10 oder 20?

Brauche ich einen Datenschutzbeauftragten?Sind Sie als Unternehmer verpflichtet, einen Datenschutzbeauftragten zu benennen? In Artikel 37 der DSGVO ist geregelt, in welchen Fällen Unternehmen Datenschutzbeauftragte zu benennen haben: Behörden und öffentliche Stellen müssen dies in jedem Falle tun. Unternehmen, deren „Kerntätigkeit in der Verarbeitung personenbezogener Daten besteht“, sind ebenso dazu verpflichtet wie solche, die „besondere Kategorien von Daten“* verarbeiten.

Der Absatz 4 des Artikels 37 DSGVO stellt die Benennung eines Datenschutzbeauftragten allen anderen Unternehmern frei. Jedenfalls dann, wenn es keine weiter gehenden nationalen Regelungen dazu gibt. In diesem Zusammenhang galt für Unternehmen mit Sitz in Deutschland bislang der § 38 Abs. 1 S. 1 des Bundesdatenschutzgesetzes (BDSG). Darin war geregelt, dass Unternehmen zur Benennung eines Datenschutzbeauftragten auch verpflichtet sind, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

Datenschutzbeauftragten ab 20 Mitarbeitern

Am 26. November 2019 trat das sogenannte zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) in Kraft. Dieses Gesetzespaket passt 150 deutsche Gesetze an die DSGVO an. Darunter ist auch eine neue Regelung zur Mitarbeiteranzahl, ab der ein Datenschutzbeauftragter verpflichtend wird. Dadurch wird der zuvor geltende Schwellenwert von zehn Angestellten auf jetzt zwanzig angehoben.

Prima, dann kann ich also die DSGVO vergessen?

Ihr Unternehmen beschäftigt weniger als zwanzig Mitarbeiter? Bedeutet die neue Regelung also, dass Sie sich um die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz nicht zu kümmern brauchen?

Sie ahnen es bestimmt schon – das ist nicht der Fall. Denn die DSGVO gilt für alle Unternehmen und Personen, die ihren Wohnsitz in einem Land der Europäischen Union haben. Und das BDSG ist die Ergänzung für Deutschland. Wer keinen Datenschutzbeauftragten beschäftigen oder beauftragen muss, der hat sich eben um die Umsetzung der Regelungen, Auskunfts- und Dokumentationspflichten als Firmenchef selbst zu kümmern.

Unwissenheit schützt vor Strafe nicht

Deshalb: Wer sich nicht durch einen Datenschutzbeauftragten beraten und unterstützen lässt, aber andererseits die anstehenden Aufgaben auch nicht persönlich umsetzt, dem drohen empfindliche Bußgelder durch die Aufsichtsbehörden sowie zivilrechtliche Unterlassungs- oder Schadenersatzklagen.

Jeder Unternehmer sollte sich daher die Frage stellen, ob er nicht auf freiwilliger Basis einen Datenschutzbeauftragten benennt, oder sich zumindest auf Projektbasis von einem fachkundigen Experten beraten lässt. Denn die Kosten dafür liegen sicher unter den Ausgaben für gerichtliche Auseinandersetzungen, Bußgelder und Strafzahlungen. Schloss & Ende


Verlink michSie möchten einen Link auf diesen Text weitergeben?
Verwenden Sie dafür gerne die praktische Kurzform:
bit.ly/10-oder-20


Fußnote:

*) Solche „besonderen Kategorien von Daten“ sind: rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung (Artikel 9 (1) DSGVO).