Das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz lockert die gesetzliche Schwelle des § 38 BDSG für die Bestellung eines betrieblichen Datenschutzbeauftragten von 10 auf 20 Personen und soll damit kleine und mittlere Unternehmen sowie ehrenamtliche Vereine entlasten. Das Haftungsrisiko für einen datenschutzkonformen Betrieb bleibt!
Der Bundestag hat in der Nacht zum 28. Juni 2019 den Gesetzentwurf für das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz verabschiedet mit der unter anderem die entsprechende Regelung § 38 Abs. 1 S. 1 BDSG abgeändert werden soll. Vor dem endgültigen Inkrafttreten ist noch die Zustimmung des Bundesrates erforderlich.
Die Pflichten aus der DSGVO bestehen nach wie vor für alle Unternehmer!
Die Neuregelung zum betrieblichen Datenschutzbeauftragten wurde von der Opposition heftig kritisiert. Mit Grund: Zwar werden kleinere Unternehmen scheinbar finanziell entlastet. Die Pflichten aus der DSGVO treffen diese aber nach wie vor, sodass im Zweifel dennoch ein externer Berater beauftragt werden muss. Es entfällt lediglich die formale Pflicht, einen Datenschutzbeauftragten zu benennen – und damit im „Worst Case“ eine Person im Betrieb, die sich für die Einhaltung des Datenschutzes verantwortlich fühlt und diese kontrolliert. Eine freiwillige Benennung eines betrieblichen Datenschutzbeauftragten oder Datenschutzkoordinators kann also nach wie vor Sinn machen, denn das Haftungsrisiko für einen datenschutzkonformen Betrieb bleibt!
Im Einzelfall bleibt die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten bestehen!
Beschäftigen Sie unter 20 Mitarbeiter, besteht die Pflicht zur Benennung eines Datenschutzbeauftragten dann fort, wenn Art. 37 Abs. 1 DSGVO oder § 38 Abs. 1 S. 2 BDSG einschlägig ist. Dies ist insbesondere der Fall, wenn besondere personenbezogene Daten (Art. 9, 10 DSGVO) verarbeitet werden oder die Datenverarbeitung eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
Fazit
Unternehmen, die zehn bis zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, sollten nun prüfen, ob Verträge mit internen oder externen Datenschutzbeauftragten gekündigt bzw. Datenschutzbeauftragte abberufen werden können. Dies kann aus finanziellen Gründen durchaus Sinn machen. Ein betrieblicher Datenschutzkoordinator, der die Einhaltung des Datenschutzes regelmäßig überwacht und fördert, ist dennoch empfehlenswert.
Update: Zustimmung des Bundesrats zu Gesetzesänderungen
Der Bundesrat hat am 20.09.2019 Anpassungen nationaler Vorschriften an der DSGVO zugestimmt. Die Pflicht, einen betrieblichen Datenschutzbeauftragten zu benennen, greift künftig erst ab einer Personenzahl von 20. Das Gesetz wird nun dem Bundespräsidenten zur Unterzeichnung zugeleitet und überwiegend am Tag nach der Verkündung in Kraft treten.
Gerne helfen wir Ihnen bei der Prüfung der Recht- und Zweckmäßigkeit bezüglich der Abberufung Ihres Datenschutzbeauftragten sowie in allen weiteren Fragen zum Datenschutz.
Karoline Nutz
– Rechtsanwältin für IT- u. Datenschutzrecht –