Der betriebliche Datenschutz könnte durch eine Initiative des Bundesrats einen Kahlschlag erfahren. Die Bundesratausschüsse für Inneres und Wirtschaft haben in ihrer Stellungnahme zum Regierungsentwurf des 2. EU-Datenschutz-Anpassungs- und Umsetzungsgesetzes (2. DSAnpUGEU) zusätzliche Änderungen im Bundesdatenschutzgesetz (BDSG-neu) vorgeschlagen.
Die Ausschüsse haben verschiedene Vorschläge für eine Neugestaltung des § 38 BDSG-neu eingebracht. Die Vorschläge sind stufenartig aufgebaut, sollte die Maximalforderung nicht angenommen werden greift Stufe 2 usw.
Zur Erinnerung: § 38 BDSG-neu regelt ergänzend zu Artikel 37 DSGVO die Bestellung eines Datenschutzbeauftragten nichtöffentlicher Stellen. Zwei wichtige Fälle für die Bestellung betrieblicher Datenschutzbeauftragter (bDSB) in § 38 BDSG-neu sollen nach dem Vorschlag der Bundesratsausschüsse gestrichen werden (Nr. 2 der Stellungnahme):
- wenn im Unternehmen mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind und
- wenn im Unternehmen nach der EU-Datenschutzgrundverordnung (DSGVO) eine Datenschutz-Folgenabschätzung nach Art. 35 stattfinden müsste, d.h. bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen.
Diese Maximalforderung würde dazu führen, dass in Deutschland keine besonderen Benennungspflichten für bDSB mehr gelten würden. bDSB müssten nur noch bestellt werden, wenn ein Unternehmen personenbezogene Daten geschäftsmäßig zur Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.
Für den Fall, dass diese Maximalforderungen nicht angenommen werden, machen die Bundesratausschüsse Alternativvorschläge (Nummern 3 – 5 der Stellungnahme). Der erste Alternativvorschlag sieht vor, dass bDSB nur zu bestellen sind, wenn eine Datenschutz-Folgenabschätzung durchzuführen ist oder personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung automatisiert verarbeitet werden.
Sollte auch dieser Vorschlag keine Zustimmung erhalten, soll Alternativvorschlag drei greifen, nach dem die Grenze zur Bestellpflicht eines bDSB bei Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, von zehn auf 50 hochgesetzt wird.
Zur Begründung sagt der Entwurf, dass Freiberufler, kleine und mittlere Unternehmen und Vereine entlastet werden müssten, insbesondere auch im Verhältnis zu europäischen Wettbewerbern, die diesen Pflichten nicht unterlägen. Die bDSB hätten nach der DSGVO nur noch Überwachungsaufgaben, keine operativen Funktionen.
Sollten die Maximalforderungen im Gesetzgebungsverfahren Bestand haben, würde dies dazu führen, dass nach dem BDSG-neu nur in wenigen Ausnahmefällen noch betriebliche Datenschutzbeauftragte bestellt werden müssten. Für die meisten Unternehmen bliebe es bei der europarechtlichen Regelung nach Art. 37 DSGVO. Danach müssen bDSB bestellt werden, wenn die Datenverarbeitung nach Art, Umfang oder Zweck eine systematische Überwachung von Personen erforderlich macht, oder wenn es dabei um besondere personenbezogene Daten nach Art. 9 oder 10 DSGVO geht: z.B. um Gesundheitsdaten oder strafrechtliche Verurteilungen.
Des Weiteren wollen die Bundesratausschüsse ins BDSG-neu einfügen, dass Datenschutz-Verstöße kein Klagerecht nach § 3a des Gesetzes über unlauteren Wettbewerb (UWG) begründen (Nr. 6 der Stellungnahme).
Beurteilung
Die Vorschläge der Bundesratsausschüsse sind kritisch zu sehen. Die derzeitigen Regelungen im BDSG-neu sind meiner Meinung nach durchaus angemessen. Betriebliche Datenschutzbeauftragte gewährleisten eine unabhängige Kontrolle und sorgen für korrekte Abläufe. Sie bedeuten für Kunden, Mitglieder oder Interessenten von Unternehmen das, was die Kontrolle durch Wirtschaftsprüfer für die Banken eines Unternehmens bedeutet, oder was Betriebsräte für die Arbeitnehmer eines Unternehmens sind. Datenschutzbeauftragte sind eine Instanz der Qualitätssicherung.
Es ist zu bedenken, dass der Wegfall der Bestellpflicht eines bDSB nicht die Pflichten eines Unternehmens, wie die Führung eines Verarbeitungsverzeichnisses, zur Folge hat. Es entfällt aber die Unterstützung bei der Umsetzung der rechtlichen Verpflichtungen und vor allem die Kontrolle, ob sie erfüllt werden.
Mit dem Inkrafttreten der DSGVO ist bei vielen Unternehmen und Vereinen eine „Datenschutz-Panik“ entstanden. Diese legt sich langsam. Hektische Korrekturen sind fehl am Platz.
12. Oktober 2018 @ 14:11
Ja, das ist wie im Straßenverkehr – viele Leute nutzen den Gurt nur wegen der Polizei und damit man keine Strafe bekommt. Dass der aber eigentlich zum Schutz und zur Risikoreduktion da ist und deswegen schon aus eigenem Interesse genutzt werden sollte, denken nur wenige.
Ähnlich wie mit dem Datenschutz – da braucht man nur mal nach Holland oder Österreich schauen, welchen Stand die da vor 25.5. hatten – obwohl die zentralen Regeln dort mit der EU-Richtlinie seit 1995 genauso waren, wie in Deutschland …
11. Oktober 2018 @ 22:12
Irgendwie war es klar, dass diese Diskussion wieder aufleben würde. Ich kann mich noch gut an die Diskussion darüber erinnern, ob in Deutschland wirklich ein DSB eingesetzt werden soll oder nicht. Ich bin jetzt schon so lange dabei und habe mir einen wirklich großen Kundenstamm aufgebaut. Und zugegeben, es sind viele Kunden dabei, die mich wirklich nur deswegen bestellt haben, weil sie es müssen. Es ist auch festzustellen, dass genau diese Kunden nur darauf warten, dass eben eine solche Regelung erlassen wird. Dann (Originalzitat) „brauche ich Sie nicht mehr und kann diesen ganzen bescheuert Datenschutz in die Tonne treten. Denn der hindert mich mehr, als er mir bringt“! Was wäre der Effekt? Es ist doch so, dass Datenschutz momentan wirklich nur deswegen umgesetzt wird, weil es jemanden gibt, der sich darin auskennt, die Richtung aufzeigt und auch die Kontrolle darüber hat. Nämlich der DSB. Diese neue Regelung wird dann von vielen Unternehmen (gerade KMUs bis 50 Mitarbeiter) wirklich so verstanden, dass man nur noch einen kleinen Teil zum Thema Datenschutz erledigen muss – ein sogenannter Alibi-Datenschutz – und den Rest kann man sich ja schenken. Spätestens dann, sollten wirklich endlich mal Bußgelder verhängt werden, würde sich die Lage vielleicht wieder etwas ändern. Nicht zuletzt sind durch die DSGVO viele „neue“ Kollegen auf das Feld des Datenschutzes gekommen. Viele sahen darin auch eine Goldgrube und schraubten die Tagessätze auf entsprechende Höhen. Nicht selten sind Tagessätze von 3000-5000 € ausgesprochen worden. Stundensätze von 250 €-500 € sind tatsächlich keine Seltenheit. Natürlich sind auch viele Profis dabei, deren Salär sich auf ein entsprechendes Niveau eingependelt hat. Aber genau diese oben genannten Tagessätze ( und hier bin ich nun mal wirklich sehr sarkastisch) führten dazu, dass sich wirklich einige Unternehmen bei mir beschwert haben, dass meine Kollegen diese utopischen Preise verlangen und trotzdem irgendwie nichts vorangeht. Der Kunde nimmt Datenschutz ganz anders wahr, als wir DSBs es tun. Und wenn es dann teuer wird, erwartet der Kunde erst recht wesentlich mehr, als er vielleicht bekommt. Die Akzeptanz für Datenschutz leidet genau unter den oben genannten Argumenten. Zumindest bei kleineren Unternehmen. Was aber viel schwieriger in dieser Angelegenheit wiegt, ist die fehlende Anleitung seitens der Behörden. Auch die Uneinigkeit der Behörden (Meldeverfahren eines DSB) oder die Auslegung zu Art. 6 DSGVO (Bayern argumentiert ganz anders wie Baden-Württemberg und Sachsen) sind nur ein paar wenige Beispiele. Und wenn ich als externer DSB meinen Job mache und ein Unternehmen nahezu datenschutzkonform aufstelle, merke ich, dass andere Unternehmen, die mit meinem Unternehmen zusammenarbeiten echte Probleme damit haben, dass Datenschutz aufgenommen, umgesetzt und angewendet wird.
Nein, Datenschutz ist wirklich nicht in vielen Köpfen von KMUs angekommen. Diese Entscheidung (welche ich für völlig daneben halte) stärkt nur eins. Nämlich das „leidige Thema Datenschutz“ endlich wieder ganz hinten anzustellen. Oder besser noch ganz unter den Tisch fallen zu lassen.
Und jetzt noch etwas Polemik:
Liebe Frau Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Voßhof. Wie geht´s Ihnen. Ich wollte mich mal melden. Denn ich habe schon sooooooooooooooo lange nichts mehr von Ihnen gehört. Und wenn ich ehrlich bin eigentlich noch nie.
Mit viel ironischen Grüßen aus Bayern.
12. Oktober 2018 @ 12:54
Sie sprechen mir aus der Seele. Gruß aus Bremen.
PS: ein gutes Argument sich um das Thema zu kümmern war ja auch, dass man ein schickes Zertifikat auf seine Homepage packen konnte. Werbeeffekt, Wettbewerbsvorteil, gerade nach Inkrafttreten der DSGVO würde allein das schon die die Kosten für die entsprechenden Vorarbeiten und Audits relativieren/überwiegen. Leider bewegen sich die Aufsichtsbehörden bei dem Thema ja auch nicht. Also warum sollte man sich als KMU den Hintern aufreißen wenn die Behörden das so vorleben, von Vorbildfunktion kann da keine Rede sein. Gerade die Bremer Behörde glänzt ganz besonders durch Untätigkeit. Bei der DSFA Positivliste sieht es so aus als hätte Bremen die Ergebnisse der anderen Länder abgewartet und dann abgeschrieben…
22. Oktober 2018 @ 20:35
Stimmt! Ich hatte tatsächlich eine Anfrage an die Aufsichtsbehörde des Landes Bremen gestellt. Als ich nach einem halben Jahr noch immer nichts gehört habe, hatte ich nochmals telefonisch angefragt. Dort erklärte man mir, dass man erst den nächsten DSK abwarten möchte, um dann intern etwaige Handlungsempfehlungen zu geben. Mit Verlaub war das eigentlich nur eine hilflose Aussage, dass man irgendwie nicht weiß wo es hingehen soll und wenn, dann schon gar nicht wann. Seltsam was? Aber gut man soll ja nicht unbedingt über etwas urteilen, was nur aus der Ferne gesehen wird und schon gar nicht, wenn es sich wirklich um einen kleinen Bruchteil einer großen Sache handelt. Dennoch erwarte ich mir, dass genau hier die Behörden (mit uns DSBs) aufstehen und zeigen, wo es wirklich langgeht. Aber das ist immer eine subjektive Wahrnehmung. Ich glaube schon, dass man richtig was bewirken kann. Aber dazu hätten auch die Behörden viel früher anfangen müssen. Schließlich wird ja auch argumentiert, dass es eine Übergangsfrist von zwei Jahren gab. Und die gab es für die Behörden ja schließlich auch. Das ist wirklich seltsam. Und wieder einen Gruß zurück nach Bremen.
11. Oktober 2018 @ 13:46
..da weiterhin die DSGVO auch von Kleinbetrieben und Vereinen befolgt werden muss, freut das den gewerblichen Berater…