Recht + Steuern -

Anpassungen bei der DSGVO DSGVO: Externer Datenschutzbeauftragter bald ab 20 Mitarbeiter

Der Bundesrat hat das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU beschlossen. Einen externen Datenschutzbeauftragten müssten künftig nur Unternehmen benennen, bei denen mehr als 20 Mitarbeiter Daten verarbeiten.

Das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU ist im Gesetzgebungsverfahren auf der Zielgeraden. Wie der Name sagt, geht es hauptsächlich um Anpassungen der seit 2018 geltenden Europäischen Datenschutz-Grundverordnung (DSGVO) an deutsches Recht. Eine Änderung allerdings ist für Handwerksunternehmer interessant: Künftig muss ein Unternehmen einen externen Datenschutzbeauftragten benennen, wenn es 20 Mitarbeiter und mehr beschäftigt, die mit der Datenverarbeitung betraut sind. Bisher galt dies ab zehn Mitarbeitern.

"Jeder Kopf zählt"

Doch Vorsicht beim Abzählen der Mitarbeiter, die mit Daten im Betrieb arbeiten. "Es ist heute kaum noch vorstellbar, dass ein Mitarbeiter überhaupt nicht an der Datenverarbeitung beteiligt ist", sagt Prof. Niko Härting, Rechtsanwalt und Mitglied des Ausschusses Informationsrecht des Deutschen Anwaltvereins (DAV). "Ein Mitarbeiter zählt dazu, sobald er nicht nur gelegentlich mit Perso­nendaten zu tun hat." Wer also unterwegs beim Kunden oder auf der Baustelle ist und mit dem Smartphone oder einem anderen elektronischen Gerät Aufträge entgegennimmt oder bearbeitet, der fällt schon in diese Kategorie.

Grundsätzlich gilt: "Jeder Kopf zählt", sagt Härting. Eine Teilzeitkraft in der Buchhaltung wird voll gewertet, ebenso der Betriebsinhaber. Und auch für Unternehmen mit weniger als 20 Mitarbeitern gilt: "Dass man keinen Datenschutzbeauftragten mehr braucht, heißt ja natürlich nicht, dass man Datenschutz nicht mehr beachten muss."

Es geht jedoch nicht allein um elektronische Datenverarbeitung. Betroffen ist auch die Datenverarbeitung auf Papier, wenn Daten nach einem bestimmten System immer in der gleichen Weise erfasst werden, wenn beispielsweise ein Formular mit personenbezogenen Daten wie Name, Adresse oder Kontoverbindung ausgefüllt wird. Eine Adresse, die auf einen Schmierzettel gekritzelt wird, muss hingegen nicht als Datenverarbeitung gewertet werden, so der Experte.

Personenbezogene Daten

Bei der Verarbeitung personenbezogener Daten seiner Beschäftigten ändert sich für den Unternehmer nur geringfügiges. Mitarbeiterdaten können weiterhin ohne Einwilligung verarbeitet werden, wenn sie für die Vertragsabwicklung notwendig sind, wie die Kontodaten, um den Lohn zu zahlen, oder um sozialversicherungsrechtlichen Meldepflichten nachzukommen.

Geändert wird zukünftig: Wenn die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung erfolgt, (§ 26 Abs. 2 Bundesdatenschutzgesetz (BDSG)), muss diese Einwilligung nicht mehr ausschließlich schriftlich erfolgen, sondern kann schriftlich oder elektronisch gegeben werden. Eine elektronische Einwilligung etwa per E-Mail sollte dann allerdings auch gespeichert werden.

Das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU muss jetzt noch im Bundesgesetzblatt verkündet werden und tritt überwiegend am Tag nach seiner Verkündung in Kraft.

Was sind personenbezogene Daten? Zum Erklärvideo

© deutsche-handwerks-zeitung.de 2019 - Alle Rechte vorbehalten