EU-DSGVO 2018 einfach erklärt: Datenschutzbeauftragter im Kleinbetrieb?

In fast allen Unternehmen muss es einen Datenschutzbeauftragten geben. Einen internen, der wird benannt durch den Arbeitgeber oder einen externen Datenschutzbeauftragten, der natürlich auch vom Arbeitgeber benannt und, Sie ahnen es, auch bezahlt wird. Der hat gegenüber dem Betriebsrat nichts zu melden, also darum geht es nicht, aber der berät und er kontrolliert auch den Arbeitgeber in datenschutzrechtlichen Fragen. Wie sieht es denn jetzt aus in einem Betrieb mit weniger als 10 Mitarbeitern, die automatisiert personenbezogene Daten verarbeiten? Das ist nämlich immer die Schwelle, die man erwähnt, wenn in meinem Betrieb mindestens zehn Mitarbeiter arbeiten, egal wie lange, egal mit welchen Verträgen, die personenbezogene Daten verarbeiten. Dann muss es einen Datenschutzbeauftragten geben. Aber was jetzt in einem kleinen Betrieb? Wir sind insgesamt nur sagen wir neun Leute oder acht. Muss es da auch einen Datenschutzbeauftragten geben? Ja, in sehr vielen Fällen. Die Praxis leider weiß davon oft noch fast nichts. Überprüfen Sie das mal. Schauen Sie mal rein in den wichtigen Artikel 37 DSGVO und wenn Sie schon im Gesetzestext unterwegs sind, schauen Sie auch in den § 38 Bundesdatenschutzgesetz. Was steht da drin? Drei Dinge sollte jeder Betriebsrat wissen. In einem Unternehmen, in dem nach dem Gesetz eine Datenschutz folgenabschätzung notwendig ist, da muss es auch immer einen Datenschutzbeauftragten geben. Diese Datenschutzfolgeabschätzung, das ist eine Abwägung, eine Risikoprognose, die dokumentiert werden muss. Also wenn das notwendig ist, dann brauche ich den, den Datenschutzbeauftragten. Sagen Sie das Ihrem Arbeitgeber. Wichtiger ist noch ein anderer Fall: Dass mein Arbeitgeber geschäftsmäßig, und das machen nun wirklich viele, personenbedingte Daten verarbeitet. Etwa ein Auskunftsdienst. Da werden irgendwelche Kundenprofile erstellt für andere. Da werden Bonitätsprüfungen durch meinen Arbeitgeber vorgenommen für Dritte. Das wäre ein geschäftsmäßiger Umgang mit personenbezogenen Daten. Und auch wenn da ein sehr kleiner Betrieb ist, der das macht, dieser Betrieb braucht auch dann einen Datenschutzbeauftragten. Gibt's da Ausnahmen? Nein, sonst würde ich Ihnen die mitteilen. Und letzter Anwendungsfall, in der Praxis auch relativ häufig: Mein Arbeitgeber, der ein kleiner Arbeitgeber ist, der hantiert mit sehr besonderen Daten. Besondere Kategorien personenbezogener Daten. Gesundheitsdaten zum Beispiel. Also denken Sie an die Arztpraxis. Drei, vier Ärzte, zwei davon angestellt und da werden Gesundheitsdaten dann notwendigerweise verarbeitet. Hier könnte auch ein Datenschutzbeauftragter benannt werden müssen. Geht all das jetzt den Betriebsrat etwas an? Na, ich finde schon! Wir müssen dem Arbeitgeber ja auf die Finger schauen, dass der auch die Gesetze einhält und ein wichtiges Gesetz ist eben das Bundesdatenschutzgesetz und die Datenschutzgrundverordnung. Deswegen müssen wir den Arbeitgeber insoweit kontrollieren, ein bisschen freundlicher gesagt insoweit beraten dürfen.