Mitglieder

Pressemitteilung: Änderung der Benennungspflicht für DSB - Risiken für KMU steigen

Offener Brief an die Bundestagsabgeordneten aus Nordrhein-Westfalen

Der networker NRW e.V. wendet sich in einem offenen Brief an die Bundestagsabgeordneten aus Nordrhein-Westfalen, um diese über potentielle Folgen einer Änderung in der Bestellungspflicht für Datenschutzbeauftragte (§ 38 Bundesdatenschutzgesetz) zu informieren.

Der networker NRW e.V. unterstützt hierdurch auch die grundsätzliche Position des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. sowie zahlreicher weiterer Fach- und Verbraucherverbände sowie der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).

Der Wortlaut des offenen Briefes lautet wie folgt:

 

Sehr geehrte Bundestagsabgeordnete aus Nordrheinwestfalen,

mit dem Ziel, Vereine, Freiberufler und kleine oder mittelständische Unternehmen (KMU) hinsichtlich der Pflichten zur Einhaltung datenschutzrechtlicher Anforderungen zu entlasten, haben zwei Bundesratsausschüsse empfohlen, die Pflichten zur Benennung von Datenschutzbeauftragten (DSB) zu reduzieren (BR-Drs. 430/1/18 vom 05.10.2018).

Dieses Ziel wird durch die vorgeschlagene Änderung der Benennungspflicht für Datenschutzbeauftragte nicht erreicht! Inhaltlich wird zudem nicht nur ein falsches Signal gesendet, sondern das Gegenteil des erklärten Ziels erreicht.

In der Diskussion um die Benennungspflicht wird häufig der Umstand vergessen, dass die Pflichten der DS-GVO insgesamt eingehalten werden müssen. Die Pflicht zur Benennung eines DSB ist indes nur ein Teilaspekt eines breit gefächerten Anforderungskatalogs. Aber wer hat den Überblick über diese Anforderungen, wenn der DSB fort ist?

„Daten sind das neue Öl“, meint nicht nur die FAZ. Aber wer kümmert sich um den Schutz von Daten? Wenn der Bundesrat auf eine deutliche Reduzierung der Kontrolle des Datenschutzes drängt, durch großflächige Abschaffung von DSB, wird von ihm dann der Verlust an Kontrolle kompensiert durch Aufstockung des Personals in den Aufsichtsbehörden, etwa um dieselbe Anzahl von Stellen wie abgeschaffte DSB? Das ist wohl nicht beabsichtigt.

Die DS-GVO einzuhalten bzw. die Einhaltung zu kontrollieren, stärkt deutsche Unternehmen. Es sind u.a. diese positiven Seiteneffekte, die völlig vom Bundesrat übersehen werden!

Bereits seit 1990 müssen Unternehmen, in denen 10 oder mehr Mitarbeiter mit personenbezogenen Daten arbeiten, einen DSB bestellen – auch Vereine, Freiberufler und KMU. DSB beraten und unterstützen die Unternehmen darin, den Datenschutz einzuhalten. 

Über die „Figur des Datenschutzbeauftragten“ wurde der Datenschutz in die Fläche ausgerollt. Er ist ein deutsches Erfolgsmodell, im Vergleich zur lediglich behördlich durchgeführten Kontrolle in stichprobenartigen Einzelfällen. Dieser in der Vergangenheit eingetretene Erfolg führte zum Export des DSB, mittels der DS-GVO, in alle Staaten der EU. Und auch die Fortentwicklung des US-Datenschutzrechtes wird bereits durch die hohen Anforderungen der DS-GVO beeinflusst. Der deutsche Gesetzgeber hat mit der Neufassung des BDSG zum 25.05.2018 die bewährten Regelungen beibehalten, gerade auch wegen der DS-GVO und ihrer Komplexität.

Weil DSB auch die IT und betriebliche Technik überwachen, werden durch sie zusätzlich die IT-Sicherheit massiv gestärkt und alle in Betrieben vorhandenen Informationen vor Cyberangriffen und Industriespionage geschützt.

Eine Abschwächung der Pflicht zur Benennung eines DSB wird Vereine, Freiberufler und KMU sowie die Bürger (soweit sie dort arbeiten oder ihre Daten dort verarbeitet werden) großen Risiken aussetzen:

•    Der DSB ist der Know-How-Träger. Entfällt dieser, geht das Know-How für Datenschutz und IT-Sicherheit bei Vereinen, Freiberuflern und KMU verloren. Da alle Verpflichtungen der DS-GVO im Übrigen bestehen bleiben, müsste das notwendige Know-How kostspielig extern erworben, so dass die Vereine, Freiberufler und KMU im Ergebnis nicht entlastet, sondern belastet werden!

•    Mangels Wissens um den Datenschutz werden Verstöße häufiger und dem Thema „technische und organisatorische Sicherheitsmaßnahmen“ würde kaum mehr Beachtung geschenkt. Die vorgeschlagene Änderung steigert für die Vereine, Freiberufler und KMU die Gefahr von Sanktionen sowie von Folgeschäden aufgrund der Vernachlässigung der IT-Sicherheit.

•    Gibt es keinen DSB mehr, wird bei Vereinen, Freiberuflern und KMU jeder Fürsprecher für IT-Sicherheit fehlen. Die vorgeschlagene Änderung wird absehbar zur Vernachlässigung des Datenschutzes und mittelbar zur erhöhten Anfälligkeit für Cyber-Risiken führen. Dadurch bedroht sind nicht nur die Vereine, Freiberufler und KMU selbst, sondern auch deren Arbeitnehmer. Darüber hinaus werden alle Bürger gefährdet, wenn etwa die vom Verein, Freiberufler oder KMU verarbeiten Daten dort gestohlen und zum Identitätsdiebstahl genutzt werden.

•    Die vorgeschlagene Änderung bedroht zudem die Existenz der gesamten Branche der externen betrieblichen Datenschutzbeauftragten, einschließlich der dort entstandenen Arbeitsplätze.

Aus diesen Gründen sieht der networker NRW e.V., der Verband der IT-Wirtschaft in Nordrhein-Westfalen, in der Abschwächung der Benennungspflicht für betriebliche Datenschutzbeauftragte eine volkswirtschaftliche Beeinträchtigung und lehnt diese ab.  Auf die besonderen Belange von Vereinen, Freiberuflern und KMU sollte vielmehr unterstützend eingegangen werden, indem ihnen z.B. speziell auf sie zugeschnittene praxistaugliche Dokumentationsvorlagen und Vorgehensstandards zur Verfügung gestellt werden, die sie gemeinsam mit ihrem DSB umsetzen können.

Wir bitten Sie als Bundestagsabgeordnete aus NRW, der vordergründigen Sichtweise des Bundesrates entgegen zu treten und die bisherige, bewährte Regelung in § 38 BDSG beizubehalten.

Gerne koordiniert unsere Geschäftsstelle einen persönlichen Austausch zwischen Ihnen und Mitgliedern unserer Verbandsgremien.

Mit freundlichen Grüßen

 

Hermann Banse                       Dr. Martin H. Ludwig

Vorstandsvorsitzender               Stellvertretender Vorsitzender