Hintergrund zum Bericht
Wenn es um die Einhaltung der Datenschutzgrundverordnung (DSGVO) in Unternehmen und Behörden geht, spielen Datenschutzbeauftragte (DSB) eine entscheidende Rolle. Mit ihrem Expertenwissen schließen sie die Lücke zwischen den EU-Vorgaben zum Datenschutz und ihrer praktischen Umsetzung in Unternehmen.
Datenschutzexperten unterstützten vor allem in KMU im Alltag dabei, sicher mit den Daten von Kunden, Mitarbeitern und Partnern umzugehen und das Recht der Verbraucher auf umfassenden Datenschutz zu wahren. Die DSGVO hat die Position von DSB noch einmal deutlich gestärkt. Sie gibt unter anderem vor, wann Unternehmen einen DSB benötigen und welche Expertise die Datenschutzfachleute benötigen.
Ob vor allem betriebliche DSB tatsächlich die geforderte Stellung haben, welche Hürden sie in der Praxis im Arbeitsalltag überwinden müssen und ob ihnen die notwendigen Ressourcen zur Erfüllung ihrer Aufgaben zur Verfügung stehen, hat der Europäische Datenschutzausschuss (EDSA) 2023 im Rahmen einer Prüfaktion untersucht und dazu Anfang 2024 einen umfassenden Bericht vorgelegt.
Was ist der EDSA?
Der EDSA ist die unabhängige Dachorganisation der nationalen Datenschutzbehörden im Europäischen Wirtschaftsraum und der Europäischen Datenschutzbeauftragten. Aufgabe der EDSA ist unter anderem, die einheitliche Anwendung der DSGVO sicherzustellen.
Aus diesem Grund führt der Ausschuss regelmäßig Prüfaktionen durch – zuletzt stand dabei die Arbeit europäischer Datenschutzbeauftragter im Fokus.
Was genau wurde geprüft?
An der Aktion haben sich 25 Aufsichtsbehörden aus dem Europäischen Wirtschaftsraum beteiligt. Im Rahmen ihrer Untersuchungen haben sie für die Aktion rund 15.000 Antworten von Unternehmen und etwa 2.300 Antworten von Datenschutzbeauftragten eingesammelt, um Einblicke in die Praxis zu gewinnen und die Zusammenarbeit zwischen Unternehmen und ihren Datenschutzbeauftragten besser zu verstehen.
Die Antworten sollen nicht nur einen Überblick darüber bieten, welchen Herausforderungen DSB in Europa im Arbeitsalltag begegnen. Sie bilden außerdem die Basis für Verbesserungen: Der Bericht liefert konkrete Vorschläge, wie Datenschutzbehörden, Unternehmen und Datenschutzbeauftragte sie bewältigen können.
Die wichtigsten Ergebnisse
Die Auswertung der Antworten aus den verschiedenen Ländern hat gezeigt, dass 70 Prozent der Unternehmen eigene Mitarbeitende zu Datenschutzbeauftragten benennen. Es zeigte sich aber auch, dass zwölf der 15.000 befragten Unternehmen in sieben verschiedenen Ländern keinen Datenschutzbeauftragten haben, obwohl sie dazu verpflichtet wären.
In Unternehmen, die einen Datenschutzbeauftragten benannt haben, stehen diese laut dem Abschlussbericht zu der Prüfaktion vor den folgenden Herausforderungen:
- Unternehmen benennen oft keinen DSB, obwohl sie dazu verpflichtet wären.
- DSB bekommen häufig nicht die Ressourcen, die sie für die Durchführung ihrer Arbeit benötigen.
- Einigen Datenschutzbeauftragten fehlt Fachwissen, weil sie zum Beispiel kein ausreichendes Schulungsangebot erhalten.
- Nicht alle Unternehmen weisen ihren DSB alle erforderlichen Aufgaben zu. So wurde im Schnitt nur rund 96 Prozent aller DSB die Unterrichtung und Beratung über datenschutzrechtliche Verpflichtungen zugewiesen – obwohl dies eine der Kernaufgaben eines DSB ist.
- In einigen Fällen wurden Datenschutzbeauftragten Zusatzaufgaben in den Bereichen Compliance oder IT übertragen, was Interessenkonflikte verursacht.
- Nicht alle DSB haben die Möglichkeit, unmittelbar an die Geschäftsführung zu berichten.
Wie stark die Herausforderungen ausgeprägt sind, unterscheidet sich von Land zu Land und auch innerhalb der EU-Länder. So zeigt sich, dass rund 89 Prozent der Datenschutzbeauftragten in Unternehmen in Bayern durchaus über ausreichende personelle Ressourcen für die Erfüllung ihrer Aufgaben verfügen.
Interessant ist außerdem, dass 61 Prozent der Unternehmen der Meinung sind, dem Rat ihres DSB sehr gut zu folgen, während das nur 47 Prozent der DSB so sehen.
Welche Maßnahmen empfiehlt der Bericht?
Die Prüfaktion hat verschiedene Missstände aufgedeckt. Der Bericht zeigt zum Beispiel, dass vielen Unternehmen nicht bewusst ist, wie sie einen DSB in ihre Unternehmensprozesse integrieren müssen. Der Bericht empfiehlt deshalb verschiedene Schritte zur Verbesserung der Arbeit von DSB. So lautet der Appell an die DSB, mehr Maßnahmen für Sensibilisierung, Information und Durchsetzung durchzuführen. Organisationen, die einen DSB benötigen, sollten außerdem dafür sorgen, dass dieser über ausreichend Möglichkeiten, Zeit und Ressourcen verfügt, um sein Know-how aufzufrischen und Wissen rund um Trends und datenschutzrechtlich relevante Entwicklungen aufzubauen.
So kann Ihr Unternehmen profitieren!
Das Bayerische Landesamt für Datenschutzaufsicht äußerte sich in einer Pressemitteilung zum Bericht und spricht darin von gemischten Ergebnissen. Zwar gibt es in vielen Unternehmen bereits gute Voraussetzungen für die Arbeit von Datenschutzexperten. Doch auch sechs Jahre nach Verabschiedung der DSGVO erhalten noch immer nicht alle DSB im Alltag die Ressourcen, die sie für die sorgfältige Erfüllung ihrer Aufgaben benötigen.
Unternehmen riskieren damit Datenschutzpannen oder Nachteile gegenüber Wettbewerbern. Denn wenn ihr DSB keine Zeit hat, sich mit Trends wie Künstliche Intelligenz oder neuen Gesetzen wie dem Data Act zu beschäftigen, verzögert sich die Umsetzung neuer Geschäftsmodelle oder die Anpassung bestehender Prozesse. Im schlimmsten Fall drohen sogar Bußgelder.
Ein Unternehmen in Luxemburg musste beispielsweise Ende 2021 fast 19.000 Euro Strafe zahlen, weil es die Position des internen DSB nicht im Einklang mit der DSGVO gestaltet hatte. So war der DSB zum Beispiel nicht in alle Datenschutzfragen eingebunden worden und berichtete auch nicht an die höchste Managementebene.
Was sollten Unternehmen jetzt tun?
Überprüfen Sie die Stellung ihrer Datenschutzbeauftragten und deren Aufgaben ganz genau und mit Blick auf die im Bericht identifizierten Problemfelder. So haben Sie die Chance, Ihre Datenschutzrisiken zu minimieren und flexibler auf Veränderungen im Markt und in Sachen Datenschutz zu reagieren. Folgende Punkte sind dabei wichtig:
- Wenn Ihr Unternehmen noch keinen DSB bestellt hat, sollten Sie dringend prüfen, ob eine Pflicht dafür besteht.
- Sollten Sie Ihren Datenschutz mit einem internen DSB abgesichert haben, untersuchen Sie genau, ob alle Voraussetzungen für die sorgfältige Durchführung seiner Aufgaben gegeben sind und keine Interessenskonflikte bestehen. Stellen Sie insbesondere sicher, dass der DSB rechtzeitig in die Einführung neuer Prozesse und Software einbezogen wird, und sorgen Sie für einen direkten Austausch mit der Unternehmensführung.
- Falls Sie Ihrem internen DSB nicht alle für seine Arbeit notwendigen Mittel, insbesondere nicht die für die Erfüllung seiner Aufgaben erforderliche Zeit, zur Verfügung stellen können, können Sie über den Wechsel zu einem externen DSB nachdenken, um Ihr Team zu entlasten. Oder Sie führen eine Software für Datenschutzbeauftragte ein, die Ihren internen DSB in die Lage versetzt, seinen Job effizient zu machen.
- Auch Unternehmen mit einem externen DSB sollten prüfen, ob es Möglichkeiten gibt, seine Arbeit noch effizienter zu gestalten.
Egal, ob Ihr Datenschutz intern oder extern organisiert ist: Sprechen Sie mit Ihrem Datenschutzbeauftragten und finden Sie gemeinsam Wege, damit der Datenschutz in Ihrem Unternehmen wieder den Stellenwert bekommt, den er verdient. Und wenn Sie noch auf der Suche nach der Person sind, mit der Datenschutz vom Schmerzpunkt zum Wettbewerbsvorteil wird, sprechen Sie uns gern an.
Artikel veröffentlicht am: 05.03.2024