.. Loading ..
By: Hauptadministrator
20. September 2019
no comments
Share This Post
Categories:
Tags:
, , , , ,

Änderung der Benennungspflicht für Datenschutzbeauftragte

Der Bundestag hat am 27.6.2019 mit dem zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG) eine Änderung des § 38 Abs. 1 Satz 1 BDSG beschlossen. Gemäß dieser Änderung muss ein Datenschutzbeauftragter dann benannt werden, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die bisherige Schwelle lag bei 10 Beschäftigten. Der Bundesrat muss dem  2. DSAnpUG noch zustimmen, womit im Oktober zu rechnen ist. Die Änderungen sollen einen Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten.

Wann muss ein Datenschutzbeauftragter benannt werden?

Die Pflicht zur Benennung eines Datenschutzbeauftragten kann sich aus § 38 Abs. 1 BDSG sowie aus Art. 37 Abs. 1 DSGVO ergeben. Nur wenn sich aus keiner dieser gesetzlichen Vorgaben eine Benennungspflicht ergibt, darf auf die Benennung verzichtet werden.

Gemäß § 38 Abs. 1 Satz 1 BDSG muss ein Datenschutzbeauftragter benannt werden, wenn in der Regel mindestens 20 Personen (nach dem zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpUG, voraussichtlich ab Sommer 2019) ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Unabhängig von der Anzahl der Beschäftigten legt § 38 Abs. 1 Satz 2 BDSG eine Benennungspflicht fest, wenn der Verantwortliche oder der Auftragsverarbeiter

  • Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Ob das der Fall ist, lässt sich u. a. anhand dieser Positivliste der deutschen Aufsichtsbehörden beurteilen.
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Ebenfalls unabhängig von der Anzahl der Beschäftigten bestimmt Art. 37 Abs. 1 DSGVO eine Benennungspflicht für Verantwortliche und Auftragsverarbeiter, wenn

  • ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  • ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Für Startups und kleine Unternehmen mit weniger als 20 Beschäftigten bedeutet das also: Wenn die Tätigkeit Ihres Unternehmens in eine der Kategorien des § 38 Abs. 1 Satz 2 BDSG oder des Art. 37 Abs. 1 DSGVO fällt, benötigen Sie auch dann einen Datenschutzbeauftragten, wenn Sie unter dem Schwellenwert des § 38 Abs. 1 Satz 1 BDSG liegen.

Sofern ein Unternehmen nach eingehender Prüfung zu der Einschätzung gelangt, keine Pflicht zur Ernennung eines Datenschutzbeauftragten zu haben, sollten die Grundlagen dieser Entscheidung genau dokumentiert werden (Rechenschaftspflicht).

Eine freiwillige Benennung eines Datenschutzbeauftragten ist natürlich möglich. Jedoch gilt dann gemäß § 38 Abs. 2 BDSG nicht der erweiterte Kündigungsschutz.

Welches Risiko droht, wenn die Benennungspflicht missachtet wird?

Unterlässt der Verantwortliche oder der Auftragsverarbeiter die Benennung eines Datenschutzbeauftragten, so drohen gemäß Art. 83 Abs. 4 lit. a) DSGVO Geldbußen von bis zu 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Vorjahresumsatzes des Unternehmens.

Wenn man keinen DSB benennen muss, ist man dann aus dem Schneider?

Die Pflicht zur Umsetzung der Anforderungen aus der DSGVO und dem BDSG besteht für alle Unternehmen, Handwerksbetriebe und Vereine unabhängig von der Größe oder Mitarbeiteranzahl oder der Pflicht zur Benennung eines Datenschutzbeauftragten.

Das Datenschutzrecht muss vom Verantwortlichen beachtet werden – egal ob mit oder ohne Datenschutzbeauftragten.

Die Beratungsleistung des Datenschutzbeauftragten muss ggf. anderweitig erbracht werden, was für die betroffenen Unternehmen den Aufbau von interner Kompetenz oder die Einbindung externer Datenschutzberatern zur Folge hat.
So oder so: Die Aufgabe bleibt bestehen!

Für deutsche Unternehmen hat die DSGVO zwar wenig echte Neuerungen gebracht, aber durch die massive Erhöhung des Bußgeldrahmens sind die datenschutzrechtlichen Auflagen nicht mehr auf die leichte Schulter zu nehmen.
Darüber hinaus hat die DSGVO zu einem deutlich gestiegenen Bewusstsein der Verbraucher hinsichtlich des Datenschutzes geführt. Die Bürger kennen Ihre Rechte als betroffene Personen besser als noch vor 1-2 Jahren. Es werden vermehrt Auskunfts-, Lösch-  und Widerspruchsrechte geltend bei Unternehmen gemacht.
Die Anforderungen an Auftragsverarbeiter und die damit verbundenen Haftungsrisiken sind ebenfalls gestiegen. Es wird also nicht langweilig und die Aufgaben sind zahlreich.

Auch Fällen, in denen keine gesetzliche Benennungspflicht besteht, ist die freiwillige Benennung eines externen Datenschutzbeauftragten häufig sinnvoll oder wegen vertraglicher Auflagen mit Auftraggebern gar erforderlich.

Latest Posts

Schlussabrechnung
21. Dezember 2022
By: Hauptadministrator
Inflationsausgleichsprämie
21. November 2022
By: Hauptadministrator
Überbrückungshilfe III +
5. Dezember 2021
By: Hauptadministrator
Novemberhilfe
26. November 2020
By: Hauptadministrator

Wir freuen uns auf Sie! GFP Beratung