154 (!) einzelne Gesetze hat der Deutsche Bundestag etwas außerhalb der „Prime-Time“ um 01:30 Uhr Freitagmorgen beschlossen, um den Anforderungen der EU-Datenschutz-Grundverordnung schrittweise zu entsprechen. Dramatisch – könnte man meinen – wäre da nicht im nächsten Tagesordnungspunkt die mit Spannung erwartete Ferkelbetäubungssachkundeverordnung dran gewesen.
Aber zurück zum Thema: Eine Änderung des Bundesdatenschutzgesetzes (BDSG), welche bei den 154 Gesetzen dabei war, bestimmt, dass Unternehmen erst ab 20 Mitarbeitern verpflichtend einen Datenschutzbeauftragten benennen[1] müssen. Diese Änderung hat mehr Auswirkungen auf die Datenschutz-Branche als auf die Unternehmen selbst. Doch was sind nun die Auswirkungen für Unternehmen? Ich habe es mal in einer Übersicht zusammengefasst:
Unternehmen unter 10 Beschäftigte[2] | Unternehmen zwischen 10 und 19 Beschäftigte | Unternehmen ab 20 Beschäftigte | |
---|---|---|---|
Inhaltliche Anforderungen der DSGVO | Keine Änderungen | ||
Bennennungspflicht eines Datenschutzbeauftragten bei Unternehmen mit einer Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten von Betroffenen auslösen. | Keine Änderungen | ||
Bennennungspflicht eines Datenschutzbeauftragten bei Unternehmen mit keiner Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten von Betroffenen auslösen. | Keine Änderungen | Benennungspflicht eines Datenschutzbeauftragten entfällt | Keine Änderungen |
Es ändert sich also nur etwas bei der Benennungspflicht eines Datenschutzbeauftragten bei Unternehmen, die zwischen 10 und 19 Beschäftigte haben und die keine Verarbeitung durchführen, die ein hohes Risiko für die Rechte und Freiheiten von Betroffenen haben. Eine solche Verarbeitung ist bereits gegeben, wenn systematisch Betroffene per Video überwacht werden.
Die inhatlichen Anforderungen der DSGVO haben sich unterdessen nicht geändert. Damit bleibt es natürlich dabei, dass Unternehmen, die personenbezogene Daten verarbeiten, folgende Punkte sicherstellen müssen:
- Datenschutzprinzipien nach Art. 5 Abs 1 DSVGO einhalten
- Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen
- Informationspflichten erfüllen.
- Rechte der Betroffenen nach Art. 15ff. erfüllen.
- Daten löschen, sobald die Rechtsgrundlage der Verarbeitung wegfällt,
- die Verarbeitung der Daten auf Verlangen der Betroffenen einschränken,
- Betroffenen auf Verlangen innerhalb von einem Monat Auskunft erteilen,
- angemessene technisch-organisatorische Maßnahmen implementieren,
- Einwilligungen und Widerrufe verarbeiten,
- das berechtigte Interesse angemessen prüfen und bewerten,
- Widersprüche verarbeiten,
- bei Bedarf eine Datenschutz-Folgenabschätzung durchführen,
- Anfragen der und Beschwerden über die Datenschutzaufsichtsbehörde bearbeiten,
- Vereinbarungen zur Auftragsverarbeitung mit Dienstleistern abschließen,
- ein aktuelles Verzeichnis von Verarbeitungstätigkeiten führen,
- …
Diese Pflichten treffen jedes Unternehmen, welches personenbezogene Daten verarbeitet - ob mit oder ohne Datenschutzbeauftragten.
Auch wenn diese Änderung keine inhaltlichen Auswirkungen auf die Unternehmen hat, wird die von fast allen anderen Blogs meiner Kollegen totgeschwiegen. Dabei berichten die sonst immer über jede kleinste Kleinigkeit.
Diese selektive Wahrnehmung bei meinem Branchenkollegen führt dazu, dass sich deren Beratung immer weiter von den Bedürfnissen der Kunden entfernt. So langsam haben die Unternehmen nämlich geschnallt, dass die Lösungen eines Datenschutzbeauftragten nichts mit Bürokratie oder Gängelung zu tun haben sollen. Sondern Datenschutzbeauftragte müssen rechtliche Risiken reduzieren und Lösungen finden, welche auf die Prozesse der Unternehmen maßgeschneidert passen.
Natürlich wird es jetzt schwieriger seine eigene Arbeit als Datenschutzbeauftragter zu rechtfertigen, wenn bei einigen Kunden die gesetzliche Pflicht zur Zusammenarbeit wegfällt. Ich sehe dies aber als persönliche Chance... Denn die Unternehmen, die keinen Datenschutzbeauftragten benötigen, die benötigen nun einen Berater für Datenschutz und Informationssicherheit.
Sie haben Fragen? Wenden Sie sich gerne an mich.
Viele Grüße aus Bad Aachen.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
[1] Nein, nicht „bestellen“ – wir sind ja keine Cocktails.
[2] Mitarbeiter, welche in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Art. 38 Abs. 1 BDSG).