Anders als ursprünglich in der EU-Datenschutzgrundverordnung (DSGVO) vorgesehen, sind Datenschutzbeauftragte für Handwerksbetriebe und KMU erst ab 20 Mitarbeitern nötig. Das beschloss der Bundestag am 27. Juni 2019. Das entscheidende Kriterium für einen Datenschutzbeauftragten ist, ob die Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Für Handwerker und KMU, die keine großen Personalabteilungen und separate Abteilungen für die Kundenbetreuung haben, ist mit der Einführung der DSGVO der bürokratische Aufwand erheblich gestiegen. Vor allem die Regelung zur Notwendigkeit eines Datenschutzbeauftragten sorgte immer wieder für Unverständnis. Deshalb beschloss der Bundestag am 27. Juni 2019 eine Änderung der DSGVO-Regeln. Statt wie ursprünglich vorgesehen, ab 10 Mitarbeitern einen Datenschutzbeauftragten zu bestellen, ist dieser juristische Beistand jetzt erst ab 20 Mitarbeitern Pflicht. Möglich macht das eine nationale Änderung des Bundesdatenschutzgesetzes (BDSG), das jetzt in diesem Punkt von ursprünglichen Auslegung der DSGVO abweicht.
Aber Achtung: Die Schwelle von 20 Mitarbeitern ist durchaus interpretierbar. Konkret geht es um Personal, das sich „ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“. Folgende Regel sollten Sie anwenden:
– „ständig beschäftigt“ ist derjenige, der zum Beispiel permanent mit der Kunden- oder Personalverwaltung beschäftigt ist.
– „Nicht ständig“ mit personenbezogenen Daten beschäftigt ist dagegen, wer beispielsweise als Handwerker oder Produktionsmitarbeiter nur mit Namen und Adressen von Kunden umgeht.
Die Formulierungen „Ständig beschäftigt“ und „nicht ständig“ schaffen also Spielraum für verschiedene Interpretationen. Ein bisschen Klarheit könnte hier von den Landesdatenschutzbehörden kommen. Kurz vor Ende der Übergangsfrist 2018 äußerte sich dazu beispielsweise Wolfgang Wörrlein vom Bayerischen Landesamt für Datenschutzaufsicht: „Wir vertreten die Auffassung, dass ’ständig‘ bedeutet, dass eine Person einen erheblichen Teil ihrer Arbeit mit der Verarbeitung personenbezogener Daten beschäftigt sein muss.“ Dies sei zum Beispiel bei Mitarbeitern der Personalverwaltung, des Marketings oder der Kundenbetreuung der Fall.
Beschäftigte, die in erster Linie mit anderen (zum Beispiel technischen) Aufgaben betraut sind und nur völlig untergeordnet mit den personenbezogenen Daten umgehen, seien dagegen nicht zu berücksichtigen. „Nicht zu zählen sind damit insbesondere Monteure oder Arbeiter an Produktionslinien etc., die nur gelegentlich beziehungsweise vereinzelt personenbezogene Daten verwenden oder damit in Berührung kommen.“
Der Zentralverband des Deutschen Handwerks (ZDH) begrüßte die Änderung im Rahmen des „zweiten Datenschutz-Anpassungs- und Umsetzungsgesetzes“. Zur Anhebung der Schwelle für einen Datenschutzbeauftragten von 10 auf 20 Mitarbeiter sagte Generalsekretär Holger Schwannecke: „Der Bundestag setzt mit den beschlossenen Erleichterungen beim Datenschutz ein wichtiges Signal.“
Trotzdem ist der Spitzenverband des Handwerks nicht zufrieden. Das liegt vor allem an den unterschiedlichen DSGVO-Auslegungen der einzelnen Bundesländer. „Die uneinheitlichen Maßgaben der Landesaufsichtsbehörden zur Bestellpflicht von Datenschutzbeauftragten sind Handwerksbetrieben – unabhängig von ihrer Mitarbeiteranzahl – nicht länger zumutbar. Es kann nicht sein, dass Handwerksbetriebe in Baden-Württemberg anders behandelt werden als vergleichbare Betriebe aus Bayern oder Brandenburg. Handwerksbetriebe brauchen Rechtssicherheit“, betonte Schwannecke. „Handwerksbetriebe stellen kein relevantes Risiko für den Datenschutz dar und sollten geringeren Anforderungen als Internetgiganten und Anbietern sozialer Medien unterstellt werden. Es macht einen Unterschied, ob ein globaler IT-Konzern oder ein regionaler Handwerksbetrieb die Daten seiner Kunden verarbeitet. Diese Unterschiede müssen in Gesetz und Praxis stärker zur Geltung kommen.“
Quelle: https://www.handwerk-magazin.de/datenschutzbeauftragter-nicht-immer-noetig/150/519/370914
