Die europäische Datenschutz-Grundverordnung versetzt seit über einem Jahr deutsche Unternehmen in Aufruhr. Nun hat die Bundesregierung zahlreiche Gesetze angepasst. Ein Datenschutzbeauftragter ist beispielsweise ab sofort für weniger Firmen ein Muss.
Obwohl die europäische Datenschutz-Grundverordnung (DSGVO) seit Ende Mai 2018 – also seit nun mehr 16 Monaten – wirksam ist, gibt es noch zahlreiche offene Fragen zur konkreten Umsetzung.
Das hat auch die Bundesregierung gemerkt und deshalb nun ein „Zweites Gesetz zur Anpassung“ verabschiedet. Konkret betreffen die nationalen Änderungen der Europa-weiten Richtlinie über 150 Gesetze, die nun im kleineren oder größeren Stil abgewandelt werden.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
Manager Digital Marketing / Social Media B2B (m/w/d) BRITA SE in Frankfurt (Main) |
||
Manager Digital Marketing / Social Media B2B (m/w/d) BRITA SE in Taunusstein |
Weniger DSGVO-Belastung für kleinere und mittlere Unternehmen
Die Profiteure der Änderungen sind vor allem die kleinen und mittleren Unternehmen – also die Firmen, die mit der Umsetzung der DSGVO tatsächlich auch die größten Probleme hatten und haben. Schließlich verfügt nicht jeder Betrieb über einen eigenen Anwalt. Das ist bei Großkonzernen anders.
Für den beruflichen Alltag ist die wohl größte Veränderung deshalb: Ein Datenschutzbeauftragter (DSB) wird erst ab einer Organisationsgröße von 20 Personen benötigt. Bislang lag die Schwelle bei lediglich zehn Mitarbeitern.
Ganz wichtig hierbei ist: Nur weil ein Unternehmen jetzt keinen DSB mehr benötigt, ist es natürlich nicht von der Einhaltung der Pflichten durch die Datenschutz-Grundverordnung entbunden. Die neue Regelung ist also ausdrücklich kein Freifahrtschein.
Wann ist ein Datenschutzbeauftragter nötig?
Ebenso essenziell ist bei der Frage rund um die Datenschutzbeauftragten derweil der Blick ins Gesetz. So steht in Paragraph 38 des Bundesdatenschutzgesetzes:
Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Von Interesse ist vor allem der letzte Abschnitt des Satzes. Nur weil ein Unternehmen zehn – oder nun 20 – Mitarbeiter beschäftigt, ist ein Datenschutzbeauftragter noch kein Muss.
Die Zahl bezieht sich auf die Anzahl der Personen, die sich „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ auseinandersetzen. Das betrifft in der Regel beispielsweise explizit keine Mitarbeiter in der Produktion.
Auch interessant:
Wo werden die Unternehmen denn entlastet?
Die Pflichten aus der DSGVO müssen auch von kleinen Unternehmen weiter voll eingehalten werden – nun halt mit weniger Kompetenz im Unternehmen.
Das zu einem Zeitpunkt wo die Bußgelder, notwendigerweise, stark ansteigen.
BTW: Auch hier auf der Seite. Warum werden meine Daten ungefragt an viel andere Unternehmen weitergegeben?
Vieles ist auch eine Frage von respektvollen Umgang mit Interessenten/Kundendaten.
Mich würde eine Antwort übrigens ganz wirklich interessieren.
Hallo Thomas und danke für deinen Kommentar. Genau das steht ja so auch im Text: „ Ganz wichtig hierbei ist: Nur weil ein Unternehmen jetzt keinen DSB mehr benötigt, ist es natürlich nicht von der Einhaltung der Pflichten durch die Datenschutz-Grundverordnung entbunden. Die neue Regelung ist also ausdrücklich kein Freifahrtschein.“ Aber es ist natürlich eine Entlastung für kleinere Firmen, insbesondere wenn die finanziellen Mittel noch nicht so da sind, wie sie für Fortbildung, Anwälte etc. benötigt werden.
Zu deiner anderen Frage: Wir achten hier schon sehr stark auf deine Daten in meinen Augen. Wir haben lediglich Analytics laufen, was wir aber benötigen, sonst lässt sich das Projekt hier nicht betreiben (wohl aber mit IP-Anonymisierung). Unsere Datenschutzerklärung ist wohl das, was man als ziemlich ausführlich beschreiben würde. Wir haben hier viel Geld und Zeit investiert, um es so gut wie möglich zu machen. Ansonsten gibt es hier keine Banner, keine Ad-Netzwerke, keine Social-Buttons. Ich stimme dir zu: Besser geht immer. Aber die DSGVO ist leider in vielen Teilen derart praxisfern und auch teils unpräzise (nach wie vor), dass es schwer ist, es 100% perfekt zu machen. Wir arbeiten aber stetig daran, immer besser zu werden.
Wenn du zusätzliche Fragen hast: Jederzeit gerne!
Liebe Grüße
Tobias
ich frag mich ja wie die lage bei Vereinen (Speziell nen Fussball Fanclub der kein e.V. ist) aussieht betreiben ne Seite bei FB und Instagram für die Kommunikation mit Außenstehenden intern läuft alles über geschützte andere Plattformen
Hi Julian,
am besten kontaktiert ihr da mal einen (befreundeten) Anwalt. Denn nur der darf und kann dir verbindliche Auskünfte geben.
Liebe Grüße
Christian
ok dann mach ick das so
Ich finde es gibt keine Entlastung, ganz im Gegenteil.
Ein externe Datenschutzbeauftragter kostet x Euro im Monat und kennt das Thema sehr gut, denn er muss entsprechende Qualifikationen vorweisen und muss sich regelmäßig weiterbilden.
Nun muss eine Firma, die unter 20 Personen sind, die regelmäßig Daten verarbeiten, keinen stellen, klingt erstmal gut; aber wenn man jetzt genau hinschaut, muss das Know-How in der Firma trotzdem vorhanden sein.
Und wie kann man sich dies aneignen, durch Schulungsmaßnahmen und/oder Audits durch externe. Auch muss man sich regelmäßig (aktuell in kurzer Zeit) Weiterbilden, da es kaum Rechtsprechungen gibt, sondern nur Kommentare. Diese Kosten können um einiges höher sein, als eine Fachkraft dafür einzusetzen.
Ich sehe es daher kritisch dies zu erhöhen, ich hätte es eher runtergesetzt. Jetzt werden Unternehmen unter 20 Personen wahrscheinlich – gefährlicher – leben.
Aber es verbietet doch niemand, trotzdem einen zu stellen, wenn man denn möchte?
Hallo zusammen, ich kenn die Diskussion um die Bestellung eines Datenschutzbeauftragten schon länger.
Nehmen wir doch mal die Praxis einer Physiotherapeutin. Sie und ihre Bürokraft – und vielleicht noch ihr Mann, der sich um die Technik kümmert – gehen davon aus, dass keine Datenschutzbeauftragter bestellen werden muss. Im PC sind natürlich personenbezogene Daten gespeichert – insbedondere auch Gesundheitsdaten.
Wie sieht die Gesetzlage nun aus? Zieht hier noch die 10er/20er Regel? Oder muss doch ein Datenschutzbeauftragter her? Wer würde das jetzt im worst case sein – die Physiotherapeutin selbst?
Hallo Jörg,
das sind Fragen, die jeder Unternehmer nur mit seinem Rechtsanwalt klären kann und sollte, weil nur dieser eine rechtsverbindliche Auskunft geben kann. Der Umgang mit Gesundheitsdaten ist ja nochmal ein spezieller.
Liebe Grüße
Christian
Hallo Christian,
Du schreibst:
„Die Zahl bezieht sich auf die Anzahl der Personen, die sich „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ auseinandersetzen. Das betrifft in der Regel beispielsweise explizit keine Mitarbeiter in der Produktion.“
Mich würde jetzt ja mal eher das Gegenteil interessieren: was ist denn mit „ständig“ und „automatisiert“ gemeint?
Herzliche Grüße
Daniel
Hallo Daniel,
diese Frage solltest du dir tatsächlich im Detail von einem Anwalt beantworten lassen. Ich kann dir hier leider keine zu 100 Prozent rechtlich verbindliche Aussage liefern.
Liebe Grüße und einen erfolgreichen Wochenstart
Christian