SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de
SDS / Unser Unternehmen / News / News-Details

DSB-Benennungsgrenze auf 20 Beschäftigte erhöht

von Nicholas Vollmer (Kommentare: 0)

Am 25.11.2019 wurde die BDSG-Novelle im Bundesgesetzblatt veröffentlicht und ist somit in Kraft gesetzt. Demnach besteht nun für Unternehmen mit bis zu 19 Beschäftigten keine Pflicht zur Benennung eines Datenschutzbeauftragten.

Über dieses Thema berichteten wir bereits im Oktober 2018 und ganz ausführlich im September 2019.

Den relevanten Ausschnitt aus dem 93-seitigen Artikelgesetz finden Sie hier.

Die Stelle des betrieblichen Datenschutzbeauftragten wurde (wie der Datenschutz überhaupt) in Deutschland erfunden. Die Benennungsgrenze war schon immer ein Politikum... mal 5, mal 10, mal 20 Beschäftigte.

Übrigens: Es zählen hierbei nur diejenigen Beschäftigten, die "ständig" personenbezogene Daten verarbeiten.

Dies neue Gesetzeslage ändert aber rein gar nichts daran, dass

  • die Persönlichkeitsrechte der Artikel 12-22 erfüllt werden müssen,
  • das Verarbeitungsverzeichnis geführt werden muss,
  • der "Nachweis der Einhaltung der Grundsätze" geführt werden muss,
  • Zweckänderungen geprüft und ggf. kommuniziert werden müssen,
  • ein konsequentes Einwilligungs-Management betrieben werden muss,
  • ein IT-Sicherheits-Managementsystem eingerichtet werden muss,
  • Datenschutzverletzungen zu dokumentieren und ggf. zu melden sind,
  • im Einzelfall eine Datenschutz-Folgenabschätzung durchgeführt werden muss,
  • Auftragsverarbeitungen vertraglich geregelt werden müssen.

All dies muss jetzt eben nur ohne die Expertise und das Engagement des Datenschutzbeauftragten durchgeführt werden.

Was passiert mit den bereits benannten Datenschutzbeauftragten in den Unternehmen, die weniger als 20 Beschäftigte haben? Seitens der Aufsichtsbehörden und der Fachpresse wurde diese Frage leider noch nicht thematisiert.

Wie sieht es aus speziell für den Fall eines externen Datenschutzbeauftragten, der einen Dienstleistungsvertrag mit jährlicher Laufzeit geschlossen hat?

Wir gehen davon aus, dass die Benennung bis zum Ende des Vertragsjahres bestehen bleibt. Diese Konsequenz ist naheliegend, weil der Dienstleistungs-Vertrag erfüllt werden muss. Diese Meinung würden wohl auch jene Unternehmen vertreten, die die Leistung des Datenschutzbeauftragten dringend benötigen und dieser seinerseits (vielleicht aufgrund des Arbeitsaufwands) fristlos kündigt.

In den wenigsten Verträgen wird wohl stehen "wir benennen Sie, sofern es gemäß § 38 BDSG zwingend vorgeschrieben ist".

Insofern ändert sich nur der interne Status auf eine freiwillige Benennung gemäß Artikel 37 (4) DS-GVO.

Zum Ende der Vertragslaufzeit kann dann verhandelt werden, ob die freiwillige Benennung fortgeführt werden soll.

Aber auch im Falle einer freiwilligen Benennung gilt: Der Datenschutzbeauftragte muss seine Pflichten zu 100% erfüllen; da gibt es kein Rosinenpicken.

Auch wenn in Ihrem Unternehmen weniger als 20 Beschäftigte "ständig" mit personenbezogenen Daten arbeiten, so ist die (freiwillige) Benennung eines Datenschutzbeauftragten Ihre einzige Chance den Datenschutz einzuhalten. Andernfalls gehen Sie auf "Risiko" hinsichtlich der Bußgelder, Schadenersatzforderungen und Abmahnungen.

So oder so drücken wir Ihnen die Daumen!

P.S. In Kürze werden wir den veränderten Gesetztestext unter www.bdsg2018.de berücksichtigen.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Zurück