Pressemitteilung | Gesellschaft für Informatik e.V. (GI)

EU-Datenschutzverordnung: innerbetriebliche Datenschutzkontrolle nicht aufweichen

(Bonn) - Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik e.V. (GI) fordert die Bundesregierung und die Europäische Kommission auf, das Modells der innerbetrieblichen Kontrolle des Datenschutzes sicherzustellen, bzw. eine nationale Öffnungsklausel dafür vorzusehen. Hartmut Pohl, Sprecher des Arbeitskreises: "Der betriebliche Datenschutz in Deutschland ist ein höchst erfolgreiches Modell und sollte nicht ausgehebelt werden."

Die derzeitige Rechtslage in Deutschland sieht vor, dass Unternehmen, in denen in der Regel mindestens 10 Personen mit der automatisierten oder mindestens 20 Personen mit der nicht-automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen betrieblichen Datenschutzbeauftragten bestellen müssen.

Der Entwurf der Europäischen Datenschutz-Grundverordnung, die nach der Vorstellung der EU-Kommission die nationalen Datenschutzgesetze in den Mitgliedsstaaten ersetzen soll, sieht dagegen vor, dass nur Unternehmen mit mehr als 250 Beschäftigten und solche, deren Kerntätigkeit in der regelmäßigen und systematischen Beobachtung von Betroffenen besteht, einen betrieblichen Datenschutzbeauftragten bestellen müssen.

Pohl: "Es ist zu begrüßen, dass diese europäische Regelung in den meisten Ländern der EU den betrieblichen Datenschutzbeauftragten erstmals einführt. Allerdings ist sie in Deutschland eine Bedrohung der gewachsenen und erfolgreichen Kultur des betrieblichen Datenschutzes und damit auch eine Bedrohung für die Bürgerinnen und Bürger." Als Gründe dafür nennt Pohl:

- Da nur noch 0,3 Prozent der deutschen Unternehmen betriebliche Datenschutzbeauftragte bestellen müssten, entfällt die betriebliche Kontrolle des Datenschutzes weitgehend, und es wächst die Gefahr von Datenschutzverstößen in den Unternehmen mit erheblichen Risiken für die betroffenen Bürger.

- Firmen mit mehr als 250 Mitarbeitern müssten auch dann betrieblichen Datenschutzbeauftragte bestellen, wenn sie kaum personenbezogene Daten verarbeiten (z. B. Produktionsbetriebe in der Zuliefererbranche). Kleinere Firmen allerdings, deren Geschäftstätigkeit in der gewerbsmäßigen Verarbeitung personenbezogener Daten besteht, müssten dagegen keinen betrieblichen Datenschutzbeauftragten bestellen. Dies bedeutet, dass zum Teil unnötigerweise ein innerbetrieblicher Datenschutz eingerichtet wird, in anderen Fällen jedoch der unabdingbare Datenschutz fehlt.

- Die Aufsichtsbehörden müssten in den Unternehmen verstärkt kontrollieren, weil die interne Kontrolle entfällt. Dazu müssten sie personell erheblich verstärkt werden.

- Weil eine interne Kontroll- und Beratungsinstanz in Datenschutzfragen fehlt, müssten Unternehmen einen höheren Qualifikationsbedarf zum Datenschutz bei den verantwortlichen Mitarbeitern befriedigen.

Daraus würden sich an die Unternehmen folgende Anforderungen zur Bestellung an die Voraussetzungen ergeben, unter denen Unternehmen betrieblichen Datenschutzbeauftragte zu bestellen haben:

- Ein Schwellenwert, der sich nur an der Anzahl der Beschäftigten eines Unternehmens orientiert, ist nicht datenschutzspezifisch und daher ohne Relevanz.

- Der Schwellenwert sollte deutlich niedriger sein und sich an der Relevanz der Verarbeitung personenbezogener Daten für die Aufgabenerfüllung der Unternehmen orientieren.

- Unternehmen, deren Kerntätigkeit in der risikobehafteten Verarbeitung personenbezogener Daten besteht, sollten ausnahmslos einen betrieblichen Datenschutzbeauftragten bestellen müssen.

Die EU-Datenschutzverordnung sollte deshalb so angepasst werden, dass sie die hier genannten Anforderungen anstelle der bisherigen Vorgaben enthält.

Quelle und Kontaktadresse:
Gesellschaft für Informatik e.V. (GI), Wissenschaftszentrum Cornelia Winter, stellv. Geschäftsführerin, Presseabteilung Ahrstr. 45, 53175 Bonn Telefon: (0228) 302145, Telefax: (0228) 302167

NEWS TEILEN: