Datenschutzbeauftragter: Wohl bald keine Pflicht mehr für Kleinbetriebe PSW Group Consulting fordert praxisnahe und risikogerechte Gestaltung der DSGVO
- Anzeigen -
Gut ein Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) gibt es eine wesentliche Neuerung: Der Bundestag verdoppelte den Schwellenwert für die Ernennung eines betrieblichen Datenschutzbeauftragten. Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) hängt nach wie vor von der Anzahl der Mitarbeiter ab, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Ursprünglich hieß es, wenn sich 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, ist ein DSB notwendig. Mit dem neuen Gesetzentwurf wurde dieser Schwellenwert auf 20 Mitarbeiter heraufgesetzt.
Was als Entlastung für kleine Betriebe und Vereine gedacht ist – die Befürworter des neuen Schwellenwerts argumentieren, dass 90 Prozent der Handwerksbetriebe davon profitieren würden und ein massiver Bürokratieabbau möglich sei – sehen Kritiker wie der Bundesdatenschutzbeauftragter Ulrich Kelber darin eine "falsche Maßnahme, die die Wahrung des hohen Datenschutzniveaus in Deutschland ernsthaft gefährden könnte”.
"Wünschenswert wäre es, wenn die Regierung die aktuelle Evaluierung der Datenschutz-Grundverordnung dafür nutzt, den Datenschutz möglichst praxisnah und risikogerecht zu gestalten", meint Patrycja Tulinska, IT-Sicherheitsexpertin und Geschäftsführerin der PSW Group Consulting. Welche Auswirkungen die Gesetzesänderung auf Betriebe in der Praxis hätten, erklärt Tulinska: "Als ständig beschäftigt gilt für den Gesetzgeber derjenige, der permanent für die Kunden- oder Personalverwaltung zuständig ist. Personen, die beispielsweise als Handwerker oder Mitarbeiter in der Produktion lediglich mit Namen und Adressen von Kunden umgehen, beschäftigen sich nicht ständig damit. Die automatisierte Verarbeitung von Daten meint das Erheben, Verarbeiten sowie Nutzen personenbezogener Daten mithilfe von Datenverarbeitungsanlagen. Das können also Computer, Smartphones oder Server, aber auch ein Kopierer sein, wenn er mit einem Speichermedium arbeitet."
Allerdings: Der neue Schwellenwert gilt nicht für Unternehmen, die personenbezogene Daten verarbeiten, die zur Bewertung der Persönlichkeit des Betroffenen, seiner Leistungen oder seines Verhaltens beitragen. "Das beträfe beispielsweise einen Hörgeräteakustiker oder auch einen Orthopädiemechaniker. Personenbezogene Daten werden von ihnen verarbeitet und zur Bewertung des Betroffenen genutzt. Dementsprechend müssen sie auch dann einen Datenschutzbeauftragten ernennen, wenn sie unter dem Schwellenwert liegen", ergänzt Tulinska. Dasselbe gilt für Betriebe, die hoheitliche Aufgaben verfolgen, etwa dem Schornsteinfeger. (PSW Group: ra)
eingetragen: 05.10.19 Newsletterlauf: 07.11.19
PSW Group: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Mehr als vier Jahre hielt der Datenschutzschild stand - nun aber kippte der Europäische Gerichtshof (EuGH) nach einem ebenso langen, länderübergreifenden Rechtsstreit die Privacy-Shield-Vereinbarung zwischen der europäischen Union und den Vereinigten Staaten. Zu groß seien die Unterschiede zwischen dem Datenschutzniveau der EU-Mitglieder und dem der USA. "Mit einem so gut durchdachten, immer wieder verbesserten und allgemeingültigen Richtlinienkatalog wie der DSGVO zeigt sich die Europäische Union deutlich besser vorbereitet als unsere amerikanischen Freunde", meint Jürgen Litz, Geschäftsführer der cobra - computer's brainware GmbH und Experte für Datenschutz. Der Privacy Shield garantierte eine relativ uneingeschränkte Legitimation für sämtliche interkontinentale Datentransfers, egal ob betriebsintern oder über Unternehmensgrenzen hinweg. Von seinem jetzigen Ende unmittelbar betroffen sind rund 5.000 Firmen. Doch wie lässt sich das Urteil der Luxemburger Richter im wirtschaftlichen und politischen Gesamtbild bewerten und welche alternativen Möglichkeiten bieten sich für internationale Unternehmen?
Es ist Aufgabe des Staates, für Sicherheit in einer zunehmend digitalen Welt zu sorgen. In der Corona-Krise zeigt sich, wie sehr die Gesellschaft auf den störungsfreien Betrieb besonders von Krankenhäusern und anderen kritischen Infrastrukturen (z.B. Strom- und Wasserversorgung, Telekommunikation) angewiesen ist. Erst im März 2020 mussten nach einem Cyber-Angriff sämtliche IT-Systeme in der Universitäts-Klinik im tschechischen Brünn heruntergefahren, Operationen abgesagt und Patienten in andere Häuser verlegt werden. Bayerns Justizminister Georg Eisenreich warnt: "Cyber-Angriffe können zu erheblichen Störungen der öffentlichen Sicherheit, zu Versorgungsengpässen oder anderen schwerwiegenden Folgen führen. Im Extremfall - etwa beim Ausfall von Beatmungsgeräten - können Cyber-Angriffe sogar Menschenleben fordern."
In Zeiten von Home Office ändert sich eine Sache ganz entscheidend: Die Kommunikation mit besonderem Augenmerk auf den genutzten Kanal. Sitzen alle im Büro, ist der Weg zu einem persönlichen Gespräch und darin besprochenen Anweisungen des Vorgesetzten nicht weit. Wenn aber alle zu Hause sind, steigt das E-Mail Aufkommen drastisch. Auch Konferenztelefonate nehmen rapide zu. Nun ist dies zunächst einfach eine andere Art miteinander zu sprechen, doch leider steigen damit ebenso die Risiken einer Fehlkommunikation oder aber nutzen Kriminelle diese Unsicherheiten für sich aus. Immer wieder passiert es, dass man etwas falsch einschätzt. Fehlinterpretationen von Situationen und Begebenheiten sind nicht selten. Eine Textnachricht kann oftmals missverstanden werden. Die geschieht leicht, indem die emotionale Betonung des Gegenübers falsch gedeutet wird. Was ist die logische Konsequenz im Business-Alltag? Befolge genau, was geschrieben wurde und frag am besten nicht nach. Doch genau diese Einstellung ist fatal und hat dramatische Folgen, sollte die Nachricht nicht wirklich von der oberen Etage stammen.
Der Bundesrat beriet den Gesetzentwurf der Bundesregierung zur Änderung des Netzwerkdurchsetzungsgesetzes (NetzDG). Bayerns Justizminister Georg Eisenreich hierzu: "Im Kampf gegen Hass im Netz müssen wir Plattformbetreiber stärker in die Pflicht nehmen. Der Gesetzentwurf bringt wichtige Fortschritte. Die Regeln müssen aber für alle gelten - auch für Videoplattformen wie YouTube. Liegt der Unternehmenssitz nicht in Deutschland, würde die allgemeine Löschpflicht nach dem Entwurf eingeschränkt werden. Dieser Rückschritt ist nicht nachvollziehbar. Hier muss nachgebessert werden."
Unabhängig vom konkreten Anlass oder Thema: Sobald Daten eine Rolle spielen, bestimmen sofort Begriffe wie "Sicherheit", "Privatsphäre" und "Datenschutz" die Diskussion. Gleichzeitig gab es allerdings seit ihrem Inkrafttreten im Mai 2018 europaweit bereits über 160.000 Verstöße gegen die Datenschutz-Grundverordnung (DSGVO). Grund genug für einen Appell, die Datenhoheit der eigenen Kunden ernster zu nehmen. Seit Oktober vergangenen Jahres ist Gaia X in der IT-Landschaft und darüber hinaus in aller Munde: Das ambitionierte Cloud-Projekt des Bundeswirtschaftsministers Peter Altmaier hat es sich zur Aufgabe gemacht, eine unabhängige Dateninfrastruktur für den europäischen Raum zu schaffen. Das Ziel dahinter: mehr Sicherheit, Rechte und Vertrauen für die Nutzer, weniger Abhängigkeit von den großen internationalen Cloud-Providern.
