vectorfusionart - stock.adobe.co

DSGVO: Wie Datenschutz-Aufsichtsbehörden unterstützen können

Unternehmen wünschen sich mehr Hilfe durch die Aufsichtsbehörden. Dabei stellt sich die Frage, was zu den Aufgaben der Aufsicht nach DSGVO gehört und was nicht.

Weitverbreitete Kritik über fehlende Unterstützung durch Aufsichtsbehörden, das ist eines der zentralen Ergebnisse einer Umfrage des Digitalverbandes Bitkom zum Stand der Umsetzung der Datenschutz-Grundverordnung (DSGVO).

„Dem Datenschutz kommt in der digitalen Wirtschaft und Gesellschaft eine besondere Bedeutung zu. Den Unternehmen fehlt es aber zunehmend an Planbarkeit und Verlässlichkeit“, sagte Susanne Dehmel, Geschäftsleiterin Bitkom. „Unternehmen stehen beim Datenschutz unter permanenten Stress. Sie wollen dem Datenschutz Genüge tun, aber dazu müssen sie nicht nur europaweit Gerichtsurteile verfolgen und die unterschiedliche Auslegung aus den Mitgliedsstaaten kennen, sondern sich zusätzlich mit 18 verschiedenen Lesarten von Datenschutzaufsichten allein in Deutschland auseinandersetzen. Das ist vor allem für kleinere Unternehmen immer schwerer zu stemmen.“

Bei konkreten Fragen erhält nur eine Minderheit Unterstützung durch die Aufsicht, so die Bitkom-Umfrage. So hat ein Viertel (24 Prozent) dort bereits nach Hilfestellungen für die Umsetzung von Datenschutzvorgaben angefragt, aber keine Antwort erhalten.

Ähnlich viele (28 Prozent) haben zwar Antwort bekommen, diese habe aber nicht geholfen. Nur 3 von 10 (29 Prozent) geben an, auf ihre Frage hin auch Hilfestellung erhalten zu haben: 64 Prozent von ihnen in Form von Leitfäden, 32 Prozent mit Einzelberatung, 27 Prozent in einer Gruppenberatung. Von den Unternehmen, die Hilfestellungen erhaltene haben, sagen 12 Prozent, dass sie sehr zufrieden damit waren, 19 Prozent waren eher zufrieden. Aber 41 Prozent waren eher nicht zufrieden und 25 Prozent überhaupt nicht zufrieden.

„Um den Datenschutz in den Unternehmen nachhaltig zu befördern, reicht es nicht, Beschwerden abzuarbeiten und bei nachgewiesenen Verstößen Bußgelder zu verhängen“, so Dehmel. „Für den gelebten Datenschutz könnte viel mehr erreicht werden, wenn die Aufsichtsbehörden präventiv tätig würden und Unternehmen bei der praktischen Umsetzung der Datenschutzvorgaben unterstützten, indem sie konkrete Auskünfte erteilen und praxisnahe Empfehlungen geben.“

Welche Aufgaben die Aufsichtsbehörden haben

Offensichtlich besteht also einige Unzufriedenheit mit den Aufsichtsbehörden auf Seiten der Unternehmen. Doch wird zu viel von den Aufsichtsbehörden erwartet? Haben sie die Aufgaben, die man bei ihnen sieht, und nicht zuletzt auch die Kapazitäten?

Das ist für Unternehmen wichtig zu wissen, denn nur wenn man die Leistungen einer Stelle kennt, kann man diese auch richtig in Anspruch nehmen.

Entsprechend lohnt sich zuerst ein Blick in die DSGVO, in der die Aufgaben der Aufsichtsbehörden geregelt sind. Darin findet man eine Fülle von Aufgaben der Aufsicht, insbesondere auch diese: Jede Aufsichtsbehörde muss in ihrem Hoheitsgebiet

  • die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären, besondere Beachtung finden dabei spezifische Maßnahmen für Kinder
  • die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus der DSGVO entstehenden Pflichten sensibilisieren
  • auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund der DSGVO zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten
  • maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken
  • eine Liste der Verarbeitungsarten erstellen und führen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist

Dabei wurden in dieser Aufzählung viele Aufgaben gar nicht wiedergegeben, so dass deutlich wird, dass die Aufsichtsbehörden nicht über zu wenig Aufgaben klagen werden, wohl aber über eine unzureichende personelle Ausstattung.

Was die Aufsichtsbehörden selbst sagen

Wer mit den Aufsichtsbehörden regelmäßig im Austausch ist, hört schnell heraus, dass ihnen die Beratung der Unternehmen sehr wichtig ist, dass sie sich nicht nur als Kontrolleure sehen, die Sanktionen verhängen, auch wenn dies ebenfalls zu ihren Aufgaben gehört.

Zum Beispiel schreibt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA): „Die Beratung der Verantwortlichen und der betrieblichen Datenschutzbeauftragten gemäß Art. 57 DSGVO stellt einen wichtigen Schwerpunkt unserer Arbeit dar. Komplexe Fallgestaltungen werden uns schriftlich vorgetragen oder in Besprechungen bei uns beziehungsweise in den Unternehmen gezielt erörtert.“

Wie wichtig die Beratung der Aufsicht ist, wird auch hier sehr deutlich: „Vielen Verantwortlichen, Datenschutzbeauftragten oder bevollmächtigten Rechtsanwälten ist dabei ein Leitmotiv des BayLDA bekannt, lieber im Beratungsweg zu unterstützen und damit Datenschutzverstöße zu vermeiden, als repressiv dagegen vorgehen zu müssen.“

So gibt es zum Beispiel auch spezielle Veranstaltungen wie „DSGVO auf dem Prüfstand – Erfahrungsaustausch und Unterstützung für Unternehmen“, bei denen der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Stefan Brink und Vertreterinnen und Vertreter aus der Wirtschaft und den Industrie- und Handelskammern über die Wirkung der Datenschutz-Grundverordnung diskutieren, wie sie umgesetzt wird, was gut funktioniert, wo Verbesserungen sinnvoll wären.

Generell gilt: Die Aufsichtsbehörden nehmen die Kritik wahr, haben aber auch nur begrenzte Möglichkeiten. Die verfügbaren Angebote der Aufsichtsbehörden sollte man aber auch nutzen und nicht bei der Kritik stehen bleiben.

Insbesondere sollten auch die eigenen, betrieblichen Datenschutzbeauftragten nicht im Zentrum der Kritik stehen, denn auch sie versuchen im Rahmen der verfügbaren Ressourcen den Datenschutz im Unternehmen zu unterstützen.

„Eine große Unzufriedenheit mit der Situation entlädt sich seit einiger Zeit durch ein verbales Eindreschen auf den Datenschutz und auf diejenigen, die ihn vertreten, also die Aufsichtsbehörden und die behördlichen und die betrieblichen Datenschutzbeauftragten, die ihren Job machen“, berichtete Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein. „Das ist nicht ganz einfach in einer Welt, in der bei Entwicklung und Betrieb von Informationstechnik die Datenschutzanforderungen vielfach nicht schon ausreichend Berücksichtigung finden. Das Versäumnis einer datenschutzkonformen Systemgestaltung – die die Verantwortlichen einfordern müssen – darf aber nicht den behördlichen und betrieblichen Datenschutzbeauftragten angelastet werden, die korrekt gemäß den rechtlichen Regelungen und der höchstrichterlichen Rechtsprechung beraten.“

Hansen kommentiert weiter: „Mit Sorge sehe ich, dass den Datenschutzbeauftragten vor Ort in einigen Fällen die Arbeit schwergemacht wird und sie für ihre Stellungnahmen angegriffen werden. Das ist nicht in Ordnung. Für ein gutes Datenschutzniveau in der Fläche brauchen wir kompetente und motivierte behördliche und betriebliche Datenschutzbeauftragte.“

Es zeigt sich: Die Aufsichtsbehörden und auch die betrieblichen Datenschutzbeauftragten nehmen die Aufgabe der Beratung ernst, tatsächlich werden auch Unterstützungsangebote entwickelt und geleistet. Was die Aufsichtsbehörden aber nicht können, ist die Vorgaben der DSGVO zu verändern. An diese müssen sich alle halten, auch die Aufsichtsbehörden selbst.

Erfahren Sie mehr über Datenschutz und Compliance