Das geht #Datenschutzbeauftrage und #Datenschutzmanager was an.
Es geht um den Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 genannt Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU .
Wir haben auszugsweise maßgebliche Begründungen aus entsprechender Drucksache sinngemäß komprimiert und kommentiert:
Mit der Erhöhung der Grenze der Mitarbeiter für die Bestellung eines Datenschutzbeauftragten würde eine Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine angestrebt.
Auszug aus der Drucksache 19/11181, IV. Begründung, Zu Buchstabe b
(Nummern 7 und 7a ‒ § 26 und § 38 des Bundesdatenschutzgesetzes)
Datenschutzbeauftragte sehen das anders, insofern ihre Kompetenz untergraben wird und kleineren und mittleren Unternehmen sowie ehrenamtlich tätigen Vereinen suggeriert wird, Datenschutz sei für sie obsolet geworden.
Die Stellungnahmen der Parteien zeigen zudem gegensätzlichen Auffassungen
Ziel sei ein einheitliches Datenschutzniveau. Der Bereich der Einwilligung im Beschäftigungsverhältnis würde geregelt. Man habe eine gute Lösung im Bereich der Abmahnungen gefunden. Die Befürchtungen ob einer Abmahnwelle hätten sich nicht erfüllt.
Drucksache 19/11181, IV. Begründung, 1. (CDU/CSU)
Damit geht man wohl in zu beschwichtigender Weise auf die Sorgen vieler Betriebe, Vereine und Verbände ein, während sich deren Sorgen ganz konkret darin artikulieren, wegen etwaiger Bürokratie und kompromissloser Pönalisierung zu viel für den Datenschutz tun zu müssen, gemeint ist, zu viel bezahlen zu müssen, ohne einen adäquaten Mehrwert dargestellt zu bekommen. Für den, der sich von den Beschwichtigungen verleiten lässt, kann es richtig teuer werden, wenn man den Datenschutz hat schleifen lassen.
Einen möglichen Mehrwert im Kontext des Datenschutzes erläutern wir unter verein4punkt0.
Hingegen nachfolgende Stellungnahme die Sympatie der Datenschutzmanager finden sollte:
Die Entlastung von KMU und kleinen Vereinen sei in Aussicht gestellt worden, diesbezüglich aber gar keine Öffnungsklausel vorgesehen ist. Es stelle keine kluge Lösung dar. Wer als Unternehmen Daten intelligent und rechtskonform nutzen wolle, der brauche dazu die nötige Kompetenz in seinem Haus auch unterhalb der 20iger-Regel.
Drucksache 19/11181, IV. Begründung, 1. (SPD)
Insofern wird sich der Job der Datenschützer doch noch intensiver etablieren lassen. Intelligenz und Kompetenz bleiben gefragt, insbesondere die Bürokratie zu Gunsten das Datenschutzes zu entlasten.
Wie das gehen soll, sollten Sie uns fragen. Hier sind Synergien zur Unternehmens- oder Vereinskommunikation gefragt, Changemanagement inkl..
Andere Stimmen bringen die Problematik auf den Punkt.
Den inhaltlichen Umsetzungspflichten gebe man keine Beachtung. Und überhaupt sei nicht die Anzahlt der Mitarbeiter sondern die Art der Datenverarbeitung das wesentliche Entscheidungsmerkmal für die Bestellung eines Datenschutzbeauftragten.
Drucksache 19/11181, IV. Begründung, 1. (FDP)
Mit Art der Datenverarbeitung ist wohl gemeint die Ausführung der Datenverarbeitung. Was wohl die Frage der Durchführung eines Datenschutzmanagements aufwirft, aber nicht nur der Pflicht zu genügen, sondern proaktiv der Umsetzung nachzukommen. Denn schließlich heißt es ja u.a. Umsetzungsgesetz.
Unmissverständliche Töne werden laut, wenn nachrichtendienstliche Aspekte in die Verantwortung von zivilgesellschaftlichen Organisationen gelegt werden.
Man sei gehalten, ggf. Daten auch an Sicherheitsbehörden und Geheimdienste weiterzugeben.
Drucksache 19/11181, IV. Begründung, 1. (Die Linke)
Hier wäre der Rahmen für Missbrauch zu konkretisieren.
Farbe in die Debatte bringt das Haftungsrisiko und die Auftrags(daten)verarbeitung (ADV).
Die scheinbare Entbürokratisierung durch die Erhöhung der Beschäftigtenzahl zur Bestellung eines Datenschutzbeauftragten sei im Hinblick auf das Haftungsrisiko der Unternehmen keine gute Lösung. Hier auch die Frage nach der konkreten Umsetzung der DSGVO-Vorgaben.
Drucksache 19/11181, IV. Begründung, 1. (Bündnis90, Die Grünen)
Was jetzt umso mehr die Datenschutzbeauftragten auf den Plan rufen müsste, nämlich der Umsetzungspflicht auch nachzukommen, ohne zu wissen wie und ohne dafür Verantwortung zu übernehmen.
Obendrein dabei ggf. Haftung ins Spiel kommt, je nach dem wie die Gerichte gemäß Art. 37 ff. DS-GVO die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen sowie die umfangreiche Verarbeitung besonderer Kategorien bewerten.
Fragen Sie uns nach subsidiären Maßnahmen, die Ihnen den Wind aus den Segeln nehmen.
Da wird mehr erwartet, als Datenschutzgeneratoren anzuwerfen und alibiweise mit Schulungsmappen durch die Gänge zu spazieren. Da sind nachhaltigere Lösungen gefragt.
Was uns dabei umtreibt, ist gewissermaßen die Digitaltauglichkeit der DSGVO hinsichtlich ihrer Umsetzung. Geringstenfalls bei der Einwilligung per E-Mail, günstigstenfalls über die Abbildung der Datenschutzkonformität mittels agiler Methoden, bestenfalls bis hin zu einem Live-Nachweis nachhaltiger Umsetzung in Echtzeit, gewissermaßen auf Abruf.
Wenn Sie wissen, was wir meinen?
Jedenfalls lohnt sich der Aufwand, wenn die Verantwortlichen einsehen, dass sie sich zu innovativen Lösungen samt Nutzen-und Effizienzpotential beraten lassen müssen.
Wir schaffen im Kontext mit Datenschutz Wettbewerbsvorteile und messbarer Erfolge für Ihre Organisation. Insofern denken wir strategisch und handeln pragmatisch. Wir können unsere gemeinsamen Ziele nur erreichen, wenn wir alle Mitwirkenden für notwendige Veränderungen in der Unternehmens- und Vereinskommunikation mitnehmen und begeistern. Wenn Sie wissen, was wir meinen?