Gesetzesänderung: Datenschutzbeauftragter erst ab 20 Mitarbeitern?

Gesetzesänderung: Datenschutzbeauftragter erst ab 20 Mitarbeitern?
author
von Sarah Freytag
3 min 1
Beitrag vom: 20.09.2019

Da das Bundesdatenschutzgesetz mitunter strengere Anforderungen als die DSGVO stellt, wird gefordert, die Hürden des Datenschutzes herab zu setzen, insbesondere um bürokratischen Aufwand für Unternehmen zu vermindern. Im Sommer hat nun der Bundestag beschlossen, die Mitarbeiterzahl, ab der es eines Datenschutzbeauftragten bedarf, herabzusetzen.

Die aktuelle Rechtslage

Bevor man sich mit der geplanten Gesetzesänderung vertraut macht, bietet sich ein kurzer Überblick über die aktuelle Rechtslage an:

Banner Premium Paket

1. Wann braucht ein Betrieb einen Datenschutzbeauftragten?

Auf europäischer Ebene verlangt Art. 37 DSGVO die Benennung eines betrieblichen Datenschutzbeauftragten, wenn im Unternehmen Kerntätigkeiten i.S.d. Art. 37 Abs. 1 b) DSGVO als Haupttätigkeiten vorzunehmen sind: Diese sind bei Datenverarbeitungsvorgängen gegeben, die eine umfangreiche, „regelmäßige und systematische Überwachung der betroffenen Personen“ erfordern, sowie wenn in großem Umfang persönliche Daten von besonderer Kategorie (wie z.B. Gesundheitsdaten oder konfessionelle Daten) oder strafrechtlich relevante Daten wie z.B. Daten über gerichtliche Verurteilungen und Straftaten verarbeitet werden.

Die Schwelle zur Bestellpflicht ist vom deutschen Gesetzgeber jedoch sehr niedrig angesetzt. Sie greift gemäß § 38 Abs. 1 BDSG bereits dann, wenn mehr als neun Mitarbeiter im Unternehmen beschäftigt sind, die ständig mit einer Datenverarbeitung befasst sind. Was bedeutet nun im Einzelnen „Personen, die in der Regel ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind“?

  • "Personenbezogene Daten" sind beispielsweise Daten von Kunden im Rahmen der Bestellung von Produkten.
  • Eine „automatisierte“ Verarbeitung wiederum liegt vor, wenn personenbezogene Daten unter Einsatz von DV-Anlagen erhoben, verarbeitet oder genutzt werden. Hierunter fällt bereits die bloße Textverarbeitung mittels PC, soweit personenbezogene Daten betroffen sind.

Da als Mitarbeiter auch Teilzeitkräfte sowie Leiharbeiter zählen und eine automatisierte personenbezogene Datenverarbeitung schon dann vorliegt, wenn die Beschäftigten bei ihrer Arbeit allein ein E-Mail Programm, wie z.B. Outlook nutzen, ist man bei der Bestellpflicht des Datenschutzbeauftragten überaus schnell dabei.

2. Was sind die Aufgaben eines Datenschutzbeauftragten?

Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen hinsichtlich seiner datenschutzrechtlichen Pflichten. Er überwacht, schult und sensibilisiert Unternehmen und Mitarbeiter hinsichtlich der Einhaltung der Gesetze zum Datenschutz. Er fungiert auch als Beratungsstelle aller Fragen zum Datenschutz und arbeitet erforderlichenfalls mit der Aufsichtsbehörde zusammen

3. Wer kann als Datenschutzbeauftragter benannt werden?

Die Stelle des Datenschutzbeauftragten kann von einem internen Mitarbeiter wie auch von einem externen besetzt werden. Der Datenschutzbeauftragte muss frei in seinem Handeln und in seinen Empfehlungen zu sein, so dass er seiner Tätigkeit vollkommen unabhängig nachkommen kann. Die Anforderungen an die fachliche datenschutzrechtliche Kompetenz hängt von der Höhe des Schutzbedarfes der Daten ab.

Was soll sich nun ändern?

Am 27.06.2019 hat der Bundestag ein zweites Datenschutzanpassungs- und Umsetzungsgesetz beschlossen. Konkret wurde dabei unter anderem die besagte Änderung des § 38 Abs. 1 BDSG beschlossen. Die Vorschrift soll dahingehend geändert werden, dass nun erst ab einer Schwelle von 20 Mitarbeitern, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, die Bestellung eines Datenschutzbeauftragten verpflichtend sein soll. Dies würde für kleinere und mittlere Unternehmen eine bürokratische Entlastung bedeuten.

Nach der Sommerpause wird das Änderungsgesetz heute (20. September) auf der Tagesordnung des Bundesrates stehen, der das Gesetz noch billigen muss. Wir halten Sie hier gerne auf dem Laufenden.

Update: Am Freitag, den 20. September 2019, hat der Bundesrat nun - ohne weitere Aussprache - das Änderungsgesetz passieren lassen. Damit wird nun die Schwelle, ab der die Pflicht besteht, einen Datenschutzbeauftragen zu benennen, von 10 auf 20 Beschäftigte erhöht.

Fazit

Die Änderung soll, laut der Begründung des Bundestages (BT-Drs. 19/11181) insbesondere kleine und mittlere Unternehmen entlasten. Dennoch ist Vorsicht geboten – die Vorschriften des Datenschutzrechtes gelten weiterhin für jedermann! Auch wenn die Bestellung eines offiziellen Datenschutzbeauftragten nun für einige Unternehmen obsolet wird, ist zu raten intern oder extern Personal mit den relevanten datenschutzrechtlichen Themen des Unternehmens zu betrauen um (teuren) Rechtsverstößen vorzubeugen.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: SERSOLL / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

T
Thorsten Müller 02.09.2020, 12:46 Uhr
Herr
Muss ein Datenschutzbeauftragter bestellt werden, wenn bei einer Abreitnehmerüberlassung, der Verleiher 4 Angestellte hat, aber ca. 40 verleiht? Kommt es dann für den Entleiher darauf an, ob eine automatisierte Datenverarbeitung beim Verleiher (Bsp Reinigungskräfte) vorgenommen wird?

Beiträge zum Thema

Müssen Online-Marktplätze Gastbestellungen ermöglichen?
(23.04.2025, 12:15 Uhr)
Müssen Online-Marktplätze Gastbestellungen ermöglichen?
BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
(21.03.2025, 07:55 Uhr)
BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
(05.03.2025, 07:24 Uhr)
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
(25.02.2025, 14:18 Uhr)
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
(27.01.2025, 19:00 Uhr)
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
(20.01.2025, 10:43 Uhr)
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei