BvD: „Wichtige Säule des Datenschutzes wird demontiert“ Datenschutz-Beauftragte warnen vor Folgen der EU-Datenschutzverordnung

Autor / Redakteur: Thomas Spaeing, BvD-Vorsitzender / Stephan Augsten

Der Datenschutz in Deutschland und in Europa muss modernisiert werden, daran zweifelt der Bundesverband der Datenschutzbeauftragten nicht. Doch der jüngst bekannt gewordene Entwurf der neuen EU-Datenschutzverordnung bedeute einen gewaltigen Rückschritt für Deutschland. Auf Security-Insider.de lesen Sie alle Kritikpunkte des Verbandes.

Der BvD kritisiert den jüngsten Entwurf der europäischen Datenschutzverordnung.
Der BvD kritisiert den jüngsten Entwurf der europäischen Datenschutzverordnung.

Sowohl der deutsche Gesetzgeber als auch die EU-Kommission arbeiten an Entwürfen eines neuen Datenschutzes. Da die Datenschutzrichtlinie von 1995 uneinheitlich und oft nur mit nationalen Alibi-Gesetzen umgesetzt wurde, plant die EU-Justizkommissarin Viviane Reding jedoch nicht nur eine inhaltliche Änderung.

Vielmehr soll die neue EU-Verordnung für alle Mitgliedsstaaten verbindlich sein, muss also zwingend in nationales Recht umgesetzt werden. Daher gilt es, einen konsensfähigen Kompromiss zu finden, der von allen unterzeichnet werden kann.

Der bekannt gewordene Entwurf der neuen EU-Datenschutzverordnung beinhaltet zwar viele neue Ansätze, die geeignet sind, dem Datenschutz in Europa ganz neue Impulse zu geben. Allerdings beinhaltet die Novellierung auch einen gewaltigen Rückschritt für den Datenschutz in Deutschland, weil sie zur Umsetzung von schlechteren Datenschutzstandards zwingt.

Der größte Rückschritt ergibt sich aus der Definition eines neuen Schwellenwertes, ab dem die Bestellung eines Datenschutzbeauftragten erforderlich sein soll. Statt des bislang in Deutschland geltenden Wertes von mehr als neun Beschäftigten, die mit personenbezogenen Daten arbeiten, wird nun eine generelle Grenze ab 250 Mitarbeitern eingeführt – ganz ohne Bezug zur Datenverarbeitung. Dieser Schwellenwert ist in mehrfacher Hinsicht geeignet, den Datenschutz in der Wirtschaft zu gefährden.

1. Datenschutz unabhängig von der Art der Datenverarbeitung

Der fehlende Bezug zur Verarbeitung personenbezogener Daten belastet Industrie- und große Handwerksunternehmen in unnötiger Weise. Unternehmen, die lediglich Mindestdaten ihrer Mitarbeiter verarbeiten, können dies oft sehr effizient mit wenigen Personen in der Verwaltung erfüllen.

Einen Datenschutzbeauftragten mussten sie dafür bislang nicht bestellen. Diesen Unternehmen wird nun ein Datenschutzbeauftragter aufgezwungen, ohne dass die Risiken für die Daten im Unternehmen dabei eine Rolle spielen. Dies kann nur als unnötiger Bürokratieaufbau gewertet werden.

Der BvD plädiert dafür, die Bestellung eines Datenschutzbeauftragten nicht an datenschutzirrelevante Werte wie die Mitarbeiteranzahl zu knüpfen, sondern an Risiken wie Datenarten und Verarbeitungstechniken.

Inhalt

  • Seite 1: Datenschutz in der Wirtschaft gefährdet

2. EU-Niederlassungen von US-Unternehmen zukünftig ohne Datenschutz

Unternehmen, die personenbezogenen Daten geschäftsmäßig verarbeiten – wie beispielsweise Callcenter, Adressmakler, IT-Outsourcer oder auch Internetdienstleister wie Google und Facebook (Deutschland bzw. Irland) – sind zukünftig nicht mehr verpflichtet, einen Datenschutzbeauftragten zu bestellen. Diese Art von Unternehmen sind aber genau diejenigen, die bislang in Deutschland die Mehrzahl der Datenschutzskandale verursacht haben und zu deren Geschäftsfeld Datenschutz zwingend dazu gehören muss.

Die neue Bestellpflicht blendet diese risikoreichen und kritischen Verarbeitungen vollständig aus. Die neue Regelung ist daher ungeeignet, etwas zum Datenschutz beizutragen. Sie ist inhaltlich verfehlt. Im Ergebnis fehlt gerade diesen Unternehmen die wirksame Kontrolle über die Verarbeitung.

Da zahlreiche Niederlassungen von Nicht-EU Unternehmen weniger als 250 Mitarbeiter aufweisen, wird der schlechte Datenschutzstandard von US-Unternehmen oder anderer Nicht-EU-Unternehmen in deren Niederlassungen „exportiert“. Es bleibt zu hinterfragen, ob die Datenschutzverordnung Datenschutz bezwecken oder verhindern soll.

3. Auftragsdatenverarbeiter zukünftig ohne Datenschutz

Unternehmen aller Art lagern bestimmte datenschutzkritische Verarbeitungsvorgänge wie Adresserwerb, Gehaltsabrechnung, Kundenscoring, Versand, Unternehmenssicherheit (z.B. Videoüberwachung) oder IT-Betreuung aus. Mit der neuen Datenschutzverordnung würden diese externen Dienstleister bezüglich der Verarbeitungen fremder Daten von der Eigenkontrolle befreit.

Schlimmer noch: große Unternehmen, die einen Datenschutz-beauftragten bestellen müssten, könnten die kritischen Verarbeitungsvorgänge auf Kleinunternehmen auslagern, die selbst keine eigenen Kontrollinstrumente aufweisen und damit der direkten Kontrolle des Datenschutzbeauftragten entziehen. Damit wird die Kontrolle in der Praxis erst recht ausgehebelt. Eine staatliche Kontrolle ist dafür gänzlich ungeeignet, da diese die realen Probleme gar nicht erfassen kann.

Der BvD plädiert daher für eine konsequente Bestellungsverpflichtung für Unternehmen, die personenbezogene Daten im Auftrag verarbeiten. Dies stellt für die Unternehmen ein Qualifikationsmerkmal zur Verarbeitung fremder Daten dar und sichert die Betroffenenrechte in diesem größten Bereich der personenbezogenen Datenverarbeitung.

Inhalt

  • Seite 2: Kritische Unternehmen ohne Datenschutz

4. Gesundheitsdaten sind besonders sensibel, aber ohne Schutz

Die Daten der Bereiche Religion, Gesundheit, Sexualleben, etc. verlieren den kompetenten Schutz durch den Datenschutzbeauftragten, denn auch in der Verarbeitung dieser Daten sind viele Einrichtungen kleiner als 250 Mitarbeiter. In zahlreichen Einrichtungen ist das Datenschutzverständnis bereits jetzt gering ausgeprägt.

Kostendruck und Qualifikationsdefizite stehen einer umfassenden Datenschutzgestaltung schon heute entgegen. Deshalb hält der BvD auch für genannte Einrichtungen die Bestellungspflicht eines Datenschutzbeauftragten für unbedingt erforderlich, damit die Verarbeitung besonders schützenswerter Daten nicht der direkten Datenschutzkontrolle entzogen wird.

5. Datenschutz in Unternehmen mit weniger als 250 Mitarbeitern wird abgeschafft

Der betriebliche Datenschutzbeauftragte stellt die effizienteste Säule der Datenschutzkontrolle dar. Er ist in der Regel der Treiber, der die Umsetzung der Datenschutzanforderungen überhaupt erst in die Wege leitet. Seine Nähe zu den Prozessen in den Unternehmen und seine Erfahrung im Umgang mit allen Beteiligten machen ihn zu einer Instanz, die für die Unternehmen neben der erwünschten Datenschutz-Compliance auch einen echten Wettbewerbsvorteil darstellt.

Durch die Unterstützung eines erfahrenen Datenschutzbeauftragten werden überhaupt erst Datenschutzanforderungen praktikabel umgesetzt, Prozesse sicherer und oft sogar schlanker, was die Kosten senkt und das Vertrauen der Kunden regelmäßig erhöht. Fällt diese Säule für die Mehrzahl der Unternehmen weg, so werden in diesem Bereich Datenschutzanforderungen nicht mehr berücksichtigt und die Daten der Beschäftigten und die der Kunden oder Patienten nicht mehr ausreichend geschützt.

Die Erfahrung aus Deutschland hat gezeigt, dass Unternehmen, die nicht gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, gar keine Aktivitäten im Bereich des Datenschutzes entfaltet haben. Die Anzahl der Unternehmen mit mehr als 250 Mitarbeitern dürfte bei etwa 30 Prozent aller Unternehmen in Deutschland liegen. Das bedeutet, dass sich 70 Prozent der Unternehmen nicht mehr mit Datenschutz befassen werden.

Dabei ist es in der Praxis vollkommen bedeutungslos, dass die Verordnung auch für diese Unternehmen gilt – praktisch fällt die Kontrolle weg. Bei einer statistischen Wahrscheinlichkeit für eine Prüfung durch die Datenschutzaufsicht von ca. 38.000 Jahren, stellt die Sanktionierung durch eine Aufsichtsbehörde für die Unternehmen ein vertretbares Risiko dar.

Inhalt

  • Seite 3: Datenschutz in kleineren Unternehmen

6. Bürokratie-Wachstum unvermeidlich

Um die Risiken, die sich aus der Reduzierung des Datenschutzes ohne einen Datenschutzbeauftragten ergeben, im Rahmen zu halten, werden die Datenschutzaufsichtsbehörden erheblich mehr Aktivitäten entfalten müssen. Da diese schon bisher erheblich unterbesetzt sind, kann dies nur durch die Schaffung neuer Stellen in den Behörden bewältigt werden.

Gesellschaftspolitisch ergibt sich damit eine Verlagerung der Arbeitsplätze aus der Wirtschaft hin zum Staat – wenn auch nicht im gleichen Maße. Auch diese Entwicklung kann wirtschaftspolitisch nicht gewünscht sein.

7. Irrglaube „Bürokratieabbau“

Die Pflicht zur Bestellung des Datenschutzbeauftragten wird fälschlicherweise oft mit der Freiheit von dieser Pflicht verglichen. Tatsächlich jedoch unterliegen Unternehmen ohne Datenschutzbeauftragten dann der staatlichen Kontrolle, weil in jedem Fall eine Kontrolle stattfinden muss.

Vergleichen muss man die Situation „Bestellpflicht“ daher mit der Situation „reine staatlicher Kontrolle über ein Unternehmen“. In diesem Vergleich hat ein Unternehmen mit eigenem Datenschutzbeauftragten weniger Bürokratie zu bewältigen, als ein Unternehmen unter staatlicher Aufsicht.

Der betriebliche Datenschutzbeauftragte kennt die Details einer Verarbeitung im Betrieb und kann deshalb praktikable, schnelle und passgenaue Lösungen liefern. Hingegen bewerten Aufsichtsbehörden in aufwändigen Verfahren aus der Ferne und formalistisch einen Verarbeitungsvorgang. Dies ist verknüpft mit wesentlich mehr Schriftverkehr, Recherchen im Unternehmen, Ausarbeitung von Begründungen und Stellungnahmen, ohne dass dabei eine Lösung des Datenschutzproblems erfolgt.

Ist gar die Genehmigung einer komplexen Verarbeitung erforderlich, läuft die neue Regelung Gefahr, die Unternehmen aufgrund von staatlicher Kontrolle auszubremsen. Solche Tendenzen zeigen sich bereits heute, wenn Unternehmen ihre Datenschutzvereinbarungen mit Nicht-EU-Partnern genehmigen lassen wollen (Code of Conduct).

Viele Europäische Staaten haben eine reine staatliche Kontrolle über die Verarbeitungsvorgänge, weisen jedoch nicht gleichwertiges Datenschutzniveau wie in Deutschland auf. Anders als deutsche Unternehmen müssen diese Firmen jedoch Verarbeitungen anzeigen, Meldungen durchführen und sind mit staatlicher Gängelung belastet. Deutschland hat nicht trotz, sondern wegen der Lösungen betrieblicher Datenschutzbeauftragter dieses gute Datenschutzimage.

Inhalt

  • Seite 4: Bürokratischer Aufwand sinkt nicht

8. Wirtschaftsfaktor „Datenschutz“ gefährdet

In Deutschland sind nach groben Schätzungen des BvD über 110.000 Personen im Bereich Datenschutz tätig. Das sind interne und externe Datenschutzbeauftragte und ihre Mitarbeiter, Datenschutzberater, Unternehmen, die Softwareprodukte für diesen Bereich entwickeln, Mitarbeiter und Autoren der Verlage und inzwischen eine beachtliche Anzahl von Hochschulen, die in diesem Bereich tätig sind. Die „Teilzeitdatenschützer“ sind dabei noch nicht in vollem Umfang berücksichtigt.

Diese Arbeitsplätze werden in Deutschland in dem Maße verloren gehen, wie Unternehmen aus der Bestellungspflicht entlassen werden – also um etwa 70 Prozent. Dem stehen keinerlei neue Arbeitsplätze gegenüber (mit Ausnahme der dann erforderlichen Stellen in Aufsichtsbehörden), die durch diese „Entlastung“ entstehen könnten.

Aus praktischen Erwägungen und Erfahrungen plädiert der BvD schon lange für die Verbindung der Bestellungspflicht mit der Art der Datenverarbeitung im Unternehmen. Die bisherige Koppelung des BDSG mit den „…mehr als 9 Beschäftigten, die personenbezogene Daten verarbeiten…“ war ein kleiner Schritt in diese Richtung, der nun aber komplett entfallen soll.

Davor kann nur gewarnt werden: Die Auslagerung von Prozessen in den Unternehmen vor allem im Bereich der personenbezogenen Datenverarbeitung steigt. Die Unternehmen, die diese Dienstleistungen anbieten oder oft in diese Dienstleistung „herein rutschen“, haben i. d. R. keine Kenntnisse im Bereich Datenschutz und vernachlässigen den Schutz der personenbezogenen Daten ihrer Kunden regelmäßig.

Erst mit der Bestellung eines Datenschutzbeauftragten wird dort die Umsetzung von Datenschutzanforderungen aufgefangen, und dies erfolgt heutzutage, weil Auftraggeber diese Bestellung einfordern. Würde man diese Eigenkontrolle abschaffen, verschlechtert dies den Datenschutz bei zahlreichen ausgelagerten Verarbeitungsvorgängen.

BvD empfiehlt: Qualifikation und Effektivität des Beauftragten stärken

Die Steigerung der Effektivität der Datenschutzkontrolle ist das Ziel und muss, statt über Bestellungsschwellwerte, über inhaltliche Anforderungen diskutiert werden. Ursache für auftretende Belastungen ist nicht die Institution Datenschutzbeauftragter an sich, sondern die schlechte Umsetzung. Dazu gehören mangelhafte Qualifikation und die unzureichende Kompetenzausstattung von Datenschutzbeauftragten.

Die Lösung der Problematik liegt in der Schaffung eines Qualifikationsniveaus, statt in der Abschaffung des Instruments Datenschutzbeauftragter. An ihn sollten genauere Anforderungen formuliert und eine verbesserte Ausbildung etabliert werden.

Das Modell des betrieblichen Datenschutzbeauftragten hat sich deshalb so bewährt, weil dieser nicht nur die Verarbeitungsvorgänge genauer kennt als die Aufsichtsbehörde, sondern auch, weil er die Risiken einer Verarbeitung wesentlich treffsicherer identifizieren kann: mit höchst individuellen Lösungen im Datenschutz. Es ist deshalb notwendig, dass die Rolle des Datenschutzbeauftragten weiter ausgestattet und gestärkt werden.

Fazit

Eine wirtschaftsfreundliche Novelle? Selbst das nicht. Es ist zu erwarten, dass die Verarbeitung von Daten schwerer wird: Jeder Bürger in der EU ist auch ein Betroffener. Erfahrungsgemäß endet die Bereitschaft jede Datenverarbeitung zu akzeptieren, sobald man selbst oder die eigenen Kinder betroffen sind. Dies gilt sogar für Bürger der USA.

Aus den hier erläuterten genannten Gründen kann dieser vorgelegte Entwurf der EU-Datenschutz Verordnung nur als ein bitterer Rückschritt angesehen werden. Der BvD plädiert daher für die Anpassung der genannten Punkte, bevor die Umwandlung dieser Verordnung in geltendes Recht erfolgt.

Inhalt

  • Seite 5: "Wirtschaftsfaktor" Datenschutz fördern

(ID:30897250)