Der Datenschutz im Kleinbetrieb nach der Änderung des Bundesdatenschutzgesetzes durch das am 28.06.2019 durch den Bundestag beschlossene Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2.DSAnpUG-EU)
Sofern der Bundesrat den Gesetzesentwurf verabschiedet, wird die Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten von 10 auf 20 Personen heraufgesetzt.
Viele kleine Unternehmen wie Handwerksbetriebe, Arztpraxen, aber auch Vereine werden jetzt jubeln, ist doch der Datenschutz mit seinen Auflagen und zudem noch der Pflicht zur Bestellung eines vermeintlich teuren Datenschutzbeauftragten vom Tisch!
Hier freut man sich jedoch zu früh – denn die Befreiung von der Bestellung eines Datenschutzbeauftragten befreit nicht von der Pflicht, die Datenschutzgesetze zu befolgen.
Schauen wir uns die Sache etwas genauer an:
Worauf zielen die Datenschutzgesetze, insbesondere die DSGVO, ab?
In Art.2 Abs.1 DSGVO heißt es:
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Und im dazu gehörigen Erwägungsgrund 13 DSGVO steht:
„…die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft…“
Angehoben wurde lediglich die Grenze zur Benennungspflicht laut Bundesdatenschutzgesetz. Im §38 Abs.1 BDSG (neu) steht:
„..Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen…“
Diese Grenze von 10 Personen wird auf 20 Personen angehoben. Das ist alles.
Demnach gelten die Datenschutzgesetze auch weiterhin für alle Unternehmen, auch schon für Kleinstunternehmen.
Somit müssen auch Unternehmen, die unterhalb der Benennungsgrenze zur Pflichtbenennung eines Datenschutzbeauftragten liegen, sehr wohl die Gesetze einhalten.
Wichtige Eckpunkte dabei sind:
- Die umfangreichen Dokumentationspflichten wie bspw. die Erstellung und Pflege der Verarbeitungsverzeichnisse.
- Transparenz- und Informationspflichten zu den durchgeführten Verarbeitungen personenbezogener Daten gegenüber den betroffenen Personen.
- Bewertung und Festlegung geeigneter Schutzmaßnahmen für die Verarbeitungstätigkeiten unter Berücksichtigung eines risikobasierten Ansatzes.
- Gewährleistung der Melde- und Benachrichtigungspflichten im Fall von Datenschutzvorfällen.
- Sicherstellung von Prozessen zur Erfüllung der Betroffenenrechte.
- Berücksichtigung der Datenschutzgrundsätze sowie der Vorgaben zu „privacy by design/default“ bereits bei der Planung einer Datenverarbeitung.
- Schulung und Information der Mitarbeiter zu den Anforderungen des Datenschutzrechts.
- Durchführung einer Datenschutzfolgenabschätzung bei hohem Risiko einer Verarbeitung (dies löst gem. § 38 Abs. 1 S.2 BDSG eine eigene, von der Personenzahl unabhängige Benennungspflicht aus)
- Etc.
Wie man unschwer erkennen kann, sind Unternehmen, gleich welcher Größe, nach wie vor mit großen Herausforderungen konfrontiert. Es ist gleichgültig, ob Sie einen internen oder externen Datenschutzbeauftragten bestellen müssen oder nicht.
Die Anhebung der Benennungspflicht eines Datenschutzbeauftragten bringt keinerlei Vereinfachung mit sich, im Gegenteil – denn auch die Vielzahl an kleinen Unternehmen ist gefordert, jetzt eigene Kompetenzen aufzubauen, um die o. g. Pflichten zu erfüllen.
Im Endeffekt wird also doch eine Art Datenschutzbeauftragter benötigt, wenngleich dieser nicht mehr offiziell der zuständigen Aufsichtsbehörde genannt werden muss.
Die Kosten zum Aufbau von internem Datenschutz-Knowhow sind nicht zu unterschätzen, da die Thematik sehr komplex ist.
Gerade externe Datenschutzbeauftragte sind als Berater wesentlich günstiger als die Weiterbildung und Beauftragung eines internen Mitarbeiters, zumal es nicht einfach sein wird, überhaupt einen geeigneten Mitarbeiter zu finden. Oftmals wird gerade in kleinen Unternehmen die Arbeit zusätzlich am Chef hängen bleiben.
Welchen Ausweg gibt es?
Es steht nirgends geschrieben, dass man einen Datenschutzbeauftragten oder einen Berater mit Datenschutz-Kenntnissen nicht freiwillig bestellen bzw. beauftragen darf.
Es ist also sehr ratsam, dieses Knowhow in Form eines Datenschutzbeauftragten extern einzukaufen, um die Verantwortung zumindest teilweise zu delegieren.
Fazit
Wie so oft zielt die Gesetzesänderung am praktischen Nutzen vorbei. Der Datenschutz ist dadurch keinen Funken einfacher geworden.
Und sind wir mal ehrlich:
Wenn Ihr Auto defekt ist – Kaufen Sie sich das Werkstatthandbuch und legen Sie sich selbst unters Auto, oder lassen Sie die Reparatur von einem Fachmann, Ihrem Autohaus durchführen?
Wenn Sie rechtliche Probleme haben – Kaufen Sie sich das Gesetzbuch und lesen sich ein, oder lassen Sie sich von einem Juristen, Ihrem Rechtsanwalt beraten?
Wenn die Steuererklärung gemacht werden muss – Lesen Sie die Steuergesetze und erstellen Sie Ihre Bilanzen selbst, damit Sie Ihre Steuererklärungen machen können, oder delegieren Sie die Aufgaben an einen Experten, Ihren Steuerberater?
Warum sollte man dann die komplexe Thematik Datenschutz nicht an einen Spezialisten, einen externen Datenschutzbeauftragten delegieren?
Ich verspreche Ihnen, die jährlichen Kosten für Ihr Auto, Ihren Rechtsanwalt, Ihren Steuerberatern übersteigen die Kosten für einen Datenschutzbeauftragten bei Weitem.
