EU-Datenschutz: Ein "beispielloser Rückschritt"


BvD-Stellungnahme zu dem Entwurf der EU-Datenschutzordnung: Wichtige Säule des Datenschutzes wird demontiert
Der Berufsverband der Datenschutzbeauftragten (BvD) warnt vor Auswirkungen der Novelle


(21.03.12) - In einer ausführlichen Stellungnahme zerlegt Berufsverband der Datenschutzbeauftragten (BvD) die EU-Datenschutzverordnung und erkennt in ihr einen "gewaltigen Rückschritt für den Datenschutz in Deutschland". Der BvD sieht in der Verordnung letztlich "mehr Bürokratie … und weniger Datenschutz":

"Der Datenschutz in Deutschland und in Europa muss modernisiert werden – daran besteht kein Zweifel. Sowohl der deutsche Gesetzgeber als auch die EU-Kommission haben dies erkannt und arbeiten an Entwürfen eines neuen Datenschutzes. Der am 25.01.2012 vorgestellte Entwurf der neuen EU-Datenschutzverordnung beinhaltet viele neue Ansätze, die geeignet sind, dem Datenschutz in Europa ganz neue Impulse zu geben. Allerdings beinhaltet sie auch einen gewaltigen Rückschritt für den Datenschutz in Deutschland und eine verlorene Chance für weniger Bürokratie und besseren Datenschutz in Europa, da sie das Potential des betrieblichen Datenschutzbeauftragten nicht nutzt.

Da die Datenschutzrichtlinie von 1995 uneinheitlich und oft nur mit nationalen Alibi-Gesetzen umgesetzt wurde, hat die EU-Justizkommissarin Viviane Reding nun, neben den inhaltlichen Änderungen, die Form einer Verordnung gewählt, die dann für alle Mitgliedsstaaten verbindlich ist. Diese Datenschutzverordnung ersetzt also automatisch nationales Recht. Daher gilt es einen konsensfähigen Kompromiss zu finden, der von allen Mitgliedsstaaten unterzeichnet werden kann. Für die deutschen Datenschutzstandards, die aus Sicht des Betroffenen als die besten der Welt gelten und die auch den Unternehmen erhebliche Vorteile bieten, bedeutet dies inhaltlich jedoch einen beispiellosen Rückschritt.

Datenschutz in Unternehmen erst ab 250 Mitarbeitern
Der größte Rückschritt ergibt sich aus der Definition eines neuen Schwellenwertes, ab dem die Bestellung eines Datenschutzbeauftragten erforderlich sein soll. Statt des bislang in Deutschland geltenden Wertes von mehr als neun Beschäftigten, die personenbezogene Daten verarbeiten wird nun eine generelle Grenze ab 250 Mitarbeitern eingeführt – ganz ohne Bezug zur Datenverarbeitung.

Dieser Schwellenwert ist in mehrfacher Hinsicht geeignet, den Datenschutz in der Wirtschaft zu gefährden.

1. Datenschutz unabhängig von der Art der Datenverarbeitung
Der fehlende Bezug zur Verarbeitung personenbezogener Daten belastet Industrie- und große Handwerksunternehmen in unnötiger Weise. Unternehmen, die lediglich Mindestdaten ihrer Mitarbeiter verarbeiten, können dies oft sehr effizient mit wenigen Personen in der Verwaltung erfüllen. Einen Datenschutzbeauftragten mussten sie dafür bislang nicht bestellen. Diesen Unternehmen wird nun ein Datenschutzbeauftragter aufgezwungen, ohne das die Risiken für die Daten im Unternehmen dabei eine Rolle spielen. Dies kann nur als unnötiger Bürokratieaufbau gewertet werden. Der BvD plädiert dafür, die Bestellung eines Datenschutzbeauftragten nicht an willkürliche Werte wie die Mitarbeiteranzahl zu knüpfen, sondern auch die Risiken wie Datenarten und Verarbeitungstechniken zu berücksichtigen.

2. EU-Niederlassungen von US-Unternehmen zukünftig ohne Datenschutz
Unternehmen, die personenbezogenen Daten geschäftsmäßig verarbeiten, wie beispielsweise Callcenter, Adressmakler, IT-Dienstleister oder auch Internetdienstleister und soziale Netzwerke wie Google und Facebook (Deutschland, bzw. Irland) etc. sind zukünftig nicht mehr verpflichtet, einen Datenschutzbeauftragten zu bestellen. Diese Art von Unternehmen sind aber genau diejenigen, die bislang in Deutschland die Mehrzahl der Datenschutzskandale verursacht haben und zu deren Geschäftstätigkeit Datenschutz zwingend dazu gehören muss. Die neue Bestellpflicht blendet diese risikoreichen, kritischen Verarbeitungen vollständig aus. Die neue Regelung ist daher ungeeignet, zur Verbesserung des Datenschutzes in der EU beizutragen. Im Ergebnis fehlt gerade bei diesen Unternehmen die Kontrolle über die Verarbeitung.

Da zahlreiche Niederlassungen von Nicht-EU Unternehmen weniger als 250 Mitarbeiter aufweisen (und zukünftig auch genau auf diese Grenze achten werden), wird der schlechte Datenschutzstandard von US-Unternehmen oder anderer Nicht-EU-Unternehmen in deren Niederlassungen 'exportiert'. Es bleibt zu hinterfragen, ob die Datenschutzverordnung Datenschutz bezwecken oder verhindern soll.

3. Auftragsdatenverarbeiter zukünftig ohne Datenschutz Unternehmen aller Art lagern bestimmte datenschutzkritische Verarbeitungsvorgänge wie Adresserwerb, Gehaltsabrechnung, Kunden-Scoring, Unternehmenssicherheit (z.B. Videoüberwachung) oder IT-Betreuung aus. Mit der neuen Datenschutzverordnung würden die Dienstleister für fremde Datenverarbeitungen von der Eigenkontrolle befreit. Schlimmer noch: große Unternehmen, die einen Datenschutzbeauftragten bestellen müssten, werden die kritischen Verarbeitungsvorgänge auf kleinere Unternehmen auslagern, die selbst keinen eigenen Datenschutzbeauftragten ausweisen müssen. Damit wird die Kontrolle in der Praxis gezielt ausgehebelt. Eine staatliche Kontrolle ist dafür gänzlich ungeeignet, da diese die realen Probleme vor Ort gar nicht erfassen kann.

Der BvD plädiert daher für eine konsequente Bestellungsverpflichtung für Unternehmen, die personenbezogene Daten im Auftrag verarbeiten. Dies stellt für die Unternehmen ein Qualifikationsmerkmal zur Verarbeitung fremder Daten dar und sichert die Betroffenenrechte in diesem größten Bereich der personenbezogenen Datenverarbeitung.

4. Gesundheitsdaten sind besonders sensibel, aber ohne Schutz
Die Daten der Bereiche Religion, Gesundheit, Sexualleben, etc. verlieren den kompetenten Schutz durch den Datenschutzbeauftragten, denn auch in diesem Bereich haben die meisten Einrichtungen weniger als 250 Mitarbeiter. In diesem Bereich ist das Datenschutzverständnis besonders gering ausgeprägt, da Kostendruck und Qualifikation des Personals dem bereits heute entgegenstehen. Auch hier hält der BvD eine Bestellungspflicht für den Datenschutzbeauftragten für unbedingt erforderlich, damit gerade diese besonders schützenswerten Daten nicht der Datenschutzkontrolle entzogen werden. Die in der EU-Datenschutzverordnung vorgesehene Folgenabschätzung für die Daten dieses Bereiches kann am besten der Datenschutzbeauftragte erfüllen. Er ist vor Ort und kennt die Prozesse. Aus diesem Grund hat das BDSG ihm die wichtige Aufgabe der Vorabkontrolle übertragen. Es ist nicht nachvollziehbar, weshalb die Folgenabschätzung nicht mehr dem Datenschutzbeauftragten zugeordnet wird. Wenn Unternehmen diese Leistung von unternehmensfremden Dienstleistern zukaufen müssen, dann wird das Ergebnis nicht besser, die Kosten aber deutlich höher, als dies bisher der Fall ist.

5. Datenschutz in Unternehmen mit weniger als 250 Mitarbeitern wird abgeschafft
Der betriebliche Datenschutzbeauftragte stellt die effizienteste Säule der Datenschutzkontrolle dar. Er ist in der Regel der Treiber, der die Umsetzung der Datenschutzanforderungen überhaupt erst in die Wege leitet. Seine Nähe zu den Prozessen in den Unternehmen und seine Erfahrung im Umgang mit allen Beteiligten, machen ihn zu einer Instanz, die für die Unternehmen neben der erwünschten Datenschutz- Compliance auch einen echten Wettbewerbsvorteil darstellt. Durch die Unterstützung eines erfahrenen Datenschutzbeauftragten werden Datenschutzanforderungen i.d.R. überhaupt erst praktikabel umgesetzt, Prozesse sicherer und oft sogar schlanker, was die Kosten senkt und das Vertrauen der Kunden regelmäßig erhöht. Fällt diese Säule für die Mehrzahl der Unternehmen weg, so werden in diesem Bereich Datenschutzanforderungen nicht mehr berücksichtigt und die Daten der Beschäftigten und die der Kunden oder Patienten nicht mehr ausreichend geschützt.

Die Erfahrung aus Deutschland hat gezeigt, dass Unternehmen, die nicht gesetzlich verpflichtet sind einen Datenschutzbeauftragten zu bestellen, gar keine Aktivitäten im Bereich des Datenschutzes entfaltet haben. Die Anzahl der Unternehmen mit mehr als 250 Mitarbeitern dürfte nach Ermittlungen des Bundesdatenschutzbeauftragten bei etwa 0,4 Prozent aller Unternehmen in Deutschland liegen. Das bedeutet, dass sich der überwiegende Teil der Unternehmen nicht mehr mit Datenschutz befassen werden. Dabei ist es in der Praxis vollkommen bedeutungslos, dass die Verordnung auch für diese Unternehmen gilt. Bei einer statistischen Wahrscheinlichkeit für eine Prüfung durch die Datenschutzaufsicht von einmal in ca. 38.000 Jahren stellt dies für die Unternehmen ein vertretbares Risiko dar.

6. Bürokratiewachstum unvermeidlich
Um die Risiken, die sich aus der Reduzierung des Datenschutzes ohne einen Datenschutzbeauftragten ergeben, im Rahmen zu halten, werden die Datenschutzaufsichtsbehörden erheblich mehr Aktivitäten entfalten müssen. Da diese schon bisher erheblich unterbesetzt sind, kann dies nur durch die Schaffung neuer Stellen in den Behörden bewältigt werden. Damit ergibt sich eine Verlagerung der Arbeitsplätze aus der Wirtschaft hin zum Staat – wenn auch nicht im gleichen Maße. Auch diese Entwicklung kann wirtschaftspolitisch nicht gewünscht sein. Gleichzeitig müssten die Aufsichtsbehörden in den Unternehmen deutlich präsenter werden, was zumindest von Seiten der Unternehmen nicht gewünscht wird. Das bewährte Instrument der Selbstkontrolle wird so weitestgehend ausgehebelt.

7. Falsche Hoffnungen: 'Bürokratieabbau'
Die Pflicht zur Bestellung des Datenschutzbeauftragten wird fälschlicherweise oft mit der Freiheit von dieser Pflicht verglichen. Tatsächlich jedoch unterliegen Unternehmen ohne Datenschutzbeauftragten dann der staatlichen Kontrolle, weil in jedem Fall eine Kontrolle stattfinden muss. Vergleichen muss man die Situation 'Bestellpflicht' daher mit der Situation 'reine staatlicher Kontrolle über ein Unternehmen'. In diesem Vergleich hat ein Unternehmen mit eigenem Datenschutzbeauftragten weniger Bürokratie als ein Unternehmen unter staatlicher Aufsicht zu bewältigen. Während der betriebliche Datenschutzbeauftragte die Details einer Verarbeitung im Betrieb kennt und deshalb praktikable, schnelle und passgenaue Lösungen liefern kann, bewerten Aufsichtsbehörden in aufwändigen Verfahren, aus der Ferne und formalistisch einen Verarbeitungsvorgang. Dies ist verknüpft mit wesentlich mehr Schriftverkehr, Recherchen im Unternehmen, Ausarbeitung von Begründungen und Stellungnahmen, ohne dass dabei eine Lösung des Datenschutzproblems erfolgt. Ist gar die Genehmigung einer komplexen Verarbeitung erforderlich, läuft die neue Regelung Gefahr, die Unternehmen aufgrund von staatlicher Kontrolle auszubremsen. Solche Tendenzen zeigen sich bereits heute, wenn Unternehmen ihre Datenschutzvereinbarungen mit Nicht-EU-Partnern genehmigen lassen wollen (Code of Conduct).
Viele Europäische Staaten haben eine reine staatliche Kontrolle über die Verarbeitungsvorgänge, weisen jedoch ein nicht gleichwertiges Datenschutzniveau zu Deutschland auf.

Deutschland hat nicht trotz, sondern gerade wegen des betrieblichen Datenschutzbeauftragten dieses gute Datenschutzimage.

8. Wirtschaftsfaktor 'Datenschutz' gefährdet In Deutschland sind nach Schätzungen des BvD über 110.000 Personen im Bereich Datenschutz tätig. Das sind interne und externe Datenschutzbeauftragte und ihre Mitarbeiter, Datenschutzberater, Unternehmen, die Softwareprodukte für diesen Bereich entwickeln, Mitarbeiter und Autoren der Verlage und inzwischen eine beachtliche Anzahl von Hochschulen, die in diesem Bereich tätig sind. Diese Arbeitsplätze werden in Deutschland in dem Maße verloren gehen, wie Unternehmen aus der Bestellungspflicht entlassen werden. Dem stehen keinerlei neue Arbeitsplätze gegenüber, die durch diese 'Entlastung' entstehen könnten (mit Ausnahme der dann erforderlichen zusätzlichen Stellen in Aufsichtsbehörden).

9. Kündigungsschutz des Datenschutzbeauftragten entfällt
Damit der Datenschutzbeauftragte seine Aufgabe unabhängig und weisungsfrei wahrnehmen kann, hat der deutsche Gesetzgeber ihn mit einem Schutz versehen, der verhindern soll, dass der Datenschutzbeauftragte stets unter dem Druck des drohenden Verlusts seiner Beschäftigung versehen muss. Diese im Ergebnis wie ein Kündigungsschutz wirkende Absicherung wird durch die geplante Amtszeit von zwei Jahren ausgehebelt. Der betriebliche Datenschutzbeauftragte wird damit dem Druck des jeweiligen Managements und der gerade opportunen Marktpolitik unterworfen, was durch den Schutz vermieden werden sollte. In der Praxis hat sich gezeigt, dass ein qualifizierter und zuverlässiger Datenschutzbeauftragter sehr lange und sehr erfolgreich für sein Unternehmen tätig ist.
Dies sollte nicht dem Spiel der Marktmächte ausgesetzt werden.

Aus praktischen Erwägungen und Erfahrungen plädiert der BvD schon lange für die Verbindung der Bestellungspflicht mit der Art der Datenverarbeitung im Unternehmen. Die bisherige Koppelung des BDSG mit den '…mehr als 9 Beschäftigten, die personenbezogene Daten verarbeiten…' war ein kleiner Schritt in diese Richtung, der nun aber komplett entfallen soll. Davor kann nur gewarnt werden. Die Auslagerung von Prozessen in den Unternehmen vor allem im Bereich der personenbezogenen Datenverarbeitung steigt Jahr um Jahr erheblich. Die Unternehmen, die diese Dienstleistungen anbieten oder oft in diese Dienstleistung 'hereinrutschen', haben i.d.R. keine Kenntnisse im Bereich Datenschutz und vernachlässigen den Schutz der personenbezogenen Daten ihrer Kunden regelmäßig. Datenschutz ist hier schon heute die Ausnahme. Diese Unternehmen aus der Selbstkontrolle zu entlassen, ist der sichere Beginn des Weges in das US-amerikanische Modell einer Wirtschaft ohne wirksamen Datenschutz. Erst mit der Bestellung eines Datenschutzbeauftragten wird überhaupt an der Umsetzung von Datenschutzanforderungen gearbeitet. Schafft man diese Eigenkontrolle ab, wird damit auch der Datenschutz, insbesondere bei ausgelagerten Verarbeitungsvorgängen, automatisch entfallen.

Besser: Qualifikation und Effektivität des Beauftragten stärken
Die Steigerung der Effektivität der Datenschutzkontrolle ist das Ziel und muss, statt über Bestellungsschwellwerte, über inhaltliche Anforderungen diskutiert werden. Wenn der Datenschutzbeauftragte als Hindernis wahrgenommen wird, dann ist die Ursache nicht die Institution Datenschutzbeauftragter an sich, sondern die schlechte Umsetzung. Dazu gehören mangelhafte Qualifikation von Datenschutzbeauftragten und die unzureichende Kompetenzausstattung der Datenschutzbeauftragten. Ein qualifizierter Datenschutzbeauftragter versteht sich als Lösungsanbieter und nicht als Hindernis. Qualifizierte Datenschutzbeauftragte werden nach Erfahrungen des BvD auch so wahrgenommen.

Eine Studie des BvD und der Universität Oldenburg vom 08.12.2011 zum 'Selbst- und Fremdbild des Datenschutzbeauftragten' hat belegt, dass die Erwartungen an die Qualifikation des Datenschutzbeauftragten höher sind, als die tatsächliche Ausbildung vieler Datenschutzbeauftragter. Der BvD macht seit Jahren auf die mangelhafte Ausbildung vieler so genannter 'Datenschutzbeauftragter' aufmerksam. Personen ohne ausreichende Sach- und Fachkenntnis werden Prozesse eher behindern und fehlerhafte Bewertungen abgeben und so den Eindruck vermitteln, dass Datenschutzbeauftragte an sich kostspielig und ineffektiv sind. Solange Personen mit einem Tag 'Ausbildung' diese Tätigkeit ausüben dürfen, sind solche Auswüchse weiterhin an der Tagesordnung.

Die Lösung der Problematik liegt jedoch in der Schaffung eines Qualifikationsniveaus für Datenschutzbeauftragte, statt in der Abschaffung des Instruments Datenschutzbeauftragter. An ihn sollten genauere Anforderungen formuliert und eine verbesserte Ausbildung etabliert werden.

Das Modell des betrieblichen Datenschutzbeauftragten hat sich deshalb so bewährt, weil der betriebliche Datenschutzbeauftragte nicht nur die Verarbeitungsvorgänge viel besser kennt als die Aufsichtsbehörde, sondern auch, weil er die Risiken einer Verarbeitung wesentlich treffsicherer identifizieren kann und höchst individuelle Lösungen im Datenschutz entwickeln kann.

Es ist deshalb notwendig, dass die Rolle des Datenschutzbeauftragten konkreter mit Aufgaben, Kompetenzen und der erforderlichen Qualifikation ausgestattet und gestärkt wird.

Fazit
Eine wirtschaftsfreundliche Novelle? Nur vordergründig. Jeder Bürger in der EU ist auch ein Betroffener. Erfahrungsgemäß endet die Bereitschaft jede Datenverarbeitung zu akzeptieren, sobald man selbst oder beispielsweise die eigenen Kinder betroffen sind. Dies gilt sogar für Bürger der USA, die sich überwiegend mehr Datenschutz wünschen. Aus den hier genannten Gründen kann dieser vorgelegte Entwurf der EU-Datenschutz-Verordnung nur als ein Rückschritt angesehen werden, der zu mehr Bürokratie führen und weniger Datenschutz wird. Der BvD plädiert daher für die Anpassung der genannten Punkte, bevor die Umwandlung dieser Verordnung in geltendes Recht erfolgt.

Die zahlreichen Pflichten der Unternehmen in Verbindung mit der Verarbeitung personenbezogener Daten kann heute nur der Datenschutzbeauftragte vor Ort wirksam betreuen. Fällt dieser weg, müssen die Unternehmen andere Mitarbeiter ausbilden, um diese Anforderungen erfüllen zu können oder sich zu deutlich höheren Kosten von externen Spezialisten, in der Regel Rechtsanwälte, beraten lassen."
(Autor ist Thomas Späning, BvD: ra)

Lesen Sie auch:
Vereinheitlichung des europäischen Datenschutzes
Reform der EU-Regeln zum Datenschutz

BvD: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Politik auf EU-Ebene gefordert

    Der Digitalverband Bitkom plädiert vor der Konstituierung der neuen EU-Kommission für ein Umdenken in der europäischen Verbraucherpolitik. In den letzten Jahren wurde eine kaum überschaubare Vielzahl neuer Regeln wie Datenschutz-Grundverordnung, Digital Markets Act, Data Act, AI Act oder dem Digital Services Act und diverse Verbraucherrechtsrichtlinien erlassen.

  • Quantum-Sicherheit beginnt jetzt

    Die Veröffentlichung der Post-Quantum-Standards durch das NIST markiert einen entscheidenden Fortschritt in der Absicherung der digitalen Zukunft. Bislang befanden sich Entwickler und Sicherheitsteams in einer abwartenden Position, doch mit der Finalisierung dieser Standards beginnt nun der Weg zur Quantum-Sicherheit.

  • NIS2-Umsetzung & Null-Toleranz-Strategie

    148 Milliarden Schaden im vergangenen Jahr - und längst noch kein Ende in Sicht: Die Bedrohungslage ist und bleibt prekär. Zudem sorgen Digitalisierung, Cloud und KI für neue Angriffsflächen und eröffnen den Hackern eine Vielzahl an Möglichkeiten. Dies zeigt auch die jüngste Lünendonk-Studie. Der zu Folge hakt es insbesondere bei der E-Mail-Sicherheit und dem Schwachstellenmanagement. Trotz einer anhaltend massiven Bedrohungslage hat rund ein Drittel der Unternehmen keinen Überblick über den tatsächlichen Cybersecurity-Status.

  • Herausforderungen und Chancen der NIS-2-Direktive

    Mit der bevorstehenden Frist zur Umsetzung der NIS-2-Direktive stehen viele Unternehmen vor einer bedeutenden Herausforderung. Unsere Beobachtungen zeigen, dass viele Unternehmen Schwierigkeiten haben werden, die Anforderungen rechtzeitig zu erfüllen. Dies liegt vor allem daran, dass das Thema zu lange vernachlässigt wurde.

  • NIS-2-Richtlinien treten bald in Kraft

    Die NIS-2-Richtlinien treten in wenigen Monaten in Kraft und sind derzeit in aller Munde. Die zahlreichen Vorträge und Veranstaltungen zu diesem Thema unterstreichen nicht nur dessen Bedeutung, sondern zeigen auf, dass es noch viel Informationsbedarf bei Verantwortlichen und Entscheidern gibt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen