Abschied von der Verpflichtung auf das Datengeheimnis?

Dr. Eugen Ehmann

ist Regierungsvizepräsident von Mittelfranken, Mitherausgeber des Ehmann/Selmayr, DS-GVO und Mitglied des Wissenschaftsbeirats der ZD.

 

 

 

ZD 2017, 453   Auch bei Rechtsänderungen sind es oft die kleinen Dinge, die sich erheblich auswirken. Und nicht selten werden sie kaum beachtet, jedenfalls zunächst nicht. Ein aktuelles Beispiel hierfür bildet die Verpflichtung auf das Datengeheimnis, eherner Bestand des deutschen Datenschutzrechts seit dem BDSG 1977 und seither im Kern unverändert. Sie wird ab dem 25.5.2018 als verpflichtende normative Vorgabe der Vergangenheit angehören.

Zu den wenigen, die das bisher thematisiert haben, zählt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Auf Seite 94 seines Tätigkeitsberichts 2015/2016 findet man die nüchterne Feststellung: "Eine dem § 5 BDSG vergleichbare Regelung ist in der DS-GVO nicht direkt enthalten." Diese Aussage bezieht sich auf den § 5 BDSG insgesamt, der - so kurz er rein äußerlich ausgefallen ist - aus mehreren Regelungen rund um das Datengeheimnis besteht. Für die Praxis steht zunächst die förmliche Verpflichtung auf das Datengeheimnis, bisher geregelt in § 5 Satz 2 BDSG, im Mittelpunkt des Interesses.

Dass jedenfalls sie ab Geltung der DS-GVO keinen Bestand mehr haben kann, hatten schon 2016 Kühling/Martini et al. in ihrer Ausarbeitung "Die Datenschutz-Grundverordnung und das nationale Recht" konstatiert, die Streichung der Regelung empfohlen und dies damit begründet, es sei "keine Öffnungsklausel ersichtlich, auf deren Grundlage eine solche Pflicht des Verantwortlichen und Auftragsverarbeiters erlassen werden könnte" (s. dort S. 336). So kam es denn auch. Das BDSG 2018, das ab 25.5.2018 an die Stelle des jetzt noch geltenden BDSG treten wird, enthält keine vergleichbare Regelung mehr. Das nehmen bisher nur wenige zur Kenntnis, obwohl sich der Wegfall der Regelung im Unternehmensalltag durchaus auswirkt.

Vordergründig geht es zunächst darum, seit Jahrzehnten gewohnte Abläufe anzupassen, etwa bei der Einstellung von Arbeitnehmern. Häufig wird ihnen vor Arbeitsantritt ein Formular "Verpflichtung auf das Datengeheimnis" zur Unterschrift vorgelegt, das anschließend zum Personalakt genommen wird. Dieses Formular kann künftig entfallen. Dem dürfte kaum jemand nachtrauern, war doch der inhaltliche Ertrag einer so lieblos abgehakten Formalität - sehr freundlich ausgedrückt - überschaubar.

Anders sieht es aus, wenn es bisher üblich war, die Verpflichtung z.B. nach einer kurzen Erläuterung über Sinn und Zweck des Datengeheimnisses per Handschlag vorzunehmen. Dass ein solches Ritual keine Wunder wirkt und schon gar nicht eine Datenschutzschulung ersetzt, liegt auf der Hand. Gleichwohl sollte man es nicht so spöttisch abtun, wie der Verfasser dies vereinzelt erleben konnte. Gerade bei der digital geprägten jungen Generation beeindrucken solche ungewohnten und fast schon als feierlich empfundenen Handlungen. Über sie wird im Bekanntenkreis gesprochen, sie regen zum Nachdenken an und legen nahe, dass es beim Datenschutz um etwas Besonderes geht. Wem das alles gleichwohl zu antiquiert erschien, der konnte - was allerdings mancher Aufsichtsbehörde gar nicht gefallen wollte - die Verpflichtung auch online vornehmen, vielleicht kombiniert mit dem Durcharbeiten einer geeigneten Online-Schulung, bei der die "erfolgreiche Verpflichtung" als eine Art Belohnung am Ende stand, wenn einige Kontrollfragen richtig beantwortet waren.

Gleich wie - gesetzlich vorgeschrieben ist eine förmliche Verpflichtung auf das Datengeheimnis ab 25.5.2018 nicht mehr. Besteht Grund dazu, ihr nachzutrauern? Dies ginge zu weit. Etwas, das in den anderen Mitgliedstaaten der EU so nicht bekannt war, konnte eben in den künftigen europäischen Rechtsrahmen nicht übernommen werden. Umso mehr gilt es, vor einem Fehlschluss zu warnen, der angesichts des Wegfalls der Verpflichtung nahe liegt. Weggefallen ist nur die Verpflichtung auf das Datengeheimnis, nicht dagegen das Datengeheimnis selbst! Zwar gibt es diesen Begriff in der DS-GVO nicht, sehr wohl aber die Sache.

Selbstverständlich bleibt es auch unter Geltung der DS-GVO dabei, dass es den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (so die Definition des Datengeheimnisses im bisherigen § 5 Satz 1 BDSG). Als normative Anknüpfungspunkte in der DS-GVO lassen sich insoweit insbesondere Art. 32 Abs. 4 DS-GVO und Art. 29 DS-GVO nennen. Art. 32 Abs. 4 DS-GVO erlegt dem Verantwortlichen und dem Auftragsverarbeiter die Pflicht auf, durch geeignete Schritte sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese Daten nur auf Anweisung des Verantwortlichen verarbeiten. Art. 29 DS-GVO verfügt, dass Personen, die dem Verantwortlichen oder Auftragsverarbeiter unterstellt sind und Zugang zu personenbezogenen Daten haben, diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten dürfen.Eine förmliche Verpflichtung "unterstellter Personen" auf diese Grundsätze kennt die DS-GVO nicht. Allerdings: Art. 24 DS-GVO, die Regelung über die "Verantwortung des für die Verarbeitung Verantwortlichen", verlangt vom Verantwortlichen, "den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt." Diese Nachweispflicht bezieht sich auch darauf, dass "unterstellte Personen" sich an die Vorgaben der DS-GVO halten. Geeignete technische und organisatorische Maßnahmen müssen sicherstellen, dass die Nachweispflicht erfüllt werden kann.

Vor diesem Hintergrund erscheint es durchaus denkbar, dass der Verpflichtung auf das Datengeheimnis eher eine neue Blüte als das Ende beschieden sein wird. Denn eine nahe liegende organisatorische Maßnahme im beschriebenen Sinn besteht darin, den "unterstellten Personen" zunächst einmal überhaupt klarzumachen, dass sie Pflichten haben, die bisher mit dem Stichwort "Datengeheimnis" umschrieben wurden. Mit anderen Worten: Es ergibt durchaus auch künftig Sinn, ihnen das bei der Arbeitsaufnahme einzuschärfen, unterstrichen durch eine nicht übertriebene, aber Bewusstsein weckende Förmlichkeit.

Das BayLDA empfiehlt sogar, nicht nur unter dem noch geltenden § 5 BDSG, sondern auch künftig die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen. Der Sinn dieser Maßnahme liegt auf der Hand: Die Aufmerksamkeitsspanne hinsichtlich der Vorgaben des Datenschutzes endet im Arbeitsalltag irgendwann. Ein Anstoß zur erneuten Bewusstseinsbildung ist dann sinnvoll.

Entscheidend ist in diesem Zusammenhang nicht, weiterhin alles "so zu machen wie bisher". Völlig zutreffend nennt das Landesamt daher die Verpflichtung auf das Datengeheimnis nur als ein Beispiel für Maßnahmen der Bewusstseinsbildung. Alternativ daneben stehen andere Sensibilisierungsmaßnahmen. Wichtig ist nicht die inhaltlich sinnentleerte Fortführung einer lange gewohnten Formalie, sondern die Sensibilisierung als Ergebnis. Schulungsmaßnahmen in Form klassischer Fortbildungen sind dafür ebenso geeignet wie Online-Schulungen. In der Vergangenheit galt der Grundsatz: Weder kann eine Schulung die förmliche Verpflichtung ersetzen, noch umgekehrt. Da es die förmliche Verpflichtung künftig nicht mehr gibt, spielt dieser Aspekt keine Rolle mehr. Wer es für richtig hält, kann noch so etwas wie eine Verpflichtung freiwillig vorsehen, er muss es aber nicht mehr.

Bei der Gestaltung von Arbeitsverträgen wäre es auch weiterhin möglich, eine Pflicht zur Beachtung des Datengeheimnisses festzulegen und dabei auch diesen Begriff zu verwenden. Allerdings kann dabei ab 25.5.2018 der Inhalt dieser Verpflichtung nicht mehr durch eine schlichte Verweisung auf eine gesetzliche Regelung über das Datengeheimnis umschrieben werden, weil eine solche Regelung dann nicht mehr existiert. Vielmehr muss im Vertrag selbst dargestellt werden, was zu beachten ist. Allgemeine Sätze wie "Der Arbeitnehmer ist verpflichtet, alle Bestimmungen des Datenschutzrechts zu beachten." geraten dabei rasch in Konflikt mit dem AGB-rechtlichen Bestimmtheitsgebot. Es ist auch bei Arbeitsverträgen zu beachten, da sie bei der Verwendung von Vertragsmustern regelmäßig als AGB anzusehen sind (s. § 310 Abs. 4 Satz 2 BGB).

Insofern stellt sich die Frage, ob sich der Formulierungsaufwand für eine solche Klausel lohnt. Zweifel daran sind erlaubt. Analysiert man, wie der bisherige § 5 BDSG in der arbeitsrechtlichen Rechtsprechung berücksichtigt wurde, fällt Folgendes auf: Die Regelung wird zwar relativ häufig zitiert, wenn es um Datenschutzverstöße geht. Konkrete Rechtsfolgen, etwa die Bejahung eines Kündigungsgrunds, ziehen die Gerichte aus ihrer Verletzung allerdings durchweg nicht. Vielmehr hat das Zitieren der Regelung eher die Funktion, die Schwere eines unabhängig von ihr bejahten Datenschutzverstoßes ergänzend zu unterstreichen.

Unter diesem Aspekt bringt es aus der Sicht eines Arbeitgebers mehr, dem Arbeitnehmer z.B. durch eine geeignete Schulung klarzumachen, was seine Pflichten auf dem Gebiet des Datenschutzes sind, als mit einer Klausel im Arbeitsvertrag zu arbeiten. Umfang und Inhalt dieser Schulung sollten dokumentiert sein. Begeht der Arbeitnehmer später einen Verstoß, wird der Arbeitnehmer mit dem Argument, er habe seine konkreten Pflichten weder gekannt noch kennen können, nicht weit kommen.

Anknüpfungspunkt für arbeitsrechtliche Konsequenzen ist stets der konkrete Verstoß, nicht die Verletzung des abstrakten Datengeheimnisses. So haben es die Gerichte schon bisher gehandhabt. Ein Beispiel hierfür bildet das Urteil des LAG Rheinland-Pfalz v. 1.6.2016 - 4 Sa 130/14. Ein angestellter Außendienstmitarbeiter hatte auf Zahlung von Provisionen geklagt, die ihm seines Erachtens auf der Basis seines Arbeitsvertrags zustanden. Als Beweismittel hatte er Unterlagen vorgelegt, die nicht nur Daten zu solchen Verträgen mit Kunden enthielten, aus denen sich überhaupt eine Provision ergeben konnte. Vielmehr enthielten die Unterlagen auch offen lesbare, teils sehr sensible Daten zu Verträgen, bei denen eine Provision von vornherein nicht in Betracht kam. Dieses Vorgehen führte dazu, dass alle Prozessbeteiligten vertrauliche Daten zur Kenntnis erhielten, die zur Durchführung des Verfahrens nicht erforderlich waren. Das veranlasste den Arbeitgeber zur Kündigung. Zwar stellte das Gericht fest, der Außendienstmitarbeiter habe gegen das Datengeheimnis gem. § 5 BDSG verstoßen. Überlegungen zur möglichen Rechtfertigung einer Kündigung knüpfte es jedoch nicht an diese gesetzliche Bestimmung an, sondern an die Verletzung der vertraglichen Nebenpflicht, personenbezogene Daten von Kunden vertraulich zu halten.

Im Hinblick auf Sanktionen in Form von Bußgeldern ändert der Wegfall von § 5 BDSG i.E. nichts. Verletzungen der Vorschrift waren als solche nicht bußgeldbewehrt. Wohl aber erfüllten manche Verhaltensweisen, die auch diese Bestimmung verletzten, aus anderen Gründen Bußgeldtatbestände. Ein Beispiel hierfür bildet die unbefugte Übermittlung von Daten. Sie verletzte zwar § 5 BDSG, konnte aber nicht unter diesem Aspekt mit einem Bußgeld sanktioniert werden, weil für die unbefugte Übermittlung als eine Variante der unbefugten Verarbeitung von Daten im bisherigen BDSG der eigene Bußgeldtatbestand des § 43 Abs. 2 Nr. 1 BDSG enthalten war.

Künftig gestaltet sich dies entsprechend. Eine unbefugte Übermittlung stellt eine nicht von Art. 6 DS-GVO gedeckte Verarbeitung dar. Dies verwirklicht den Bußgeldtatbestand des Art. 83 Abs. 4 lit. a DS-GVO. Eine Sanktion bleibt also möglich, ohne dass das Fehlen einer Regelung zum Datengeheimnis zu einer Lücke führen würde.

Wegen der vielen Facetten rund um das, was bisher in § 5 BDSG unter dem Stichwort "Datengeheimnis" geregelt wurde, genügt es für die Praxis nicht, schlicht den künftigen Wegfall dieser Vorschrift festzustellen. Auch dieser Wegfall bedarf vielmehr der sachgerechten Umsetzung. Dieser Punkt sollte deshalb in der To-Do-Liste für die Vorbereitung auf die DS-GVO auf keinen Fall fehlen.

 

 


Die Umsetzung der DS-GVO in der Praxis - ein Werkstattbericht

Dr. Ulrich Baumgartner

ist Rechtsanwalt und Partner bei Osborne Clarke in München.

 

 

 

 

ZD 2017, 405   Wir leben in historischen Zeiten: Es kommt sehr selten vor, dass der Gesetzgeber ein gesamtes Rechtsgebiet auf (fast) neue Füße stellt. Entsprechend groß ist der Handlungsbedarf in der Praxis; mindestens ebenso groß ist jedoch auch die allgemeine Verunsicherung. Nicht nur die anwaltliche Beratungspraxis, sondern auch die vielfältigen Konferenzen, Seminare und Kongresse zum Thema Datenschutzgrundverordnung (DS-GVO) zeigen, dass eine erhebliche Unsicherheit herrscht. Viele Veranstaltungen muten oftmals wie eine "DS-GVO-Selbsthilfegruppe" an.

Klar ist aber auch: Nichtstun und Abwarten ist keine Lösung. In den meisten Unternehmen (wenn auch längst nicht in allen, wie sich regelmäßig entsprechenden Umfragen entnehmen lässt) läuft daher das "Projekt DS-GVO-Implementierung" auf Hochtouren. Je nach Unternehmensgröße und Geschäftsmodell handelt es sich dabei teilweise um hochkomplexe und langfristige Projekte. So unterschiedlich die Herausforderungen von Unternehmen zu Unternehmen auch ausfallen, eines ist wohl allen gemein: Es gilt, im Laufe dieser Projekte eine Reihe von Hürden zu überwinden.

Wo also liegen die Schmerzpunkte? In der Praxis stehen die Unternehmen meist vor einem Dreiklang an Herausforderungen:

  • Da ist zunächst die Erkenntnis, dass nur wenige Unternehmen die eigene Datenverarbeitung vollständig überblicken und daher nur mit großem Aufwand in der Lage sind, den Status quo i.S.e. "Daten-Buchhaltung" sauber zu dokumentieren.
  • Da ist zum anderen die viel gescholtene Unklarheit des neuen Datenschutzrechts, das seine Anwender an vielen Stellen darüber im Ungewissen lässt, was nun genau verlangt wird.
  • Schließlich stehen Unternehmen heute vielfach vor der Schwierigkeit, dass fachliche Datenschutzexpertise - die sie für den Aufbau einer Datenschutzorganisation dringend benötigen - auf dem Markt praktisch kaum mehr zu finden ist.

Wenden wir uns zunächst dem erstgenannten Punkt zu. Es bedarf keiner weiteren Erläuterung, dass ein genaues Verständnis der eigenen Datenverarbeitung das Fundament bildet, auf dem alle weiteren Schritte hin zu einer DS-GVO-Compliance aufbauen: Wer nicht weiß, welche Daten im Unternehmen zu welchen Zwecken verarbeitet werden, wird nicht in der Lage sein, die Rechtmäßigkeit dieser Verarbeitungen zu beurteilen. Wer nicht klar vor Augen hat, welche Drittanbieter die eigenen Daten verarbeiten oder auf diese zugreifen, kann nicht beurteilen, ob Auftragsverarbeitungsvereinbarungen abgeschlossen werden müssen. Ohne Überblick über die verwendeten Einwilligungstexte kann nicht geprüft werden, ob sie den gestiegenen Anforderungen der DS-GVO genügen. Die Liste ließe sich beliebig fortsetzen.

Zwar enthält schon das bisherige BDSG gewisse Mindeststandards für eine datenschutzrechtliche Dokumentation in Form des Verfahrensverzeichnisses und der Verarbeitungsübersicht. In der Praxis genügen die Verzeichnisse jedoch regelmäßig nicht den deutlich verschärften Dokumentationspflichten der DS-GVO - Stichwort Rechenschaftspflicht und "Accountability". Auch die in anderen EU-Mitgliedstaaten obligatorischen Meldungen einer Datenverarbeitung an die nationalen Aufsichtsbehörden dienen, wenn überhaupt, nur als rudimentäre Grundlage einer umfassenderen Dokumentation.

In der Praxis bedeutet dies meist Folgendes: Bevor sich die Unternehmen sinnvoll mit den Anforderungen der DS-GVO und der berühmt-berüchtigten "Gap Analysis" beschäftigen können, ist die Kärrnerarbeit einer Bestandsaufnahme der eigenen Datenverarbeitung zu leisten. Diese Aufgabe erweist sich in der Praxis meist als aufwändig und ist ein oft unterschätzter Zeitfresser. Meist bietet es sich an, ein Projektteam zu bilden, das aus Vertretern der verschiedenen Unternehmensbereiche besteht. In diesem Gremium werden dann - oft mit Hilfe von Fragebögen oder Interviews - die einzelnen Puzzlestücke zu einem möglichst vollständigen Bild zusammengefügt. Das hört sich nicht nur mühsam an, sondern ist es auch.

Software- und andere IT-Tools mögen in diesem Zusammenhang zur Visualisierung der Ergebnisse sinnvoll sein. Die Erfahrung zeigt jedoch, dass auch diese Werkzeuge den Unternehmen die Arbeit nicht abnehmen können. Vielmehr müssen diese Tools zunächst mit Details zur eigenen Datenverarbeitung gefüttert werden, bevor sie wirksam eingesetzt werden können. Genau hierin liegt jedoch in der Praxis der größte Aufwand. Scan-Module, die die "Live-IT" in Echtzeit über Schnittstellen abbilden, sind noch nicht marktreif. Die Folge: Die meisten Unternehmen behelfen sich weiter mit Excel und Word und setzen allenfalls Kollaborationslösungen ein, etwa zur Steuerung des Projektmanagements.

In der Praxis wird sich häufig nicht jedes Detail in der zur Verfügung stehenden begrenzten Zeit aufklären lassen. Vielfach wird man daher nicht umhinkommen, Prioritäten zu setzen. In dieser Projektphase sind daher datenschutzrechtliche Erfahrung und ein geschultes Auge für das Wesentliche von besonderer Bedeutung.

Ist die Hürde der Bestandsaufnahme schließlich überwunden und wurde der Status quo der eigenen Datenverarbeitung aufgearbeitet, stehen die Unternehmen vor der zweiten o.g. Schwierigkeit: Es ist an vielen Stellen nicht klar, was die DS-GVO konkret verlangt. Das ist misslich, da andererseits vergleichsweise eindeutig feststeht, dass bei einer Missachtung der Vorschriften der DS-GVO empfindliche oder sogar existenzgefährdende Sanktionen drohen.

Die Liste der Fragezeichen, die sich bei der Lektüre der DS-GVO ergeben, ist lang. Beispielhaft erwähnt seien an dieser Stelle nur die folgenden, besonders praxisrelevanten Punkte:

Offen ist z.B. die in der Praxis grundlegende Frage nach dem Detailgrad der geforderten Dokumentation der eigenen Datenverarbeitung. Art. 30 DS-GVO fordert ein Verzeichnis von "Verarbeitungstätigkeiten". Was aber ist unter einer "Verarbeitungstätigkeit" genau zu verstehen? Orientiert man sich dabei an der Definition des Begriffs "Verarbeitung" in der DS-GVO - wonach jeder Vorgang im Zusammenhang mit personenbezogenen Daten eine Verarbeitung darstellt -, wird eine sinnvolle Dokumentation praktisch kaum machbar sein.

Eine Kategorisierung anhand der verschiedenen Verarbeitungszwecke ist also unumgänglich und scheint von den (deutschen) Aufsichtsbehörden auch akzeptiert zu werden. Gleichwohl bleibt unklar, was dies konkret bedeutet. Stellt z.B. die "Personaldatenverarbeitung" eine einheitliche Verarbeitungstätigkeit dar, für die folglich ein Verzeichnis ausreichen würde - oder müsste man nicht doch eine oder mehrere Ebenen tiefer ansetzen und etwa zwischen der Personaldatenführung, der Lohnbuchhaltung etc. differenzieren?

Ein weiteres praxisrelevantes Beispiel ist die Forderung nach einem "Datenschutz durch Technikgestaltung". Bei diesem in Art. 25 Abs. 1 DS-GVO normierten Schutzziel handelt es sich um ein zentrales Prinzip der DS-GVO, dessen Beachtung nach Art. 83 Abs. 2 lit. d zudem maßgeblichen Einfluss bei der Entscheidung über eine (möglicherweise existenzgefährdende) Geldbuße haben soll. Gleichwohl ist es alles andere als klar, welche konkreten Pflichten nun aus dieser Vorschrift folgen.

Eine dritte, bisher kaum behandelte Frage betrifft den Anpassungsbedarf bestehender Betriebsvereinbarungen nach Art. 88 Abs. 2 DS-GVO. Die überwiegende Meinung in der Literatur scheint zu bejahen, dass Bestands-Betriebsvereinbarungen auf den Prüfstand gestellt und wohl überwiegend angepasst werden müssen. Dies wird in der Praxis aber nur schwer zu bewerkstelligen sein - erfordert eine solche Anpassung doch u.U. langwierige Verhandlungen der Tarifparteien. Konzerne mit einer Vielzahl von Betriebsvereinbarungen stehen insoweit vor einer kaum lösbaren Aufgabe.

Abgestimmte Orientierungshilfen der Aufsichtsbehörden zu diesen und vielen anderen Fragen sucht man vergeblich und wird es aller Voraussicht nach auch mittelfristig nicht geben. Die Aufsichtsbehörden bemühen sich nach Kräften, die herrschende Unsicherheit zumindest zu lindern, stoßen aber mit der vorhandenen Personalstärke an Grenzen. Es ist derzeit auch nur schwer abzusehen, welchen Kurs die Aufsichtsbehörden künftig in Bezug auf die genannten und alle anderen Unklarheiten der DS-GVO einschlagen werden. Die Signale sind gemischt: Während einzelne Aufsichtsbehörden ankündigen, anfangs nur zurückhaltend Bußgelder zu verhängen, die wegen der herrschenden Rechtsunsicherheit u.U. nicht "gerichtsfest" sind, ist von anderen Behörden zu hören, dass Rechtssicherheit nur durch entsprechende Gerichtsurteile zu erreichen sei.

Ist schließlich auch diese Hürde genommen und hat ein Unternehmen auf der Grundlage der Ergebnisse der Bestandsaufnahme der eigenen Datenverarbeitung für sich definiert, welchen Anpassungsbedarf die DS-GVO im eigenen Betrieb auslöst, schließt sich meist nahtlos die dritte o.g. Herausforderung an:

Um die nötigen Anpassungen tatsächlich zu implementieren, ist eine gewisse "Man Power" vonnöten. Die meisten Unternehmen stellen im Laufe ihres DS-GVO-Projekts fest, dass die bestehende Datenschutz-Compliance-Organisation den künftigen Anforderungen nicht gewachsen ist. Im besten Fall muss die bestehende Struktur ausgebaut, im schlechtesten Fall gänzlich neu aufgebaut werden.

Woher aber sollen die dringend benötigten Datenschützer kommen? Die IAPP geht in einer aktuellen Erhebung davon aus, dass infolge der DS-GVO in Europa ungefähr 28.000 und alleine in Deutschland mehr als 4.500 zusätzliche Datenschutzbeauftragte benötigt werden - konservativ geschätzt. Eine Datenschutz-Compliance-Organisation besteht aber üblicherweise nicht nur aus formal bestellten Datenschutzbeauftragten. Insbesondere größere Konzerne benötigen daneben weitere Datenschutzexperten, die den Datenschutzbeauftragten entweder unterstützen oder - wenn die Bestellvoraussetzungen für diesen nicht vorliegen - dessen Aufgaben übernehmen.

Schon heute zeigt sich jedoch, dass datenschutzrechtliche Expertise nur noch schwer zu finden ist. Diese Situation wird sich in den nächsten Monaten weiter verschärfen. Viele Unternehmen gehen daher dazu über, eigene Mitarbeiter, die keinerlei datenschutzrechtliche Vorkenntnisse mitbringen, fachlich fortzubilden.

Dieser Abriss der Herausforderungen soll aber nicht verdecken, dass die Reise hin zu einer Umsetzung der DS-GVO im Unternehmen auch durchaus viele positive Seiten hat. So eröffnen sich i.R.d. Bestandsaufnahme der eigenen Datenverarbeitung oftmals neue Perspektiven, etwa wenn bei dieser Gelegenheit Gefährdungen der IT-Sicherheit oder Potenzial für Kosteneinsparungen erkannt werden.

Und bei all den genannten Herausforderungen darf eines nicht vergessen werden: Letztlich stehen alle Unternehmen (und nicht zu vergessen auch die Aufsichtsbehörden) vor denselben Fragen. Viele dieser Fragen werden sich über kurz oder lang klären. Bis es soweit ist, hilft neben der erforderlichen Erfahrung insbesondere eine gesunde Prise Pragmatismus - nichts Neues für uns Datenschützer.