Datenschutzbeauftragte erst ab 50 Mitarbeitenden verpflichtend?
Datenschutzbeauftragte erst ab 50 Mitarbeitenden? Die Frage wird aktuell heiß diskutiert. Nicht zuletzt durch das neue Positionspapier der Bundesregierung „Wachstumsinitiative – neue wirtschaftliche Dynamik für Deutschland“. Die Rolle des Datenschutzbeauftragten (DSB) ist in der Datenschutz-Grundverordnung (DSGVO) sowie im Bundesdatenschutzgesetz (BDSG) klar geregelt. In diesem Beitrag beleuchten wir, ab wann ein Datenschutzbeauftragter benannt werden muss, welche Änderungen in der Zukunft anstehen und welche Auswirkungen diese auf Unternehmen haben könnten. Darüber hinaus werfen wir einen Blick auf die Situation externer Datenschutzbeauftragter.
Die Benennungspflicht des Datenschutzbeauftragten: Aktuell und zukünftig
Die nationale Regelung im Bundesdatenschutzgesetz (§ 38 Abs. 1 Satz 1 BDSG) sieht neben den Regelungen des Art. 37 Abs. 1 DSGVO aktuell vor, dass Datenschutzbeauftragte zu benennen sind, sofern regelmäßig mehr als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein neues Positionspapier der Bundesregierung vom 05. Juli 2024 sieht nun vor, dass die datenschutzrechtlichen Anforderungen reduziert werden sollen. In diesem Zusammenhang soll der aktuelle Schwellwert von 20 Mitarbeitenden auf 50 Beschäftigte angehoben werden.
Ab wann ist ein Datenschutzbeauftragter nach der DSGVO zu benennen?
Gemäß Art. 37 DSGVO sind Unternehmen verpflichtet, einen DSB zu benennen, wenn:
- Die Verarbeitung von Daten durch eine Behörde oder öffentlichen Stelle erfolgt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln.
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der regelmäßigen und systematischen Überwachung von betroffenen Personen in großem Umfang besteht.
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 und Art. 10 besteht.
Ausbildung zum Datenschutzbeauftragten
Ab wann ist ein Datenschutzbeauftragter nach dem BDSG zu benennen?
Das BDSG präzisiert und ergänzt die DSGVO. Nach § 38 BDSG ist ein DSB zu benennen, wenn:
- Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
- Eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt werden muss.
- Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Markt- und Meinungsforschung verarbeitet werden.
Aktuelle Situation und zukünftige Änderungen
Aktuell liegt die Grenze bei 20 Mitarbeitenden, die regelmäßig mit personenbezogenen Daten arbeiten, ab der ein Unternehmen einen Datenschutzbeauftragten benennen muss. Doch dies kann sich bald ändern. Der Bundeswirtschaftsminister hat auf einer Pressekonferenz zum Haushalt 2025 angekündigt, dass die Grenze auf 50 Mitarbeitende angehoben werden soll. Diese Änderung soll die administrative Belastung für kleinere Unternehmen verringern und ihnen mehr Spielraum für ihre Kerntätigkeiten geben.
Ein weiterer wichtiger Punkt ist die Diskussion um eine Änderung von § 38 Abs. 1 S. 2 BDSG. Auch wenn die Grenze für die Benennung eines DSB auf 50 Mitarbeitende angehoben wird, bleibt die Pflicht bestehen, einen DSB zu benennen, wenn das Unternehmen Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung (DSFA) unterliegen. Diese Regelung könnte dazu führen, dass trotz höherer Mitarbeitenden-Grenze viele Unternehmen weiterhin einen DSB benötigen, insbesondere angesichts der zunehmenden Nutzung von KI-Tools, die oft eine DSFA erfordern.
Der Datenschutz muss immer eingehalten werden
Auch wenn Organisationen nicht über die Grenze von 20 bzw. zukünftig 50 Mitarbeitenden kommen sollen und die gesetzliche Benennungspflicht dadurch nicht ausgelöst wird, muss dennoch die gesamte DSGVO sowie das BDSG eingehalten werden. Eine Nicht-Benennung befreit Organisationen nicht von der gesamtheitlichen Umsetzung der Datenschutz-Grundverordnung.
Vor- und Nachteile für Unternehmen: Datenschutzbeauftragte erst ab 50 Mitarbeitenden
Vorteile
- Kosteneinsparungen: Kleine Unternehmen können Kosten sparen, da sie keinen DSB benennen müssen, solange sie weniger als 50 Mitarbeitende haben, die mit personenbezogenen Daten arbeiten.
- Administrative Entlastung: Weniger bürokratischer Aufwand und damit mehr Fokus auf das Kerngeschäft.
Nachteile
- Datenschutzrisiken: Die Anhebung der Grenze könnte zu einer geringeren Sensibilität und weniger Fachwissen im Umgang mit personenbezogenen Daten führen.
- Falsches Verständnis: Wenn wir keinen Datenschutzbeauftragten benennen müssen, müssen wir den Datenschutz nicht berücksichtigen
- Imageverlust: Unternehmen könnten in der Öffentlichkeit als weniger datenschutzfreundlich wahrgenommen werden.
- Eingeschränkte Rechtsberatung: Externe Datenschutzbeauftragte dürfen keine rechtliche Beratung zu datenschutzrechtlichen Themen anbieten, wenn sie nicht als DSB des betreffenden Unternehmens benannt sind. Unternehmen müssen daher möglicherweise teure Anwaltskanzleien engagieren, um rechtliche Fragen zu klären.
Wie sollten sich externe Datenschutzbeauftragte nun verhalten?
Externe Datenschutzbeauftragte müssen sich auf die bevorstehenden Änderungen einstellen. Für sie ist es wichtig, ihre Verträge zu überprüfen und gegebenenfalls anzupassen, da Unternehmen, die bisher einen externen DSB benannt haben, den Vertrag kündigen könnten, wenn die neue Regelung ihnen diese Pflicht abnimmt.
Infolgedessen könnten viele externe Datenschutzbeauftragte Kündigungsschreiben erhalten. Trotz dieser Herausforderung können externe Datenschutzbeauftragte weiterhin wertvolle Dienstleistungen in der praktischen Umsetzung von Datenschutzmaßnahmen anbieten, auch wenn sie nicht formell als DSB benannt sind. Sie müssen sich jedoch strategisch positionieren und ihre Dienstleistungen anpassen.
Externe Datenschutzbeauftragte sollten flexibel auf die Änderungen reagieren, ihr fachliches Handwerkszeug und Know-how im Griff haben und gute Kommunikationsmethoden nutzen. Es ist wichtig, die neue Lage als Chance zu begreifen und sich schon heute auf mögliche Änderungen vorzubereiten. Auch wenn die gesetzlichen Änderungen nicht eintreten, kann eine strategische Anpassung der Dienstleistungen und Angebote vorteilhaft sein.
Zudem sollte stets geprüft werden, ob die Benennungspflicht aufgrund der Anzahl der Mitarbeitenden wirklich wegfällt. Alleine die Notwendigkeit der Erstellung einer einzelnen Datenschutz-Folgenabschätzung nach Art. 35 DSGVO löst ebenfalls eine Benennungspflicht aus (siehe oben) – und dies kommt bei Unternehmen relativ häufig vor – z.B. bei der Nutzung von Videoüberwachungsanlagen, interne Meldestellen nach dem Hinweisgeberschutzgesetz, in Bereich der betrieblichen Eingliederung (BEM-Verfahren) oder die Nutzung von künstlicher Intelligenz.
Kündigung bestehender Verträge
Ob ein externer DSB trotz bestehendem Vertrag gekündigt werden kann, hängt von den vertraglichen Vereinbarungen ab. Verträge sollten dahingehend geprüft werden, ob und unter welchen Bedingungen eine vorzeitige Kündigung möglich ist. In vielen Fällen könnten Kündigungsfristen oder Ausgleichszahlungen geregelt sein, die berücksichtigt werden müssen.
Fazit: Datenschutzbeauftragte erst ab 50 Mitarbeitenden?
Die Anhebung der Grenze für die Benennungspflicht eines DSB auf 50 Mitarbeitende bringt für kleinere Unternehmen sowohl Chancen als auch Risiken mit sich. Unternehmen sollten sich gut vorbereiten und gegebenenfalls ihre Datenschutzstrategien anpassen. Externe Datenschutzbeauftragte müssen flexibel auf die Änderungen reagieren und ihre Verträge prüfen, um rechtzeitig auf die neue Regelung reagieren zu können.
Bleiben Sie informiert und passen Sie Ihre Datenschutzmaßnahmen an die aktuellen gesetzlichen Anforderungen an, um langfristig auf der sicheren Seite zu sein.