heise PlusAbo

Datenschutzaufsicht: Unternehmen haben viele Fragen

Unternehmen stellen viele Fragen zur Umsetzung des Datenschutzes. Die Datenschutzbeauftragten begrüßen das, können aber nicht alle Anfragen sofort beantworten.

vorlesen Druckansicht
Daten

Am meisten fĂĽrchteten die Befragten finanziellen Schaden durch Datenmissbrauch.

(Bild: dpa, Christian Charisius/Symbolbild)

Lesezeit: 5 Min.
Von
Inhaltsverzeichnis

Die Datenschutz-Grundverordnung (DSGVO) schreibt eine adäquate Ausstattung der Datenschutzaufsichtsbehörden mit Personal und Mitteln vor. Doch die Zahl der Eingaben ist hoch, denn viele Unternehmen möchten nicht nur kontrolliert, sondern auch beraten werden. Die Datenschutzaufsichtsbehörden verzeichnen steigenden Bedarf von Unternehmen und Behörden – und hoffen auf mehr Mitarbeiter.

Gut 60 Mitarbeiter hat Stefan Brink – Datenschutzbeauftragter des Landes Baden-Württemberg – für den Datenschutz zur Verfügung. "Der Landtag hat uns in den vergangenen Jahren immer unterstützt", sagt er, etwa dabei, ein Bildungszentrum aufzubauen und Fachleute einzustellen. Die könnten etwa Start-ups und andere Unternehmen zu Themen wie Daten und KI beraten. Insgesamt 4.200-mal haben Brinks Mitarbeiter im vergangenen Jahr nach eigener Auskunft zu Datenschutzfragen beraten – fast so oft, wie Beschwerden eingereicht wurden: 4.700 entsprechende Meldungen zählte der baden-württembergische Landesdatenschutzbeauftragte (LfDI) im vergangenen Jahr.

Den Trend bestätigt auch die Behörde des Hamburgischen Datenschutzbeauftragten Thomas Fuchs. Für Datenschutz allein sind an der Elbe 23 Mitarbeiter tätig, drei zusätzliche Stellen sollen hierbei in den kommenden beiden Jahren hinzukommen. 2.770-mal wurden im vergangenen Jahr Beschwerden eingereicht – und fast 1200 Beratungsvorgänge verzeichnet die Aufsichtsbehörde.

Zu viele Anfragen zur DSGVO

Dazu hatte der IT-Interessenverband Bitkom erst kürzlich eine Umfrage unter Unternehmen zur DSGVO-Umsetzung und -Problemen veröffentlicht, bei der auch Datenschutzaufsichtsbehörden thematisiert wurden. Dabei zeigte sich ein gemischtes Bild. Während 2021 etwa noch zwei Drittel der Unternehmen über mangelnde Beratung klagten, sind es nun nur noch 52 Prozent. Immerhin 27 Prozent der Unternehmen gaben jedoch an, bei den Aufsichtsbehörden angefragt zu haben, erhielten jedoch keine Antwort.

Man bedaure dies, teilt die NRW-Datenschutzbeauftragte Bettina Gayk mit: "Beispielsweise müssen wir manche Unternehmensanfragen aufgrund der hohen Zahl an weiteren Eingaben – etwa 12.000 im Jahr – zurückstellen. Das tun wir vor allem in solchen Fällen, in denen Unternehmen erkennbar Fragen stellen, die die Unternehmensführung, die Rechtsabteilung des Unternehmens oder betriebliche Datenschutzbeauftragte leicht selbst beantworten können müsste." In der Regel werde dann aber mindestens eine Information gegeben, dass das Anliegen nicht zeitnah bearbeitet werden könne. Allerdings könne die Datenschutzaufsicht in einem so großen und diversen Land wie NRW nur zu Schwerpunktthemen und zu grundsätzlich neuen Fragestellungen beraten.

Datenschützer: Furcht vor Aufsichtsbehörden unbegründet

Von den Unternehmen, die sich nicht an die Datenschutzaufsichtsbehörden wenden wollen, gaben laut Bitkom 16 Prozent an, dass sie Angst davor hätten, dass die Datenschützer dann auf interne Probleme aufmerksam würden. Zu Unrecht, findet die nordrhein-westfälische Datenschutzaufseherin: "Wir nehmen Beratungsersuchen in der Regel eigentlich nicht zum Anlass, Bußgelder zu verhängen, sondern lassen es in aller Regel auf sich beruhen, wenn Unternehmen unseren Empfehlungen folgen", sagt sie auf Anfrage von heise online.

Außerdem bestehe für Inhalte, die im Rahmen einer Meldung von Datenschutzverletzungen oder einer Benachrichtigung von Datenpannen zwingend mitzuteilen wären, grundsätzlich ein Beweisverwertungsverbot für Ordnungswidrigkeitsverfahren oder Strafverfahren im Rahmen der DSGVO. Die Vorschrift soll unter anderem Whistleblowern ermöglichen, Datenschutzaufsichtsbehörden einzuschalten – nur mit Zustimmung der Meldenden oder Betroffenen kann das Beweisverwertungsverbot aufgehoben werden.

Der Hamburgische Datenschutzbeauftragte Thomas Fuchs sieht positiv, dass ein großer Teil der Unternehmen offenbar ohne Angst mit ihrer Datenschutzaufsichtsbehörde kommunizieren: "Ich bin zutiefst davon überzeugt, dass oft Projekte aus vermeintlich bestehenden datenschutzrechtlichen Hindernissen nicht umgesetzt werden, die eigentlich auch datenschutzkonform möglich wären."

Vertrauensbasis wohl bei "zahlreichen Unternehmen" vorhanden

Das sieht auch Baden-Württembergs Datenschutzbeauftragter Stefan Brink ähnlich. Beratung und Aufsicht ließen sich sehr gut vereinbaren: "Wenn wir beraten, dann nutzen wir das Wissen daraus nicht, um anschließend eine Kontrolle durchzuführen", sagt er. Allerdings würde eine Beratung von Unternehmen oder Behörden keinen Freifahrtschein für diese bedeuten. Man gehe auch gegen Behörden vor, die zuvor von ihnen beraten wurden – sofern "Beschwerden zu einem Unternehmen oder einer Behörde eingehen". Er habe aber den Eindruck, dass zahlreiche Unternehmen inzwischen eine Vertrauensbasis zu den Aufsichtsbehörden entwickelt hätten. Dies sei sowohl für die Unternehmen als auch für die Datenschutzaufsichtsbehörden hilfreich.

Aufsichtsbehörden benötigen Kapazitäten

Damit das aber gelingen kann, benötigen die Aufsichtsbehörden eben vor allem Kapazitäten. Im Juni wies auch die niedersächsische Datenschutzbeauftragte Barbara Thiel darauf hin, dass ihre Ausstattung derzeit nicht für die Aufgabenerfüllung ausreiche. Zuständig für die Haushalte der Datenschutzaufsichtsbehörden sind - mit Ausnahme des Bundesdatenschutzbeauftragten - die jeweiligen Landtage. Und deren Haushälter beraten derzeit in wirtschaftlich und politisch turbulenten Zeiten, welche Ausgaben 2023 nötig sind.

Baden-Württembergs Datenschutzbeauftragter Stefan Brink stellt auf Anfrage von heise online keine konkreten Forderungen. Ein Posten wird im Ländle 2023 in jedem Fall neu zu besetzen sein: der des Landesdatenschutzbeauftragten. Nach einer Wahlperiode will Brink dann aufhören. Ein Nachfolger ist bis heute nicht gewählt, das nach Ansicht von Kritikern vorgeschriebene, transparente und offene Verfahren nicht in Sicht.

Ob die grün-schwarze Landesregierung unter Ministerpräsident Winfried Kretschmann schneller einen Nachfolger oder eine Nachfolgerin findet, als der rot-grün-rote Senat in Berlin, ist offen: Dort wäre die Landesdatenschutzbeauftragte Maja Smoltczyk eigentlich bereits im vergangenen Herbst ausgeschieden - die Suche nach einer Nachfolgerin gestaltete sich jedoch überaus komplex. Am 6. Oktober soll nun mit Meike Kamp endlich eine neue Landesbeauftragte für Datenschutz und Informationsfreiheit vom Berliner Abgeordnetenhaus gewählt werden.

(mack)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum zum Thema: Politik

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten