Ab wie vielen Beschäftigten braucht ein Unternehmen einen Datenschutzbeauftragten? Eigentlich war die CDU-Initiative, §38 Bundesdatenschutzgesetz abzuschaffen, im April 2024 im Sande verlaufen – so dachte man. Der Paragraph regelt unter anderem, dass ein Datenschutzbeauftragter benannt werden muss, soweit ein Unternehmen „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.“
Nun wurde das Vorhaben wieder aus der Mottenkiste geholt und die Ampel-Koalition beabsichtigt zwar keine Abschaffung, aber eine Anhebung der Notwendigkeit eines DSB auf Unternehmen mit mindestens 50 Beschäftigten. Jetzt läuft das Projekt unter dem Deckmantel der „Wachstumsinitiative“ (Abschnitt II, Punkt 13c), um den bürokratischen Aufwand bei der Anwendung datenschutzrechtlicher Anforderungen zu reduzieren.
Allerdings hat sich nichts daran geändert, dass unabhängig von der Größe eines Unternehmens und auch unabhängig von der Existenz eines Datenschutzbeauftragten natürlich die DSGVO trotzdem gilt und eingehalten werden muss. Und dass es dazu natürlich auch weiterhin fachkundige Leute braucht…
Und außerdem muss, völlig unabhängig von der Anzahl der Beschäftigten nach § 38 Abs. 1 S. 2 BDSG, ein Datenschutzbeauftragter auch dann benannt werden, wenn Datenverarbeitungen stattfinden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordern – gerade mit immer mehr KI im Einsatz wird der letzte Fall gerade zunehmend zum Standard.
Bisher ist es nur ein Absichtspapier und der Bundestag ja auch noch in der Sommerpause – wir werden sehen, was aus dem Vorhaben wird…