Dieser Artikel wurde bereits in der Wirtschaftswoche unter http://www.wiwo.de/12514390.html veröffentlicht.
Ein Berufsstand verabschiedet sich
In den Verhandlungen zur EU-Datenschutzverordnung könnte der verpflichtende Datenschutzbeauftrage wegfallen – mit erheblichen Auswirkungen auf den Datenschutz in Deutschland und Europa.
In den sogenannten Trilog-Verhandlungen der Europäischen Union – einer Art Vermittlungsausschuss zwischen Kommission, Parlament und Rat – werden derzeit unterschiedliche Entwürfe zur EU-Datenschutzgrundverordnung (EU-DSGVO) behandelt. Dazu liegen die Entwürfe der EU-Kommission, des EU-Parlaments und des EU-Rates vor. Diese Verhandlungen werden für den europäischen Datenschutz entscheidend sein.
Unternehmen in Deutschland müssen laut Bundesdatenschutzgesetz einen Datenschutzbeauftragten bestellen – und zwar ab 20 Mitarbeitern, die sich mit personenbezogenen Daten beschäftigten. Dieser DSB kann ein interner Mitarbeiter sein, aber auch ein Externer.
Falls die Rolle des verpflichtenden Datenschutzbeauftragten entfallen würde, würde dies eine nicht unerhebliche Auswirkung auf den Datenschutz in Deutschland und Europa haben. Bis Ende des Jahres 2015 soll ein politisches Ziel erreicht werden. Eine Übergangsfrist von zwei Jahren bis zum Inkrafttreten der EU-Datenschutzgrundverordnung ist geplant.
Unternehmen, die bisher in der Pflicht standen, einen Datenschutzbeauftragten bestellen zu müssen, können sich vermeintlich auf die zu erwartende EU-Datenschutzgrundverordnung freuen, wenn sie planen, sich von ihm zu trennen. Doch die Freude wird nicht allzu lange anhalten. Keinen Datenschutzbeauftragten im eigenen Unternehmen zu haben, ob als Interner oder Externer, kann viele Nachteile mit sich bringen.
Zehn Nachteile, wenn die Rolle des Datenschutzbeauftragten entfällt:
- kein direkter Ansprechpartner zum Datenschutz im eigenen Unternehmen für die Betroffenen
- kein fachkundiger Ansprechpartner für Vorabkontrollen wie beispielsweise der Videoüberwachung
- keine unabhängige Stelle im Unternehmen für eine innerbetriebliche Selbstkontrolle
- Lücken im Datenschutz können oder werden nicht rechtzeitig entdeckt
- Pflichtdokumentationen wie Verfahrensverzeichnisse werden nicht aktuell gehalten
- vertrauliche Datenschutzanfragen von Mitarbeitern können nicht adäquat eskaliert werden
- Tätigkeiten rund um eine Auftragsdatenverarbeitung (vertragliche Inhalte, Prüfung technisch und organisatorischer Maßnahmen, Aktualisieren der ADV bei wechselnden Unterauftragnehmer usw.) können nur mit erheblichem Mehraufwand in Bezug auf Kosten und Zeit durchgeführt werden
- Anfragen an Aufsichtsbehörden können zu Verzögerungen führen, da ohne den Datenschutzbeauftragten Fachwissen im Unternehmen nicht vorhanden ist und von Aufsichtsbehörden geliefert werden müssten
- da es für einen Datenschutzberater keine Verpflichtung auf eine Teilnahme an Fort- und Weiterbildungsveranstaltungen zum Datenschutz gibt, kann sich dies für Unternehmen nachteilig auswirken
- höhere Kosten bei der Implementierung des Datenschutzes, wie beispielsweise die Vorbereitung auf ein Datenschutzsiegel
Der Datenschutzbeauftragte darf bleiben
Unternehmen, die derzeit einen Datenschutzbeauftragten beschäftigen, können diesen natürlich unabhängig von der kommenden EU-Datenschutzgrundverordnung weiterhin beschäftigen. Und das sollten sie sogar. Denn zu den jetzigen Bedingungen des Bundesdatenschutzgesetzes und weiterer Datenschutzgesetze würde das Unternehmen die gleichen Aufgaben von einem externen Datenschutzberatern durchführen lassen müssen. Die Konditionen könnten sich nicht nur drastisch für das Unternehmen verschlechtern. Der Datenschutzberater müsste sich zuerst in die unternehmenspezifischen Vorgänge einarbeiten.
Zeit ist Geld
Und das kostet nicht nur Geld, sondern auch Zeit. Zeit, die Unternehmen häufig nicht haben, um Verarbeitungstechniken prüfen zu lassen, um Einführungen von Geschäftsmodellen datenschutzrechtlich umzusetzen oder um auf Anfragen zu reagieren. Handelt es sich bei einer Kundenanfrage um die Auskunft über gespeicherte personenbezogene Daten, muss zeitnah reagiert werden, um weitere Eskalationen wie eine Meldung bei einer Aufsichtsbehörde zu verhindern und um den Betroffenen Auskunft zu erteilen. Handelt es sich um einen Besuch einer Aufsichtsbehörde oder sogar einer Bußgeldandrohung, können ad-hoc-Reaktionen mit einem externen Datenschutzberater schwierig werden.
Der König ist tot, es lebe der König
Getreu dem Motto „Totgesagte leben länger“ wird es den Berufsstand des Datenschutzbeauftragten trotz vieler Unkenrufe weiterhin geben. Aber wahrscheinlich nicht in der gleichen Art und Weise wie bisher. Warum? Weil durch den Wegfall einer möglichen Pflichtbestellung der Datenschutzbeauftragte einen anderen Stellenwert bekommen wird. Die unabhängige Stellung im Unternehmen und die Weisungsfreiheit im Datenschutz könnten auf dem Spiel stehen. Damit wäre Unternehmen Tür und Tor geöffnet, Datenschutzberatungen und Datenschutzberater nach ihren Ergebnissen auszuwählen. Sollte ein gewünschtes Ergebnis oder eine datenschutzrechtliche Betrachtung nicht den Wünschen des Unternehmens entsprechen, könnten andere Berater ausgewählt werden – so lange, bis das Ergebnis den eigenen Wünschen entspricht, womöglich zu Lasten der Betroffenen.
Europa wartet auf deutsche Datenschutzbeauftragte
Einer der größten Vorteile mit dem Erscheinen der EU-Datenschutzgrundverordnung wird die europaweite Gültigkeit sein. Natürlich in erster Linie für Unternehmen, da Datenschutzthemen länderübergreifend identisch abgewickelt werden können.
Aber insbesondere für den Berufsstand des Datenschutzbeauftragten. Dieser könnte dann, abgesehen von sprachlichen Unterschieden, europaweit tätig werden. Deutschland hat derzeit europaweit und weltweit mit das höchste Datenschutzniveau und genießt nach wie vor einen guten Ruf mit „Datenschutz Made in Germany“ als Gütesiegel. Dies bezieht sich nicht nur auf die derzeit gültigen Datenschutzgesetze. Betriebliche interne Datenschutzbeauftragte sowie externe Datenschutzbeauftragte sind im Durchschnitt sehr gut ausgebildet und bilden sich wie im Bundesdatenschutzgesetz verlangt regelmäßig fort.
Diese Position, bestehend aus einem gesetzlich geforderten hohen Datenschutzniveau und einem hohen Ausbildungsniveau eröffnet dem deutschen Datenschutzbeauftragten die Türen für Europa. Mit der zu erwartenden EU-Datenschutzgrundverordnung können sich Datenschutzbeauftragte europaweit positionieren. Sie geben für Unternehmen, die europaweit tätig sind, den besten Berater in Sachen Datenschutz.
Während der Übergangsfrist haben die deutschen Datenschutzbeauftragten ausreichend Zeit, die neuen Artikel der kommenden EU-Datenschutzgrundverordnung (EU-DSGVO) für ihre Unternehmen umzusetzen. Damit sind sie fachlich bestens für den europäischen Datenschutz gewappnet.
Das Fazit
Als Fazit bleibt festzuhalten, dass sich mit der zu erwartenden Gesetzgebung vieles ändern wird. Das Datenschutzniveau wird mit der EU-DSGV für Deutschland eher niedriger ausfallen, gesamteuropäisch vermutlich höher. Zu begrüßen ist mindestens eine nationalstaatliche Regelung des Datenschutzbeauftragten für Deutschland – wünschenswert jedoch verpflichtend in der EU-DSGVO, damit das Beispiel des betrieblichen Datenschutzbeauftragten europaweit Schule machen kann. Unternehmen sollten weiterhin einen Datenschutzbeauftragten beschäftigen, wenn sie es bisher getan haben. Die Vorteile des Datenschutzbeauftragten überwiegen – egal, wie das Ergebnis der EU-Datenschutzgrundverordnung sein wird.