DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Der Gesetz­geber redu­ziert Daten­schutz-Pflichten für kleine Unter­nehmen und Vereine

Daten­schutz­be­auf­tragte erst ab 20 Per­sonen

Letzten Freitag hat der Bun­desrat dem 2. DSAnpUG-EU (Daten­­schutz-Anpas­­sungs- und –Umset­zungs­gesetz EU) zuge­stimmt. Eine Erleich­terung für kleine Orga­ni­sa­tionen?

Der Auf­schrei, der seit Anfang 2018 durch den deut­schen Mit­tel­stand und die Ver­eins­land­schaft geht, wurde vom Gesetz­geber gehört. Seitdem sich viele Unter­nehmen und Vereine mit der neuen EU-Daten­­schutz-Grun­d­­ver­­­ordnung, die seit dem 25.05.2018 anzu­wenden ist, beschäftigt haben, ist die Kritik an den neuen Daten­­schutz-Regeln nicht abge­rissen. Zu komplex, zu unklar, zu unprak­ti­kabel waren und sind nur einige der Vor­würfe.

Der deutsche Gesetz­geber hat nun reagiert und die Grenze, ab der eine Orga­ni­sation einen Daten­schutz­be­auf­tragten benennen muss, von bisher zehn auf 20 Per­sonen ange­hoben. Dabei zählen, wie bislang schon, nur Per­sonen, die ständig (d. h. arbeits­täglich üblich) per­so­nen­be­zogene Daten auto­ma­ti­siert (d. h. an Com­pu­ter­sys­temen) ver­ar­beiten. Damit sollen vor allem kleinere Unter­nehmen und Vereine ent­lastet werden.

Anzu­wenden sind die neuen Regeln sobald das Gesetz aus­ge­fertigt (vom Bun­des­prä­si­denten unter­zeichnet) und im Bun­des­ge­setz­blatt ver­öf­fent­licht wurde. Das kann schon in den nächsten Tagen pas­sieren.

Doch Vor­sicht!

Die 20er Grenze greift in Deutschland nur dann, wenn nicht aus der Daten­­schutz-Grun­d­­ver­­­ordnung direkt ein Daten­schutz­be­auf­tragter – dann unab­hängig von der Zahl der beschäf­tigten Per­sonen – zu benennen ist. Das ist z. B. der Fall, wenn „kri­tische“ Daten­ver­ar­bei­tungen erfolgen (umfang­reiche Ver­ar­beitung beson­derer Kate­gorien von Daten oder umfang­reiche regel­mäßige und sys­te­ma­tische Über­wa­chung von Per­sonen).

Außerdem ist die Pflicht einen Daten­schutz­be­auf­tragten zu benennen nur eine von vielen Pflichten aus dem Daten­schutz­recht. Alle anderen Pflichten, wie z. B.

- Umsetzung der Tran­s­parenz- und Infor­ma­ti­ons­pflichten
— Doku­men­ta­ti­ons­pflichten
— Umgang mit Daten­schutz­ver­let­zungen
— Umsetzung der Betrof­fe­nen­rechte wie Aus­kunft, Löschung usw.
— Umsetzung aus­rei­chender Schutz­maß­nahmen die dem Stand der Technik ent­sprechen
— etc.

bleiben unver­ändert bestehen.

Ver­stöße – auch unbe­ab­sich­tigte – gegen diese Pflichten können neben Image­schäden bei Kunden auch spürbare Geld­bußen nach sich ziehen (siehe z. B. der aktuelle Fall des bislang höchsten Buß­geldes in Deutschland; Einen recht inter­es­santen Über­blick über euro­paweit ver­hängte Sank­tionen bietet diese Seite:

Mein Rat:

Sollten Sie bereits einen Daten­schutz­be­auf­tragten benannt haben, den Sie nun nicht mehr zwingend benö­tigen, behalten Sie ihn. Nur der Daten­schutz­be­auf­tragte wird die wei­teren Ent­wick­lungen bei der Aus­legung der Daten­­schutz-Rege­­lungen mit­ver­folgen und die Aus­wirkung auf ihr Geschäft ein­schätzen können.

Alle anderen müssen sich selbst mit den Daten­­schutz-Rege­­lungen aus­ein­an­der­setzen und die aktu­ellen Ent­wick­lungen im Blick behalten.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werk­um­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.