27 September, 2019
Seit über einem Jahr lebt Europa nach den neuen Datenschutzregeln. Die meisten noch laufenden DSGVO-Transformationsprozesse der Unternehmen und anderer verantwortlicher Stellen sollten mit dem Jahresende abgeschlossen sein. Mit der Verabschiedung des zweiten Datenschutz-Anpassungsgesetzes (nachfolgend „DSAnpUG“) am 28. Juni 2019 kam es zu einer weiteren Novellierung im Datenschutzrecht. Durch Novellierungen sollen Gesetze mit den Vorgaben der DSGVO harmonisiert und insbesondere das BDSG in einigen Bereichen angepasst werden.
Auch weitere Neuerungen sind in Sicht. Unter anderem wird voraussichtlich im Jahr 2020 mit der Einführung der ePrivacy-Verordnung gerechnet. Diese zahlreichen Aktualisierungen im Datenschutzrecht führen dazu, dass Unternehmen einem enormen Anpassungsdruck ausgesetzt sind. Diese Anpassung an die neuen Gesetze stellt in der Praxis eine nicht zu unterschätzende Herausforderung dar, da die bisher verabschiedeten Gesetze zum Datenschutz kaum Vorgaben zur konkreten Umsetzung enthalten.
Eine der Neuerungen des zweiten DSAnpUG sind die Anpassungen der Anforderungen an die Bestellpflicht des betrieblichen Datenschutzbeauftragten. Diese Anforderungen wurden durch das neue Gesetz geändert, um in erster Linie kleine und mittelständische Unternehmen (KMUs) in finanzieller und organisatorischer Hinsicht zu entlasten. Konkret wurde der Schwellenwert zur Bestellpflicht von zehn auf zwanzig Personen angehoben, soweit sich diese ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen.
Trotz Entlastung bei der Bestellpflicht bleibt die Einhaltung der datenschutzrechtlichen Pflichten davon unberührt. Das bedeutet, dass das Thema Datenschutz auch weiterhin einen hohen Umsetzungs- und Aufrechterhaltungsaufwand darstellt.
Darüber hinaus ist die Anwendbarkeit der Bestellpflicht in der Praxis nicht immer einfach zu beurteilen und muss unter Umständen gesondert analysiert werden, da neben dem bereits genannten Anwendungsfall der zwanzig Personen noch zwei zusätzliche Anwendungsfälle in Betracht kommen können: Unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen liegt eine Bestellpflicht vor, wenn Verantwortliche oder Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung unterliegen, oder in Fällen einer geschäftsmäßigen Verarbeitung (pbD) zum Zweck der (anonymisierten) Übermittlung oder der Markt-oder Meinungsforschung.
Zukünftig ist damit zu rechnen, dass immer mehr KMUs versuchen die datenschutzrechtlichen Pflichten ohne fachliche Unterstützung zu erfüllen. Der Datenschutzbeauftragte ist allerdings die zentrale Instanz, die datenschutzrechtliches Fachwissen in das Unternehmen trägt. Ein Wegfall dieser Instanz bedeutet für Unternehmen eine Reduktion von Fachwissen und damit auch ein Kompetenzdefizit.
Naheliegende Folgen dieser Entwicklung sind höhere Personalkosten, verursacht durch einen Mehraufwand durch fehlendes Fachwissen, sowie gravierende Fehler, welche Geldbußen nach sich ziehen können. Insgesamt ist von einer Verringerung der Qualität des Datenschutzes auszugehen.
Solange sich der Umsetzungsumfang, der aus den datenschutzrechtlichen Pflichten resultiert, nicht verringert, sind Unternehmen weiterhin auf fachliche Unterstützung angewiesen. Nicht die Bestellung eines Datenschutzbeauftragten stellt das eigentliche Problem dar, sondern die Interpretation und der Auslegungsbedarf der datenschutzrechtlichen Anforderungen, sodass ein Abbau einer unterstützenden und beratenden Fachperson die Umsetzung und Aufrechterhaltung des Datenschutzes erschwert und insgesamt einen Rückschritt darstellt.
Um dem Abbau von Fachwissen und Kompetenz entgegenzuwirken und dennoch nicht auf eine Lösung mit transparenter Kostenkontrolle verzichten zu müssen, bietet PwC Ihnen die Dienstleistung des externen Datenschutzbeauftragten (kurz: eDSB) an.
Der eDSB kann, je nach Konstellation des Unternehmens, im Vergleich zu einem internen Datenschutzbeauftragten Kosten- und weitere Vorteile mit sich bringen:
Im Gegensatz zum internen Datenschutzbeauftragten, der mit einem besonderen Kündigungsschutz einhergeht, bietet die Beauftragung eines externen DSBs den Vorteil der flexiblen Einsatzplanung. Zudem haben wir als eDSB einen objektiven Blick von außen auf Ihr Unternehmen. Dies vermeidet Interessenkonflikte und die Gefahr der Betriebsblindheit.
Darüber hinaus ist eine ausreichende Qualifikation des Datenschutzbeauftragten, im Sinne von juristischen als auch technischen sowie organisatorischen Kenntnissen, von großer Bedeutung. Unsere Mitarbeiter sind zertifizierte Datenschutzbeauftragte (DSB-TÜV) und verfügen über langjährige Expertise auf diesem Gebiet. Dadurch ist es uns möglich, Ihnen eine individuelle und bedarfsgerechte Lösung für Ihr Unternehmen (fernab von reiner Theorie mit praxisrelevanten Handlungsanweisungen) anzubieten. Durch unsere Stellvertretungsregelung ist eine durchgehende fachliche Betreuung garantiert.
Begegnen Sie den datenschutzrechtlichen und organisatorischen Herausforderungen noch heute mit PwC als externem DSB. Gerne beraten wir Sie in einem persönlichen Gespräch über alle Einzelheiten.
Christian Bartmann
Partner Risk Assurance Solutions und Co-Lead Kompetenz-Center Process Mining, PwC Germany
Tel.: +49 69 9585-2848