Ruhr-Universität Bochum untersuchte im Auftrag des BvD und der Zeitschrift Datenschutz PRAXIS die Folgen der Erhöhung der Benenngrenze.
Ein Jahr ist vergangen, seit der Gesetzgeber die Grenze der Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen, von 10 auf 20 datenverarbeitende Mitarbeiter hochgesetzt hat. Die Folgen für Unternehmen und DSB hat nun die Ruhr-Universität Bochum im Auftrag des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. und der Zeitschrift Datenschutz PRAXIS in einer Umfrage mit insgesamt 353 Teilnehmenden analysiert.
Positive Erfahrungen mit Expertise: DSB in 8 von 10 Fällen freiwillig beibehalten
62 Prozent der Befragten betreuen als externe DSB insgesamt 8.399 Unternehmen, von denen jedes vierte (3.391) von der Änderung betroffen ist. Von diesen haben lediglich 16 Prozent ihren externen DSB abberufen, rund 84 Prozent entschieden sich dafür, ihn beizubehalten. Betroffen von den Abberufungen waren mit 123 jedoch mehr als die Hälfte (56 %) der befragten externen Datenschutzbeauftragten.
„Dass sich acht von zehn Unternehmen, die vormals zur Benennung verpflichtet waren, zu einer Beibehaltung der externen Datenschutzbeauftragten entschlossen haben, lässt auf positive Erfahrungen mit der damit einhergehenden Expertise schließen“, so BvD-Vorstandsvorsitzender Thomas Spaeing. „Im Umkehrschluss bedeutet dies aber leider auch, dass in Folge der Gesetzesänderung nun vermutlich weniger Unternehmen diese positive Erfahrung machen werden.“
Oft übernimmt niemand Beratung und Überwachung der Datenschutzpflichten
Die Abberufung der externen DSB führt in Unternehmen zu massiven Auswirkungen für das Datenschutz-Managementsystem: Sechs von zehn in Unternehmen abberufene externe DSB gaben an, dass es Fälle gibt, in denen ihres Wissens niemand die Überwachung und Beratung hinsichtlich der Datenschutzpflichten wahrnimmt. Die Risiken für die Unternehmen und für betroffene Personen sind immens.
Rund 35 Prozent gaben an, dass die Geschäftsführung nun selbst diese Aufgabe übernimmt. Als andere Funktionsbereiche, die diese Aufgabe übernehmen, wurden interne DSB (19,5 %), externe Datenschutzbeauftragte ohne Benennung (10,6 %), Führungskräfte (8,9 %) und externe Rechtsanwälte (4,1 %) genannt.
Mehraufwand durch Ineffizienz
Überraschend sind die Aussagen zu den Auswirkungen, die diese Veränderung hervorgerufen hat: 43 Prozent der in Unternehmen abberufenen DSB sind der Meinung, dass sich die Aufwände für den Datenschutz durch die Abberufung des DSB erhöht haben. Eine Abnahme des Aufwands – die, wie oben beschrieben, aber eben mit einer riskanten Vernachlässigung der Datenschutzpflichten einhergeht – gaben 39 Prozent an, 18 Prozent sehen hier keine Veränderung.
Entgegen der Erwartung haben in 40 Prozent der Unternehmen Aufwände entsprechend der Aussage der ehemaligen DSB zugenommen. „Dieses Ergebnis widerspricht dem häufig angeführten Argument des Bürokratieabbaus durch die Änderung der Benenngrenze“, so Spaeing. „Das ergibt auch Sinn. Weniger Expertise bedeutet Mehraufwand durch Ineffizienz und mangelnde Qualität – bei gleichbleibenden Anforderungen durch die DSGVO und das BDSG.“
Unterstrichen wird diese Wahrnehmung durch die Angaben zu den weiteren Folgen. Die Mehrheit der in Unternehmen abberufenen externen Datenschutzbeauftragten gab als Folgen auch eine Abnahme der Sensibilität für das Thema Datenschutz (87,5 %), beim Wissenstand in rechtlichen (86,7 %) sowie technisch-organisatorischen Fragen (84,2 %) des Datenschutzes und bei der Klarheit der Zuständigkeit (76,7 %) an.
Auch 135 interne DSB und Unternehmensvertreter nahmen an der Umfrage teil. Bei dieser Gruppe war die überwiegende Mehrheit von rund 88 Prozent jedoch nicht von der Gesetzesänderung betroffen. Entweder waren bereits vor der Änderung weniger als 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut oder die Benennpflicht bestand auch nach der Änderung aufgrund der Mitarbeiterzahl oder der besonderen Verarbeitung weiter.
Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die die Ruhr-Universität Bochum im Auftrag des BvD und der Zeitschrift Datenschutz PRAXIS unter ihren Mitgliedern, Leserinnen und Lesern durchgeführt hat. Dabei wurden 504 Personen (interne und externe Datenschutzbeauftragte sowie Unternehmensvertreter) in Deutschland per Online-Fragebogen befragt.
Ihr BvD-Ansprechpartner:
BvD Pressestelle, Tel: 030 26 36 77 60, Budapester Straße 31, 10787 Berlin
E-Mail: pressestelle@bvdnet.de, Internet: https://www.bvdnet.de, Vorstandsvorsitzender Thomas Spaeing
Der BvD: Die Interessenvertretung der Datenschutzbeauftragten
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. fördert die beruflichen Interessen der Datenschutzbeauftragten in Behörden und Betrieben und setzt sich aktiv für die weitere Entwicklung und Akzeptanz des Berufes „Datenschutzbeauftragter“ in Deutschland und Europa ein.
https://www.bvdnet.de/presse/beratung-zu-datenschutzpflichten-entfaellt-oft-ersatzlos/
