auch nichts gelockert.

Die Zielgruppe, der man hier ursprünglich eine Erleichterung schaffen wollte, hatte in den meisten Fällen bis zum 25.05.2018 kaum Berührungspunkte mit dem Datenschutz, wenngleich es diesen auch schon vor der DSGVO gab. Es gab also in den meisten Fällen kein Datenschutzkonzept, kein geschultes Personal, keine Abläufe und vor allem kein Wissen über diese Materie, auf der man hätte aufbauen können. Wer musste oder willens war wandte sich an Fachpersonal, meist in Form eines externen Datenschutzbeauftragten.

Wer also tatsächlich entlastet sein möchte, der tut gut daran das Thema Datenschutz in fachkundige Hände zu geben. Dies gilt unabhängig der Mitarbeiterzahl oder Unternehmensgröße.

Sie können diesen Artikel in einem Netzwerk teilen, per Mail versenden oder ausdrucken