Die Bürokratielüge – wie die Reduzierung der Benennungspflicht die Bürokratie erhöht

Bürokratieabbau ist das große Ziel und Datenschutz soll das kleine Opfer sein. 

Die Bürokratisierungsexperten aus CDU/CSU und der FDP wollen die Bürokratie bei den kleinen und mittleren Unternehmen abbauen. Dazu sollen aber nicht etwa beispielsweise das überbordende Baurecht oder das im weltweiten Vergleich ausufernde Steuerrecht verschlankt werden, sondern beim Datenschutz soll abgebaut werden.

Die unglückliche und kaum medial vorbereitete Einführung der DSGVO hat zu einem erheblichen Chaos insbesondere in der mittelständischen Wirtschaft und im Vereinswesen geführt. Die negative skandalorientierte Presseberichterstattung hat dazu ebenfalls beigetragen und tut dies bis heute. Viele Unternehmer oder Vereinsvorstände fühlten sich erheblich verunsichert und zu Unrecht bedroht – von Bußgeldern und Abmahnungen gleichermaßen. Dass dies vollkommen übertrieben war, hat sich inzwischen gezeigt. Das durchschnittliche Bußgeld in Deutschland liegt bisher sogar unter den Werten der Zeit des alten Datenschutzrechts und Abmahnungen sind ebenfalls kaum bekannt.

Für Wahlversprechen werden Bürgerrechte geschwächt

Trotzdem sind Teile der Bundesregierung in das Wehklagen eingestiegen und haben offenbar Zusagen gemacht, die leider nicht so einfach einzuhalten sind. Die DSGVO ist EU-Recht und das kann natürlich Deutschland allein nicht ändern. Aus diesem Grund hat man sich den Teil ausgesucht, den man in Deutschland ändern kann: Die Öffnungsklauseln zum Datenschutzbeauftragten.

Der Datenschutzbeauftragte wurde 1977 als Instrument der betrieblichen und behördlichen Selbstkontrolle eingeführt, um neben den Datenschutzaufsichtsbehörden die Einhaltung des Datenschutzrechts zu gewährleisten. Das hat, soweit die Unternehmen dies so umgesetzt haben, gut funktioniert. Deutsche Unternehmen sind hier längst weltweit führend.

Nach Erkenntnissen des BvD (siehe auch Bitkom Studie Herbst 2017 dazu) wurde das alte Datenschutzrecht von etwa 40 % der Unternehmen umgesetzt und auch gewissenhaft in die DSGVO überführt. Eine Reihe weiterer Unternehmen hat dies mehr schlecht als recht getan und ein ebenfalls beachtlicher Teil von über 30 % der Unternehmen hat nichts getan. Diese Unternehmen haben bis heute nichts getan und dabei sicherlich einiges gespart. Gleichfalls haben diese Unternehmen aber auch gegen geltendes Recht verstoßen. Da aber das Risiko und die Bußgelder überschaubar waren, hat dies nur wenig Aufsehen verursacht. Nun, da die Bußgelder höher ausfallen könnten und Ungemach auch von anderer Seite drohen könnte (Schadensersatzforderungen, Abmahnungen, …), möchten diese bislang untätigen Unternehmen durch die Politik geschützt werden – und die ist in Gestalt einiger CDU/CSU- und FDP- Politiker auch sofort zur Stelle. Nicht um die Bürger zu schützen oder dem Recht Geltung zu verschaffen, sondern um denjenigen Unternehmen, die sich an das bereits seit 1977 geltende Datenschutzrecht nicht gehalten haben, auch einen Freibrief für die Zukunft auszustellen. Vergleichbares ist im Bau- oder Steuerrecht selbstredend undenkbar.

Wie mag sich da der Unternehmer fühlen, der sich selbstverständlich an dieses Recht gehalten hat? Auch bei den Bürgern findet diese Vorgehensweise sicher wenig Verständnis und ist genau die Art von Politik, die zu einer zunehmenden Entfremdung führt.

Was ich nicht weiß, macht mich nicht …

Unwissenheit schützt vor Strafe nicht. Dies einmal vorausgesetzt, kann das heimliche Hauptargument zahlreicher Akteure gleich entkräftet werden: Der Datenschutzbeauftragte zeigt auf, was alles im Unternehmen beim Datenschutz schief läuft, das macht den Unternehmer bzw. die Leitung des Verantwortlichen dann im juristischen Sinne „bösgläubig“ – er wusste um den Verstoß und hat ihn doch nicht abgestellt. Natürlich macht sich das im Bußgeldverfahren oder auch bei einer Straftat nicht gut.

Wenn man nun diesen „Überbringer der schlechten Nachricht“ (den Datenschutzbeauftragten) entfernt, dann wäre doch alles viel besser. Tja, wäre da nicht Satz eins: „Unwissenheit…“ Auch ohne einen Datenschutzbeauftragten und ggf. ohne zu wissen, dass man gegen ein Gesetz verstoßen hat, kann das Fehlverhalten sanktioniert werden. Die DSGVO legt eindeutig fest, wer für das Thema verantwortlich ist: Der Verantwortliche, bzw. dessen Leitung. Dieses „Ich will es gar nicht wissen…“ -Argument ist also falsch und zeigt die eigenartige Denkweise mancher Akteure.

Bürokratie wird mehr, wenn es keinen Sachverstand gibt

Nun aber zum Kernpunkt: Wird Bürokratie abgebaut, wenn Datenschutzbeauftragte nicht benannt werden müssen? Nein, welche auch? Die DSGVO, das BDSG sowie sämtliche anderen Datenschutzvorschriften sind vollumfänglich zu erfüllen. Dies gilt – auch ohne Datenschutzbeauftragte – weiterhin für alle Unternehmen und Vereine, seien diese auch noch so klein. Allerdings würde mit den Datenschutzbeauftragten diejenigen entfernt, die helfen könnten, dieses Recht risikobasiert und angemessen umzusetzen. Stattdessen werkeln dann fachfremde Personen an Einwilligungserklärungen und Verträgen, schreiben Dokumentationen und verteilen Gesetzestexte an Mitarbeiter – zur Schulung.

Dies alles ist bereits passiert und ohne die Datenschutzbeauftragten werden wir davon noch viel mehr erleben: Falsche und unnötige Einwilligungserklärungen, unsinnige Unterschriften zu allen möglichen Zwecken, untaugliche Verträge und überbordende Dokumentationen gab es seit dem 25.05.2018 schon zuhauf, weil es nicht genug qualifizierte Datenschutzbeauftragte gab, um den Beratungsbedarf zu decken.

Eines der bewährtesten Mittel, um Bürokratie im Datenschutz zu vermeiden, sind qualifizierte Datenschutzbeauftragte. Die Schwächung der Benennungspflicht ändert an der Bürokratie in den Unternehmen nur insoweit etwas, dass diese zunehmen wird. Auf jeden Fall steigen die Risiken für die Verantwortlichen, gegen die Regelungen zum Datenschutzrecht zu verstoßen.

Ganz nebenbei: Wenn keine Datenschutzbeauftragte benannt werden, sind die Geschäftsführungen selbst für die Aufgaben verantwortlich. Dergleichen wird auch immer wieder ins Feld geführt: „Das mache ich als Geschäftsführer selbst.“ – Wenn dafür Zeit ist und die Expertise vorliegt, kann das ein gangbarer Weg sein. Die Praxis zeigt aber, dass dies ein Irrtum ist, ein Geschäftsführer oder Vorstand hat für diese Themen weder Zeit noch die notwendigen Kenntnisse. Kosten spart man dabei jedenfalls nicht.

Mit zunehmender Digitalisierung und spätestens mit KI-Anwendungen werden die Daten ohnehin nicht mehr von einer großen Anzahl von Personen „verarbeitet“. Das machen Systeme, die von wenigen gesteuert werden. Insofern ist das Konzept, den Datenschutzbeauftragten von einer Anzahl von Mitarbeitern abhängig zu machen, tatsächlich von gestern. Jeder Verantwortliche, der personenbezogene Daten zum Geschäft macht oder umfänglich verarbeitet, muss einen Datenschutzbeauftragten an seiner Seite haben – auch und gerade als Start-Up. Dergleichen Konzepte wurden bei der Entwicklung der DSGVO aber leider stark verwässert.

Wie sehen das Kunden und Mitarbeiter?

Gleichzeitig steht es um die Betroffenenrechte in diesen Unternehmen schlecht. Mit welcher Begründung werden die Rechte von Beschäftigten in diesen Unternehmen bewusst geschwächt? Sind sie Mitarbeiter zweiter Klasse? Und die Kunden – wie steht es um diese? Sollen die besser gleich zum größeren Wettbewerb gehen, weil für den die strengeren Regelungen gelten und man dort sicher sein kann, dass die Daten besser geschützt werden?

Wir merken schon, das bekommt einen ganz seltsamen Drive. Natürlich wollen wir gerade das nicht. Auch in kleinen Unternehmen sollen die Mitarbeiter nicht unkontrollierten Überwachungsmaßnahmen ausgesetzt sein und auch Kundendaten sollen dort gut geschützt werden. Wir erinnern uns: WhatsApp hatte zum Zeitpunkt des Verkaufs an Facebook gerade 50 Mitarbeiter und etwa 800 Mio. Kunden. Sollte Datenschutz hier eine Rolle spielen? Keine Frage!

Es wird zwar immer wieder behauptet, dass Kunden für coole kostenlose Services und Apps gerne mit ihren Daten bezahlen, aber das stimmt nur dann, wenn der Datenschutz passt. Kunden geben immer wieder an, dass sie voraussetzen, dass Anbieter sich an die Regeln halten – und genau das will ja auch die DSGVO. Datenschutzbeauftragte tragen zur Vertrauensbildung bei – dies kommt dem Image des Unternehmens und seinen Produkten und Dienstleistungen zugute. Hinzu kommt, dass Kunden die Datenverarbeitungsmechanismen hinter den kostenlosen Services meist gar nicht verstehen. Wenn man sie dann aufklärt, ändern viele Nutzer ihr Verhalten und wechseln bspw. zu datenschutzfreundlicheren Varianten wie Threema statt weiter WhatsApp zu nutzen.

Selbst Schüler, die der BvD im Rahmen seiner Initiative „Datenschutz geht zur Schule“ im Bereich Medienkompetenz sensibilisiert, ändern nach Erhebungen an den Schulen ihr Verhalten bei der Mediennutzung nachhaltig. Es mangelt also nicht am Wollen, sondern am Können bzw. Wissen. Medienkompetenz findet in Deutschland an den Schulen, im Studium und auch in der Berufsausbildung wenig bis gar nicht statt. Ein wichtiges Tätigkeitsfeld für die Bildungspolitiker der Bundesländer und auch die Bundesregierung. Hier spielt Deutschland leider in der zweiten Liga – und das gerade so!

Chancen durch Datenschutz nutzen!

Von dieser Seite betrachtet, wird schnell deutlich, dass die Schwächung der Benennung eines Datenschutzbeauftragten auch eine Schwächung der Unternehmen ist. Die Unternehmensprozesse zu durchleuchten, um zu ermitteln wie und warum personenbezogene Daten von Kunden und Beschäftigten verarbeitet werden, führt regelmäßig zu einer Reihe wichtiger Erkenntnisse, die helfen die Datenverarbeitung schlanker, sicherer und oft transparenter zu machen. Regelmäßig werden Prozesse deutlich sicherer und in fast jedem Unternehmen haben sich unnötige Prozesse, Verarbeitungen oder Berechtigungen eingeschlichen. Die deckt ein erfahrener Datenschutzbeauftragter auf und hilft somit Komplexität zu reduzieren, Kosten zu senken und besser zu werden. Klassische Ziele eines Re-Engineering-Prozesses – ganz nebenbei.

Noch besser: Die Erkenntnisse und die Sicherheitsmaßnahmen aus diesem Prozess kommen allen anderen Datenverarbeitungen auch zugute. Verschlüsselungsmaßnahmen schützen somit auch Geschäftsgeheimnisse und geschulte Mitarbeiter gehen Hackern und Angreifern nicht so schnell auf den Leim. Hier haben Unternehmen und Behörden in Deutschland bereits genug schlechte Erfahrungen gesammelt – und die Politik auch. Es werden also ganz konkret Maßnahmen ergriffen, die die Wettbewerbsfähigkeit eines Unternehmens stärken und seine Produkte sicherer machen können.

Wollen wir in diesem Marktumfeld kleine oder neue Unternehmen stärken, so helfen wir ihnen, von Anfang an compliant zu arbeiten und sichere Lösungen und Dienstleister einzusetzen. Weitsichtig wären hier entsprechende Informations- und Förderprogramme für Start-Ups und KMU. Hier könnte eine solide ausgestattete Stiftung Datenschutz gerade für kleine KMU und die vielbeschworenen Handwerker mit Standards helfen. Das stärkt die Wirtschaft nachhaltig und hilft den Unternehmen die Anforderungen größerer Kunden ggf. auch international zu bestehen. Denn die Kunden und Aufsichtsbehörden anderer Länder haben wenig Verständnis dafür, dass hier in Deutschland mit zweierlei Maß gemessen werden soll. Wenn erst ein Auftrag verloren ging, weil es am Datenschutz gefehlt hat, dann ist es zu spät.

Nicht ohne Grund arbeitet beispielsweise die Automobilindustrie bereits an eigenen Datenschutz-Vorgaben und Zertifizierungen von Lieferanten, um deren Zulieferung abzusichern. Ein Zulieferer, der mit Datenschutz- oder Datensicherheitsproblemen kämpft, ist für seine Kunden ein Risiko. Nicht nur dass bspw. Daten verloren gehen können, die Lieferprozesse und damit die eng getaktete Produktionskette werden beeinträchtig oder kommen gar zum Stillstand.

Hier setzen künftig genau dieselben Mechanismen ein, wie sie aus dem Qualitätsmanagement bekannt sind. Auch in anderen Branchen sind Datenschutzaudits bei Zulieferern und Dienstleistern längst Standard. Wer nicht mithalten kann, bekommt den Auftrag nicht. Erschreckend oft sind dies junge Start-Ups, die ihre tollen Ideen im rechtsfreien Raum gedacht und entwickelt haben. Wenn dann die Compliance-Anforderungen der Kunden kommen, reagieren sie mit Unverständnis.
Dass ist ein Versagen der Wirtschaftspolitik. Wir müssen diese Unternehmen besser auf die Anforderungen vorbereiten anstatt sie in einen luftleeren rechtsfreien Raum zu stellen. Wir befreien Start-Up auch nicht von den Anforderungen des Bau- oder Steuerrechts – um im Bild zu bleiben.

Datenschutz managen

Das bringt uns zu einem Aspekt, der mit der DSGVO so neu auf den Plan getreten ist: Datenschutz managen. Von einem Datenschutzmanagement wurde auch früher schon viel gesprochen. Aber erst die DSGVO mit den Regelungen zur Rechenschaftspflicht aber auch zur Zertifizierung bereitet den Boden für ein Datenschutzmanagementsystem. Hier liegt auch für die Unternehmen ein gewaltiges Potential. Genau wie beim Qualitätsmanagement skaliert ein Unternehmen sein Datenschutzmanagement und dessen Komplexität passend zu seinen Prozessen und Datenverarbeitungen. Hier ermöglicht die am Risiko orientierte DSGVO den Unternehmen genau die Komplexität abzubilden, die erforderlich ist und eben nicht mehr.

Sicher, die eine oder andere Dokumentations- und Transparenzpflicht mutet im Mittelstand unnötig und bürokratisch an. Aber genau hier hilft wiederum der qualifizierte Datenschutzbeauftragte, um den Aufwand im Rahmen zu halten und nur die tatsächlich notwendigen Pflichten angemessen zu erfüllen.

Ein solcher Datenschutzbeauftragter unterstützt das Unternehmen auch dabei, ein Datenschutzmanagement aufzubauen. Das klingt nach viel Aufwand, ist aber vor allem für QM-erfahrene Unternehmen meist schnell erledigt. Zunächst werden die erforderlichen Datenschutz- und Verarbeitungsprozesse beschrieben, dann wird festgelegt, wer innerhalb der Prozesse für welche Tätigkeiten zuständig ist und daraus ergeben sich letztlich die notwendigen Arbeitsanweisungen, die den Mitarbeitern vermittelt und zugänglich gemacht werden müssen. Nach den Schulungen werden regelmäßige Audits durch den Datenschutzbeauftragten oder einen entsprechend geschulten Mitarbeiter durchgeführt. Die Ergebnisse aus den Audits werden der Leitung (Geschäftsführung/Vorstand) berichtet und diese legt die notwendigen Abstellmaßnahmen fest und durch wen diese zu erfolgen haben.

Das war’s schon fast, der PDCA-Zyklus (Plan, Do, Check, Act), wie er im Qualitätsbereich hinreichend bekannt ist, übertragen auf den Datenschutz. Die so geschaffene Organisation beherrscht das Thema und ist jederzeit in der Lage, einer Aufsichtsbehörde oder einem Kunden nachzuweisen, dass der Datenschutz funktioniert.

Noch viel einfacher – weil eben wieder am Risiko orientiert – lässt sich der Datenschutz in Handwerksbetrieben und im kleinen Handel realisieren. Hier sind eben Erfahrung und Augenmaß gefordert und nicht rechtstheoretische Abhandlungen wie sie in mancher Rechtsberatung immer wieder entstehen.

Wie findet man einen qualifizierten Datenschutzbeauftragten?

Natürlich müssen wir an dieser Stelle noch über den Datenschutzbeauftragten sprechen. Wenn hier von einem qualifizierten Datenschutzbeauftragten die Rede ist, dann ist das nicht der selbsternannte Experte, der stets nur die halbe Buchseite weiter ist als sein Kunde. Ein Tageslehrgang macht noch keinen Datenschutzbeauftragten und ein Wochenlehrgang noch keinen Berater.

Ein qualifizierter Datenschutzbeauftragter ist solide vorgebildet in den Bereichen Informationstechnik, Betriebswirtschaft und Unternehmensorganisation und im Bereich Datenschutzrecht. Datenschutzbeauftragte sind oft Quereinsteiger aus einem dieser Bereiche und haben sich die anderen Fähigkeiten angeeignet. Interne DSB können durchaus weniger umfassend qualifiziert starten, wenn sie dafür das Unternehme gut kennen, denn auch dieses Wissen ist für die Tätigkeit sehr relevant.

Hingegen müssen externe, da sie ja das Unternehmen nicht kennen, deswegen mehr Erfahrungen und von Anfang an eine hohe Qualifikation haben und insbesondere die erforderliche Beratungskompetenz mitbringen.

Das Problem der Unternehmen ist es, die passende Lösung für sich zu ermitteln und dabei nicht den zahlreichen Blendern auf den Leim zu gehen, die der DSGVO-Boom eben auch hervorgebracht hat. Der BvD entwickelt dazu momentan ein Beratungsangebot für Unternehmen und Behörden, das helfen soll, die jeweils richtige Lösung zu finden.

Um bei der Beratung die Spreu von den Weizen zu trennen, müssen Ausbildung und Berufsausübung standardisiert werden. Mit dem Berufsbild des Datenschutzbeauftragten hat der BvD hier bereits vorgelegt. Der nächste sinnvolle Schritt ist eine Berufszertifizierung durch eine neutrale Stelle. Also nicht durch den Ausbilder, sondern wie bspw. in Frankreich durch die CNIL – also die zuständige Aufsichtsbehörde. Allerdings wird in Frankreich die Berufsausübung noch nicht in die Zertifizierung einbezogen, d.h. das Zertifikat trifft noch keine Aussage darüber, ob der geprüfte DSB die Kenntnisse auch in die Tat umsetzt. Diesen Anspruch hat das Berufsbild und so sollte auch der Standard für eine Zertifizierung in Deutschland aussehen. Dies gibt den Unternehmen die notwendige Sicherheit bei der Auswahl des richtigen Mitarbeiters oder Beraters. Hier ergibt sich weiteres ein sinnvolles und dringendes Handlungsfeld für die Politik.

Fazit

Wenn es eigenen Zwecken dient, dann ist der Datenschutz stets eine hochwillkommene Rüstung gegen die Presse oder wissbegierige Bürger. Wenn es ein bisschen Gegenwind gibt, dann wird schnell über die unnötige Bürokratie gejammert. Diese Bürokratie gibt es natürlich, wie in vielen Gesetzen, auch im Datenschutzrecht. Die Datenschutzbeauftragten gehören allerdings ganz sicher nicht dazu. Wie ein Steuerberater in seinem Bereich, helfen sie mit ihrem Know-how Bürokratie zu vermeiden und die Anforderungen zum Datenschutz so effizient wie möglich umzusetzen. Wenn die Politik handeln möchte, so haben wir nun einige wichtige Bereiche gesehen, die schon lange auf Handlungsfähigkeit warten. Die Heilsversprechen zum Bürokratieabbau durch die Anpassung der Benennungspflicht wären ein „Danaergeschenk“ – das weder nachhaltig ist noch dem Wirtschaftsstandort Deutschland hilft.

Der BvD hat im Übrigen pragmatische Vorschläge zur schnellen Entlastung von Unternehmen und Vereinen vorgelegt (siehe www.bvdnet.de, Positionspapiere).

Autor: Vorstandsvorsitzender des BvD, Thomas Spaeing