Der EDSA (Europäischer Datenschutzausschuss) hat im Jahr 2023 eine länderübergreifende Prüfung von Datenschutzbeauftragten (DSBs) durchgeführt. Hierbei wurden sowohl DSBs von öffentlichen Stellen als auch von privaten Unternehmen befragt. Der EDSA hat insgesamt ca. 17.000 Antworten erhalten. Im Rahmen der Prüfung wurden die Benennungen der Datenschutzbeauftragten, deren Fachkunde, die zeitlichen Ressourcen, die Vertretungsregeln, die Aufgabenverteilung und -trennung sowie deren Unabhängigkeit und das Berichtswesen unter die Lupe genommen. Die Ergebnisse der Befragung zeigten gravierende Mängel auf.
Keine (rechtswirksame) Benennung & Fachkundemängel
In vielen Fällen fehlte es schon an einer ordentlichen Benennung des Datenschutzbeauftragten. Entweder war keine schriftliche Benennung vorhanden oder diese war mangelhaft. Dies lässt sich leicht durch entsprechende vertragliche Regelungen beheben.
Viel gravierender aber ist der Mangel an Fachkunde bei vielen Datenschutzbeauftragten. Das ist jedoch nicht weiter verwunderlich, wenn man bedenkt, dass die Stellung des DSB gerne innerhalb des Unternehmens vergeben wird. Und zwar nacg dem Prinzip, wer als Letzter „nein“ sagt, bekommt die Aufgabe. Datenschutz kann man aber nicht einfach nebenher machen. Hierfür ist eine Kenntnis der nationalen und internationalen Regelungen notwendig. Auch eine Erfahrung bei der Umsetzung von datenschutzrechtlichen Vorgaben sowie die stetige Weiterbildung sind Teil der Fachkunde. Daher sollte man den Datenschutzbeauftragten immer mit Bedacht wählen.
Keine oder zu wenig Zeit
Zu wenig Zeit ist der Klassiker schlechthin. Aus der Befragung ergab sich, dass sowohl interne als auch externe Datenschutzbeauftragte häufig zu wenige zeitliche Ressourcen zur Verfügung gestellt bekommen. Bei internen DSBs liegt es meist daran, dass sie die Arbeit als DSB zusätzlich zu ihren eigentlichen Aufgaben im Unternehmen on top bekommen. Bei externen DSBs ist es meist eine Kostenfrage. Hier sind viele Unternehmen nicht bereit, den erforderlichen zeitliche Aufwand zu bezahlen. Argument: „Datenschutz kostet nur Geld und generiert keinen Umsatz!“ Das ist aber nur sehr kurz gedacht, denn mit einem ordentlich aufgesetzten Datenschutzmanagementsystem mit entsprechenden Prozessen und einer regelmäßigen Überprüfung sowie Begleitung durch einen fachkundigen DSB kann sogar Geld gespart werden.
Sind ordentliche Verträge, Belehrungen und Informationen vorhanden, Prozesse etabliert und Mitarbeiter geschult und sensibilisiert, dann tauchen in der Regel erst gar nicht so viele datenschutzrechtliche „Probleme“ auf. Diese werden insofern im Keim erstickt bzw. können gut standardisiert bearbeitet werden.
Einbeziehung & Vertreterregelung
Der EDSA hat des Weiteren bemängelt, dass die DSBs häufig nicht früh genug in neue Projekte und geplante Verarbeitungstätigkeiten mit einbezogen werden. Dies ist vor allem immer dann ärgerlich, wenn am Ende ein Projekt aus datenschutzrechtlichen Gesichtspunkten nicht in Frage kommt oder sich erheblich verzögert. Häufig hätte man hierin investierte Zeit durch rechtzeitige Einbindung des DSB sparen oder das Projekt gleich in eine datenschutzkonforme Richtung lenken können.
Ein weiterer Klassiker im Datenschutz: Datenschutzvorfall am Freitagmittag, doch der DSB ist im Urlaub. Was nun? Unternehmen haben oft nicht für den Fall vorgesorgt, wer den Datenschutzbeauftragten im Krankheits- oder Urlaubsfall vertritt. Gerade bei internen Datenschutzbeauftragten fehlt es an einer Regelung. Benennt man einen externen DSB aus einer Firma mit mehreren Datenschutzbeauftragten, ist dort in der Regel für eine Vertretung gesorgt.
Aufgabenverteilung und -trennung
Auch die Mängel im Rahmen der Aufgabenverteilung und -trennung betrafen die internen Datenschutzbeauftragten. Hier waren häufig die Aufgaben des DSB schon gar nicht korrekt beschrieben. Zudem haben diese teilweise die Aufgaben des Verantwortlichen übernommen. Nicht selten haben Unternehmen auch Personen aus dem Unternehmen als Datenschutzbeauftragte benannt, die diese Tätigkeit auf Grund von Interessenskollisionen gar nicht ausführen können.
Solch ein Konflikt liegt grundsätzlich bei Personen aus der ersten Führungsebene vor. Aber auch Mitarbeiter aus der zweiten Führungsebene wie Leiter von eigenen Betriebsstätten, HR, IT, Marketing und Vertrieb sowie Betriebsratsvorsitzende sind nicht geeignet. Dies schränkt den vertrauenswürdigen Kreis von Mitarbeitern für diese Position stark ein. Leider werden diese Konflikte in der Praxis häufig übersehen.
Unabhängigkeit & Berichtswesen
Gerade interne Datenschutzbeauftragte haben es schwer, sich ihre Unabhängigkeit zu bewahren. Sind sie doch einem Vorgesetzten unterstellt und arbeiten tagtäglich mit Kollegen zusammen, auf deren datenschutzrechtliche Fehler möglicherweise hingewiesen werden muss.
Oft sind die Datenschutzbeauftragten – auch hier wieder die internen – nicht direkt der Geschäftsführung unterstellt. Dies ist aber wichtig und gesetzlich vorgeschrieben, um auch der Berichtsfunktion als DSB entsprechend nachkommen zu können.
Fazit
Diese länderübergreifende Umfrage des EDSA hat aufgezeigt, dass noch zahlreiche Mängel im Bereich des Datenschutzes in Unternehmen bestehen. Dabei ist vor allem auch zu berücksichtigen, dass gerade einmal ein Drittel der angefragten Unternehmen geantwortet haben – fraglich also wie es um den Rest bestellt ist. Gerade interne Datenschutzbeauftragte haben weder die Zeit, noch die Ressourcen sowie die Fachkunde, um dieser Funktion gerecht zu werden. Mit der Beauftragung eines externen Datenschutzbeauftragten betreffen Sie viele dieser Mängeln nicht.
Sie haben Interesse an einem externen Datenschutzbeauftragung oder an der fachkundigen Unterstützung Ihres Teams? Dann nehmen Sie Kontakt zu uns auf unter info@sidit.de. Wir sind deutschlandweit tätig!