Wer sich als Inhaber einer Physiotherapiepraxis mit der DSGVO beschäftigt, stößt schnell auf die Formulierung der „automatisierten Datenverarbeitung“. Interessant wird die genaue Bedeutung dieser Worte schon bei der Frage, ob der Inhaber einen Datenschutzbeauftragten benennen muss oder nicht. Aber auch an anderen Stellen rätseln Unternehmer, wo diese Verarbeitung anfängt. Wie der Gesetzgeber die Lage definiert und dass sogar ein Post-it unter der Tastatur unter Umständen zum Datenleck werden kann, wissen die wenigsten.

Gesetzliche Vorgaben. Das Bundesdatenschutzgesetz besagt, dass Unternehmen ab 20 Mitarbeitern einen Datenschutzbeauftragten benennen müssen – wenn alle Kolleginnen und Kollegen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die konkrete Formulierung dazu im Bundesdatenschutzgesetz lautet in §38 wie folgt: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 (= DSGVO) benennen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“