Ulmer Akademie für Datenschutz
und IT-Sicherheit

gemeinnützige Gesellschaft mbH

udis aktuell

Meldung im Volltext

EU-Datenschutzgrundverordnung

Strenge Datenschutzvorschriften auch für Betriebe mit weniger als 250 Mitarbeitern.

Am 25. Januar 2012 hat die Europäische Kommission ihren Entwurf einer Datenschutz-Grundverordnung der Öffentlichkeit vorgestellt. Mit dieser Grundverordnung soll es in Zukunft einen neuen einheitlichen Rechtsrahmen zum Schutz personenbezogener Daten geben. Er soll weitgehend die bisherigen nationalen Datenschutzvorschriften wie das Bundesdatenschutzgesetz (BDSG) ersetzen. Man rechnet damit, dass diese Verordnung etwa 2016  in Kraft treten könnte – falls es eine Mehrheit der Mitgliedstaaten  und das Europäische Parlament diesen Plänen zustimmen sollte.

Eine der Vorschriften dieser Datenschutzverordnung wird im Augenblick besonders heiß diskutiert. Sie sieht vor, dass in Zukunft Betriebe, die weniger als 250 Mitarbeiter beschäftigen,  keinen Datenschutzbeauftragten mehr bestellen müssen. Eine solche Bestellung an der Zahl der Mitarbeiter in einem Unternehmen festzumachen, wird zum Beispiel von den Datenschutzexperten der Ulmer Akademie für Datenschutz und IT-Sicherheit (udis) und des Berufsverbandes der Datenschutzbeauftragten  Deutschlands (BvD) für wenig sinnvoll gehalten. Diese Zahl hat nämlich wenig bis gar nichts mit den Gefährdungspotentialen der personenbezogenen Datenverarbeitung zu tun und darauf kommt es ja vor allem beim Datenschutz an.  Maßgebend für die Notwendigkeit, einen Datenschutzbeauftragten zu bestellen, kann allein die Sensibilität der Verfahren sein, in denen personenbezogene Daten verwendet werden.

Die CNIL macht es vor wie es geht

Zwar gibt es für die Sensibilität der Verfahren keine so griffige Maßzahl wie die Anzahl von Mitarbeitern. Man kann aber trotzdem die einzelnen Verfahren in Bezug auf ihre Sensibilität voneinander unterscheiden. Die französische Datenschutzkontrollkommission CNIL macht vor, wie das gehen könnte: Sie unterteilt (wenn auch für einen etwas anderen Zweck) die große Zahl der gängigen DV-Verfahren in sechs verschiedene Sensibilitätsstufen. Auf der Webseite der CNIL kann man dann nachsehen, in welche Sensibilitätsstufe das jeweilige Verfahren eingeordnet wurde. Entsprechend könnte man in der Datenschutzverordnung festlegen, dass zum Beispiel bei DV-Verfahren der höchsten Sensibilitätsstufen 3 bis 6 immer ein Datenschutzbeauftragter bestellt werden muss, während bei der Sensibilitätsstufe 2 eine Meldepflicht an die zuständige Aufsichtsbehörde ausreichend wäre. Verfahren der Sensibilitätsstufe 1 könnten dann ohne besondere Auflagen unbegrenzt und jederzeit verwendet werden.

Die Pflicht zur Bestellung von Datenschutzbeauftragten an den 250 Mitarbeitern festzumachen, geht aber nicht nur an der Sache vorbei. Eine solche Zahl führt auch zu Missverständnissen: In vielen Klein- und Mittelbetrieben (den „KMUs“) hat sich schon die Ansicht verbreitet, dass sie in Zukunft von den Lasten des Datenschutzes befreit sein werden. Das Gegenteil ist jedoch richtig: Auch diese Unternehmen trifft die volle Härte des Gesetzes, denn die Auflagen sind zum Teil strenger als im heutigen BDSG. Wenn es dann aber in den Betrieben keine Datenschutzexperten mehr gibt, besteht die Gefahr, dass man verstärkt gegen diese Regeln verstößt. Mit den bekannten Folgen, wie uns die Datenschutzskandale der letzten Zeit gelehrt haben. Schon allein um Imageschäden zu vermeiden, wird es dann auch in Betrieben mit weniger als 250 Mitarbeitern Datenschutzexperten geben, die dann vielleicht nicht mehr den Hut eines Datenschutzbeauftragten auf haben werden, bei denen aber umso mehr Wert auf eine exzellente Fachkunde gelegt werden dürfte. Die udis-Ausbildung zu zertifizierten fachkundigen Datenschutzbeauftragten dürfte sich dann zwar einer größeren Nachfrage erfreuen. Trotzdem wäre uns eine Regelung, die sich an der Sensibilität der DV-Verfahren orientiert, wesentlich lieber. Schlicht und einfach weil sie datenschutzgerechter und damit sachgerechter wäre.