Startseite
GDD unterstützt BMWA-Initiative
Der Bundesminister für Wirtschaft und Arbeit, Wolfgang Clement, hat in
seiner Initiative „pro mittelstand“ die Wirtschaft aufgefordert, ihm
die aus ihrer Sicht wichtigsten bürokratischen Hemmnisse zu nennen und
praktikable Vorschläge für ihre Beseitigung aufzuzeigen. Vor diesem
Hintergrund hat sich die GDD mit Blick auf den Datenschutz wie folgt
geäußert:
Betriebliche Selbstkontrolle vor staatlichen Meldepflichten
Aus Sicht der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) bringt das deutsche Datenschutzrecht zwangsläufig auch für mittelständische Unternehmen einen gewissen Bürokratieaufwand mit sich. Allerdings hat der deutsche Gesetzgeber im Rahmen der Umsetzung der EG-Datenschutzrichtlinie (95/46/EG) die Spielräume zu einer möglichst unbürokratischen Regelung des Datenschutzes weit ausgeschöpft. Dabei ist die betriebliche bzw. behördliche Selbstkontrolle der Schlüssel zur Vermeidung überflüssiger Bürokratie. So entfällt nach dem Bundesdatenschutzgesetz die Pflicht zur Meldung von Verfahren automatisierter Verarbeitungen gegenüber der zuständigen Aufsichtsbehörde, wenn ein interner oder externer Datenschutzbeauftragter bestellt ist (§ 4d Abs. 2 BDSG).
Das Gesetz regelt Pflichten zur Bestellung von Datenschutzbeauftragten, die u.a. auch mittelständische Unternehmen treffen. Dies gilt z.B. ausnahmslos für Markt- und Meinungsforscher sowie für Adresshändler. Aber auch alle Unternehmen, die mit mehr als vier Arbeitnehmern personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, sind generell verpflichtet einen betrieblichen Datenschutzbeauftragten zu bestellen (§ 4f Abs. 1 BDSG). Verstöße gegen die Bestellungspflicht sind als Ordnungswidrigkeiten bußgeldbewehrt (§ 43 Abs. 1 Nr. 2 BDSG).
Die Bestellung betrieblicher Datenschutzbeauftragter und die Pflege eines angemessenen Datenschutzmanagements dienen aber nicht nur der Einhaltung von datenschutzrechtlichen Vorschriften und der Vermeidung von Sanktionen, sondern bilden auch ein wichtiges Eigeninteresse der Unternehmen, da hierdurch auf einen korrekten Umgang mit Kunden- und Arbeitnehmerdaten hingewirkt wird, was sich in der heutigen Informationsgesellschaft auch im Mittelstand durchaus als vertrauensbildende Maßnahme erweisen kann. Vor diesem Hintergrund kommt der Bestellung interner (ggf. auch Teilzeit-) oder externer Datenschutzbeauftragter (Datenschutz-Dienstleister) eine wichtige Bedeutung zu. Sie dient sowohl zur Effektivierung des betrieblichen Datenschutzes als auch zum Bürokratieabbau durch die Vermeidung staatlicher Meldepflichten.
Da der betriebliche Datenschutz aber naturgemäß nicht zum Kerngeschäft mittelständischer Unternehmen gehört, bietet die GDD den verantwortlichen Stellen Unterstützung in diesem Bereich. Basierend auf ihrer 25-jährigen Erfahrung bietet sie standardisierte und praxisbewährte Hilfestellungen an. Hierzu gehört die Schulung von Datenschutzbeauftragten sowie das Angebot von praxisbezogenen Arbeitshilfen und Tools, die speziell die mittelständische Wirtschaft bei der Umsetzung der datenschutzrechtlichen Vorgaben unterstützen. Ferner stellt die GDD auf Anfrage den Kontakt zu externen Datenschutzbeauftragten her.
Vorschläge zum Bürokratieabbau:
1. Flexible Selbstregulierung
Zur Vermeidung neuer Bürokratie im Datenschutz sollte nach Auffassung der GDD einer flexiblen Selbstregulierung durch die Wirtschaft Vorrang vor gesetzlicher Kodifikation eingeräumt werden. Diesbezüglich sollten den Unternehmen aber echte Anreize zur Nutzung selbstregulativer Möglichkeiten gesetzt werden. Der Gesetzgeber sollte daher vor der Schaffung von Gesetzen und Verordnungen zunächst Möglichkeiten zur Selbstregulierung prüfen bzw. Gestaltungsspielräume schaffen. Selbstregulierungen im Bereich des Datenschutzes könnten von den Branchen- und Fachverbänden entwickelt werden. Die GDD bietet hier ihre Unterstützung an.
2. Kein faktischer Zwang zum Datenschutzaudit
Mit Blick auf eine Entbürokratisierung des Datenschutzes in der mittelständischen Wirtschaft erscheint die Einführung eines Datenschutzaudits bezogen auf das Datenschutzkonzept von Daten verarbeitenden Stellen hingegen bedenklich. Zur Vermeidung von Wettbewerbsnachteilen könnten mittelständische Unternehmen gezwungen sein, aufwendige und kostenträchtige Auditverfahren durchführen zu lassen. Von daher befürwortet die GDD im Zusammenhang mit der Erarbeitung eines Ausführungsgesetzes zu dem in § 9a BDSG geregelten Datenschutzaudit eine Beschränkung des Anwendungsbereichs auf Unternehmen (insb. Dienstleister), die den Aufwand und die Kosten einer Auditierung durch den werblichen Effekt eines Gütesiegels auffangen können.
3. Reduzierung von Aufbewahrungsnormen/Verkürzung der Aufbewahrungsfristen
Die vielfältigen gesetzlichen - teilweise unnötig lang bemessenen - Aufbewahrungsvorschriften (z.B. im Steuer- und Personalwesen sowie nach dem HGB) lösen einen erheblichen Verwaltungsaufwand bei den Unternehmen aus. Personenbezogene Daten müssen teilweise nur wegen dieser Regelungen auf lange Zeit hin archiviert werden. Dies erscheint unter Verhältnismäßigkeitsgesichtspunkten und mit Blick auf den Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) bedenklich und müsste wesentlich unbürokratischer geregelt sein.
4. Abbau gesetzlicher Datenübermittlungen an Dritte
Weitere Entbürokratisierungspotenziale bestehen im Bereich gesetzlich vorgesehener Datenübermittlungen an Dritte, insbesondere staatliche Institutionen (z.B. auf Grund der Vielzahl von Auskunfts-, Bescheinigungs- und Meldevorschriften im Personalwesen). Die Daten der Betroffenen werden von den Unternehmen vielfach nur erhoben und gespeichert, um diesen gesetzlichen Übermittlungspflichten nachzukommen. Bei einer Reduzierung dieser Übermittlungspflichten könnte neben einem Bürokratieabbau zugleich der Datenschutz im Sinne einer Datenvermeidung erhöht werden.
5. Einheitliche Schnittstellen zwischen Unternehmen und Staat
Hinsichtlich der vielfach vorgesehenen Übermittlung personenbezogener Daten an den Staat sollte ein einheitliches Verschlüsselungsverfahren eingeführt werden. Nach den derzeitigen Gegebenheiten müssen sich die Unternehmen an eine Vielzahl staatlicher Stellen wenden und sich unnötigerweise mehrerer unterschiedlicher Verschlüsselungsverfahren bedienen, was aufwendig und kostenintensiv ist.
Betriebliche Selbstkontrolle vor staatlichen Meldepflichten
Aus Sicht der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) bringt das deutsche Datenschutzrecht zwangsläufig auch für mittelständische Unternehmen einen gewissen Bürokratieaufwand mit sich. Allerdings hat der deutsche Gesetzgeber im Rahmen der Umsetzung der EG-Datenschutzrichtlinie (95/46/EG) die Spielräume zu einer möglichst unbürokratischen Regelung des Datenschutzes weit ausgeschöpft. Dabei ist die betriebliche bzw. behördliche Selbstkontrolle der Schlüssel zur Vermeidung überflüssiger Bürokratie. So entfällt nach dem Bundesdatenschutzgesetz die Pflicht zur Meldung von Verfahren automatisierter Verarbeitungen gegenüber der zuständigen Aufsichtsbehörde, wenn ein interner oder externer Datenschutzbeauftragter bestellt ist (§ 4d Abs. 2 BDSG).
Das Gesetz regelt Pflichten zur Bestellung von Datenschutzbeauftragten, die u.a. auch mittelständische Unternehmen treffen. Dies gilt z.B. ausnahmslos für Markt- und Meinungsforscher sowie für Adresshändler. Aber auch alle Unternehmen, die mit mehr als vier Arbeitnehmern personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, sind generell verpflichtet einen betrieblichen Datenschutzbeauftragten zu bestellen (§ 4f Abs. 1 BDSG). Verstöße gegen die Bestellungspflicht sind als Ordnungswidrigkeiten bußgeldbewehrt (§ 43 Abs. 1 Nr. 2 BDSG).
Die Bestellung betrieblicher Datenschutzbeauftragter und die Pflege eines angemessenen Datenschutzmanagements dienen aber nicht nur der Einhaltung von datenschutzrechtlichen Vorschriften und der Vermeidung von Sanktionen, sondern bilden auch ein wichtiges Eigeninteresse der Unternehmen, da hierdurch auf einen korrekten Umgang mit Kunden- und Arbeitnehmerdaten hingewirkt wird, was sich in der heutigen Informationsgesellschaft auch im Mittelstand durchaus als vertrauensbildende Maßnahme erweisen kann. Vor diesem Hintergrund kommt der Bestellung interner (ggf. auch Teilzeit-) oder externer Datenschutzbeauftragter (Datenschutz-Dienstleister) eine wichtige Bedeutung zu. Sie dient sowohl zur Effektivierung des betrieblichen Datenschutzes als auch zum Bürokratieabbau durch die Vermeidung staatlicher Meldepflichten.
Da der betriebliche Datenschutz aber naturgemäß nicht zum Kerngeschäft mittelständischer Unternehmen gehört, bietet die GDD den verantwortlichen Stellen Unterstützung in diesem Bereich. Basierend auf ihrer 25-jährigen Erfahrung bietet sie standardisierte und praxisbewährte Hilfestellungen an. Hierzu gehört die Schulung von Datenschutzbeauftragten sowie das Angebot von praxisbezogenen Arbeitshilfen und Tools, die speziell die mittelständische Wirtschaft bei der Umsetzung der datenschutzrechtlichen Vorgaben unterstützen. Ferner stellt die GDD auf Anfrage den Kontakt zu externen Datenschutzbeauftragten her.
Vorschläge zum Bürokratieabbau:
1. Flexible Selbstregulierung
Zur Vermeidung neuer Bürokratie im Datenschutz sollte nach Auffassung der GDD einer flexiblen Selbstregulierung durch die Wirtschaft Vorrang vor gesetzlicher Kodifikation eingeräumt werden. Diesbezüglich sollten den Unternehmen aber echte Anreize zur Nutzung selbstregulativer Möglichkeiten gesetzt werden. Der Gesetzgeber sollte daher vor der Schaffung von Gesetzen und Verordnungen zunächst Möglichkeiten zur Selbstregulierung prüfen bzw. Gestaltungsspielräume schaffen. Selbstregulierungen im Bereich des Datenschutzes könnten von den Branchen- und Fachverbänden entwickelt werden. Die GDD bietet hier ihre Unterstützung an.
2. Kein faktischer Zwang zum Datenschutzaudit
Mit Blick auf eine Entbürokratisierung des Datenschutzes in der mittelständischen Wirtschaft erscheint die Einführung eines Datenschutzaudits bezogen auf das Datenschutzkonzept von Daten verarbeitenden Stellen hingegen bedenklich. Zur Vermeidung von Wettbewerbsnachteilen könnten mittelständische Unternehmen gezwungen sein, aufwendige und kostenträchtige Auditverfahren durchführen zu lassen. Von daher befürwortet die GDD im Zusammenhang mit der Erarbeitung eines Ausführungsgesetzes zu dem in § 9a BDSG geregelten Datenschutzaudit eine Beschränkung des Anwendungsbereichs auf Unternehmen (insb. Dienstleister), die den Aufwand und die Kosten einer Auditierung durch den werblichen Effekt eines Gütesiegels auffangen können.
3. Reduzierung von Aufbewahrungsnormen/Verkürzung der Aufbewahrungsfristen
Die vielfältigen gesetzlichen - teilweise unnötig lang bemessenen - Aufbewahrungsvorschriften (z.B. im Steuer- und Personalwesen sowie nach dem HGB) lösen einen erheblichen Verwaltungsaufwand bei den Unternehmen aus. Personenbezogene Daten müssen teilweise nur wegen dieser Regelungen auf lange Zeit hin archiviert werden. Dies erscheint unter Verhältnismäßigkeitsgesichtspunkten und mit Blick auf den Grundsatz der Datenvermeidung und Datensparsamkeit (§ 3a BDSG) bedenklich und müsste wesentlich unbürokratischer geregelt sein.
4. Abbau gesetzlicher Datenübermittlungen an Dritte
Weitere Entbürokratisierungspotenziale bestehen im Bereich gesetzlich vorgesehener Datenübermittlungen an Dritte, insbesondere staatliche Institutionen (z.B. auf Grund der Vielzahl von Auskunfts-, Bescheinigungs- und Meldevorschriften im Personalwesen). Die Daten der Betroffenen werden von den Unternehmen vielfach nur erhoben und gespeichert, um diesen gesetzlichen Übermittlungspflichten nachzukommen. Bei einer Reduzierung dieser Übermittlungspflichten könnte neben einem Bürokratieabbau zugleich der Datenschutz im Sinne einer Datenvermeidung erhöht werden.
5. Einheitliche Schnittstellen zwischen Unternehmen und Staat
Hinsichtlich der vielfach vorgesehenen Übermittlung personenbezogener Daten an den Staat sollte ein einheitliches Verschlüsselungsverfahren eingeführt werden. Nach den derzeitigen Gegebenheiten müssen sich die Unternehmen an eine Vielzahl staatlicher Stellen wenden und sich unnötigerweise mehrerer unterschiedlicher Verschlüsselungsverfahren bedienen, was aufwendig und kostenintensiv ist.
News
Kooperations- partner der GDD
