Neue Voraussetzungen zur Benennung eines Datenschutzbeauftragten für Unternehmen beschlossen
Seit Mai 2018 ist neben der EU-Datenschutzgrundverordnung (DSGVO) auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Rund 16 Monate später wird beim Thema Datenschutz im Rahmen des 2. DSAnpUG-EU nachgebessert. Mit der Zustimmung im Bundesrat am 20. September 2019 wird das BDSG gleich an mehreren Stellen angepasst.
So kann die Einwilligung bei der Datenerhebung von Mitarbeitern im Rahmen des Arbeitsverhältnisses nun auch elektronisch erfolgen und ist nicht mehr nur auf die Schriftform angewiesen. Im Zuge der Digitalisierung der Arbeitswelt ist das sicherlich ein guter Schritt nach vorn, da eine Einwilligung jetzt deutlich flexibler gehandhabt werden kann. Zudem vergrößert sich der Gestaltungsspielraum für Hinweise und Belehrungen der Personalabteilung z.B. durch zusätzliche Informationen über das Intranet oder Verlinkungen etc.
Wichtigste Änderung ist allerdings die Anhebung der Mindestvoraussetzung zur Benennung eines Datenschutzbeauftragten (DSB) in Unternehmen. Bisher musste ein DSB vom Verantwortlichen immer dann bestellt werden, wenn mindestens 10 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt waren. Diese Grenze wurde im Zuge der Gesetzesänderung auf 20 Mitarbeiter angehoben, was kleineren Unternehmen sicherlich zu Gute kommt. Unverändert bleibt jedoch die Einschränkung, dass für den geschäftsmäßigen Handel mit personenbezogenen Daten oder zu Zwecken der Markt- oder Meinungsforschung auch weiterhin ein DSB unabhängig von der Unternehmensgröße benötigt wird.
Was zunächst nach einer Erleichterung für kleine Firmen aussieht, ist aber letztlich nur eine Schönheitskorrektur. Denn die umfangreichen Datenschutzbestimmungen der DSGVO sowie des BDSG gelten weiterhin für alle Unternehmen gleich – egal wie viele Beschäftigte mit personenbezogenen Daten zu tun haben. Zwar sind nun deutlich weniger Firmen der rechtlichen Bestellpflicht unterworfen, doch die Anforderungen und die notwendigen Dokumentationen, wie z.B. das Verzeichnis von Verarbeitungstätigkeiten, müssen von der Geschäftsführung nach wie vor bereitgehalten werden. Daher lohnt es sich auch künftig entsprechende Datenschutzseminare zu besuchen oder sich das Know How „extern“ einzukaufen.