Wer sich mit dem Datenschutz intensiver befasst, wird feststellen, dass auch die Aufsichtsbehörden nicht vollständig auf die Einführung der DSGVO am 25.5.2018 vorbereitet waren. So sind bei einigen der Aufsichtsbehörden die elektronischen Verfahren für die Meldung des benannten Datenschutzbeauftragten nicht fertig eingerichtet.

Jede Firma, die einen Datenschutzbeauftragten benennen muss, muss diesen auch der zuständigen Aufsichtsbehörde melden. Das betrifft hunderttausende von Firmen bundesweit. In verschiedenen Bundesländern wurde den Datenschutzbeauftragten Ende Mai mitgeteilt, dass das Verfahren nicht fertiggestellt und eine Meldung derzeit nicht möglich sei. Von einer schriftlichen Meldung solle Abstand genommen werden.

Auch diese Frage verursacht offensichtlich einige Schwierigkeiten in den Unternehmen. Warum? Weil es neben der gesetzlichen Regelung aus Art. 37 DSGVO in Verbindung mit § 38 BDSG noch verschiedene offene Fragen gibt. Die Grundregel lautet, dass Unternehmen einen Datenschutzbeauftragten benennen, "soweit sie in der Regel mindestens zehn Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen".

So wird gezählt

In vielen Immobilienfirmen hält sich hartnäckig der Gedanke, dass die Geschäftsleitung nicht dazu zählt. Acht Mitarbeiter und zwei Mitglieder der Geschäftsführung würden demnach nicht zur Pflicht der Benennung eines Datenschutzbeauftragten führen. Weit gefehlt. Selbstverständlich haben Geschäftsführer Zugriff auf die dort verarbeiteten personenbezogenen Daten. Die Frage, ob eine Geschäftsführung "beschäftigt" ist, spielt im Sozialversicherungs- und im Arbeitsrecht eine Rolle, führt jedoch nicht dazu, dass die Geschäftsführung aus der Zählung der Personen ausgenommen werden kann.

Zudem geht das Datenschutzrecht davon aus, dass nach "Köpfen" gezählt wird und nicht nach der Anzahl der Vollzeitstellen. Auch Teilzeitstellen, Mini-Jobs und die freien Mitarbeiter, Handelsvertreter oder Lizenznehmer eines Unternehmens zählen in die Rechnung der "mindestens zehn Personen" hinein, wenn sie regelmäßig mit der Verarbeitung der personenbezogenen Daten beschäftigt sind.

Wann ist das der Fall? In jedem Fall, wenn sie einen eigenen Account in der Customer Relationship Management Software haben und Kundendaten eingeben, abrufen können. Werden in den Unternehmen alle Kundendaten etwa in Outlook gepflegt und eingegeben und haben alle Mitarbeiter via PC, Laptop, Mobile Devices oder Remotezugang Zugriff auf diese Daten, dann zählen diese Personen dazu.