Hotels weiterhin in der Pflicht zur Benennung eines Datenschutzbeauftragten

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich in einer Entschließung vom 23. April 2019 gegen die Abschaffung der Datenschutzbeauftragten ausgesprochen.

Voran gegangen war am 02. April 2019 ein Antrag auf Entschließung des Landes Niedersachsen, indem u.a. folgende Forderung angeführt wurde:

„Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4 f Abs. 1 S. 4 BDSG a. F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.“

www.bundesrat.de

Keine Abschaffung der Datenschutzbeauftragten

Mit dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 23. April 2019 spricht sich die DSK nun

„gegen eine Abschaffung oder Verwässerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen der Pflicht zur Benennung einer oder eines Datenschutzbeauftragten aus“

und sieht damit auch weiterhin keine Abschaffung der Datenschutzbeauftragten vor.

Datenschutzvorschriften gelten für alle

Gerade kleine und mittelständische Hotels berufen sich beim Thema Datenschutzbeauftragter immer wieder gerne auf § 38 Abs. 1 BDSG n.F. wonach „der Verantwortliche […] einen Datenschutzbeauftragten benennt, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“

Was leider dabei immer wieder vergessen wird ist der Umstand, dass auch ohne Benennung eines Datenschutzbeauftragten alle weiteren Datenschutzvorschriften der DSGVO und des BDSG n.F. zu befolgen sind. Datenschutzvorschriften gelten für alle Unternehmen gleichermaßen. Ob das Unternehmen nun einen Datenschutzbeauftragten benannt hat oder nicht spielt hierbei keine Rolle.

Sobald personenbezogene Daten – also „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art. 4 Abs. 1 DSGVO) – in einem Unternehmen verarbeitet werden, gelten für dieses Unternehmen sowohl die Vorschriften gem. DSGVO als auch – bei Sitz in Deutschland – gem. BDSG n.F.

Hotels verarbeiten Tag für Tag personenbezogene Daten. Die ihrer Gäste und die ihrer Mitarbeiter.

Gerade als Unternehmen ohne Datenschutzbeauftragten tun Sie also gut daran, sich externe Unterstützung zu nehmen. Auch Sie kann eine Kontrolle durch die zuständige Landesbehörde für Datenschutz treffen. Auch Sie kann jederzeit eine Datenpanne ereilen, zu deren Meldung Sie gem. Art. 33 DSGVO verpflichtet sind – und zwar binnen 72 Stunden.

Aufweichung der Benennungspflicht würde mittelfristig schaden

Die Begründung der DSK ist daher mehr als einleuchtend, denn sie argumentiert ihren Beschluss damit, die Pflicht zur Benennung eines Datenschutzbeauftragten habe sich

„seit vielen Jahren bewährt und ist deshalb auch bei der Datenschutzreform im deutschen Recht beibehalten worden“.

Weiterhin heißt es in der Entschließung:

„Die Datenschutzbeauftragten sorgen für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten. Dies hat sich ganz besonders bei der Umstellung auf die Datenschutz-Grundverordnung bewährt.

Auch beim Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten bleiben die Pflichten des Datenschutzrechts bestehen. Verantwortliche verlieren jedoch interne Beraterinnen und Berater zu Fragen des Datenschutzes. Der Wegfall mag kurzfristig als Entlastung empfunden werden. Mittelfristig geht interne Kompetenz verloren.

Eine Aufweichung dieser Benennungspflicht, insbesondere für kleinere Unternehmen und Vereine, wird diese daher nicht entlasten, sondern ihnen mittelfristig schaden.“

www.datenschutzkonferenz-online.de

Hinweis: Die Datenschutz-News dienen lediglich dem unverbindlichen Informationszweck, stellen keine Rechtsberatung dar und verstehen sich somit ohne Gewähr auf Richtigkeit und Vollständigkeit.

(Foto: unsplash.com/@d_che)

2019-09-10T11:07:14+01:007. Mai 2019|