Malaika Ngoy
Politikbrief Frühjahr 2024
Datenschutzbeauftragte finden im Unternehmensalltag nicht statt, sie werden zu wenig und viel zu spät in aktuelle Projekte einbezogen und es wird zu wenig in ihre Weiterbildung investiert. Zu diesem Ergebnis kommt eine Studie des Europäische Datenschutzausschuss (EDSA) und zeichnet damit ein verheerendes Bild. Der EDSA ist ein unabhängiges europäisches Gremium und hat die Aufgabe, die einheitliche Anwendung der Datenschutz-Grundverordnung sicherzustellen. Ich kann mich nicht in allen Teilen der Ausführungen anschließen – sicherlich auch, weil sich europaweit ein sehr heterogenes Bild über die Arbeiten der Datenschutzbeauftragten ergibt. Aber auch hierzulande genießt die Arbeit der Kollegen in den Unternehmen und Behörden oft den Ruf des Überbringers schlechter Nachrichten. Diese falsche Vorstellung zu ändern und gleichermaßen meine Kolleginnen und Kollegen zu befähigen, zu ermöglichen, statt zu verbieten, haben wir uns zur Pflicht gemacht. Doch dafür brauchen wir auch Ihre Unterstützung.In diesem Politikbrief möchten wir Ihnen mehrmals im Jahr und immer, wenn es wichtig ist, unsere Praxissicht auf den Datenschutz vermitteln. Als ältester Berufsverband Deutschlands vertreten wir seit über 30 Jahren die Belange der vielen Datenschutzbeauftragten in Deutschland – mit einem ehrenamtlichen Vorstand, der noch selbst in vielen Unternehmen und Organisationen täglich die Bedürfnisse sowohl der Betroffenen als auch der Verantwortlichen kennt. Und diese Bedürfnisse sind oft verbunden mit dem Wunsch, nach einem verständlichen und pragmatischen Datenschutz für ein modernes Miteinander im digitalen Zeitalter.
Somit ist diese erste Ausgabe auch zu verstehen als ausdrückliche Einladung zum Gespräch und gemeinsamen Austausch, wie wir den Umgang mit Daten generell und personenbezogenen Daten im Speziellen in Deutschland und Europa vereinfachen können. Mit den Datenschutzbeauftragten in Deutschland haben Sie viele tausend Lotsen für die Digitalisierung an Ihrer Seite und mit dem BvD immer einen kompetenten und offenen Ansprechpartner. Viel Spaß bei der Lektüre, wünscht
Ihr
Datenschutzbeauftragte sind Teil der Lösung
Eine Vorlage aus dem Bundesrat versetzte die Datenschutz-Szene in Aufruhr und drohte die Arbeitsgrundlage für viele betriebliche Datenschutzbeauftragte zu gefährden.
Wir als Berufsverband sind nunmehr erleichtert, dass die vorgesehene Streichung des § 38 Bundesdatenschutzgesetz (BDSG), der die Benennung des Datenschutzbeauftragten regelt, nicht die Länderkammer passiert hat.
Der Entwurf eines Ersten Gesetzes zur Änderung des BDSG geht nun ins weitere parlamentarische Verfahren. Für die Befassung im Bundestag begrüßen wir grundsätzlich das Ansinnen, bürokratische Belastungen für Unternehmen zu verringern. Doch nicht der Datenschutzbeauftragte ist die bürokratische Last, denn die Datenschutzgrundverordnung DSGVO bedeutet für die Wirtschaft einen Zuwachs an Bürokratie.
Seinen Grund hat dies in den umfangreichen Dokumentations- und Hinweispflichten der DSGVO. Vor diesem Hintergrund erscheint es fatal, wenn in der nationalen Gesetzgebung gegenüber den Verantwortlichen und den Unternehmensleitungen der Eindruck erweckt wird, der nationale Gesetzgeber könnte sie von ihren Pflichten und ihrer – auch persönlichen Verantwortung – nach der DSGVO befreien.
Ein Rütteln an der nationalen Benennungspflicht eines Datenschutzbeauftragten ändert an keiner dieser Pflichten etwas. Vielmehr sollte darüber nachgedacht werden, die Kompetenzen des Datenschutzbeauftragten zu vergrößern. Für eine Entlastung der Unternehmen schlagen wir beispielsweise vor, die Datenschutz-Folgenabschätzung unter Einbindung der Fachbereiche durch den Datenschutzbeauftragten vorbereiten zu lassen. Dieser stellt das Ergebnis der Leitung vor und diese legt dann auf Basis dieser Vorschläge die weitere Vorgehensweise fest. In ähnlicher Weise könnte man beim Führen des Verarbeitungsverzeichnisses vorgehen.
Um eine Balance aus hohem Schutzniveau, wirtschaftlichen Möglichkeiten und bürokratischen Entlastungen zu schaffen, stehen wir im weiteren Gesetzgebungsverfahren als Experten und Ansprechpartner mit dem Praxisfokus aus vielen hundert Mitgliedsunternehmen zur Verfügung.
Wie man die DSGVO entbürokratisieren könnte: Dokumentationspflichten verschlanken
Die DSGVO weist eine ausgeprägte Compliance-Methodik auf, die sich darin äußert, dass jede Zulässigkeitsprüfung durch Dokumentation- und Informationspflichten und jede Handlungspflicht durch Organisationspflichten flankiert wird. So weit, so nachvollziehbar und sinnvoll. Doch an vielen Stellen ergeben sich hier in der Praxis Doppelungen, die weder das Sicherheitsniveau steigern noch den Betroffenen mehr Kontrolle über ihre Daten geben. So wird beispielsweise die Frage der Zulässigkeit einer Verarbeitung gemäß Art. 6 DSGVO flankiert von der Dokumentationspflicht nach Art. 5 Abs. 2 DSGVO (sog. Rechenschafspflicht) und der Pflicht zur Angabe der Rechtsgrundlage gegenüber der betroffenen Person die Rechtsgrundlage nach Artt. 13, 14 DSGVO sowie der Pflicht zur Erfassung im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Damit löst selbst eine einfache Zulässigkeitsprüfung drei weitere Pflichten aus.
Jedes Unternehmen muss die Transparenz bei der Verarbeitung personenbezogener Daten gewährleisten. Dies bedeutet, dass die betroffene Person proaktiv umfassend über die Verarbeitung personenbezogener Daten informiert werden und ihr reaktiv auf Anfrage Auskunft erteilt werden muss. Nach der DSGVO sind diese Pflichten jedoch nicht nur zu erfüllen, sondern gemäß Art. 5 Abs. 2 i.V.m. Abs. 1 lit. a DSGVO muss auch dokumentiert werden, dass diese Pflichten erfüllt werden, und gemäß Art. 12 DSGVO müssen – unabhängig von der Unternehmensgröße – nachweislich Maßnahmen implementiert werden, um diese Transparenzpflichten zu erfüllen.
Hier regt der BvD an, bei einfachen Zulässigkeitsprüfungen die beiden letztgenannten Dokumentationsverpflichtungen risikobasiert auszulegen und nur bei hohem Risiko als notwendig anzusehen, um Unternehmen von Bürokratiekosten zu befreien.
AI Act: Warum eine fehlende Anbieterhaftung die weitere Digitalisierung von KMU verhindert
Der BvD fordert eine stärkere Beteiligung der Anbieter in Haftungsfragen rund um KI und Softwarelösungen in der nationalen Umsetzung des AI Act. Bereits in der Vergangenheit hat sich der Verband für eine Anbieterhaftung stark gemacht, weil für die Anwender oftmals nicht mehr nachgeprüft werden kann, wie eine Software aufgebaut ist. Mit immer komplexer werdenden Algorithmen der auf den Markt drängenden Künstlichen Intelligenzen, verschärft sich dieses Sicherheitsrisiko weiter.
Da Datenschutzbeauftragte regulatorisch und IT-Sicherheitsbeauftragte mindestens technisch nachvollziehen müssen, wie Daten fließen und verarbeitet werden und welche Risikoniveaus mit dem Einsatz einer KI verbunden sind, ist eine stärkere Haftung zwingend. Denn eigentlich können die jeweils Verantwortlichen keine Lösung empfehlen, die sie nicht einschätzen können – in der Praxis kaufen sie die sprichwörtliche Katze im Sack.
Somit wird diese fehlende Transparenz besonders für KMU zum echten Digitalisierungskiller. Viele „hidden champions“ klagen hierzulande schon jetzt über Überforderungen und sind nicht in der Lage, langwierige Prüfungen zu unternehmen. Der Fachkräftemangel ist dabei noch gar nicht berücksichtigt. Hier fordert der BvD die deutschen Gesetzgeber auf, Nachbesserungen in den anstehenden Umsetzungsgesetzgebungen vorzunehmen.
Thomas Spaeing zum Europäischen Datenschutztag 2024
|
||||
|
||||
|
||||
|