An der Funktion des Datenschutzbeauftragten entwickelt sich einiges an Unmut zur DSGVO, vor allem in kleineren Firmen oder in Vereinen. Das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz soll jetzt an diesem Punkt nachbessern, um KMU bei der Umsetzung der DSGVO zu entlasten. Angefangen hatte jedoch alles ganz anders.
Die Benennung eines Datenschutzbeauftragten (DSB) sieht die DSGVO in Artikel 37 für ganz bestimmte Organisationen vor, beispielsweise für den Großteil der Behörden und öffentlichen Stellen oder für Unternehmen und Organisationen, die besondere Kategorien personenbezogener Daten verarbeiten. Darunter fallen Daten über strafrechtliche Verurteilungen und Straftaten, Gesundheitsdaten, biometrische und weitere Daten. Von den zehn Mitarbeitern, ab denen Unternehmen einen DSB benötigen, ist in der DSGVO nicht die Rede.
Die Zehn-Mitarbeiter-Regel steht im BDSG
Diese Zahl hat das Bundesdatenschutzgesetz ins Spiel gebracht, genauer das BDSG (neu). In Ergänzung zur DSGVO legt es in § 38 fest, dass Unternehmen und Organisationen „eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten [benennen müssen], soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Die enge Vorgabe soll durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz, mit dessen Inkrafttreten in Kürze gerechnet wird, gelockert, der Schwellenwert von zehn auf 20 Mitarbeiter angehoben werden.
An der Pflicht zur Umsetzung der DSGVO ändert sich nichts
Das mag für kleine Firmen und Organisationen nach einer Entlastung aussehen: Man kann den DSB, in kleinen Firmen wahrscheinlich eher die Dienstleistung „DSB“ in Form eines externen DSB, kündigen und Geld sparen. Es könnte sich bei der neuen Regelung aber auch um ein Danaergeschenk handeln, das auf Dauer mehr schadet als nützt. Denn Abstriche bei der Umsetzung der DSGVO sind mit dem angehobenen Schwellenwert nicht verbunden; die DSGVO gilt weiterhin in vollem Umfang für alle Firmen und Organisationen unabhängig von ihrer Größe.
Entfällt der DSB, verliert das Unternehmen mit seinem Ausscheiden das datenschutzspezifische Know-how. Da es in kleinen Firmen eher nicht wahrscheinlich ist, dass Mitarbeiter über fundiertes Datenschutz-Wissen verfügen, ist niemand mehr zuständig für diese wichtige Aufgabe. Niemand überwacht die Einhaltung der DSGVO, berät Geschäftsleitung und Mitarbeiter und erinnert sie an ihre Pflichten, weist auf riskantes Verhalten oder riskante Tools hin. Kurz und gut: Das Risiko von Datenschutzverletzungen steigt und damit das Risiko, am falschen Ende gespart zu haben. Kleine Betriebe, die infolge der neuen Regelung unter den Schwellenwert sinken, fahren im Hinblick auf das Niveau ihres Datenschutzes sicher nicht schlecht, wenn sie trotzdem weiterhin mit einem Profi für den Datenschutz zusammenarbeiten.