Datensicherheit

Steigendes Haftungsrisiko: Datenschutzbeauftragter erst ab 20 Mitarbeitern

Eine Gesetzeserweiterung macht die Ernennung eines Datenschutzbeauftragten erst verpflichtend, wenn mindestens 20 Mitarbeiter ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Doch diese vermeintliche Entlastung ist ein Trugschluss – und das Haftungsrisiko für KMUs steigt.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2019-09-23

Logo
  • Autorin: Maike Weiss | Datenschutzexperte
    Maike hat einen interdisziplinären medialen Background. Als Trainee bei datenschutzexperte.de nimmt sie sich leidenschaftlich den Themen rund um Datenschutz & Digitalisierung an.
  • Autorin: Kathrin Strauß
    Ursprünglich aus dem Fotografie- & Medien-Bereich kommend, beobachtet Kathrin nun als TÜV-zertifizierte Datenschutzbeauftragte für datenschutzexperte.de alle Entwicklungen der digitalen Datenschutzwelt und macht auch schwierige juristische Sachverhalte zugänglich.

Der deutsche Gesetzgeber hat ein gutes Jahr nach Anwendung der DSGVO beschlossen, Anpassungen an den flankierenden nationalen Gesetzen vorzunehmen. Das sog. zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG) wurde am 28.06.19 vom Bundestag verabschiedet und erhielt nun am 20.09.19 noch die Zustimmung des Bundesrates. Es handelt sich dabei um ein Gesetzespaket, welches 150 deutsche Gesetze an die DSGVO anpassen und umsetzen soll, um die europäischen Vorgaben umzusetzen. In der betrieblichen Praxis wird wohl die bedeutsamste Änderung die Anhebung der Mitarbeiterzahl sein, ab der die Benennung eines Datenschutzbeauftragten zur gesetzlichen Pflicht wird.

 

Datenschutzbeauftragter ab 20 Mitarbeitern

War gemäß § 38 Abs. 1 S. 1 BDSG die Benennung eines Datenschutzbeauftragten insbesondere dann eine Pflicht, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt waren, so wird diese Schwelle durch das 2. DSAnpUG nun auf 20 Mitarbeiter angehoben.

Bei der Frage, ob ein Mitarbeiter ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt ist oder nicht, kann man sich vereinfacht folgenden Grundsatz merken:

  • „Ständig beschäftigt“ ist derjenige, der permanent und hauptsächlich mit Kunden- oder Personaldaten arbeitet.

  • „Nicht ständig beschäftigt“ ist, wer vorrangig eine andere Aufgabe im Unternehmen hat und nur gelegentlich mit personenbezogenen Daten in Berührung kommt, so wie beispielsweise ein Handwerker mit Namen und Adressen von Kunden.

So verwundert es auch nicht, dass diese Gesetzesänderung ca. 90% der deutschen Handwerksbetriebe  betreffen wird. Doch auch in allen anderen Branchen hat sie weitreichende Auswirkungen, denn 80% aller deutschen Unternehmen haben weniger als 20 Mitarbeiter. Werden nun mit dem 2. DSAnpUG also all diese Firmen von der gesamten Datenschutzthematik befreit?

 

Neue Regel, alte Probleme

So einfach ist das Ganze leider nicht – und auch, wenn sich wahrscheinlich viele Unternehmer den Wegfall des Datenschutzaufwandes wünschen würden, birgt die neue Regelung sogar die Gefahr, mehr Geld und Zeit zu kosten. Die Tücke besteht nämlich darin, dass alle Unternehmen – ob mit mehr oder weniger als 20 Mitarbeitern, die mit personenbezogenen Daten arbeiten – natürlich weiterhin alle datenschutzrechtlichen Vorgaben der DSGVO und des BDSGs erfüllen müssen. Dass der oder die Datenschutzbeauftragte nun erst ab 20 Mitarbeitern ernannt werden muss, befreit KMUs natürlich nicht von der Umsetzung der DSGVO.

Und hier liegt des Pudels Kern: Auch wenn viele Unternehmen anfänglich die Benennung eines DSB als lästige Pflicht ansahen, so hatten sie mit ihm doch einen Fachmann bzw. eine Fachfrau, der/die in Sachen Datenschutz ein wichtiger Ansprechpartner:in war und die Umsetzung der DSGVO überwachte. Fehlt nun diese Expertise in Unternehmen, erhöht sich das Risiko fehlerhafter Einschätzungen von datenschutzrechtlichen Sachverhalten. Was im ersten Moment also nach einem Versprechen auf Bürokratieabbau und Entlastung aussieht, entpuppt sich bei näherem Hinsehen als ein steigendes Haftungsrisiko für KMUs, die ohne die fachkundige Beratung eines Datenschutzexperten meistens angesichts des ebenfalls zu bewältigenden Tagesgeschäfts überfordert sind – und die drohenden Strafzahlungen bei Datenschutzverstößen und -verletzungen können Millionenhöhe erreichen.

Auch der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, Thomas Kranig, kritisiert diese Vorgehensweise: „Mit der zahlenmäßigen Lockerung wird der Bundesgesetzgeber der Wirtschaft einen Bärendienst erweisen. Besser wäre gewesen, zu klären, was in einer Welt, in der jeder mit Tablet und Smartphone agiert mit ständiger Beschäftigung wirklich gemeint ist.“

Doch die gute Nachricht ist: Auch wenn die Gesetzesänderung Ihr Unternehmen betrifft, da weniger als 20 Mitarbeiter ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, können Sie selbstverständlich auch weiterhin eine(n) externe(n) Datenschutzbeauftragte(n) hinzuziehen! Lesen Sie im Folgenden die sechs wichtigsten Gründe, warum dies eine sinnvolle und weitsichtige Businessentscheidung ist.

 

Sechs Gründe für einen externen Datenschutzbeauftragten trotz 2. DSAnpUG:

  1. Der externe Datenschutzbeauftragte ist auf den komplexen Rechtsbereich Datenschutz spezialisiert und hinsichtlich Neuerungen und Gesetzesänderungen stets auf dem neuesten Stand.

  2. Ihr externer Datenschutzbeauftragter sorgt für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.

  3. Die Datenschutzgesetze enthalten eine Reihe an Dokumentations-, Auskunfts- und Nachweispflichten, die gerade kleinere und mittlere Unternehmen häufig überfordern. Ihr(e) externe(r) Datenschutzbeauftragte(r) hilft Ihnen bei der Umsetzung dieser für jedes Unternehmen bestehenden Pflichten und steht Ihnen stets mit aktuellem Wissen beratend zur Seite.

  4. Ihr externer Datenschutzbeauftragter ist kompetenter Ansprechpartner für Betroffene, Behörden und Mitarbeiter – und kann in seiner/ihrer besonderen Vertrauensstellung Datenschutzsachverhalte unkompliziert und fachkundig klären.

  5. Die Umsetzung und Überprüfung der Einhaltung des Datenschutzrechts durch einen eigenen Mitarbeiter ist häufig wesentlich teurer, da dieser gesondert zu schulen ist und seine Aufgaben im Bereich des Datenschutzes in vielen Fällen neben seiner eigentlichen Tätigkeit durchführen muss.

  6. Die Benennung eines Datenschutzbeauftragten zeigt, dass Datenschutz in Ihrem Unternehmen ernst genommen wird, schafft somit Vertrauen und damit einen nicht zu unterschätzenden Wettbewerbsvorteil.

Autorinnen: Maike Weiss und Kathrin Strauss
Artikel veröffentlicht am: 23. September 2019

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr