(openPR) UIMC: Ohne Sensibilisierung des Managements geht es nicht.
Der Europäische Datenschutzausschuss (EDSA) schlägt Alarm: Datenschutzbeauftragte verfügen oftmals über eine zu geringe Ressourcenausstattung, sind mit anderen Aufgaben belastet und/oder vernachlässigen Fort- und Weiterbildungen. Kurz: Artikel 38 Abs. 2 der DSGVO (Datenschutzgrundverordnung) wird vielfach verletzt. Eine vom EDSA in Auftrag gegebene Untersuchung belegt nun, dass diese Regelung in vielen Unternehmen und Organisationen nicht eingehalten wird. „Die Studie belegt, was oftmals bereits vermutet wurde: Datenschutzbeauftragte sind zwar im Unternehmensorganigramm vorhanden, finden aber im Betriebsalltag nicht statt“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein anlässlich der Vorstellung der Studienergebnisse und fordert neue Impulse, um die Position des Datenschutzbeauftragten zu stärken. Wie das gelingen kann – und warum es so schwer wird, wenn man einen eigenen Datenschutzbeauftragten im Unternehmen hat. Ein Blick in die Studie sorgt für Klarheit.
Der Europäische Datenschutzausschuss (EDSA) ist ein unabhängiges europäisches Gremium und ist die Dachorganisation, die die nationalen Datenschutzbehörden der Länder des Europäischen Wirtschaftsraums sowie den Europäischen Datenschutzbeauftragten zusammenbringt. Ziel der gemeinsamen Gremiumsarbeit ist eine einheitliche Anwendung der Datenschutz-Grundverordnung. Auch deshalb setzt sich das Gremium regelmäßig mit der Ausgestaltung der Rolle des Datenschutzbeauftragten auseinander. Fest steht: Datenschutzbeauftragte verfügen idealerweise über umfangreiches Fachwissen, werden für die Bearbeitung von Betroffenenanfragen herangezogen und können in Unternehmen und öffentlichen Stellen großen Einfluss ausüben, um den Datenschutz umzusetzen.
Der Bericht „2023 Coordinated Enforcement Action - Designation and Position of Data Protection Officers“ wurde vom EDSA in seiner Januar-Sitzung angenommen. Der Bericht ist das Ergebnis einer EU-weit koordinierten Untersuchung und listet die Hindernisse auf, mit denen Datenschutzbeauftragte derzeit konfrontiert sind, sowie eine Reihe von Empfehlungen zur weiteren Stärkung ihrer Rolle.
Die Aufsichtsbehörden kritisieren die unzureichende Ressourcenausstattung – Finanzen und Arbeitszeit – der Datenschutzbeauftragten. Die DSGVO schreibt aber vor, dass Datenschutzbeauftragte (DSB) die erforderlichen Ressourcen zur Verfügung gestellt bekommen. Datenschutzbeauftragte seien aber häufig mit anderen Aufgaben überfrachtet. Aufgrund der Aufgabenfülle und Arbeitsdichte bliebe oftmals nicht genügend Zeit, um sich ausreichend – ggf. auch mit Unterstützung eines Teams – den Aufgaben als Datenschutzbeauftragte zu widmen.
Daneben ist die Definition der Rolle im Unternehmen ein Spannungsfeld für einen DSB. Sowohl die Aufgabenzuweisung als auch die zugewiesene Rolle im Unternehmen entsprächen häufig nicht den Vorgaben der DSGVO. Interessenkonflikte sind vorprogrammiert, wenn Datenschutzbeauftragte in Ihrer Teilzeitaufgabe noch Managementaufgaben wahrnehmen, wie z. B. in der IT, im Personalwesen oder im Vertrieb.
„Wir haben gute Erfahrungen damit gemacht, neben einer Bestandsaufnahme und beständigen Revision, regelmäßig das Management zu informieren und zu sensibilisieren. Wenn das Management die Risiken besser versteht, kann es auch entsprechende Maßnahmen ergreifen,“ so der mehrfach bestellte Datenschutzbeauftragte Dr. Voßbein. „Auch wenn wir uns natürlich hier und da auch mehr Ressourcen für eine noch bessere Umsetzung des Datenschutzes wünschen,“ wie er mit einem Augenzwinkern ergänzt.
Des Weiteren ermutigen die Aufsichtsbehörden die Unternehmen auch, Datenschutzbeauftragte mit ausreichenden Möglichkeiten, mehr Zeit und Ressourcen für die Aus- und Fortbildung auszustatten. Auch die Bestellung eines externen Datenschutzbeauftragten ist ein gangbarer Weg, um das Spannungsfeld Rollendefinition des DSB im Unternehmen zu lösen.
Übrigens: Aufgrund der Ergebnisse haben bereits zehn Datenschutzaufsichtsbehörden angekündigt, die Rolle der Datenschutzbeauftragten weiter zu untersuchen.
