Jede Firma braucht einen Datenschutz-Profi
Änderungen mit der EU-DSGVO
von Konstantin Pfliegl - 19.10.2017
Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die das geltende Datenschutzrecht in Europa reformieren und vereinheitlichen soll. Laut einer Studie des Software-Anbieters Varonis sind deutsche Unternehmen auf die neuen Vorgaben nicht vorbereitet – ganze 81 Prozent der Unternehmen zweifeln an der fristgerechten Einführung in ihrer Firma. Gleichzeitig betrachten 58 Prozent die Umsetzung nicht als Priorität. Doch laut Art. 35 und 37 der DSGVO gibt es erstmals auch europaweit eine Pflicht zur Bestellung eines Datenschutzbeauftragten.
Art. 37 Abs. 4 ermöglicht es den EU-Mitgliedstaaten, die Voraussetzungen für einen Datenschutzbeauftragten weiter zu konkretisieren. Der deutsche Gesetzgeber hat davon Gebrauch gemacht und §38 des Bundesdatenschutzgesetzes angepasst und erweitert. Der Inhalt entspricht zwar weitgehend §4f des Bundesdatenschutzgesetzes, es findet sich in §38 aber ein Verweis auf die europaweite Datenschutz-Grundverordnung. In Deutschland ändert sich in Bezug auf den Datenschutzbeauftragten daher eigentlich nicht viel: Nach §38 des BDSG besteht auch weiterhin die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn mehr als neun Mitarbeiter ständig mit der automatisierten Datenverarbeitung beschäftigt sind.
Neu hingegen ist die sogenannte Datenschutz-Folgenabschätzung laut Art. 35 der DSGVO. Wenn ein Unternehmen Daten verarbeitet, die einer solchen Folgenabschätzung unterliegen, dann ist unabhängig von der Zahl der damit beschäftigten Mitarbeiter ein Datenschutzbeauftragter zu bestellen. Diese Datenschutz-Folgenabschätzung ist im Grunde aber nichts anderes als die im BDSG festgelegte Vorabkontrolle.