Bundesdatenschutzgesetz (BDSG) DSGVO: Datenschutzbeauftragter Pflicht ab 20 Mitarbeitern

Zugehörige Themenseiten:
Datenschutz und IT-Sicherheit

Anders als ursprünglich in der EU-Datenschutzgrundverordnung (DSGVO) vorgesehen, sind Datenschutzbeauftragte für Handwerksbetriebe und KMU erst ab 20 Mitarbeitern nötig. Das beschloss der Bundestag am 27. Juni 2019. Ob Sie wirklich einen Datenschutzbeauftragten brauchen, erfahren Sie hier.

EU-Datenschutzgrundverordnung (DSGVO)
Das entscheidende Kriterium für einen Datenschutzbeauftragten ist, ob die Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. - © DatenschutzStockfoto - stock.adobe.com

Für Handwerker und KMU, die keine großen Personalabteilungen und separate Abteilungen für die Kundenbetreuung haben, ist mit der Einführung der DSGVO der bürokratische Aufwand erheblich gestiegen. Vor allem die Regelung zur Notwendigkeit eines Datenschutzbeauftragten sorgte immer wieder für Unverständnis. Deshalb beschloss der Bundestag am 27. Juni 2019 eine Änderung der DSGVO-Regeln. Statt wie ursprünglich vorgesehen, ab 10 Mitarbeitern einen Datenschutzbeauftragten zu bestellen, ist dieser juristische Beistand jetzt erst ab 20 Mitarbeitern Pflicht. Möglich macht das eine nationale Änderung des Bundesdatenschutzgesetzes (BDSG), das jetzt in diesem Punkt von ursprünglichen Auslegung der DSGVO abweicht.

Zur Klarstellung:Die DSGVO muss natürlich weiterhin komplett umgesetzt werden. Die Neuregelung verschafft KMU- und Handwerkschefs von kleinen Betrieben aber die Freiheit, selbst bestimmen zu können, ob Sie lieber auf einen Datenschutzbeauftragten setzen oder die DSGVO komplett selbst umsetzen wollen – mit allen Konsequenzen, die bei Fehlern drohen.

Personenbezogene Daten: "ständig beschäftigt" oder "nicht ständig beschäftigt"?

Die Schwelle von 20 Mitarbeitern ist zudem durchaus interpretierbar. Konkret geht es um Personal, das sich "ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt". Folgende Regel sollten Sie andwenden:

  • "ständig beschäftigt" ist derjenige, der zum Beispiel permanent mit der Kunden- oder Personalverwaltung beschäftigt ist.
  • "Nicht ständig" mit personenbezogenen Daten beschäftigt ist dagegen, wer beispielsweise als Handwerker oder Produktionsmitarbeiter nur mit Namen und Adressen von Kunden umgeht.

Ob 20 Mitarbeiter zwingend einen Datenschutzbeauftragten nach sich ziehen, ist Interpretationssache

Die Formulierungen "Ständig beschäftigt" und "nicht ständig" schaffen also Spielraum für verschiedene Interpretationen. Ein bisschen Klarheit könnte hier von den Landesdatenschutzbehörden kommen. Kurz vor Ende der Übergangsfrist 2018 äußerte sich dazu beispielsweise Wolfgang Wörrlein vom Bayerischen Landesamt für Datenschutzaufsicht: "Wir vertreten die Auffassung, dass 'ständig' bedeutet, dass eine Person einen erheblichen Teil ihrer Arbeit mit der Verarbeitung personenbezogener Daten beschäftigt sein muss." Dies sei zum Beispiel bei Mitarbeitern der Personalverwaltung, des Marketings oder der Kundenbetreuung der Fall.

Beschäftigte, die in erster Linie mit anderen (zum Beispiel technischen) Aufgaben betraut sind und nur völlig untergeordnet mit den personenbezogenen Daten umgehen, seien dagegen nicht zu berücksichtigen. "Nicht zu zählen sind damit insbesondere Monteure oder Arbeiter an Produktionslinien etc., die nur gelegentlich beziehungsweise vereinzelt personenbezogene Daten verwenden oder damit in Berührung kommen."

Kriterium ist die ständige Beschäftigung mit der automatisierten Verarbeitung personenbezogener Daten

Vorausgegangen war die Initiative von Hans-Karl Bauer, Jurist und behördlicher Datenschutzbeauftragter der Handwerkskammer für Oberfranken. Dieser hakte bei der Datenschutzaufsichtsbehörde nach: In welchen Fällen müssen Handwerksbetriebe einen betrieblichen Datenschutzbeauftragten bestellen? Diese Frage richtete er an die für Datenschutz zuständige Rechtsaufsicht. "Das Bayerische Landesamt für Datenschutzaufsicht vertritt eine Auslegung ganz im Sinne des Handwerks", freute sich Bauer im Anschluss. Das wesentliche Entscheidungskriterium ist, ob ein Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ist.

Er erklärt: "Die Ausgangslage ist folgende: Ein Handwerker hat 21 Mitarbeiter, drei davon im Büro, die an Datenverarbeitungsanlagen arbeiten, und 18 Monteure, die auf Baustellen unterwegs sind." Nun gebe es zum Beispiel zwei mögliche, unterschiedliche Szenarien. Im ersten rufen die Monteure mittels Laptop im Firmenwagen Kundendaten auf. Im zweiten erhalten die Monteure ausschließlich Papierausdrucke, auf dem die Daten des jeweiligen Kunden stehen. "Datenschutzrechtlich können beide Szenarien gleich bewertet werden", macht der HWK-Jurist deutlich. "In beiden Fällen müsste der Betrieb keinen Datenschutzbeauftragten bestellen."

Ausnahme: Datenschutzbeauftragter immer nötig, wenn Persönlichkeit, Fähigkeiten, Leistung und Verhalten von Kunden bewertet werden

Vorsicht:Die Schwelle für eine verpflichtende Bestellung eines Datenschutzbeauftragten ab 20 Mitarbeitern, die sich "ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, gilt für alle Unternehmen – mit der Ausnahme von Firmen, die personenbezogene Daten verarbeiten, die dazu bestimmt sind, die Persönlichkeit des Betroffenen "zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens".

Vor allem betroffen von dieser Ausnahmeregelung sind die Gesundheitsgewerke wie Hörgeräteakustiker, Optiker, Orthopädiemechaniker oder Zahntechniker sowie Betriebe mit "hoheitlichen Aufgaben" wie beispielsweise Schornsteinfeger.

ZDH kritisiert unterschiedliche DSGVO-Umsetzungen je Bundesland

Der Zentralverband des Deutschen Handwerks (ZDH) begrüßte die Änderung im Rahmen des "zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes". Zur Anhebung der Schwelle für einen Datenschutzbeauftragten von 10 auf 20 Mitarbeiter sagte Generalsekretär Holger Schwannecke: "Der Bundestag setzt mit den beschlossenen Erleichterungen beim Datenschutz ein wichtiges Signal."

Trotzdem ist der Spitzenverband des Handwerks nicht zufrieden. Das liegt vor allem an den unterschiedlichen DSGVO-Auslegungen der einzelnen Bundesländer. "Die uneinheitlichen Maßgaben der Landesaufsichtsbehörden zur Bestellpflicht von Datenschutzbeauftragten sind Handwerksbetrieben - unabhängig von ihrer Mitarbeiteranzahl - nicht länger zumutbar. Es kann nicht sein, dass Handwerksbetriebe in Baden-Württemberg anders behandelt werden als vergleichbare Betriebe aus Bayern oder Brandenburg. Handwerksbetriebe brauchen Rechtssicherheit", betonte Schwannecke. "Handwerksbetriebe stellen kein relevantes Risiko für den Datenschutz dar und sollten geringeren Anforderungen als Internetgiganten und Anbietern sozialer Medien unterstellt werden. Es macht einen Unterschied, ob ein globaler IT-Konzern oder ein regionaler Handwerksbetrieb die Daten seiner Kunden verarbeitet. Diese Unterschiede müssen in Gesetz und Praxis stärker zur Geltung kommen."

Mittelstandsverbund sieht Datenschutzbeauftragte als "kostenintensive Formalie"

In die gleiche Richtung ging auch der Kommentar des Mittelstandsverbunds: "Auch kleine und mittlere Unternehmen müssen die Pflichten des Datenschutzes ernst nehmen und die aufgestellten Grundsätze verinnerlichen. Gerade die Bestellung des Datenschutzbeauftragten stellt jedoch oftmals eine kostenintensive Formalie dar.", appellierte Hauptgeschäftsführer Dr. Ludwig Veltmann. "Außerdem ist der Gesetzgeber aufgerufen, die unendliche Diskussion über die Abmahnfähigkeit von datenschutzrechtlichen Verstößen zu klären. Hierbei besteht Verunsicherung im Mittelstand, welche teilweise bereits durch unseriöse Mitbewerber ausgenutzt wurde. Ein solcher Zustand ist untragbar, eine klare Entscheidung gegen die Abmahnfähigkeit von Datenschutz-Verstößen muss daher zeitnah erfolgen."

Das zweite "Datenschutz-Anpassungs- und Umsetzungsgesetz", in dessen Rahmen die Schwelle für einen Datenschutzbeauftragten von 10 auf 20 Mitarbeiter angehoben wurde, bedarf aktuell noch der Zustimmung des Bundesrats .