01.10.2019 · Datenschutzbeauftragte

Prüfen Sie, wer Personen-Daten verarbeitet ‒ So hebeln Sie die 20-Mitarbeiter-Grenze nach oben!

Klicken zum vergrößern — Bild: © Natalia Merzlyakova - stock.adobe.com

| Die Zustimmung des Bundesrats war sicher: Erst ab 20 Mitarbeitern (die mit personenbezogenen Daten zu tun haben) brauchen Unternehmen nun einen Datenschutzbeauftragten ‒ CE Chef easy berichtete am 01.07.2019. Prüfen Sie jetzt anhand der Checkliste, wer bei Ihnen mit Datenschutz zu tun hat und wer nicht. Denn nicht jeder Mitarbeiter zählt zu den 20 relevanten Personen. |

Datenschutzbeauftragter ab 20 statt bisher 10 Mitarbeitern

Es geht um § 38 BDSG, nach dem alle Unternehmen und auch ehrenamtliche Vereine einen betrieblichen Datenschutzbeauftragten brauchen, soweit sie mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Auf besonderen Druck der FDP-Bundestagsfraktion hat das Bundeswirtschaftsministerium die bürokratische Hürde erkannt.

Lesen Sie dazu auch den CE-Beitrag vom 01.07.2019:

Bundestag: Datenschutzbeauftragter erst ab 20 Mitarbeitern erforderlich ‒ Entlastung für KMU

Nach dem Beschluss zum Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes EU (2. DSAnpUG-EU) gilt nun: Nur wenn Sie mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ brauchen Sie einen solchen Beauftragten.

Checkliste / Prüfen Sie: Nicht jeder Mitarbeiter zählt!

1. Da nicht jeder Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun hat, ist zu prüfen, wer in die 20-Mitarbeiter-Grenze einzubeziehen ist. Fließbandarbeiter, Hilfskräfte oder Reinigungspersonal kommen damit eher selten in Berührung! Die können Sie herausrechnen.

2. Unter „ständige Beschäftigung“ ist zu verstehen, dass sich die Personen für eine längere oder unbestimmte Zeit mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Aber: Das muss keine ausschließliche Beschäftigung mit Daten sein. Wer nur gelegentlich aber im Grundsatz regelmäßig (z. B. einmal im Monat) personenbezogene Daten verarbeitet, erfüllt das Wort „ständig“ bereits. Die Beschäftigung mit den Daten muss Teil der Aufgabenbeschreibung sein.

Beachten Sie | Firmendaten von juristischen Personen zählen dazu nicht!

3. Datenverarbeitende Mitarbeiter können Voll- oder Teilzeitkräfte aber auch Studenten oder Praktikanten sein. Inwieweit die Geschäftsführung oder der Inhaber eines Unternehmens dazuzählt, ist nicht eindeutig geklärt. Es spricht jedoch einiges dafür, diese Personen nicht dazu zählen.

4. Gesichert ist, dass Mitarbeiter, die gerade nicht im Unternehmen tätig sind, nicht dazu zählen: Beispiele sind Personen, die sich in Mutterschutz, Elternzeit oder in der Ruhephase einer Altersteilzeit befinden.

5. Wenn Sie externe Auftragsverarbeiter einsetzen, zählen dessen Mitarbeiter nicht zu den Mitarbeitern des Auftraggebers. Auftragsverarbeiter und Auftraggeber müssen jeweils getrennt prüfen, ob sie die Schwelle erreichen.

6. Aber Achtung: Werden tiefergreifende Datenverarbeitungen (z. B. Profiling oder Überwachung) ‒ man spricht dann von „Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ‒ vorgenommen, muss in jedem Fall ein Datenschutzbeauftragter bestellt werden. Schauen Sie dazu auch in den Art. 9 DSGVO, in dem die Verarbeitung besonderer Kategorien personenbezogener Daten geregelt ist (Ärzte, Apotheken oder andere Gesundheitsberufe sind mit dem Spiegelstrich „h“ des Artikel 9 schnell erfasst!).

Einwilligungen von Mitarbeitern

Nach dem aktuellen § 26 Abs. 2 BDSG können Einwilligungen von Mitarbeitern ‒ z. B. zur Veröffentlichung von Fotos auf der Unternehmenswebsite ‒ nur in Schriftform eingeholt werden, damit sie wirksam sind. Dies ist Aufwand, denn Schriftform bedeutet: persönlich vom Mitarbeiter auf Papier unterschrieben. Hinzu treten umfangreiche Dokumentationspflichten. Vor dem Hintergrund der Digitalisierung ist eine solche Verpflichtung völlig aus der Zeit gefallen.

Jetzt genügt es, elektronisch einzuwilligen: Eine E-Mail oder Checkbox im Intranet reicht aus. Dokumentiert werden müssen aber auch diese Einwilligungen noch immer.

PRAXISTIPP | Für Unternehmen, die von dieser Vereinfachung Gebrauch machen wollen, bedeutet dies eine Änderung in der Personaldatenschutzerklärung und in dem entsprechenden Verzeichnis der Verarbeitungstätigkeiten. Wer hier noch gar keine Dokumente erstellt hat, sollte diese Gesetzesänderung dazu nutzen, sich auch um den Mitarbeiterdatenschutz zu kümmern.

Weitere Änderungen zum Bürokratieabbau beschloss der Bundestag auf Vorschlag des Bundesrats unter anderem zu Gewerbeanzeigen und der Datenverarbeitung durch IHKen .

(JT mit Quell-Material: PM Bundesrat und DR, IWW Institut)

Quelle: ID 46162147