IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

Gesetzesänderung: Datenschutzbeauftragter erst ab 20 Mitarbeitern?

20.09.2019, 08:20 Uhr | Lesezeit: 4 min
author
von Sarah Freytag
Gesetzesänderung: Datenschutzbeauftragter erst ab 20 Mitarbeitern?

Im Mai letzten Jahres trat die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Gleichzeitig wurde auch das deutsche Bundesdatenschutzgesetz an die neuen europäischen Anforderungen angepasst und weitgehend synchronisiert. Da jedoch das Bundesdatenschutzgesetz an manchen Stellen strengere Anforderungen als die DSGVO stellt, wird immer wieder gefordert, die Hürden des Datenschutzes herab zu setzen, insbesondere um bürokratischen Aufwand für Unternehmen zu vermindern. Im Sommer hat nun der Bundestag beschlossen, die Mitarbeiterzahl, ab der es eines Datenschutzbeauftragten bedarf, herabzusetzen.

Inhaltsverzeichnis

I. Die aktuelle Rechtslage

Bevor man sich mit der geplanten Gesetzesänderung vertraut macht, bietet sich ein kurzer Überblick über die aktuelle Rechtslage an:

Banner Starter Paket

1. Wann braucht ein Betrieb einen Datenschutzbeauftragten?

Auf europäischer Ebene verlangt Art. 37 DSGVO die Benennung eines betrieblichen Datenschutzbeauftragten, wenn im Unternehmen Kerntätigkeiten i.S.d. Art. 37 Abs. 1 b) DSGVO als Haupttätigkeiten vorzunehmen sind: Diese sind bei Datenverarbeitungsvorgängen gegeben, die eine umfangreiche, „regelmäßige und systematische Überwachung der betroffenen Personen“ erfordern, sowie wenn in großem Umfang persönliche Daten von besonderer Kategorie (wie z.B. Gesundheitsdaten oder konfessionelle Daten) oder strafrechtlich relevante Daten wie z.B. Daten über gerichtliche Verurteilungen und Straftaten verarbeitet werden.

Die Schwelle zur Bestellpflicht ist vom deutschen Gesetzgeber jedoch sehr niedrig angesetzt. Sie greift gemäß § 38 Abs. 1 BDSG bereits dann, wenn mehr als neun Mitarbeiter im Unternehmen beschäftigt sind, die ständig mit einer Datenverarbeitung befasst sind. Was bedeutet nun im Einzelnen „Personen, die in der Regel ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind“?

  • "Personenbezogene Daten" sind beispielsweise Daten von Kunden im Rahmen der Bestellung von Produkten.
  • Eine „automatisierte“ Verarbeitung wiederum liegt vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden. Hierunter fällt bereits die bloße Textverarbeitung mittels PC, soweit personenbezogene Daten betroffen sind.

Da als Mitarbeiter auch Teilzeitkräfte sowie Leiharbeiter zählen und eine automatisierte personenbezogene Datenverarbeitung schon dann vorliegt, wenn die Beschäftigten bei ihrer Arbeit allein ein E-Mail Programm, wie z.B. Outlook nutzen, ist man bei der Bestellpflicht des Datenschutzbeauftragten überaus schnell dabei.

2. Was sind die Aufgaben eines Datenschutzbeauftragten?

Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen hinsichtlich seiner datenschutzrechtlichen Pflichten. Er überwacht, schult und sensibilisiert Unternehmen und Mitarbeiter hinsichtlich der Einhaltung der Gesetze zum Datenschutz. Er fungiert auch als Beratungsstelle aller Fragen zum Datenschutz und arbeitet erforderlichenfalls mit der Aufsichtsbehörde zusammen

3. Wer kann als Datenschutzbeauftragter benannt werden?

Die Stelle des Datenschutzbeauftragten kann von einem internen Mitarbeiter wie auch von einem externen besetzt werden. Der Datenschutzbeauftragte muss frei in seinem Handeln und in seinen Empfehlungen zu sein, so dass er seiner Tätigkeit vollkommen unabhängig nachkommen kann. Die Anforderungen an die fachliche datenschutzrechtliche Kompetenz hängt von der Höhe des Schutzbedarfes der Daten ab.

II. Was soll sich nun ändern?

Am 27.06.2019 hat der Bundestag ein zweites Datenschutzanpassungs- und Umsetzungsgesetz beschlossen. Konkret wurde dabei unter anderem die besagte Änderung des § 38 Abs. 1 BDSG beschlossen. Die Vorschrift soll dahingehend geändert werden, dass nun erst ab einer Schwelle von 20 Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, die Bestellung eines Datenschutzbeauftragten verpflichtend sein soll. Dies würde für kleinere und mittlere Unternehmen eine bürokratische Entlastung bedeuten.

Nach der Sommerpause wird das Änderungsgesetz heute (20. September) auf der Tagesordnung des Bundesrates stehen, der das Gesetz noch billigen muss. Wir halten Sie hier gerne auf dem Laufenden.

Update: Am Freitag, den 20. September 2019, hat der Bundesrat nun - ohne weitere Aussprache - das Änderungsgesetz passieren lassen. Damit wird nun die Schwelle, ab der die Pflicht besteht, einen Datenschutzbeauftragen zu benennen, von 10 auf 20 Beschäftigte erhöht.

III. Fazit

Die Änderung soll, laut der Begründung des Bundestages (BT-Drs. 19/11181) insbesondere kleine und mittlere Unternehmen entlasten. Dennoch ist Vorsicht geboten – die Vorschriften des Datenschutzrechtes gelten weiterhin für jedermann! Auch wenn die Bestellung eines offiziellen Datenschutzbeauftragten nun für einige Unternehmen obsolet wird, ist zu raten intern oder extern Personal mit den relevanten datenschutzrechtlichen Themen des Unternehmens zu betrauen um (teuren) Rechtsverstößen vorzubeugen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

T
Thorsten Müller 02.09.2020, 12:46 Uhr
Herr
Muss ein Datenschutzbeauftragter bestellt werden, wenn bei einer Abreitnehmerüberlassung, der Verleiher 4 Angestellte hat, aber ca. 40 verleiht? Kommt es dann für den Entleiher darauf an, ob eine automatisierte Datenverarbeitung beim Verleiher (Bsp Reinigungskräfte) vorgenommen wird?

weitere News

LG München I: Kein absolutes Kopplungsverbot bei Online-Shop-Registrierung und Newsletter-Anmeldung
(25.04.2024, 15:45 Uhr)
LG München I: Kein absolutes Kopplungsverbot bei Online-Shop-Registrierung und Newsletter-Anmeldung
Übertragung von Kundendaten bei Shop-Veräußerung: Muster-Informationsschreiben
(24.04.2024, 17:10 Uhr)
Übertragung von Kundendaten bei Shop-Veräußerung: Muster-Informationsschreiben
Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
(16.04.2024, 14:24 Uhr)
Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
(16.04.2024, 14:16 Uhr)
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2024 · IT-Recht Kanzlei