Welche Ansprechpartner im Bereich Datenschutz gelten für Unternehmen? An wen können sich Privatpersonen wenden, wenn öffentliche oder nicht-öffentliche Stellen es zum Beispiel mit der Überwachung übertreiben oder mit dem Respekt vor persönlichen nicht so genau nehmen? Die föderale Struktur Deutschlands spiegelt sich in den Zuständigkeiten für die Kontrolle datenschutzrechtlicher Vorgaben wider. Anders gesagt: Die Struktur der Organisation von Datenschutz gleicht einem Flickenteppich. Doch weil für Firmen im Mai 2018 ein überlebenswichtiger Stichtag vor der Tür steht, wird es höchste Zeit für mehr Durchblick.
Quelle des Aufmacherbildes: Pixabay.com
„Beim Datenschutz geht es nicht um den Schutz von Daten. Im Mittelpunkt steht das informationelle Selbstbestimmungsrecht des Einzelnen und damit der Mensch. Das macht den Datenschutz für mich zu einer wichtigen Aufgabe und zu einer lohnenswerten Herausforderung.“ (Andrea Voßhoff)
Unermüdlich wirbt Andrea Voßhoff, die derzeitige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), dafür, dass man sich im Falle einer Unstimmigkeit oder gar eines eindeutigen Gesetzesbruchs im Datenschutzrecht unbedingt an sie wenden möge. Dies ist etwa der Fall, wenn die Beschwerde eine öffentliche Stelle des Bundes betrifft – beispielsweise eine Behörde, ein Jobcenter, die Deutsche Rentenversicherung, eine „bundesunmittelbare“ Krankenkasse wie Barmer oder DAK, oder ein Unternehmen im Telekommunikations- oder Postbereich.
Darüber hinaus hat jedes Bundesland einen Landesbeauftragten für den Datenschutz – falls es um Beschwerden gegen Behörden oder Verwaltungen der Länder und Kommunen geht. Dagegen kontrollieren die jeweiligen Aufsichtsbehörden der Länder für den nicht-öffentlichen Bereich die Einhaltung des Datenschutzes in Unternehmen, Verbänden, Vereinen oder bei Selbstständigen.
Datenschutz-Konferenz und „Düsseldorfer Kreis“
Für gemeinsame Diskussionen und Stellungnahmen haben sich die Aufsichtsbehörden der Länder u.a. im Rahmen der „Datenschutz-Konferenz“ zusammengeschlossen. Analog dazu gab es bis 2013 für den öffentlichen Bereich den „Düsseldorfer Kreis“, der dann jedoch in die parallel bestehende Datenschutz-Konferenz übergegangen ist, weil die Aufsichtsbehörden für öffentliche und nicht-öffentliche Stellen zusammengeführt wurden. Mehrmals jährlich werden Beschlüsse gefasst, die beim Bundesdatenschutzbeauftragten veröffentlicht werden. 2009 und 2010 wurde beispielsweise intensiv auf die Problematik des Einsatzes von Webseiten-Statistiken per Google Analytics eingegangen.
Stiftung Datenschutz soll Aufsichtsbehörden ergänzen
2012 beschloss die Bundesregierung die Gründung einer Institution in Leipzig, die den Datenschutz in Deutschland fördern soll. Gegründet 2013 als Stiftung privaten Rechts, ist die „Stiftung Datenschutz“ als gemeinnützig anerkannt und ergänzt die Datenschutz-Aufsichtsbehörden in Bund und Ländern – vor allem durch Aufklärungskampagnen und Bildungsprogramme.
Datenschutz auf EU-Ebene
Das wichtigste Gremium der Mitgliedstaaten der EU, das sich mit der Zusammenarbeit im Bereich Datenschutz beschäftigt, ist die Arbeitsgruppe gemäß Artikel 29 der europäischen Datenschutzrichtlinie 95/46/EG – oder kurz: die Artikel-29-Gruppe. Hier stimmen sich die Aufsichtsbehörden aller Mitgliedstaaten untereinander in Datenschutzfragen ab und beraten die Europäische Kommission. Im Zuge der Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) wird die Artikel-29-Gruppe zum „Europäischen Datenschutzausschuss“ aufgewertet.
Kirchen und Sender haben eigene Datenschutz-Beauftragte
Der erste Weg bei Beschwerden in Deutschland sollte über den Datenschutz-Beauftragten der „betroffenen“ öffentlichen und privaten Stelle gehen – denn dieser ist dort für solche Fragen und Beschwerden zuständig und in seiner Aufgabe unabhängig, sodass schnelle Hilfe garantiert ist. Die oder der zuständige Beauftragte ist über die jeweilige Hauptverwaltung erreichbar.
Keine Regel ohne Ausnahme – und hier gibt es gleich zwei. Die erste betrifft öffentlich-rechtliche Rundfunkanstalten: Diese haben eigene Rundfunkdatenschutzbeauftragte, an die man sich wenden kann – etwa bei Beschwerden zum redaktionellen als auch zum Verwaltungsbereich. Eine Ausnahme innerhalb der Ausnahme stellen die Sender in Berlin, Brandenburg, Bremen und Hessen dar: Hier sind dann doch wieder die Landesdatenschutzbeauftragten zuständig.
Die zweite Ausnahme betrifft Kirchen und kirchliche Einrichtungen: Das Bundesdatenschutzgesetz gilt für sie nicht – wegen des verfassungsrechtlich garantierten Selbstbestimmungsrechts von Religionsgemeinschaften. Deshalb gibt es auch hier eigene kirchliche Datenschutzbeauftragte.
„Ein gemeinsames ‚ökumenisches‘ Datenschutz-Gremium gibt es derzeit wohl nicht. Diesbezüglich herrscht noch Glaubenskrieg – und das im 21. Jahrhundert.“ (Nicholas Vollmer)
Nicholas Vollmer ist wohl einer der bekanntesten Datenschutz-Auditoren Deutschlands und vielleicht sogar Europas, denn er füllte 2016 nach dem plötzlichen Bekanntwerden der EU-Datenschutz-Grundverordnung 2016/679 (DS-GVO) eine Lücke: Weil Brüssel es nicht fertigbrachte, die unglaublich komplexen 99 Artikel und 173 sog. Erwägungsgründe übersichtlich zur Verfügung zu stellen, damit Firmen sie lesen und verstehen können, setzte er eine mängelfreie Neustrukturierung in 24 Sprachen ins Netz – mit Inhaltsverzeichnis, Querverweisen, Hervorhebungen, Korrekturen und Dossier-Funktion.
Als Ergänzung dient eine ebenso strukturierte Fassung des neuen Bundesdatenschutzgesetzes, das gerade im Mai 2017 beschlossen wurde und gemeinsam mit der EU-Grundverordnung am 25. Mai 2018 wirksam wird. Beide Seiten sind kostenlos nutzbar und werden regelmäßig aktualisiert.
Die Frist für Firmen in der EU läuft im Mai 2018 ab
Für Unternehmen in der Europäischen Union hat also der Countdown begonnen: Nur noch bis zum 25. Mai 2018 haben sie Zeit, die Regelungen der Datenschutzgrundverordnung (DSGVO) umzusetzen. Sich mit der Grundverordnung zu beschäftigen, ist für Unternehmen unumgänglich, denn nach Verstößen gegen die Bestimmungen können hohe Geldstrafen verhängt werden – bis zu 20 Millionen Euro. Auch Beschwerden durch unzufriedene Kunden sowie Schadenersatzforderungen könnten die Folge sein. Datenschutzexperten bieten deshalb vollumfängliche Lösungen an. Bei Nicholas Vollmer heißt der Praxis-Leitfaden „PrivazyPlan“, der quasi eine Schritt-für-Schritt-Anleitung liefert.
Auch der bekannte IT-Rechtsanwalt Christian Solmecke und sein Kollege Kirin Engelmann beschäftigen sich mit dem Thema – in einem gut 8-minütigen Video, das alles Wichtige erklärt:
Große Kluft zwischen den aktuellen und zukünftigen Rahmenbedingungen
Vollmer geht mit dem aktuellen Prozedere hart ins Gericht und warnt vor den Auswirkungen der neuen Regelungen, die ab dem 25. Mai 2018 gelten werden. Bisher sei die Bereitschaft der Unternehmen, in gut organisierten Datenschutz zu investieren, zu gering – und die Kontrolle durch die Aufsichtsbehörden zu lax. „Jedes Unternehmen könnte einen internen oder externen Datenschutzbeauftragten bestellen, und der Datenschutz würde funktionieren. Das kostet aber etwa 500 Euro im Monat, zuzüglich der Arbeitszeit der Mitarbeiter, die dem Datenschutzbeauftragten zuarbeiten. Das will aber keiner. Da die Aufsichtsbehörden bisher nur sehr sporadisch kontrollierten und, wenn überhaupt, nur sehr geringe Bußgelder verhängt wurden, war das Risiko minimal.“
Das ändere sich jedoch radikal, wenn die neue DSGVO in Kraft trete: „Es gibt viel zu tun, und die hohen Bußgelder und erweiterten Schadenersatz-Möglichkeiten drängen zur Handlung. Doch die DSGVO versteht niemand vollumfänglich. Alle wissen, dass es viele Pflichten zu erfüllen gibt, aber niemand hat ein echtes Konzept.“ Die Unübersichtlichkeit werde noch übertroffen von einem „recht chaotischen“ neuen Bundesdatenschutzgesetz, das am selben Stichtag viele deutsche Spezialfälle implementiere.
Vollmers Fazit: „Es wird deutlich, dass die Mitarbeiter viele, viele dutzend Stunden in die laufende Datenschutz-Dokumentation investieren werden müssen. Viele Unternehmen werden dies so lange wie möglich verdrängen.“
Kontaktdaten der Datenschutzbeauftragten
Die Befürchtung, dass vielleicht Privatpersonen umso mehr von ihrem Recht auf Beschwerde Gebrauch machen werden, ist nicht unbegründet. Für sie führt der Weg auch weiterhin über die oben bereits genannten Ansprechpartner – vor allem über die Kontaktdaten der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Alle Eingaben hier werden vertraulich behandelt. Per Gesetz ist garantiert, dass die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) mit umfassenden Kontrollbefugnissen ausgestattet ist, jeder Beschwerde nachgeht und das Ergebnis dem Beschwerdeführer mitteilt.
Das Versprechen der BfDI ist eindeutig: „Schildern Sie die Umstände möglichst genau, die nach Ihrer Ansicht eine Datenschutzverletzung darstellen. Ich helfe Ihnen weiter!“