EU-Datenschutzreform stellt bisheriges PrĂĽfsystem auf den Kopf
Die betrieblichen Datenschützer werben dafür, die bisherige Aufgabenaufteilung mit den Behörden bei der anstehenden EU-Datenschutzreform beizubehalten. Damit erweisen sie dem Datenschutz aber einen Bärendienst.
Die geplante europäische Datenschutz-Grundverordnung sieht Eingriffe in die bisher gepflegte Arbeitsteilung zwischen Aufsichtsbehörden und betrieblichen Datenschutzbeauftragten vor. Die Behörden sollen sich auf Kontrollen ohne Beratung beschränken, dafür allerdings Zertifizierungen anbieten. Die Bundesregierung möchte das bisherige Modell beibehalten, konnte aber im Rat der EU-Innenminister die anderen Mitgliedstaaten nicht überzeugen.
Systemerhalt
Auch der Berufsverband der Datenschutzbeauftragten (BvD) plädiert für Erhalt des Systems und befürchtet, dass auf die Unternehmen erhöhte Ausgaben für die Rechtsberatung zukommen werden. Doch dürfte den BvD auch motivieren, dass durch die Reform viele Unternehmen gar keine Datenschutzbeauftragten mehr einsetzen müssen. Denn für die Pflicht, einen betrieblichen Datenschützer zu beschäftigen, soll nicht mehr die Unternehmensgröße maßgeblich sein, sondern der Umfang der Datenverarbeitung und deren Bedeutung. Was das konkret bedeutet, ist derzeit allerdings noch unklar.
Der BvD-Vorstandsvorsitzende Thomas Spaeing hält das bisherige deutsche System jedenfalls für erfolgreich: „In Firmen und Ämtern sind es die Datenschutzbeauftragten, die dafür sorgen, dass die Verarbeitung personenbezogener Daten zum Schutz von Verbrauchern, Mitarbeitern und Kunden eingehalten wird.“ Die Bundesdatenschutzbeauftragte Andrea Voßhoff erklärt deren Verhältnis zu den Aufsichtsbehörden so: „Die Datenschutzbeauftragten sind wie Feuermelder, die Kontrollbehörden wie die Feuerwehr.“
Feuerwehr
Wie effektiv die „Feuerwehr“ der Aufsichtsbehörden tatsächlich ist, ist in der Datenschutz-Community stark umstritten. So gibt es auch nach Jahrzehnten auffallend wenig Rechtsprechung im Datenschutzbereich, da die Aufsichtsbehörden es traditionell vermeiden, verbindliche Bescheide zu erteilen, die vor Gericht angefochten werden können. „Oftmals zieht sich der Schriftverkehr zwischen den Behörden und Unternehmen über Monate hin, ohne zu einem verbindlichen Abschluss zu kommen“, weiß der Berliner Datenschutzexperte Niko Härting, der schon viele Unternehmen beraten hat.
Der Fokus der Aufsichtsbehörden liegt seit Jahrzehnten auf der Beratung, weniger auf der wirksamen Durchsetzung des Datenschutzes. Künftig sollen die Behörden aber primär Datenschutz durchsetzen, statt ihn lediglich zu verhandeln. Deshalb ist es einerseits nachvollziehbar, wenn BvD-Vorstand Marco Biewald darüber klagt, dass mit der EU-Reform „formfreie Vor-Ort Bewertungen von betrieblichen Datenschutzbeauftragten durch bürokratische Meldepflichten und Anträge an Behörden ersetzt werden sollen“. Andererseits gibt es wegen der bisherigen Praxis noch immer zu vielen Fragen keine rechtlich belastbaren Antworten.
Privacy by Design
Wenn Bürger oder Mitarbeiter eines Unternehmens eine Beschwerde einreichen, wird üblicherweise nicht das gesamte betroffene System überprüft, sondern nur das problematische Detail. Die Idee vom „Datenschutz durch Technik“ oder „Privacy by Design“ kann so aber nicht umgesetzt werden. Zudem hängt von der Person des Prüfers ab, wie engagiert geprüft wird. In der Praxis führt das dazu, dass die Aufsichtsbehörden in Bund und Ländern in unterschiedlicher Tiefe prüfen und teilweise auch zu widersprüchlichen Schlussfolgerungen kommen. Diese kommen dann aber nicht auf den gerichtlichen Prüfstand.
Ein weiteres Manko des bisherigen Prüfsystems ist, dass es weitgehend ohne Zertifizierungen auskommt. Systematische Überprüfungen wie Audits für Behörden und Gütesiegel für Unternehmen werden unter behördlicher Hoheit seit 2002 in Schleswig-Holstein und seit kurzem auch in Mecklenburg-Vorpommern durchgeführt. Eine entsprechende Reform des Bundesdatenschutzgesetzes wurde jahrzehntelang verschleppt – auch im Interesse der Datenschutzaufsichtsbehörden. Denn ein Zertifizierungsverfahren würde ihre Arbeit transparent und damit vergleichbar und bewertbar machen.
Keine Kostenexplosion
Die EU-Datenschutzreform ändert das nun, indem sie den Unternehmen das Recht einräumt Zertifizierungen bei den Behörden zu „erschwinglichen“ Preisen freiwillig durchzuführen. Als Anhaltspunkt können die Preise in Schleswig-Holstein herangenommen werden. Dort verlangt die Aufsichtsbehörde rund 3000 Euro für eine Überprüfung. Die vom BvD befürchtete Kostenexplosion für Rechtsberatung bei den Unternehmen dürfte daher unter den neuen Regeln ausbleiben, da Zertifizierungen ja deutliche Orientierungsmarken setzen. (vbr)