Unternehmen, die mehr als zehn Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigen, mussten gemäß § 38 Bundesdatenschutzgesetz bisher einen betrieblichen Datenschutzbeauftragten benennen. Diese Zahl steigt nun auf 20 und entlastet damit kleine und mittlere Betriebe sowie ehrenamtlich tätige Vereine.
Auch die Einwilligung der Beschäftigten zur Verarbeitung ihrer eigenen personenbezogenen Daten durch den Arbeitgeber wird einfacher und ist jetzt statt schriftlich auch per E-Mail möglich. Abschließend beschlossen wurde diese Änderung am 20. September 2019 im Bundesrat im Rahmen des „Zweiten Datenschutz- Anpassungs- und Umsetzungsgesetzes EU”. Es enthält Anpassungen der seit 2018 gültigen EU-Datenschutz-Grundverordnung (DSGVO) an deutsches Recht.
Wichtig: Wer zählt zu den 20 Personen?
Wenn Unternehmen nun durchzählen, wer mit der Verarbeitung personenbezogener Daten betraut ist, sollten sie genau hinschauen. Wer nicht nur gelegentlich mit Personendaten zu tun hat, zählt bereits dazu – zum Beispiel bei der E-Mail-Korrespondenz oder bei der Auftragsannahme und -verarbeitung.
Unwichtig ist auch, ob ein Beschäftigter Voll- oder Teilzeit arbeitet, alle zählen. Außerdem gehört die systematische Datenverarbeitung nicht nur in digitaler, sondern auch in Papierform z.B. in Formularen dazu.
Auch Externe zählen
Was auf den ersten Blick nicht immer klar ist: Auch Externe können zu dem Personenkreis gehören, die einen Datenschutzbeauftragten im eigenen Unternehmen notwendig machen – nämlich immer dann, wenn sie Zugriff auf personenbezogene Daten haben.
In die Zahl von 20 Personen können zum Beispiel einfließen:
- Steuerberater mit Lohnbuchhaltung
- Externe Buchhaltung
- Freelancer
- Auszubildende
- Sicherheitsdienste
- IT-Fachleute
- Praktikanten
- Externe Vertriebsbeauftragte
- Auftragsdatenverarbeiter wie z.B. Internetprovider
Die genaue Analyse der Tätigkeitsfelder ist also das A und O, um darüber entscheiden zu können, ob eine Organisation einen Datenschutzbeauftragten braucht oder nicht.