Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Der Gesetzgeber reduziert Datenschutz-Pflichten für kleine Unternehmen und Vereine
Datenschutzbeauftragte erst ab 20 Personen
Letzten Freitag hat der Bundesrat dem 2. DSAnpUG-EU (Datenschutz-Anpassungs- und –Umsetzungsgesetz EU) zugestimmt. Eine Erleichterung für kleine Organisationen?
Der Aufschrei, der seit Anfang 2018 durch den deutschen Mittelstand und die Vereinslandschaft geht, wurde vom Gesetzgeber gehört. Seitdem sich viele Unternehmen und Vereine mit der neuen EU-Datenschutz-Grundverordnung, die seit dem 25.05.2018 anzuwenden ist, beschäftigt haben, ist die Kritik an den neuen Datenschutz-Regeln nicht abgerissen. Zu komplex, zu unklar, zu unpraktikabel waren und sind nur einige der Vorwürfe.
Der deutsche Gesetzgeber hat nun reagiert und die Grenze, ab der eine Organisation einen Datenschutzbeauftragten benennen muss, von bisher zehn auf 20 Personen angehoben. Dabei zählen, wie bislang schon, nur Personen, die ständig (d. h. arbeitstäglich üblich) personenbezogene Daten automatisiert (d. h. an Computersystemen) verarbeiten. Damit sollen vor allem kleinere Unternehmen und Vereine entlastet werden.
Anzuwenden sind die neuen Regeln sobald das Gesetz ausgefertigt (vom Bundespräsidenten unterzeichnet) und im Bundesgesetzblatt veröffentlicht wurde. Das kann schon in den nächsten Tagen passieren.
Doch Vorsicht!
Die 20er Grenze greift in Deutschland nur dann, wenn nicht aus der Datenschutz-Grundverordnung direkt ein Datenschutzbeauftragter – dann unabhängig von der Zahl der beschäftigten Personen – zu benennen ist. Das ist z. B. der Fall, wenn „kritische“ Datenverarbeitungen erfolgen (umfangreiche Verarbeitung besonderer Kategorien von Daten oder umfangreiche regelmäßige und systematische Überwachung von Personen).
Außerdem ist die Pflicht einen Datenschutzbeauftragten zu benennen nur eine von vielen Pflichten aus dem Datenschutzrecht. Alle anderen Pflichten, wie z. B.
- Umsetzung der Transparenz- und Informationspflichten
— Dokumentationspflichten
— Umgang mit Datenschutzverletzungen
— Umsetzung der Betroffenenrechte wie Auskunft, Löschung usw.
— Umsetzung ausreichender Schutzmaßnahmen die dem Stand der Technik entsprechen
— etc.
bleiben unverändert bestehen.
Verstöße – auch unbeabsichtigte – gegen diese Pflichten können neben Imageschäden bei Kunden auch spürbare Geldbußen nach sich ziehen (siehe z. B. der aktuelle Fall des bislang höchsten Bußgeldes in Deutschland; Einen recht interessanten Überblick über europaweit verhängte Sanktionen bietet diese Seite:
Mein Rat:
Sollten Sie bereits einen Datenschutzbeauftragten benannt haben, den Sie nun nicht mehr zwingend benötigen, behalten Sie ihn. Nur der Datenschutzbeauftragte wird die weiteren Entwicklungen bei der Auslegung der Datenschutz-Regelungen mitverfolgen und die Auswirkung auf ihr Geschäft einschätzen können.
Alle anderen müssen sich selbst mit den Datenschutz-Regelungen auseinandersetzen und die aktuellen Entwicklungen im Blick behalten.
Abschluss der Ausbildung mit dem zweiten juristischen Staatsexamen 1997. Seitdem in unterschiedlichen Bereichen bei der DATEV eG in Nürnberg tätig. Praktische Erfahrung im IT-Umfeld hat er insbesondere in seiner zehnjährigen Tätigkeit in der Softwareentwicklung gesammelt. Hierbei war er u.a. mit der Einrichtung und Aktualisierung von Netzwerkumgebungen in Steuerberater- und Rechtsanwaltskanzleien betraut. Seit fünf Jahren ist Bernd Bosch als externer Datenschutzberater für Kanzleien tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare