Autoren der Studie „Selbst- und Fremdbild von Datenschutzbeauftragten“ sind Dr. Herbert Schulze und Lena Marie Glunz vom Institut für Betriebswirtschaftslehre und Wirtschaftspädagogik der Universität Oldenburg. Der Datenschutzbeauftragte des Landes Nordrhein-Westfalen, Ulrich Lepper, sieht die Studie als einen weiteren wichtigen Baustein des BvD für die Qualität der Datenschutzberatung und wertet das Ergebnis „als eindeutigen Hinweis, dass qualifizierte Datenschutzbeauftragte ein Muss sind“. Die Studie mit über 6 000 befragten Teilnehmerinnen und Teilnehmern macht deutliche Diskrepanzen zwischen der Eigeneinschätzung und Außenwahrnehmung aus. Sie dokumentiert zudem, dass sowohl über 40 Prozent der Nicht-Datenschutzbeauftragten als auch der überwiegende Teil der Datenschutzbeauftragten die Qualifikation als zu gering einordnen. Vor allem Berufsfremde erwarten eine vollständige Berufsausbildung oder gar ein Aufbaustudium für Datenschutzbeauftragte.
Spaeing sieht in den Ergebnissen die Bestätigung, dass die oft angebotenen, dreitägigen Ausbildungskurse unzureichend sind. Die Realität der Ausbildung liege weit entfernt von den Erwartungen und den tatsächlichen Anforderungen, betont er. Der Berufsverband sehe sich durch die Oldenburger Studie in seiner Arbeit bestätigt, für erheblich mehr Qualität bei der Qualifikation von Datenschutzbeauftragten zu sorgen. Die Studie zeigt Tendenzen auf, dass die betrieblichen und behördlichen Datenschutzbeauftragten ihre Kernkompetenzen in der Beratung sehen, während die Nicht-Datenschutzbeauftragten mit der Funktion vor allem Überprüfung und Kontrolle verbinden. Der stellvertretende BvD-Vorsitzende Marco Biewald erklärt: „Wir müssen uns selbstkritisch fragen, ob wir Datenschutzbeauftragten unsere Aufgaben ausreichend kennen.“ Einmal mehr sei der Bedarf nach einem verbindlichen, eindeutigen Berufsbild deutlich geworden.
Lesen Sie auf den nächsten beiden Seiten Auszüge aus der Stellungnahme des BvD zum Entwurf der neuen EU-Datenschutzverordnung, der jetzt von der Kommission der Europäischen Union vorgelegt wurde.
„Wichtige Säule des Datenschutzes wird demontiert“
Stellungnahme des Berufsverbandes der Datenschutzbeauftragten (BvD) – in Auszügen: Der Datenschutz in Deutschland und in Europa muss modernisiert werden – daran besteht kein Zweifel. Sowohl der deutsche Gesetzgeber als auch die EU-Kommission haben dies erkannt und arbeiten an Entwürfen eines neuen Datenschutzes. Der nun bekannt gewordene Entwurf der neuen EU-Datenschutzverordnung beinhaltet viele neue Ansätze, die geeignet sind, dem Datenschutz in Europa ganz neue Impulse zu geben. Allerdings beinhaltet sie auch einen gewaltigen Rückschritt für den Datenschutz in Deutschland, weil sie zur Umsetzung von schlechteren Datenschutzstandards zwingt. Da die Datenschutzrichtlinie von 1995 uneinheitlich und oft nur mit nationalen Alibi-Gesetzen umgesetzt wurde, plant die EU-Justizkommissarin Viviane Reding nun neben der inhaltlichen Änderung, die Form einer Verordnung, die dann für alle Mitgliedsstaaten verbindlich ist. Diese neue Datenschutzverordnung muss also zwingend in nationales Recht umgesetzt werden. Daher gilt es einen konsensfähigen Kompromiss zu finden, der von allen unterzeichnet werden kann.
Der größte Rückschritt für Deutschland ergibt sich aus der Definition eines neuen Schwellenwertes, ab dem die Bestellung eines Datenschutzbeauftragten erforderlich sein soll. Statt des bislang in Deutschland geltenden Wertes von mehr als neun Beschäftigten, die mit personenbezogenen Daten arbeiten, wird nun eine generelle Grenze ab 250 Mitarbeitern eingeführt – ganz ohne Bezug zur Datenverarbeitung. Dieser Schwellenwert ist in mehrfacher Hinsicht geeignet, den Datenschutz in der Wirtschaft zu gefährden.
Der fehlende Bezug zur Verarbeitung personenbezogener Daten belastet Industrie- und große Handwerksunternehmen in unnötiger Weise. Unternehmen, die lediglich Mindestdaten ihrer Mitarbeiter verarbeiten, können dies oft sehr effizient mit wenigen Personen in der Verwaltung erfüllen. Einen Datenschutzbeauftragten mussten sie dafür bislang nicht bestellen. Diesen Unternehmen wird nun ein Datenschutzbeauftragter aufgezwungen, ohne das die Risiken für die Daten im Unternehmen dabei eine Rolle spielen. Dies kann nur als unnötiger Bürokratieaufbau gewertet werden. Der BvD plädiert dafür, die Bestellung eines Datenschutzbeauftragten nicht an datenschutzirrelevante Werte wie die Mitarbeiteranzahl zu knüpfen, sondern an Risiken wie Datenarten und Verarbeitungstechniken.
Unternehmen, die personenbezogenen Daten geschäftsmäßig verarbeiten, wie beispielsweise Callcenter, Adressmakler, IT-Outsourcer oder auch Internetdienstleister wie Google und Facebook (Deutschland bzw. Irland), sind zukünftig nicht mehr verpflichtet, einen Datenschutzbeauftragten zu bestellen. Diese Art von Unternehmen sind aber genau diejenigen, die bislang in Deutschland die Mehrzahl der Datenschutzskandale verursacht haben und zu deren Geschäftsfeld Datenschutz zwingend dazu gehören muss. Die neue Bestellpflicht blendet diese risikoreichen und kritischen Verarbeitungen vollständig aus. Die neue Regelung ist daher inhaltlich verfehlt. Im Ergebnis fehlt gerade diesen Unternehmen die wirksame Kontrolle über die Verarbeitung. Da zahlreiche Niederlassungen von Nicht-EU Unternehmen weniger als 250 Mitarbeiter aufweisen, wird der schlechte Datenschutzstandard von US-Unternehmen oder anderer Nicht-EU-Unternehmen in deren Niederlassungen „exportiert“. Es bleibt zu hinterfragen, ob die Datenschutzverordnung Datenschutz bezwecken oder verhindern soll.
Unternehmen aller Art lagern bestimmte datenschutzkritische Verarbeitungsvorgänge wie Adresserwerb, Gehaltsabrechnung, Kundenscoring, Versand, Unternehmenssicherheit (z. B. Videoüberwachung) oder IT-Betreuung aus. Mit der neuen Datenschutzverordnung würden diese externen Dienstleister bezüglich der Verarbeitungen fremder Daten von der Eigenkontrolle befreit. Schlimmer noch: Große Unternehmen, die einen Datenschutzbeauftragten bestellen müssten, könnten die kritischen Verarbeitungsvorgänge auf Kleinunternehmen auslagern, die selbst keine eigenen Kontrollinstrumente aufweisen und damit der direkten Kontrolle des Datenschutzbeauftragten entziehen. Damit wird die Kontrolle in der Praxis erst recht ausgehebelt. Eine staatliche Kontrolle ist dafür gänzlich ungeeignet, da diese die realen Probleme gar nicht erfassen kann. Der BvD plädiert daher für eine konsequente Bestellungsverpflichtung für Unternehmen, die personenbezogene Daten im Auftrag verarbeiten. Dies stellt für die Unternehmen ein Qualifikationsmerkmal zur Verarbeitung fremder Daten dar und sichert die Betroffenenrechte in diesem größten Bereich der personenbezogenen Datenverarbeitung.
Die Erfahrung aus Deutschland hat gezeigt, dass Unternehmen, die nicht gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, gar keine Aktivitäten im Bereich des Datenschutzes entfaltet haben. Die Anzahl der Unternehmen mit mehr als 250 Mitarbeitern dürfte bei etwa 30 Prozent aller Unternehmen in Deutschland liegen. Das bedeutet, dass sich 70 Prozent der Unternehmen nicht mehr mit Datenschutz befassen werden. Nach groben Schätzungen des BvD sind in Deutschland über 110 000 Personen im Bereich Datenschutz tätig. Das sind interne und externe Datenschutzbeauftragte und ihre Mitarbeiter, Datenschutzberater, Unternehmen, die Softwareprodukte für diesen Bereich entwickeln, Mitarbeiter und Autoren der Verlage und inzwischen eine beachtliche Anzahl von Hochschulen. Die „Teilzeitdatenschützer“ sind dabei noch nicht in vollem Umfang berücksichtigt. Diese Arbeitsplätze werden in Deutschland in dem Maße verloren gehen, wie Unternehmen aus der Bestellungspflicht entlassen werden – also um etwa 70 Prozent.