Am 25. Mai 2018 ist es so weit. Die neue Datenschutzgrundverordnung (DSGVO) tritt in Kraft. Da ich selbst über den Kleinunternehmer-Status verfüge und mich dazu überwiegend in der Online-Welt bewege, habe auch ich mich mit der DSGVO auseinandersetzen müssen. Die am Ende entscheidende Frage für mich: Braucht ein Kleinunternehmer einen Datenschutzbeauftragten oder nicht?
Betrifft Kleinunternehmer die Datenschutzgrundverordnung?
Auch wenn viele Menschen die ein Unternehmen (oder Kleinunternehmen) führen, die Annahme haben, die DSGVO würde Sie nicht betreffen, irren Sie sich leider. Die Regelungen der DSGVO betreffen tatsächlich JEDES Unternehmen, das personenbezogene Daten verarbeitet oder diese speichert.
Hierbei sind die “personenbezogenen Daten” sehr vielfältig. Egal ob beispielsweise Kundendaten, die eMail-Adresse für den Newsletter, Cookies oder auch die gespeicherte IP-Adresse beim Nutzer-Tracking – All das sind personenbezogene Daten.
Wie Sie sehen, werden vermutlich auch Sie sich mit diesem Thema auseinandersetzen müssen, um diese Daten zu schützen, den Nutzer zu informieren und sich an geltendes Recht zu halten.
Für den Einstieg in die Regelungen und Änderungen der DSGVO empfehle ich die Themenseite zur DSGVO von eRecht24.
Je nach Unternehmensgröße und die Art der gespeicherten oder verarbeiteten Daten, die Sie in Ihrem Unternehmen nutzen, benötigen Sie neben den entsprechenden Dokumentationen und der Umsetzung der Datensicherheit, einen Datenschutzbeauftragten (kurz: DSB).
Braucht der Kleinunternehmer einen Datenschutzbeauftragten?
Nachdem ich mich mit den notwendigen Anpassungen, die durch die DSGVO auf mich zukommen, beschäftigt hatte, stieß ich immer wieder auf den Hinweis des Datenschutzbeauftragten.
Da für mich leider nicht ersichtlich war, ob ein Kleinunternehmer ebenfalls einen Datenschutzbeauftragen stellen muss, habe ich mich weitestgehend informiert.
Nachdem ich die Suchmaschine befragt hatte und mir immer noch nicht sicher war, entschloss ich mich dem LDI (Landesbeauftrage für Datenschutz und Informationsfreiheit) sowie dem Händlerbund diese Frage zu stellen.
In beiden Fällen bekam ich folgende Antwort: Ein Datenschutzbeauftragter muss nicht gestellt werden, es sei denn einer der folgenden Fälle trifft zu:
Auszug der Antwort des Händlerbundes:
- Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die nach ihrem Zweck oder ihrem Umfang eine umfangreiche, regelmäßige und systematische Überwachung der Betroffenen erforderlich macht oder
- Es werden besonders sensible Kategorien von Daten (z.B. Gesundheitsdaten) verarbeitet oder
- Im Unternehmen sind mindestens 10 Personen ständig mit der Datenverarbeitung betraut.
Die Antwort vom LDI NRW:
- Es sind regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG-neu)
- Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit. a DS-GVO)
- Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 lit. c DS-GVO)
- Es ist eine Datenschutz-Folgenabschätzung durchzuführen (§ 38 Abs. 1 Satz 2 BDSG-neu)
- Die Kerntätigkeit ist die umfangreiche oder systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. c DS-GVO)
An dieser Stelle vielen Dank an die Landesbeauftragte für Datenschutz und Informationssicherheit NRW sowie an den Händlerbund für die schnelle und sachliche Bearbeitung meiner Anfrage.
In vielen Fällen braucht der Kleinunternehmer keinen DSB aber,…
Nach ausführlicher Recherche müssen zum aktuellen Zeitpunkt für “kleine” Onlineshops, kleine Nebengewerbstätigkeiten oder Webdesigner & andere Kleinunternehmer keinen Datenschutzbeauftragten stellen. Und auch wenn ich diese ausführlichen Antworten zu diesem Thema erhalten habe, möchte ich verdeutlichen: Ich bin kein Anwalt und übernehme keine Garantie zur Richtigkeit dieser Angaben.
Diese Angaben könnten sich in der Zukunft auch wieder ändern.
Wenn Sie sich nicht sicher sind, ob in Ihrem Fall ein Datenschutzbeauftragter zu stellen ist und Sie vielleicht einen der o.g. Fälle erfüllen, sollten Sie einen Anwalt hinzuziehen oder intensive Recherchearbeit betreiben.