BvD: „Wichtige Säule des Datenschutzes wird demontiert“

Datenschutz-Beauftragte warnen vor Folgen der EU-Datenschutzverordnung

Seite: 2/5

2. EU-Niederlassungen von US-Unternehmen zukünftig ohne Datenschutz

Unternehmen, die personenbezogenen Daten geschäftsmäßig verarbeiten – wie beispielsweise Callcenter, Adressmakler, IT-Outsourcer oder auch Internetdienstleister wie Google und Facebook (Deutschland bzw. Irland) – sind zukünftig nicht mehr verpflichtet, einen Datenschutzbeauftragten zu bestellen. Diese Art von Unternehmen sind aber genau diejenigen, die bislang in Deutschland die Mehrzahl der Datenschutzskandale verursacht haben und zu deren Geschäftsfeld Datenschutz zwingend dazu gehören muss.

Die neue Bestellpflicht blendet diese risikoreichen und kritischen Verarbeitungen vollständig aus. Die neue Regelung ist daher ungeeignet, etwas zum Datenschutz beizutragen. Sie ist inhaltlich verfehlt. Im Ergebnis fehlt gerade diesen Unternehmen die wirksame Kontrolle über die Verarbeitung.

Da zahlreiche Niederlassungen von Nicht-EU Unternehmen weniger als 250 Mitarbeiter aufweisen, wird der schlechte Datenschutzstandard von US-Unternehmen oder anderer Nicht-EU-Unternehmen in deren Niederlassungen „exportiert“. Es bleibt zu hinterfragen, ob die Datenschutzverordnung Datenschutz bezwecken oder verhindern soll.

3. Auftragsdatenverarbeiter zukünftig ohne Datenschutz

Unternehmen aller Art lagern bestimmte datenschutzkritische Verarbeitungsvorgänge wie Adresserwerb, Gehaltsabrechnung, Kundenscoring, Versand, Unternehmenssicherheit (z.B. Videoüberwachung) oder IT-Betreuung aus. Mit der neuen Datenschutzverordnung würden diese externen Dienstleister bezüglich der Verarbeitungen fremder Daten von der Eigenkontrolle befreit.

Schlimmer noch: große Unternehmen, die einen Datenschutz-beauftragten bestellen müssten, könnten die kritischen Verarbeitungsvorgänge auf Kleinunternehmen auslagern, die selbst keine eigenen Kontrollinstrumente aufweisen und damit der direkten Kontrolle des Datenschutzbeauftragten entziehen. Damit wird die Kontrolle in der Praxis erst recht ausgehebelt. Eine staatliche Kontrolle ist dafür gänzlich ungeeignet, da diese die realen Probleme gar nicht erfassen kann.

Der BvD plädiert daher für eine konsequente Bestellungsverpflichtung für Unternehmen, die personenbezogene Daten im Auftrag verarbeiten. Dies stellt für die Unternehmen ein Qualifikationsmerkmal zur Verarbeitung fremder Daten dar und sichert die Betroffenenrechte in diesem größten Bereich der personenbezogenen Datenverarbeitung.

Inhalt

  • Seite 2: Kritische Unternehmen ohne Datenschutz

(ID:30897250)