skip to Main Content
+49 3591 2766 159 kontakt@novondo.de

Bundestag vereinfacht die Bestellpflicht für Datenschutzbeauftragte in mittelständischen Unternehmen

Am 28.06.2019 verabschiedete der Bundestag das zweite Datenschutzanpassungs- und Umsetzungsgesetz (2. DSAnpUG). Dadurch verringert sich der Aufwand für kleine und mittlere Unternehmen spürbar, da die Bestellpflicht für Datenschutzbeauftragte im Umgang mit personenbezogenen Daten jetzt erst ab einer Anzahl von 20 Mitarbeitern gilt.

Für kleine und mittlere Unternehmen war die alte Fassung des Paragraphen des Bundesdatenschutzgesetzes bisher schwierig umzusetzen. Viele bestellten deshalb externe Datenschutzbeauftragte oder auf den Datenschutz spezialisierte Rechtsanwälte zu hohen monatlichen Kosten. Doch zusätzlich zum juristischen Fachwissen müssen Datenschutzbeauftragte auch betriebswirtschaftlich und IT-seitig up-to-date sein.

Sind kleine Unternehmen mit bis zu 20 Mitarbeitern nun komplett von allen Anforderungen der EU-DSGVO befreit?

Selbstverständlich nicht. Die Änderungen des Gesetzes betreffen nur offene Klauseln der EU-Datenschutz-Grundverordnung. Die grundsätzlichen Anforderungen bleiben bestehen:

  • Erstellung von Datenschutzerklärungen gegenüber Betroffenen
    Alle Betroffenen müssen vor Aufnahme Ihrer personenbezogenen Daten über den Umfang der Verarbeitung informiert werden.
  • Einholung von Einwilligungen
    Gehen Datenverarbeitungen über den geplanten Zweck hinaus, muss dafür eine Einwilligung vom Betroffenen eingeholt werden.
  • Umsetzung von Löschfristen
    Entfällt der Zweck für die Datenerhebung und bestehen keine gesetzlichen oder andere Aufbewahrungsgründe, dann müssen die Daten der Betroffenen gelöscht werden.
  • Umsetzung von technischen und organisatorischen Maßnahmen
    Damit alle Daten nur von dafür berechtigten Personen eingesehen werden können, müssen diese durch technische und organisatorische Maßnahmen geschützt werden.
  • Schließung von Auftragsverarbeitungsvereinbarungen
    Lässt der Verantwortliche personenbezogene Daten im Auftrag verarbeiten, dann muss er dem Auftragsverarbeiter/Dienstleister klare Anweisungen zum Umgang mit seinen Daten geben.

Wie können kleine und mittelständische Unternehmen nun verfahren?

Die in den Unternehmen verantwortlichen Personen sollten den Datenschutz weiterhin mit aller notwendigen Sorgfalt behandeln und die Verarbeitung der Daten sowie die laufenden Kosten im Blick behalten. Für kleine Unternehmen könnte ein jährliches Beratungsgespräch ausreichend sein. In einem solchen Beratungsgespräch können etwa mögliche Änderungen im Umgang mit personenbezogenen Daten erörtert werden.

Eine mögliche Vorgehensweise wäre zum Beispiel:

  1. Identifikation von Prozessen, in denen personenbezogene Daten verarbeitet werden
  2. Prüfung auf etwaige Non-Konformitäten in den Prozessen
  3. Erstellung eines Maßnahmenkataloges
  4. Umsetzung der Maßnahmen nach Ihrer Priorität

    Über die Acronum GmbH

    Wir schöpfen unser Wissen aus langjähriger Erfahrung in deutschlandweiter Tätigkeit in verschiedenen Branchen. Der Grundstock unserer Qualifikation zur Umsetzung dieser anspruchsvollen Aufgabe im Unternehmen bildet ein betriebswirtschaftliches Studium. In wertvollen Seminaren und durch das Erlangen von Best Practices, ist ein Erfolgsmodell zur Vorgehensweise im Unternehmen entstanden, welches sich an die Gegebenheiten im Unternehmen anpasst. Durch regelmäßigen Erfahrungsaustausch in Gremien und Fachverbänden sind unsere Experten immer am Zahn der Zeit. Zu unseren Partnern gehören erfahrene Rechtsanwälte und ein etabliertes IT-Systemhaus.

    Zertifikate:

    • Auditorin für Datenschutz (DSA-TÜV)
    • Information Security Officer (TÜV Nord)
    • Betriebliche Datenschutzbeauftragte (IHK)
    Frau Thomas, Acronum GmbH
    Frau C. Thomas – Auditorin für Datenschutz (DSA-TÜV)
    Back To Top