Seit einem Jahr ist die Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese hat auch kleine und mittlere Betriebe (KMUs) für das Thema sensibilisiert. Die technischen Realisierung bedeutet für diese aber auch viel Aufwand und sie sehen sich teilweise mit drastischen Sanktionen konfrontiert. Das beschäftigt die FDP und diese wünscht sich hierzu Antworten von der Bundesregierung.
Justiz- und Verbraucherschutzministerin Katarina Barley hat kurz vor der Europawahl 2019 einen Entwurf für ein „Gesetz zur Stärkung des fairenWettbewerbs“ vorgelegt, wonach insbesondere kleine Unternehmen zwar abgemahnt werden dürfen, zunächst aber keine Abmahngebühren anfallen. Wirtschaftsverbände hatten ein generelles Abmahnverbot für alle Unternehmen durch Wettbewerber gefordert.
Nach Ansicht der FDP ist der deutsche Gesetzgeber zudem in Teilbereichen über die Verpflichtungen der DSGVO hinausgegangen. Dies gilt vor allem für die Verpflichtung zur Stellung eines Datenschutzbeauftragten, sobald zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Absatz 1 Satz 1 des Bundesdatenschutzgesetzes), so die Position der Liberalen. Dadurch, dass nahezu alle Beschäftigten in einem Betrieb umfassend EDV verarbeiten und Daten speichern, bedeutet dies in der Praxis, dass nahezu jeder Betrieb ab zehn Beschäftigten einen Datenschutzbeauftragten stellen muss.
Zertifizierungen von Datenschutzbeauftragten fehlen immer noch
Kleine und mittlere Betriebe beklagen seit der Umsetzung der DSGVO erheblichen Beratungsbedarf, den sie im Zweifelsfall durch eine spezialisierte Beratungsbranche decken. Gleichzeitig fehlen immer noch Zertifizierungen von Datenschutzbeauftragten, wodurch Qualitätsunterschiede schwer zu erkennen sind. Die FDP hat zu diesem Problemfeld eine Kleine Anfrage an die Bundesregierung verfasst.
In deren Antwort weist diese auf ihren engen Austausch mit Unternehmen,Wirtschaftsverbänden und Kammern hin, insbesondere auf die „Road Show“ und die „Round-Table-Gespräche zum Datenschutz“. Bei der „Road Show“ handelt essich um eine Informationsveranstaltung zur DSGVO, die das Bundesministeriumfür Wirtschaft und Energie gemeinsam mit dem Deutschen Industrie- undHandelskammertag bis Mai 2018 deutschlandweit bei insgesamt 31 regionalen Industrie- und Handelskammern durchgeführt hat.
Dialogreihe zur Umsetzung der DSGVO mit Vertretern der Wirtschaft
Seit Oktober 2017 veranstalten das Bundesministerium des Innern, für Bau und Heimat und das Bundesministerium für Wirtschaft und Energie gemeinsam die „Round-Table-Gespräche zum Datenschutz“. Dabei handelt es sich um eine Dialogreihe zur Umsetzung der DSGVO mit Vertretern der Wirtschaft, der Datenschutzaufsichtsbehörden und der Zivilgesellschaft. Die Bundesregierung beabsichtigt, das Gesprächsformat im zweiten Halbjahr 2019 fortzuführen. Dabei soll voraussichtlich die Evaluierung der DSGVO durch die Europäische Kommission thematisiert werden.
Die FDP möchte in ihrer Kleinen Anfrage auch wissen, ob die Bundesregierung beabsichtigt, das Instrument der Zertifizierung für betriebliche Datenschutzbeauftragte einzuführen. Dies scheint nicht der Fall, denn sie argumentiert folgendermaßen: Nach Artikel 37 Absatz 5 der DSGVO muss der betriebliche Datenschutzbeauftragte über erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen, um seine Aufgaben erfüllen zu können.
Keine Veranlassung Berufsbild differenzierter zu gestalten
Bislang ist nach Ansicht der Regierung noch nicht geklärt, ob der Europäische Datenschutzausschuss im Rahmen seiner Aufgaben nach Artikel 70 Absatz 1 Unterabsatz 1 Buchstabe e DSGVO Empfehlungen für Anforderungen an die berufliche Qualifikation aussprechen wird. Die Bundesregierung sieht vor diesem Hintergrund derzeit keine Veranlassung, das Berufsbild des betrieblichen Datenschutzbeauftragten differenzierter zu gestalten und Kriterien für die berufliche Aus- und Fortbildung zum Erwerb der entsprechenden Qualifikation festzulegen.
Die Haltung eines Vermittlerverbandes zur DSGVO
Der Vermittlerverband AfW hat eine klare Haltung zum Thema Datenschutzbeauftragter und führt dazu eine Passage in der Verordnung an - den so genannten Erwägungsgrund 91: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt“, so der dortige Wortlaut.
Sensible Gesundheitsdaten von Kunden in kleinem Umfang
Der AfW münzt diesen Passus für die Maklerschaft folgendermaßen um: Ein kleines Versicherungsmaklerunternehmen arbeite zwar mit sensiblen Gesundheitsdaten von Kunden. Allerdings oft in kleinem Umfang – zumindest nicht umfangreicher als bei dem im Beispiel erwähnten Arzt oder Rechtsanwalt.
Der AfW ging schon im Frühjahr 2018 davon aus, dass die Ausnahme für allein praktizierende Ärzte und Rechtsanwälte auch für Versicherungsmakler gelten müsse. O-Ton Verbandsvorstand Norman Wirth: „Wir halten es grundsätzlich für nicht erforderlich, dass ein durchschnittlich aufgestelltes Versicherungsmaklerunternehmen mit weniger als zehn Mitarbeitern einen Datenschutzbeauftragten bestellt.“
Eine mögliche Ausnahme: Check 24
Eine Ausnahme könnte bestehen, wenn Unternehmen eine besonders große Zahl an Kunden ansprächen und weniger den persönlichen Kontakt im Blick hätten – der Verband nennt hier beispielhaft den Vertrieb der Internetplattform Check 24 – und wenn mit Big-Data-Anwendungen gearbeitet werde.
Quellen: Deutscher Bundestag, Das Investment
Autor(en): Meris Neininger