Deutsche Unternehmen müssen künftig nur noch einen Datenschutzbeauftragten bestellen, wenn mindestens 20 Beschäftigte ständig automatisiert personenbezogene Daten verarbeiten. Bisher greift die Bestellpflicht bereits, wenn zehn Mitarbeiter mit der Datenverarbeitung betraut sind. Die Änderung findet sich im "Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU" (DSAnpUG), dem der Bundesrat am 20. September 2019 zugestimmt hat. 

Mit dem Gesetz werden zahlreiche nationale Vorschriften an die seit Mai 2018 EU-weit gültige Datenschutzgrundverordnung (DSGVO) angepasst. Die entschärfte Pflicht zur Benennung eines Datenschutzbeauftragten spielt für die tägliche Unternehmenspraxis die wohl wichtigste Rolle. Finanzvertriebe oder Vermögensverwalter, bei denen tatsächlich mehr als neun, aber weniger als 20 Beschäftigte personenbezogene Daten verarbeiten, profitieren von der Erleichterung allerdings nicht. Denn sie verarbeiten andauernd sensible Informationen zum Vermögen ihrer Kunden. 

Dem Thema nicht entziehen
"Aufgrund der Schutzklasse dieser Daten brauchen wir auch dann einen Datenschutzbeauftragten, wenn weniger als zehn, künftig weniger als 20 Beschäftigte personenbezogene Daten verarbeiten", sagt Christine Mühlberger, Datenschutzbeauftragte beim Vermögensverwalter Michael Pintarelli Finanzdienstleistungen aus Wuppertal. "Wenn sich jemand, mit welcher Argumentation auch immer, diesem Thema entzieht, wird es kritisch", mahnt sie.

Ob die Pflicht, in jedem Fall einen Datenschutzbeauftragten zu benennen, auch Finanzberater und Versicherungsmakler trifft, ist nicht so eindeutig geregelt. Gerade wenn Makler Policen vermitteln, die biometrische Risiken absichern, sprechen die besonders geschützten Angaben zur Gesundheit von Kunden zunächst einmal dafür. "Allerdings hat der Gesetzgeber Ausnahmen vorgesehen, die beispielsweise für Ärzte gelten", sagt Oliver Pradetto, Geschäftsführer des Lübecker Maklerpools Blau Direkt. Diese besagen, dass das reine Ausfüllen eines Antrags mit Gesundheitsangaben nicht als Verarbeitung von Daten im Sinne des Gesetzes anzusehen ist.

Hohes Haftungsrisiko
"Die Mehrheit der Landesdatenschutzbehörden kommen daher zu dem Ergebnis, dass auch Makler im Normalfall nicht mit der Verarbeitung sensibler Daten befasst sind, und somit nicht in jedem Fall einen Datenschutzbeauftragten benötigen", sagt Pradetto. Allerdings vertreten nicht alle Landesdatenschutzbehörden diese Ansicht. Vor allem aufgrund der fehlenden Rechtssicherheit empfiehlt Pradetto Vermittlern, über einen Datenschutzbeauftragten nachzudenken. "Es gibt sowieso umfassende Pflichten, die im Datenschutz zu erledigen sind", sagt er. "Das bedeutet viel Arbeit für den Makler und ein hohes Haftungsrisiko." Bei Blau Direkt können angeschlossene Vermittler gegen ein Entgelt die Dienstleistungen eines externen Datenschutzbeauftragten in Anspruch nehmen.

Auch ohne gesetzliche Verpflichtung einen Datenschutzbeauftragten zu bestellen, kann eine gute Idee sein. Immerhin zeigt eine aktuelle Studie des Capgemini Research Institutes, dass nur 33 Prozent der deutschen Unternehmen die DSGVO nach eigenen Angaben vollständig umsetzen. Eine lückenhafte Umsetzung kann künftig aber enorm teuer werden. "Die Datenschutzbehörden stehen kurz davor, ein Modell zur Berechnung von Bußgeldern zu verabschieden", berichtet Christine Mühlberger.

Nicht am falschen Ende sparen
"Die Berechnung der Bußgelder wird sehr komplex und orientiert sich in erster Linie am Umsatz eines Unternehmens", erklärt sie. Das führe zu deutlich höheren Bußgeldern als bisher verhängt, sodass Firmen sogar in ihrer Existenz gefährdet werden könnten. Am Datenschutzbeauftragten zu sparen, sei daher keine gute Strategie. (am)