Datenschutz - "Politik"

Die letzten Monate und Wochen waren hinsichtlich globaler Nachrichten ein Auf und Ab. Und die Achterbahn an Informationen nimmt weiterhin kein Ende: was heute noch brandaktuell und neu ist, ist morgen bereits wieder obsolet oder veraltet … denn es musste ja zusätzlich auch „schnell, schnell“ gehen.  

Die seit Jahren zunehmende Digitalisierung und neue KI-Dienste sind für alle Beteiligten Fluch und Segen zugleich. Die vielfältigen Möglichkeiten der Informationsaufnahme über unterschiedliche Kanäle sorgen dafür, dass wir tagtäglich mit Neuigkeiten überschwemmt und regelrecht bombardiert werden. Dies gilt sowohl für positive als auch negative Informationen. Die Unterscheidung zwischen Wahrheit, Tatsachen und Fake wird immer schwieriger.
Auffällig ist hierbei, dass es seit einer ganzen Weile Mode ist, Menschen für sich zu gewinnen oder die eigene Popularität zu pushen, indem man negativ über andere oder deren Handeln spricht. Galt früher das Motto: „Tue Gutes und sprich darüber!“, ist es zwischenzeitlich Gang und gäbe, ausschließlich Negatives über andere zu äußern oder sie bei jeder Gelegenheit zu diffamieren. Sinn und Zweck dieser Taktik ist mit Hoher Wahrscheinlichkeit der Versuch, jegliche Aufmerksamkeit auf sich zu lenken, sich selbst in den Fokus zu rücken und hierdurch allgegenwärtige Präsenz zu zeigen. Mittel und Wege spielen kaum noch keine Rolle und mit der Wahrheit nimmt es keiner mehr so genau oder sie wird bewusst so verdreht damit es passend wird.

Auch im letzten Wahlkampf der neuen Bundesregierung wurde, trotz zuvor geschlossenem „Fairness-Abkommen“ zwischen den meisten Parteien (CDU, CSU, SPD, Grüne, FDP und Linke), doch sehr schnell in den Schlamm-Schlacht-Modus gewechselt und mit gegenseitigen Beschimpfungen gearbeitet. Im sehr kurzen Wahlkampf musste man respektvolle Debatten auf Augenhöhe suchen.

Wahlversprechen und Realität

Bereits bei den Methoden im Wahlkampf war deutlich zu erkennen, dass fast jedes Mittel recht ist, um zum Ziel zu kommen. Trotz großer Kritik und fortwährender datenschutzrechtlicher Bedenken an Social Media Plattformen wollte keine Partei auf diese verzichten. Selbst diejenigen, die ihren Twitter-Account längst gelöscht hatten, wurden auf X (= früher Twitter) plötzlich wieder sichtbar. Manch Partei übertrug ihre politischen Treffen sogar per Livestream auf YouTube und getanzt wurde natürlich auf TikTok.

Bei mehreren größeren Parteien war durchaus der Kampf gegen Fake News, Desinformation oder Hass im Netz Teil des Wahlprogramms. Ansonsten hatte das Thema Datenschutz, im Gegensatz zu früher, keinen großen Stellenwert. Von „Bürokratieabbau“ und „Vereinheitlichung der Behörden mit einheitlicher Auslegung“ war mehrfach die Rede und, plakativ zu alternativen Themen sehr passend, dass der „Datenschutz nicht zum Täterschutz“ werden dürfe. So sollte auch aus der vorgegebenen Datenminimierung (Art. 5 Abs.1 lit.c DSGVO) eine Art Datensouveränität werden.

Inzwischen ist der Koalitionsvertrag für die 18. Legislaturperiode von CDU, CSU und SPD finalisiert und die neue Regierung hat ihre Arbeit aufgenommen.

Der BvD (Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.) hatte am Tag der Veröffentlichung einen Blick auf den finalen Vertrag geworfen und u. a. folgende Punkte mit Blick auf den Datenschutz identifiziert:

• Die Datenschutzaufsicht soll bei der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gebündelt werden und die Behörde soll künftig als „Bundesbeauftragte für Datennutzung, Datenschutz und Informationsfreiheit“ firmiert werden (Titel „Datenschutz entbürokratisieren“ in Zeile 2094 des Vertrages)
  
  
• Es wurde eine umfassende Reform des Datenschutzes angekündigt, bei der die DSK (Datenschutzkonferenz) im Bundesdatenschutzgesetzt (BDSG) verankert werden soll – ins Detail wurde hierbei jedoch nicht gegangenen (Zeile 2248)

Die im Vorfeld des Wahlkampfes wieder lauter gewordene Diskussion um die Abschaffung der Benennungspflicht des Datenschutzbeauftragten im BDSG ist im vorliegenden Koalitionsvertrag nicht mehr vorgesehen.

Abschaffung des Datenschutzbeauftragten

Bereits im Frühjahr 2024, als die alte Bundesregierung noch tätig war, wurde im Zuge der geplanten Neuauflage des Bundesdatenschutzgesetzes (BDSG) immer wieder von der Abschaffung des Datenschutzbeauftragten gesprochen. Bereits in seiner Sitzung vom 22.03.2024 nahm der Bundesrat jedoch Abstand von der Abschaffung der Bestellpflicht gem. § 38 Abs. 1 BDSG.  Wie bereits erwähnt, bleibt es hierbei auch im neuen Koalitionsvertrag der neuen Bundesregierung.

Haben Sie in Ihrem Unternehmen einen internen oder externen Datenschutzbeauftragten bestellt? Oder kümmert sich jemand bei Ihnen um das Thema, vielleicht sogar Sie selbst? Oder ist das für Sie alles nur sinnlose Bürokratie und unnötiger Nonsens, den man nicht braucht? Getreu dem Motto: „Mut zur Lücke!“.

Pro und Contra zur Abschaffung des Datenschutzbeauftragten

Ja, es ist korrekt: die Umsetzung der Vorgaben zum Datenschutz sind nicht immer leicht, bergen Fehlerpotential, sind teilweise komplex, stellenweise sehr bürokratisch, zeitaufwändig und kosten sowohl personelle als auch finanzielle Ressourcen. Und selbst wir, die sich seit über 13 Jahren mit der Thematik auseinandersetzen, fänden eine „Vereinfachung“ für Unternehmen durchaus sinnvoll, damit die Umsetzung des Datenschutzes für Unternehmen einfacher wird und nicht weiterhin abschreckend bleibt.

Welche Vorteile hätte der Verzicht auf einen Datenschutzbeauftragten für Ihr Unternehmen?

• Das schlagkräftigste Argument ist vermutlich die damit verbundenen Kosten! Natürlich muss jedes Unternehmen diese entsprechend verteilen und hätte beim Wegfall des Datenschutzbeauftragten Ressourcen für andere Bereiche frei.
  
  
• Der allgemeine administrative Aufwand im Unternehmen könnte reduziert werden. Hierdurch würden vor allem personelle Kapazitäten für andere Tätigkeiten frei.
  
  
• Die Eigenverantwortung und Flexibilität im Unternehmen wäre wesentlich größer und, falls der Datenschutzbeauftragte unbemerkt „nichts taugt“, das Haftungsrisiko vielleicht sogar minimiert.

Betrachtet man diese Punkte auf den ersten Blick, stellen sie durchaus schlagkräftige Argumente gegen eine Bestellpflicht und den Einsatz eines Datenschutzbeauftragten dar.

Geht man jedoch einen Schritt weiter und wägt die möglichen Folgen und damit einhergehenden Risiken und Konsequenzen ab, stellt man bei genauerer Betrachtung fest, dass diese Vorteile nur von kurzfristiger Dauer sind. Denn genau die genannten Punkte können auch schmerzhaft ins Gegenteil kippen.

Welchen Nachteil hätte der Verzicht auf einen Datenschutzbeauftragten bzw. das Weglassen des Datenschutzes für Ihr Unternehmen?

Rechtliche Auswirkungen

Eine Abschaffung oder Nicht-Benennung eines Datenschutzbeauftragten für Unternehmen, die der Bestellpflicht unterliegen, würden gegen geltendes Recht verstoßen.

Da in diesen Fällen die zentrale Instanz zur Überwachung und Beratung des Datenschutzes fehlt, erhöhen sich sowohl die Risiken von Datenschutzvorfällen als auch auf Dauer die Anzahl der Verstöße. Neben den rechtlichen Konsequenzen, bei denen erhebliche Bußgelder (Art. 83 DSGVO) oder gar Schadensersatzansprüche (Art. 82 DSGVO) die Folge sein können, steigt zudem die gesamte unternehmerische Vulnerabilität Ihres Unternehmens.

Wegfall der Qualität und Kontrolle des Datenschutzes

Der Datenschutzbeauftragte stellt eine unabhängige Kontrollinstanz der Datenschutzprozesse dar (Art. 38 DSGVO).
Erfolgt diese „Kontrolle“ vereinzelt durch Mitarbeiter oder gar den Verantwortlichen in Eigenregie, bleibt die Neutralität und echte, neutrale Kontrolle oftmals auf der Strecke. Sei es, neben den Interessenskonflikten, die Angst vor möglichen betrieblichen Folgen sobald etwas Negatives „entdeckt“ wird. Oder die Scheu vor dem zeitlichen und monetären Aufwand, der sich aufgrund von Anpassungen ergeben würde. Auch ist bei manchen Unternehmen die narzisstische Überzeugung der Verantwortlichen, sie wären perfekt und fehlerfrei, leider nicht von der Hand zu weisen.

Erhöhter Aufwand

Die derzeit geregelte Unterstützungs- und Beratungsfunkton des Datenschutzbeauftragten (Art. 39 DSGVO) müsste dauerhaft unternehmerisch verteilt werden und neue Strukturen zur Umsetzung geschaffen werden. Audis und Kontrollen sowie die Kommunikation mit den Aufsichtsbehörden würden erheblich erschwert werden. Die Bildung völlig neuer Strukturen könnte zu ineffizienten Prozessen und zur Behinderung des eigentlichen Geschäftsbetriebes sowie zu einer Bindung hoher Ressourcen führen, die eigentlich vermieden werden sollten.

Unternehmenssicherheit durch Datenschutz

Viele setzen Datenschutz mit IT-Sicherheit gleich. Doch das trifft es nicht ganz, da der Datenschutz die Verarbeitung von personenbezogen Daten betrifft und sich die IT-Sicherheit mit jeglichen Informationen und Assets befasst. Jedoch sind beide Komponenten miteinander verbunden und haben sehr viele Überschneidungen. Dies bedeutet: kümmern Sie sich um den Datenschutz in Ihrem Unternehmen, kümmern Sie sich automatisch auch um Ihre IT-Sicherheit. Beides zusammen sorgt dafür, dass Sie nicht nur personenbezogene Daten schützen, sondern auch Ihre Unternehmensgeheimnisse und -interna nicht in fremde Hände gelangen können. Also eine echte Win-Win-Situation.

Verfügen Sie in Ihrem Unternehmen über Daten oder Informationen, ohne die Sie Ihren tagtäglichen Betrieb nicht aufrechterhalten können? Wie lange kämen Sie ohne diese aus? Ein paar Stunden, Tage oder sogar Wochen? Ab wann würden Ihre Mitarbeiter oder der gesamte Betriebsablauf stillsten? Wie lange wären Sie in der Lage, diese Situation finanziell zu stemmen? Was würde passieren, wenn Ihre Konkurrenz über Ihre geheimen Unternehmensinformationen verfügen würde? Oder jegliche Daten wären weg, für immer … Keine schönen Szenarien, mit denen man sich als Verantwortlicher auseinandersetzen möchte. Im Schadensfall ist es hierfür oft zu spät oder kostet extrem viel Zeit und Ressourcen bis wieder Normalität eintritt.
Nahezu täglich gibt es Meldungen zu Hackerangriffen und Cyberattacken, die von Jahr zu Jahr zunehmen. Herauf verweist nicht nur das Bundesministerium für Verteidigung, sondern auch der Bericht 2024 zur IT-Sicherheit des BSI (Bundesamt für Sicherheit in der Informationstechnik). Auch der am 4. März 2025 veröffentlichten Cybercrime-Bilanz des Bitkom e. V. ist die Zunahme der Fälle zu entnehmen. Die Dunkelziffer ist hier wesentlich höher, da man als Unternehmen mit dieser Art von Problem nicht hausieren geht.

Technisch lässt sich diesen wachsenden Gefahren nur durch Modernisierung der IT-Infrastruktur und die Durchführung von regelmäßigen Updates entgegenwirken.
Die Umsetzung des Datenschutzes kann hier ebenfalls einen großen Beitrag leisten:

• Durch die Gewährleistung der „Sicherheit der Verarbeitung“ (32 DSGVO) und die damit einhergehende Umsetzung der technisch-organisatorischen Maßnahmen (TOM), wird ebenfalls das gesamte IT-System geschützt. Denn hierbei gehören Maßnahmen wie Zugriffskontrollen, Verschlüsselung von Daten oder der Einsatz von Firewalls und die Durchführung von Backups ebenfalls zum Pflichtprogramm.
  
  
• Da der Datenschutz bei Systementwicklungen und Softwarekonfigurationen bereits frühzeitig einzubinden ist, werden diese von Beginn an sicherer konzipiert. Die damit einhergehende Datensparsamkeit (Art. 5 lit. 1 c DSGVO) und technischen Voreinstellungen reduzieren sowohl die Angriffsflächen als auch Sicherheitslücken, deren Behebung im Nachgang kompliziert, teuer oder stellenweise sogar unmöglich ist.
  
  
• Die von Unternehmen ungeliebte Dokumentationspflicht im Datenschutz, die u. a. bei der Erstellung der Verzeichnisse der Verarbeitungstätigkeiten (30 DSGVO) gefordert wird, sorgt für eine transparente Risikobewertung und eine frühzeitige Identifizierung möglicher Gefahren. Final ist das Wissen, wo sich welche Daten befinden, letztlich ausschlaggebend zur Erstellung der richtigen Sicherheitsstrategien für ein Unternehmen.
  
  
• Die gesetzliche Meldepflicht von Datenschutzvorfällen (33 DSGVO) erhöht parallel die Reaktionsfähigkeit bei Angriffen und sorgt für eine stetige Verbesserung der IT-Sicherheit des gesamten Unternehmens.
  
  
• Sensibilisierung und Schulungen zum Datenschutz sind ebenfalls fester Bestandteil der Datenschutzgrundverordnung (DSGVO) und u. a. in den Artikeln 24 Abs. 1 und 2 und 39 Abs. 1 lit. a verankert.
  Menschliche Fehler zählen tatsächlich zu den größten IT-Sicherheitsrisiken (z. B. durch Phishing oder mangelnde Passwortsicherheit), die durch regelmäßige Auffrischungen minimiert werden können.

Vertrauen durch Datenschutz

Die oben bereits genannte Win-Win-Situation kommt auch hier wieder zum Tragen. Generell gelten vor allem Zertifizierungen durch akkreditierte Zertifizierungsstellen im Geschäftsbetrieb als Merkmal für standardisierte Prozesse, die Einhaltung von Compliance Vorgaben sowie Qualität. Zudem kann in den meisten Fällen davon ausgegangen werden, dass zertifizierte Unternehmen nicht nur geregelte Abläufe umsetzen, sondern auch einen zweckgebundenen Umgang mit Assets und personenbezogenen Daten gewährleisten können. Manch Auftrag oder Großkunde lässt sich nur gewinnen, wenn man über die entsprechende Zertifizierung verfügt oder bereit ist, diese im Vorfeld durchzuführen. Die Zertifizierung gilt ist oftmals Grundbedingung und Qualitätsmerkmal in einem. Der Datenschutz ist bei Zertifizierungen (wie z. B. ISO/IEC 27001, ISO/IEC 27701, TISAX) oder bei der Umsetzung des BSI IT-Grundschutzes fester Bestandteil.
Die korrekte Umsetzung des Datenschutzes erhöht zudem das Vertrauen in den Geschäftspartner und minimiert offensichtlich vermeidbare Risiken. Denn gerade diese sollen im Hinblick auf den immer weiterwachsenden technischen Fortschritt und den Einsatz immer besser werdender KI-Technologien bestmöglich reduziert werden.

Fazit

Die Umsetzung des Datenschutzes ist nicht immer einfach. Doch eine Abschaffung des Datenschutzbeauftragten oder dessen Bestellpflicht, stellt auf lange Sicht für Verantwortliche die größeren Risiken und Gefahren für ihr Unternehmen dar.
Wie bereits anfangs erwähnt, wird aktuell zu jeglichen Mitteln gegriffen, um die eigene Popularität zu erhöhen. Hierunter fällt auch die Tatsache, dass negative Schlagzeilen und Publicity ebenfalls dafür sorgen, mehr Reichweite oder Bekanntheit zu erzielen. Doch es ist mit Sicherheit kein erklärtes Ziel von seriösen Unternehmen, ihre Bekanntheit durch Negativschlagzeilen zu erhöhen. Unternehmer und Unternehmerinnen müssen sich im laufenden Geschäftsbetrieb bereits mit genügend Herausforderungen und Problemen beschäftigen. Keine Firma möchte auf die Titelseite einschlägiger Blätter, weil sensible Informationen abgeflossen sind oder der Betrieb wegen eines Hackerangriffs auf unbestimmte Zeit stillsteht. Neben explodierenden Kosten im Falle eines Verstoßes, kann es auch im schlimmsten Fall passieren, dass der Unternehmer zur Geschäftsaufgabe gezwungen ist. Aus diesen Gründen lässt sich letztlich feststellen, dass sich diese Form der Kostenreduzierung unternehmerisch auf Dauer nicht lohnt.

dacuro GmbH

Datenschutz umfasst, neben den technisch-organisatorischen Maßnahmen, die grundlegender Bestandteil der IT-Sicherheit sind, weitere Themenschwerpunkte, bei denen die die dacuro GmbH ihre Kunden unterstützt. Hierunter fallen, neben den klassischen Verzeichnissen der Verarbeitungstätigkeit, alle weiteren Themen wie Pflichtinformationen, die Prüfung von AV-Verträgen und die Sensibilisierung und Schulung der Mitarbeiter. Auch die Prüfung von Webseiten ist ein Schwerpunkt-Bereich von uns, der nicht nur den Datenschutz abdeckt, sondern auch das Vertrauen Ihrer Kunde und die damit verbundene Kundenzufriedenheit und Kundenbindung stärkt (z. B. bei Online-Shops oder Vergleichsportalen). Wir betreuen unterschiedliche Branchen vollumfänglich zum Datenschutz und stellen für diese den externen Datenschutzbeauftragten. Tatsächlich ist auch die dacuro GmbH gem. DIN EN ISO/IEC 17024 zertifiziert, wodurch wir unsere fortlaufende Weiterqualifizierung gewährleisten. Sollten Sie Fragen zum Thema haben oder sich nicht sicher sein, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten benötigen, sprechen Sie uns an.