Viele kleine und mittlere Unternehmen atmen auf, wenn sie hören: „Für uns besteht keine Pflicht zur Benennung eines Datenschutzbeauftragten.“ Doch Vorsicht: Nur, weil keine Benennungspflicht besteht, heißt das noch lange nicht, dass man beim Datenschutz die Füße hochlegen kann.
Hintergrund ist die aktuelle Diskussion im politischen Berlin. Im Koalitionsvertrag ist vorgesehen, die Zahl gesetzlich vorgeschriebener Betriebsbeauftragter zu reduzieren – darunter fällt möglicherweise auch der betriebliche Datenschutzbeauftragte. Noch ist unklar, ob und wie sich dies konkret auf die geltende Pflicht zur Benennung bei mehr als 20 datenverarbeitenden Beschäftigten (§ 38 BDSG) auswirkt.
Was aber klar ist – und das betont auch die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD): Die Einhaltung der DSGVO ist nicht verhandelbar. Und damit liegt die Verantwortung bei der Unternehmensleitung. Ganz gleich, ob ein Datenschutzbeauftragter benannt wurde oder nicht.
Datenschutz muss trotzdem organisiert werden
Auch in Unternehmen, die keinen Datenschutzbeauftragten benennen müssen, gilt: „Somebody has to do the job.“ Mit anderen Worten: Jemand muss sich kümmern. Denn die Aufgaben rund um Datenschutz verschwinden nicht – sie müssen lediglich anders verteilt werden.
Die Leitung eines Unternehmens muss also sicherstellen, dass die Einhaltung aller datenschutzrechtlichen Vorgaben gewährleistet ist. Dazu gehört:
die Schulung von Mitarbeitern im Umgang mit personenbezogenen Daten
die Beratung bei Datenschutzfragen oder -vorfällen
die Erstellung und Pflege von Verarbeitungsverzeichnissen
und vieles mehr – bis hin zur Kommunikation mit Aufsichtsbehörden und betroffenen Personen.
In Unternehmen ohne einen Datenschutzbeauftragten muss diese Verantwortung klar geregelt und intern zugewiesen werden. Hierfür braucht es Fachwissen – entweder intern aufgebaut oder extern eingekauft.
Freiwillige Benennung als Lösung
Ein praktischer Weg kann sein, auch ohne gesetzliche Pflicht, freiwillig eine geeignete Person als Datenschutzbeauftragten zu benennen. Das schafft Struktur, entlastet die Geschäftsleitung und sorgt für klare Zuständigkeiten. Wichtig zu wissen: Wer freiwillig benannt wird, unterliegt den gleichen Aufgaben und Pflichten wie gesetzlich benannte Datenschutzbeauftragte gemäß Art. 37 ff. DSGVO – allerdings ohne den besonderen Kündigungsschutz.
Alternativ lässt sich die Rolle auch anders benennen, z. B. als „Datenschutzmanager“ oder „Datenschutzkoordinator“, wenn man die formalen Vorgaben aus Art. 37 DSGVO bewusst umgehen möchte. Auch das kann ein gangbarer Weg sein, um Datenschutzkompetenz im Unternehmen zu verankern – flexibel, aber dennoch wirksam.
Fazit: Verantwortung bleibt – egal ob mit oder ohne DSB
Der Verzicht auf einen Datenschutzbeauftragten ist kein Freifahrtschein. Wer personenbezogene Daten verarbeitet, muss die DSGVO einhalten – in jedem Fall. Für Unternehmen ohne Benennungspflicht bedeutet das: Die Leitung muss die Aufgaben erkennen, klar zuweisen und die Umsetzung wirksam steuern.
Denn: „Datenschutz ist Grundrechtsschutz“
Wer hier auf Nummer sicher gehen will, ist mit einer freiwilligen Benennung gut beraten – oder sollte sich zumindest professionelle Unterstützung an Bord holen. Denn Datenschutz bleibt ein Thema – mit oder ohne offiziellen Beauftragten.
Wenn Sie Hilfe oder ganz einfach nur eine Meinung einholen möchen, rufen Sie mich gerne an.