Vergangene Woche hat der Bundestag ein Gesetz verabschiedet, das vorsieht, dass deutlich weniger Unternehmen als bisher einen Datenschutzbeauftragten stellen müssen. Waren bislang alle Unternehmen mit zehn und mehr Mitarbeitern hierzu verpflichtet, wird die Grenze in Zukunft auf 20 Mitarbeiter angehoben. Es geht dabei um Unternehmen, in denen sich „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“ – so heißt es in Paragraf 38 des Bundesdatenschutzgesetzes.

Doch was auf den ersten Blick nach einer Erleichterung für viele Unternehmen der Digitalwirtschaft klingt, könnte sich als Trugschluss erweisen und im schlimmsten Fall richtig teuer werden. Denn die Gesetze zur Einhaltung des Datenschutzes haben sich dadurch ja nicht geändert. Viele kleinere Unternehmen, insbesondere im E-Commerce, wo naturgemäß viele personenbezogene Daten verarbeitet werden, haben das Problem in der Vergangenheit mit externen Datenschutzbeauftragten gelöst, die man für einen vergleichsweise überschaubaren Betrag (verglichen mit den Forderungen, die auf einen zukommen, wenn man datenschutzrechtlich danebengreift) buchen kann. Das sollten Unternehmenslenker auch beibehalten, wenn sie nicht riskieren wollen, dass auf den Inhaber Haftungsrisiken zukommen, die schnell existenzbedrohend sein können.

Ähnlich sieht das auch der Bundesdatenschutzbeauftragte Ulrich Kelber. „Spätestens, wenn man aufgrund des fachlichen Kompetenzverlusts mittelfristig teures externes Wissen einkaufen muss oder sich wegen Datenschutzverstößen der Bußgeldforderung der Aufsichtsbehörde gegenüber sieht, wird man sehen, dass man am falschen Ende gespart hat.“ Damit ist der Entwurf, der noch durch den Bundesrat muss, nicht mehr als eine scheinbare Vereinfachung. Denn an den Gesetzen hat sich nichts geändert.

Weniger riskant ist die Sache möglicherweise für Unternehmen, bei denen das Risiko gering ist, dass sie über personenbezogene Daten stolpern – also beispielsweise der Handwerker der Offline-Welt, der sich in Zukunft den Datenschutzbeauftragten sparen wird, weil er in wenige Situationen kommt, in denen er rechtlichen Ärger befürchten muss. Doch Juristen würden einwenden, dass gerade der meist wenig Ahnung hat, was datenschutzrechtliche Fallstricke sind.

Doch beispielsweise Apothekern oder Dienstleistern im Gesundheitsbereich, für die die Erhöhung der Zahl der relevanten Mitarbeiter in vielen Fällen auch dazu führt, dass sie keinen Datenschutzbeauftragten mehr stellen müssen, ist dringend zu empfehlen, dies dennoch zu tun, weil sie naturgemäß schnell mal in die Situation kommen können, haftbar gemacht zu werden. Und dabei geht es schnell um sehr persönliche Daten. Besonders riskant ist all das übrigens für Einzelunternehmer, die in vielen Fällen auch mit ihrem Privatvermögen haften. Und gerade die fielen ja auch bereits vorher nicht unter die Verpflichtung, sich durch einen Datenschutzbeauftragten beraten und vertreten zu lassen.

Das könnte dich auch interessieren:

• Facebook veröffentlicht erstmals seine Datenschutzgrundlagen
• DSGVO: Wie gut die großen Onlineshops wirklich gerüstet sind