Bera­tung zu Daten­schutz­pflich­ten ent­fällt oft ersatzlos

Ruhr-Uni­ver­si­tät Bochum unter­such­te im Auf­trag des BvD und der Zeit­schrift Daten­schutz PRAXIS die Fol­gen der Erhö­hung der Benenngrenze. 

Ein Jahr ist ver­gan­gen, seit der Gesetz­ge­ber die Gren­ze der Pflicht, einen Daten­schutz­be­auf­trag­ten (DSB) zu benen­nen, von 10 auf 20 daten­ver­ar­bei­ten­de Mit­ar­bei­ter hoch­ge­setzt hat. Die Fol­gen für Unter­neh­men und DSB hat nun die Ruhr-Uni­ver­si­tät Bochum im Auf­trag des Berufs­ver­bands der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. und der Zeit­schrift Daten­schutz PRAXIS in einer Umfra­ge mit ins­ge­samt 353 Teil­neh­men­den analysiert.

Posi­ti­ve Erfah­run­gen mit Exper­ti­se: DSB in 8 von 10 Fäl­len frei­wil­lig beibehalten

62 Pro­zent der Befrag­ten betreu­en als exter­ne DSB ins­ge­samt 8.399 Unter­neh­men, von denen jedes vier­te (3.391) von der Ände­rung betrof­fen ist. Von die­sen haben ledig­lich 16 Pro­zent ihren exter­nen DSB abbe­ru­fen, rund 84 Pro­zent ent­schie­den sich dafür, ihn bei­zu­be­hal­ten. Betrof­fen von den Abbe­ru­fun­gen waren mit 123 jedoch mehr als die Hälf­te (56 %) der befrag­ten exter­nen Datenschutzbeauftragten.

Dass sich acht von zehn Unter­neh­men, die vor­mals zur Benen­nung ver­pflich­tet waren, zu einer Bei­be­hal­tung der exter­nen Daten­schutz­be­auf­trag­ten ent­schlos­sen haben, lässt auf posi­ti­ve Erfah­run­gen mit der damit ein­her­ge­hen­den Exper­ti­se schlie­ßen“, so BvD-Vor­stands­vor­sit­zen­der Tho­mas Spa­eing. „Im Umkehr­schluss bedeu­tet dies aber lei­der auch, dass in Fol­ge der Geset­zes­än­de­rung nun ver­mut­lich weni­ger Unter­neh­men die­se posi­ti­ve Erfah­rung machen werden.“

Oft über­nimmt nie­mand Bera­tung und Über­wa­chung der Datenschutzpflichten

Die Abbe­ru­fung der exter­nen DSB führt in Unter­neh­men zu mas­si­ven Aus­wir­kun­gen für das Daten­schutz-Manage­ment­sy­stem: Sechs von zehn in Unter­neh­men abbe­ru­fe­ne exter­ne DSB gaben an, dass es Fäl­le gibt, in denen ihres Wis­sens nie­mand die Über­wa­chung und Bera­tung hin­sicht­lich der Daten­schutz­pflich­ten wahr­nimmt. Die Risi­ken für die Unter­neh­men und für betrof­fe­ne Per­so­nen sind immens.

Rund 35 Pro­zent gaben an, dass die Geschäfts­füh­rung nun selbst die­se Auf­ga­be über­nimmt. Als ande­re Funk­ti­ons­be­rei­che, die die­se Auf­ga­be über­neh­men, wur­den inter­ne DSB (19,5 %), exter­ne Daten­schutz­be­auf­trag­te ohne Benen­nung (10,6 %), Füh­rungs­kräf­te (8,9 %) und exter­ne Rechts­an­wäl­te (4,1 %) genannt.

Mehr­auf­wand durch Ineffizienz

Über­ra­schend sind die Aus­sa­gen zu den Aus­wir­kun­gen, die die­se Ver­än­de­rung her­vor­ge­ru­fen hat: 43 Pro­zent der in Unter­neh­men abbe­ru­fe­nen DSB sind der Mei­nung, dass sich die Auf­wän­de für den Daten­schutz durch die Abbe­ru­fung des DSB erhöht haben. Eine Abnah­me des Auf­wands – die, wie oben beschrie­ben, aber eben mit einer ris­kan­ten Ver­nach­läs­si­gung der Daten­schutz­pflich­ten ein­her­geht – gaben 39 Pro­zent an, 18 Pro­zent sehen hier kei­ne Veränderung.

Ent­ge­gen der Erwar­tung haben in 40 Pro­zent der Unter­neh­men Auf­wän­de ent­spre­chend der Aus­sa­ge der ehe­ma­li­gen DSB zuge­nom­men. „Die­ses Ergeb­nis wider­spricht dem häu­fig ange­führ­ten Argu­ment des Büro­kra­tie­ab­baus durch die Ände­rung der Benenn­gren­ze“, so Spa­eing. „Das ergibt auch Sinn. Weni­ger Exper­ti­se bedeu­tet Mehr­auf­wand durch Inef­fi­zi­enz und man­geln­de Qua­li­tät – bei gleich­blei­ben­den Anfor­de­run­gen durch die DSGVO und das BDSG.“

Unter­stri­chen wird die­se Wahr­neh­mung durch die Anga­ben zu den wei­te­ren Fol­gen. Die Mehr­heit der in Unter­neh­men abbe­ru­fe­nen exter­nen Daten­schutz­be­auf­trag­ten gab als Fol­gen auch eine Abnah­me der Sen­si­bi­li­tät für das The­ma Daten­schutz (87,5 %), beim Wis­sen­stand in recht­li­chen (86,7 %) sowie tech­nisch-orga­ni­sa­to­ri­schen Fra­gen (84,2 %) des Daten­schut­zes und bei der Klar­heit der Zustän­dig­keit (76,7 %) an.

Auch 135 inter­ne DSB und Unter­neh­mens­ver­tre­ter nah­men an der Umfra­ge teil. Bei die­ser Grup­pe war die über­wie­gen­de Mehr­heit von rund 88 Pro­zent jedoch nicht von der Geset­zes­än­de­rung betrof­fen. Ent­we­der waren bereits vor der Ände­rung weni­ger als 10 Mit­ar­bei­ter mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten betraut oder die Benenn­pflicht bestand auch nach der Ände­rung auf­grund der Mit­ar­bei­ter­zahl oder der beson­de­ren Ver­ar­bei­tung weiter.

Hin­weis zur Metho­dik: Grund­la­ge der Anga­ben ist eine Umfra­ge, die die Ruhr-Uni­ver­si­tät Bochum im Auf­trag des BvD und der Zeit­schrift Daten­schutz PRAXIS unter ihren Mit­glie­dern, Lese­rin­nen und Lesern durch­ge­führt hat. Dabei wur­den 504 Per­so­nen (inter­ne und exter­ne Daten­schutz­be­auf­trag­te sowie Unter­neh­mens­ver­tre­ter) in Deutsch­land per Online-Fra­ge­bo­gen befragt.

Ihr BvD-Ansprech­part­ner:
BvD Pres­se­stel­le, Tel: 030 26 36 77 60, Buda­pe­ster Stra­ße 31, 10787 Ber­lin
E‑Mail: pressestelle@​bvdnet.​de, Inter­net: https://​www​.bvd​net​.de, Vor­stands­vor­sit­zen­der Tho­mas Spaeing

Der BvD: Die Inter­es­sen­ver­tre­tung der Daten­schutz­be­auf­trag­ten
Der Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. för­dert die beruf­li­chen Inter­es­sen der Daten­schutz­be­auf­trag­ten in Behör­den und Betrie­ben und setzt sich aktiv für die wei­te­re Ent­wick­lung und Akzep­tanz des Beru­fes „Daten­schutz­be­auf­trag­ter“ in Deutsch­land und Euro­pa ein.

https://​www​.bvd​net​.de/​p​r​e​s​s​e​/​b​e​r​a​t​u​n​g​-​z​u​-​d​a​t​e​n​s​c​h​u​t​z​p​f​l​i​c​h​t​e​n​-​e​n​t​f​a​e​l​l​t​-​o​f​t​-​e​r​s​a​t​z​l​os/