Bis spätestens 25. Mai 2018 ist die Datenschutz-Grundverordnung der EU (DS-GVO) in jedem Betrieb umzusetzen. Dabei spielt es überhaupt keine Rolle, ob das Unternehmen hunderte Mitarbeiter beschäftigt oder lediglich aus dem Betriebsinhaber besteht.
Wie bei anderen Rechtsnormen auch, hat man sich an Recht und Gesetz zu halten, also auch an die Datenschutz-Grundverordnung. Die Umsetzung dieser Verordnung verpflichtet den Betriebsinhaber zu umfassenden Änderungen seiner Organisation und zur Dokumentation datenschutzrechtlich relevanter Vorgänge.
Datenschutzbeauftragter
Ab einer Betriebsgröße von zehn Mitarbeitern (mit irgendeinem Zugang zu personenbezogenen Daten von Mitarbeitern, Kunden, Lieferanten, Behörden, Geschäftspartnern u.a.) ist ein betrieblicher Datenschutzbeauftragter zu bestellen. Unter besonderen Umständen (z.B. bei Arztpraxen aufgrund der zu verwaltenden Gesundheitsdaten) kann dies auch bei einer geringeren Mitarbeiterzahl schon der Fall sein. Mitarbeiter in diesem Sinne sind „Köpfe“, ungeachtet des Vertragsverhältnisses, also auch Inhaber/Geschäftsführer, freie Mitarbeiter, im Unternehmen tätige Dienstleister (Reinigung) und natürlich Arbeitnehmer.
Pflicht zur Bestellung ab zehn Mitarbeitern
Aus diesem Umstand hat sich häufig der fehlerhafte Gedanke entwickelt, bis zu einer Größe von zehn Mitarbeitern seien datenschutzrechtliche Vorgaben nicht zu beachten. Dies ist nicht richtig. Der Gesetzgeber fordert vielmehr aufgrund der Brisanz des Datenschutzrechts ab einer bestimmten Betriebsgröße, dass auch im Unternehmen eine verantwortliche Person auf die Einhaltung datenschutzrechtlicher Vorgaben drängt, den Betriebsinhaber bzw. Geschäftsführer entsprechend berät und als Ansprechpartner für die Datenschutzbehörde (Der Sächsische Datenschutzbeauftragte) zur Verfügung steht.
Dieser betriebliche Datenschutzbeauftragte kann intern oder extern bestellt und benannt werden. Ein Interessenkonflikt muss ausgeschlossen werden, weshalb der Betriebsinhaber/Geschäftsführer und der IT-Verantwortliche nicht in Betracht kommen.
Erhebliche Sanktionen
Bei Verstößen gegen datenschutzrechtliche Bestimmungen drohen Abmahnungen und Bußgelder in erheblichem Umfang (nach dem Gesetzeswortlaut soll das Bußgeld „abschreckend“ wirken).
Gern berate ich Sie.
Ihr Rechtsanwalt Andreas Hahnewald