Für wen gilt das
Bundesdatenschutzgesetz?
Das Bundesdatenschutzgesetz (BDSG) gilt nach § 1
Abs. 2 Nr. 3 BDSG für alle "nicht öffentlichen Stellen".
Das sind:
- juristische Personen (AG, GmbH, Vereine
etc.),
- Personengesellschaften (GbR etc.),
- nicht rechtsfähige Vereinigungen
(Gewerkschaften, politische Parteien etc.) sowie
- natürliche Personen (Ärzte, Architekten,
Rechtsanwälte, Freiberufler etc.),
soweit sie personenbezogene Daten automatisiert,
also unter Einsatz von Datenverarbeitungsanlagen erheben,
verarbeiten oder nutzen.
Unter
Datenverarbeitungsanlagen ist auch jeder PC zu verstehen.
Das BDSG gilt aber auch beim Einsatz nicht automatisierter
Dateien, d.h. Sammlungen personenbezogener Daten, die gleichartig
aufgebaut und nach bestimmten Merkmalen zugänglich sind und
ausgewertet werden können, z.B. alphabetische
Visitenkartensammlungen.
Die Begriffe der
Erhebung, Verarbeitung oder Nutzung umfassen die Beschaffung von
Daten über den Betroffenen, das Speichern, Aufbewahren, Verändern,
Übermitteln, Sperren, Löschen und jede sonstige Verwendung
personenbezogener Daten.
Nach BDSG müssen Unternehmen, die personenbezogene Daten
automatisiert verarbeiten und mehr als 9 Personen mit der
Datenverarbeitung beschäftigen, binnen eines Monats nach Beginn der
Datenverarbeitung einen DSB bestellen (§4f BDSG).
Bestellt werden darf nur eine Person, die gemäß §4f Abs. 2 BDSG die
zur Erfüllung ihrer Aufgaben nötige Fachkunde und Zuverlässigkeit
besitzt. Die Fachkunde beinhaltet dabei sowohl ein fundiertes
juristisches Spezialwissen (Datenschutzrecht) als auch das
entsprechende IT-Wissen.
Was bedeutet, mindestens 9 Personen?
Die Diskussion um diesen Schwellenwert, also die
Anzahl Mitarbeiter in einem Unternehmen, ab der ein
Datenschutzbeauftragter zu bestellen ist, hat dazu geführt, das
deutlich mehr Unsicherheit herrscht, wann und für wen das BDSG gilt.
Die oben genannte Scheindebatte geht an der Realität im Datenschutz
vollkommen vorbei. Angesichts der erheblichen Vorteile, die durch
einen professionellen Datenschutzbeauftragten entstehen können,
besitzt die Frage des Schwellenwertes kaum eine praktische
Bedeutung. Das Bundesdatenschutzgesetz (sowie alle weiteren Gesetze
und Verordnungen zum Datenschutz) gilt für jedes Unternehmen
und jede Stelle, die personenbezogene Daten verarbeitet ganz
unabhängig davon, wie viele Mitarbeiter damit befasst sind.
Lediglich dann, wenn mehr als neun Personen regelmäßig damit befasst
sind, muss ein Datenschutzbeauftragter bestellt werden. Bei neun
oder weniger Personen ist der Leiter der verarbeitenden
Stelle selbst verantwortlich. Das ist in der Regel der
Geschäftsführer oder Inhaber. Er selbst muss sich mit dem Gesetz
auseinander setzen und die Einhaltung gewährleisten und er selbst
haftet bei Verstößen. An dieser Pflicht hat sich nichts geändert.
Aus der Sicht eines Unternehmers, der sich voll und ganz mit den
Dingen beschäftigen will, die sein Unternehmen erfolgreich machen,
ist das keine Verbesserung. Daher entscheiden sich viele
erfolgreiche Unternehmen nach wie vor dafür, sich in diesem Bereich
professionell unterstützen zu lassen, um sich selbst auf die
Kernaufgaben zu fokussieren.