Die Einführung der Datenschutzgrundverordnung hat nicht nur Unternehmen, sondern auch den Gesetzgeber selbst vor große Aufgaben gestellt. Das deutsche Recht musste sich der europäischen Richtlinie nämlich ebenfalls anpassen. Dazu wurde nach längeren Auseinandersetzungen zwischen den Koalitionspartnern das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz (2. DSAnpUG) verabschiedet. Im Kern ist dieses vorrangig dazu gedacht, Art. 85 DSGVO gerecht zu werden, welcher vorschreibt, Datenschutz mit der Meinungsfreiheit in Einklang zu bringen. Konkret bedeutet das, Ausnahmen für die Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken vorzusehen. Für kleine, aber auch mittelständische Betriebe wie auch sonstige Unternehmen liegt die wesentliche Änderung aber an anderer Stelle.
Die CDU hat sich nämlich mit ihrem Vorschlag durchgesetzt, den Schwellenwert zur Bestellung eines Datenschutzbeauftragten von zehn auf zwanzig Mitarbeiter zu erhöhen. Übrigens bezieht sich dieser Schwellenwert nur auf Mitarbeiter, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind (§ 38 I BDSG). Entgegen einiger Stimmen ist hier die Frage aufzuwerfen, welcher „durchschnittliche Handwerksbetrieb“- anhand dessen gerne argumentiert wird – jedoch permanent über zehn Mitarbeiter für Kunden- und Personalverwaltung beschäftigt. Letztendlich wird es doch um Internetversandhändler oder App-Entwickler gehen, die durch die Gesetzesänderung begünstigt werden sollen.
Entpuppt sich die Erleichterung als Nachteil für kleinere Unternehmen?
Jedoch bringt die vermeintliche Erleichterung auch gerade für Internetversandhändler oder App-Entwickler einige Risiken mit sich. Denn diese ändert nichts an der Gültigkeit sämtlicher anderer Regelungen, die die DSGVO für Betriebe mit sich bringt. Betriebe könnten durch zu oberflächliche Berichterstattung leichtfertig werden. Nach wie vor ist beim Thema Datenschutz höchste Vorsicht geboten. Was zuerst als Bürokratieabbau für kleine und mittlere Betriebe gefeiert wurde, könnte sich in der Praxis daher schnell zu ihrem Nachteil auswirken. Ohne Datenschutzbeauftragten, der sich um die Umsetzung der DSGVO-Vorschriften kümmert, können Mitarbeiter schnell überfordert sein. Datenschutzverstöße -einhergehend mit hohen Bußgeldern – wären die Folge. Größere Wettbewerber am Markt, die einen Datenschutzbeauftragten haben, könnten durch Anzeige der Verstöße der Wettbewerber ihre stärkere Stellung noch einfacher ausspielen. Der grüne MdB Konstantin von Notz fasste das Dilemma treffend zusammen: „Die Pflichten bleiben exakt dieselben, es ist nur niemand mehr zuständig.“ Entgegen der Schlagzeilen, kann von einer „Entschärfung“ der DSGVO nicht die Rede sein.
Grundsätzlich ist gerade für Unternehmen der IT-Branche – aber auch für Unternehmen in anderen Branchen – sehr wichtig, dass der Schwellenwert auch dann wegfällt, wenn personenbezogene Daten verarbeitet werden, die dazu bestimmt sind, die Persönlichkeit des Betroffenen einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens zu bewerten.
Nach wie vor setzt die DSGVO einen verlässlichen Schutz personenbezogener Daten voraus. Umso entscheidender ist es für kleine Betriebe, auch weiterhin einen Datenschutzbeauftragten benennen und vorweisen zu können.
- Eine rechtmäßiger Datenschutz setzt beispielsweise eine Bestandsaufnahme über die IT-Infrastruktur, Aufgaben und Rollen der Mitarbeiter voraus.
- Zudem bedarf es der Beratung bei datenschutzrechtlichen Spezialfragen, zum Beispiel, um innerhalb der Unternehmensstruktur Interessenkonflikte zu verhindern oder Rechenschaftspflichten einzuhalten,
- Auch zur Vertretung gegenüber Aufsichtsbehörden sollten sich kleine Unternehmen – sowohl mit als auch ohne Datenschutzbeauftragtem – auf Profis verlassen, beispielsweise zur Prüfung von Meldepflichten.
Als Kanzlei mit Spezialisierung im Bereich des Datenschutzrechts und des IT-Rechts unterstützen wir Sie und ihren Betrieb bei diesen Fragen mit langjähriger Expertise.