Datenschutzbeauftragter künftig erst ab 20 Mitarbeitern Pflicht

von 2. Sep 2019Datenschutz

Eine Erleichterung für kleine Unternehmen – wirklich???

Bislang galt laut § 38 BDSG-neu, dass ein Datenschutzbeauftragter (intern oder extern) bestellt werden muss, sobald in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ständig und automatisiert bedeutet, dass ein Mitarbeiter wiederkehrend (unabhängig davon, ob täglich, einmal pro Woche oder einmal im Monat) personenbezogene Daten mit Hilfe eines technischen Geräts, wie z.B. einem Tablet, Handy oder PC, erfasst oder verarbeitet.

Buchstäblich über Nacht wurde am 27.06.19 im Bundestag die Gesetzesänderung des § 38 BDSG-neu verabschiedet. Der Kern dieser Änderung ist die Anhebung der Grenze von 10 auf 20 Personen. Jedoch bedarf es noch der Bestätigung des Gesetzes durch den Bundesrat.

Anstoß zu dieser Gesetzesänderung gab der Ruf nach weniger Bürokratie und finanzieller Entlastung für kleine Unternehmen sowie Vereine. Insbesondere in den Zeitschriften und Onlinepräsenzen zahlreicher Berufsverbände liest man dieser Tage von „DSGVO-Lockerung“, „Erleichterung für Betriebe“ oder „Entlastung für kleine Unternehmen“. Das klingt gut, wie könnte man das nicht gut finden.

Aber ist es denn wirklich so?

Statistisch gesehen sind hiervon lediglich 293.000 Betriebe in Deutschland betroffen. 3,1 Millionen Betriebe bleiben weiterhin verunsichert und allein gelassen. Kritisch wird die Änderung von Landesdatenschutzbeauftragten gesehen. Worte wie „Milchmädchenrechnung“, „Bärendienst“ und „falsche Signale“ fielen in diesem Zusammenhang. Der Bundesdatenschutzbeauftragte Ulrich Kelber äußerte sich auf Twitter: „Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Die Folge werden mehr Datenschutzverstöße und Bußgelder sein.“

Diese Aussage verdeutlicht, dass die monetäre Entlastung der Zielgruppe ein Trugschluss ist. Nicht nur die Arbeitszeiten, die intern ohne die Unterstützung eines DSB zu Buche schlagen, auch die höhere Wahrscheinlichkeit von Bußgeldern durch die Datenschutzbehörde oder einer Abmahnung durch Mitbewerber werden recht schnell zu einer teuren Fehlkalkulation.

Schaut man sich die Meinungen von Datenschutzexperten an, so wird schnell klar, dass es hier nicht ganz so leicht wird, wie die Schlagzeilen ankündigen.

Die Praxis zeigt leider, dass es viele Unklarheiten darüber gibt, was man im Hinblick auf den Datenschutz im eigenen Unternehmen tun muss und was nicht. Insbesondere die Unternehmen, die auch bis jetzt noch nichts in Sachen Datenschutz unternommen haben, fühlen sich in ihrer Untätigkeit bestätigt. Die Interpretation der Nachricht „Bestellpflicht eines Datenschutzbeauftragten zukünftig ab 20 Personen“ wird schnell zu „Ich habe sowieso weniger als 20 Mitarbeiter, das mit dem Datenschutz betrifft mich nicht.“

Dies trifft jedoch nicht zu. Jeder Selbständige, jedes Unternehmen, jeder Verein – unabhängig von der Mitarbeiterzahl – ist verpflichtet, die Gesetze der DSGVO und des BDSG einzuhalten.

Bürokratische To-Do’s wie die Dokumentation und Prüfung der Verarbeitungstätigkeiten sowie den technischen und organisatorischen Maßnahmen wird keiner entkommen! Kommen Mitarbeiter oder Auftragsverarbeiter ins Spiel, so kommen noch weitere Formalitäten hinzu. Hiervon wird man nicht entlastet, da wird auch nichts gelockert.

Die Zielgruppe, der man hier ursprünglich eine Erleichterung schaffen wollte, hatte in den meisten Fällen bis zum 25.05.2018 kaum Berührungspunkte mit dem Datenschutz, obwohl es diesen auch schon vor der DSGVO gab. Es gab also in den meisten Fällen kein Datenschutzkonzept, kein geschultes Personal, keine Abläufe und vor allem kein Wissen über diese Materie, auf der man hätte aufbauen können. Wer musste oder willens war, wandte sich an Fachpersonal, meist in Form eines externen Datenschutzbeauftragten.

Wer also tatsächlich entlastet sein möchte, der tut gut daran, das Thema Datenschutz in fachkundige Hände zu geben. Dies gilt unabhängig von der Mitarbeiterzahl oder Unternehmensgröße.