Bürokratieabbau und Datenschutz

Bürokratieabbaugesetz vereinfacht den Datenschutz nicht
Viele Kleinstunternehmen können in Zukunft auf einen eigenen Datenschutzbeauftragten verzichten - die Probleme bleiben aber

(04.12.06) - Zwar können viele Kleinstunternehmen in Zukunft auf einen eigenen Datenschutzbeauftragten verzichten, dann aber stehen sie mit einer ellenlangen Liste bürokratischer, technischer und organisatorischer Datenschutzpflichten alleine da. Zudem sehen die wesentlichen Ziele des Datenschutzes oft anders aus. Mit dem "Ersten Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständigen Wirtschaft" vom 22. August 2006 (oft kurz "Bürokratieabbaugesetz" genannt) ist auch das Bundesdatenschutzgesetz (BDSG) in einigen wesentlichen Teilen verändert worden, mit der Absicht, die Datenschutzbürokratie zu verringern. Diese Absicht ist weitgehend misslungen, weil der Gesetzgeber an den falschen Stellen angesetzt hat, was insbesondere Kleinunternehmen zu spüren bekommen werden.

Zwar müssen nach den neuen Vorschriften Datenschutzbeauftragte in der Regel jetzt erst dann bestellt werden, wenn mehr als neun Personen personenbezogene Daten automatisiert verarbeiten. Wegen weitreichender Ausnahmevorschriften werden aber Arztpraxen, Rechtsanwalts- und Steuerberaterkanzleien trotzdem in den meisten Fällen einen Datenschutzbeauftragten bestellen müssen.

Auch wenn nach diesen neuen Vorschriften kein Datenschutzbeauftragter mehr bestellt werden muss, ist trotzdem der erforderliche Sachverstand vorzuhalten oder als Beratungsleistung einzukaufen. Jetzt ist nämlich der Leiter eines solchen Kleinunternehmens selbst verpflichtet, dafür zu sorgen, dass doch recht umfangreiche Forderungen des Bundesdatenschutzgesetzes (BDSG) sichergestellt werden. Dazu gehören bürokratische Maßnahmen des Datenschutzes ebenso wie entsprechende technische und organisatorische Maßnahmen des Datenschutzes und der IT-Sicherheit. Besonders aufwendig in diesem Zusammenhang: Internes und externes (öffentliches) Verfahrensverzeichnis und die Gestaltung der innerbetriebliche Organisation, die nach §9 BDSG (Anlage) auch bei Kleinunternehmen den Anforderungen des Datenschutzes gerecht werden muss. Der Abschied vom Datenschutzbeauftragten bedeutet alles andere als Abschied vom Datenschutz. Es muss für das kleine Unternehmen auch weiterhin eine Person verfügbar sein, die über die erforderliche Datenschutzausbildung oder eine entsprechende Schulung oder Weiterbildung im Bereich Datenschutz und IT-Sicherheit verfügt.

Werden die in dieser Liste aufgeführten Maßnahmen nicht entsprechend der DV-Situation im Unternehmen umgesetzt, kann auch bei kleineren Unternehmen ein Verstoß gegen das BDSG vorliegen. §43 BDSG enthält eine Liste derjenigen Verstöße, die als Ordnungswidrigkeit gelten und mit einem Bußgeld entweder von bis zu 25.000 Euro oder bis zu 250.000 Euro geahndet werden. Unter bestimmten Gegebenheiten können sie sogar als Straftat angesehen werden, die mit Geld- oder Freiheitsstrafe bestraft wird. Nach §38 Abs. 1 BDSG ist die zuständige Aufsichtsbehörde für den Datenschutz befugt, im Falle eines Verstoßes gegen das Bundesdatenschutzgesetz oder gegen andere Vorschriften über den Datenschutz die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten.

Der Ausweg aus den Problemen, die dem Mittelstand durch die Neuerungen im Bundesdatenschutzgesetz (BDSG) beschert werden, kann nur darin bestehen, dass die betroffenen Klein- und Mittelbetriebe auch in Zukunft ein gewisses Datenschutz- Know-how vorhalten. Hier bietet sich vor allem ein externer Datenschutz-Experte an, der seine Fachkunde gleichzeitig und kostengünstig in einer ganzen Reihe von Kleinunternehmen einbringen kann. In Unternehmen, in denen besondere Berufsgeheimnisse eine Rolle spielen (z.B. Arztpraxen, Anwalts- und Steuerkanzleien) sollten diese Experten (auch dann, falls keine Verpflichtung dazu besteht) als Datenschutzbeauftragte bestellt werden. Denn das neue Gesetz zum Abbau bürokratischer Hemmnisse sieht in diesem Fall eine Schweigepflicht für den Datenschutzbeauftragten und seine Mitarbeiter vor, wie sie bereits seit langem für Ärzte, Rechtsanwälte, Steuerberater usw. besteht.

Hinzu kommt ebenfalls ein entsprechendes Zeugnisverweigerungsrecht für den Datenschutzbeauftragten und ein Beschlagnahmeverbot für seine Unterlagen. Eine professionelle Ausbildung zum Datenschutzbeauftragten bzw. eine Ausbildung zur Datenschutzbeauftragten, wie sie die Dozenten von udis Ulmer Akademie für Datenschutz und IT-Sicherheit seit 1990 anbieten, ist also weiterhin sinnvoll. Auch für diejenigen, die bereits eine Fortbildung z.B. eine Ausbildung nach dem Ulmer Modell, absolviert haben ist wegen der vielfältigen Änderungen des Bundesdatenschutzgesetzes (BDSG) eine Auffrischung ihrer Kenntnisse zu empfehlen. Am 15. Dezember 2006 bietet udis eine entsprechende eintägige Fortbildung an.

Zwar können viele Kleinstunternehmen in Zukunft auf einen eigenen Datenschutzbeauftragten verzichten, dann aber stehen sie mit einer ellenlangen Liste bürokratischer, technischer und organisatorischer Datenschutzpflichten alleine da. Zudem sehen die wesentlichen Ziele des Datenschutzes oft anders aus.

Mit dem "Ersten Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständigen Wirtschaft" vom 22. August 2006 (oft kurz "Bürokratieabbaugesetz" genannt) ist auch das Bundesdatenschutzgesetz (BDSG) in einigen wesentlichen Teilen verändert worden, mit der Absicht, die Datenschutzbürokratie zu verringern. Diese Absicht ist weitgehend misslungen, weil der Gesetzgeber an den falschen Stellen angesetzt hat, was insbesondere Kleinunternehmen zu spüren bekommen werden.

Zwar müssen nach den neuen Vorschriften Datenschutzbeauftragte in der Regel jetzt erst dann bestellt werden, wenn mehr als neun Personen personenbezogene Daten automatisiert verarbeiten. Wegen weitreichender Ausnahmevorschriften werden aber Arztpraxen, Rechtsanwalts- und Steuerberaterkanzleien trotzdem in den meisten Fällen einen Datenschutzbeauftragten bestellen müssen.

Auch wenn nach diesen neuen Vorschriften kein Datenschutzbeauftragter mehr bestellt werden muss, ist trotzdem der erforderliche Sachverstand vorzuhalten oder als Beratungsleistung einzukaufen. Jetzt ist nämlich der Leiter eines solchen Kleinunternehmens selbst verpflichtet, dafür zu sorgen, dass doch recht umfangreiche Forderungen des Bundesdatenschutzgesetzes (BDSG) sichergestellt werden. Dazu gehören bürokratische Maßnahmen des Datenschutzes ebenso wie entsprechende technische und organisatorische Maßnahmen des Datenschutzes und der IT-Sicherheit. Besonders aufwendig in diesem Zusammenhang: Internes und externes (öffentliches) Verfahrensverzeichnis und die Gestaltung der innerbetriebliche Organisation, die nach §9 BDSG (Anlage) auch bei Kleinunternehmen den Anforderungen des Datenschutzes gerecht werden muss. Der Abschied vom Datenschutzbeauftragten bedeutet alles andere als Abschied vom Datenschutz. Es muss für das kleine Unternehmen auch weiterhin eine Person verfügbar sein, die über die erforderliche Datenschutzausbildung oder eine entsprechende Schulung oder Weiterbildung im Bereich Datenschutz und IT-Sicherheit verfügt.

Werden die in dieser Liste aufgeführten Maßnahmen nicht entsprechend der DV-Situation im Unternehmen umgesetzt, kann auch bei kleineren Unternehmen ein Verstoß gegen das BDSG vorliegen. §43 BDSG enthält eine Liste derjenigen Verstöße, die als Ordnungswidrigkeit gelten und mit einem Bußgeld entweder von bis zu 25.000 Euro oder bis zu 250.000 Euro geahndet werden. Unter bestimmten Gegebenheiten können sie sogar als Straftat angesehen werden, die mit Geld- oder Freiheitsstrafe bestraft wird. Nach §38 Abs. 1 BDSG ist die zuständige Aufsichtsbehörde für den Datenschutz befugt, im Falle eines Verstoßes gegen das Bundesdatenschutzgesetz oder gegen andere Vorschriften über den Datenschutz die Betroffenen hierüber zu unterrichten, den Verstoß bei den für die Verfolgung oder Ahndung zuständigen Stellen anzuzeigen sowie bei schwerwiegenden Verstößen die Gewerbeaufsichtsbehörde zur Durchführung gewerberechtlicher Maßnahmen zu unterrichten.

Der Ausweg aus den Problemen, die dem Mittelstand durch die Neuerungen im Bundesdatenschutzgesetz (BDSG) beschert werden, kann nur darin bestehen, dass die betroffenen Klein- und Mittelbetriebe auch in Zukunft ein gewisses Datenschutz- Know-how vorhalten. Hier bietet sich vor allem ein externer Datenschutz-Experte an, der seine Fachkunde gleichzeitig und kostengünstig in einer ganzen Reihe von Kleinunternehmen einbringen kann. In Unternehmen, in denen besondere Berufsgeheimnisse eine Rolle spielen (z.B. Arztpraxen, Anwalts- und Steuerkanzleien) sollten diese Experten (auch dann, falls keine Verpflichtung dazu besteht) als Datenschutzbeauftragte bestellt werden. Denn das neue Gesetz zum Abbau bürokratischer Hemmnisse sieht in diesem Fall eine Schweigepflicht für den Datenschutzbeauftragten und seine Mitarbeiter vor, wie sie bereits seit langem für Ärzte, Rechtsanwälte, Steuerberater usw. besteht.

Hinzu kommt ebenfalls ein entsprechendes Zeugnisverweigerungsrecht für den Datenschutzbeauftragten und ein Beschlagnahmeverbot für seine Unterlagen. Eine professionelle Ausbildung zum Datenschutzbeauftragten bzw. eine Ausbildung zur Datenschutzbeauftragten, wie sie die Dozenten von udis Ulmer Akademie für Datenschutz und IT-Sicherheit seit 1990 anbieten, ist also weiterhin sinnvoll. Auch für diejenigen, die bereits eine Fortbildung z.B. eine Ausbildung nach dem Ulmer Modell, absolviert haben ist wegen der vielfältigen Änderungen des Bundesdatenschutzgesetzes (BDSG) eine Auffrischung ihrer Kenntnisse zu empfehlen. Am 15. Dezember 2006 bietet udis eine entsprechende eintägige Fortbildung an.

Fachkundige externe Datenschutzbeauftragte, die alle sieben Aspekte des Datenschutzes beherrschen und auch die erforderlichen Kenntnisse im Bereich IT-Sicherheit besitzen vermittelt neben udis (www.udis.de) auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. unter www.bvdnet.de. (udis: ra)

Meldungen: Gesetze