Die DSGVO hat in Deutschland keinen besonders guten Ruf. Oft wird sie als bremsendes Element im Betriebsablauf wahrgenommen. Aber ist das Problem wirklich die DSGVO oder liegt es vielleicht an den Kompetenzen der Datenschutzbeauftragten (DSB)? Beim Datenschutz geht es in erster Linie darum, den Datenfluss der betriebswirtschaftlichen Prozesse so zu modellieren, dass die personenbezogenen Daten entsprechend der DSGVO bestmöglich geschützt werden. Ein DSB sollte also zunächst einmal ein Verständnis dafür haben, wie Unternehmen betriebswirtschaftlich funktionieren und wie die Daten fließen – für Juristen ist das eigentlich nicht das richtige Thema und auch nicht für die vielen verschiedenen Datenschutz-Software-Lösungen, die es im Markt gibt.

Wenn man an der Stelle des DSB aber betriebswirtschaftliche Kompetenz einsetzt, dann kann man Datenschutz sogar noch weiterdenken. Denn ein Unternehmen hat viele Daten zu schützen, nicht nur Personenbezogenen. Und es gibt schließlich auch noch andere Regularien und Schutzbedürfnisse, nicht nur die DSGVO.

Schaut man sich z. B. die Kapitel zum Datenschutz in der ISO 27001 an, findet man viele Punkte wieder, die auch in der DSGVO stehen. Möchte ein Unternehmen in den Genuss des Schutzes durch das Geschäftsgeheimnisgesetz (GeschGehG) kommen, wird ein Datenschutzmanagement vorausgesetzt – so eins, wie wir es bei personenbezogenen Daten auch brauchen. Also – warum denken wir den Datenschutz nicht als ganzheitliche Aufgabe und entwickeln ein übergreifendes Datenschutzkonzept, das alle Regularien und Bedürfnisse eines Unternehmens berücksichtigt?

Wir gehen in unseren Datenschutzkonzepten immer so vor, dass wir uns zunächst die Datenflüsse im Unternehmen anschauen. Wenn es nur um die DSGVO geht, schauen wir auch nur auf die Flüsse der personenbezogenen Daten. Wir können das Ganze aber natürlich auch ganzheitlicher betrachten – der Mehraufwand ist gering, der Nutzen aber sehr groß. Wenn auch Sie Datenschutz weiterdenken, als nur die Erfüllung der Notwendigkeiten aus der DSGVO, dann sollten wir unbedingt mal miteinander reden.

Es ist schwer zu prognostizieren, was in Sachen künstliche Intelligenz (KI) noch auf uns zu kommt. Wir merken aber schon, dass die Dienste, die KI leisten kann, so wertvoll sind, dass es sich kaum jemand leisten kann, sie einfach zu ignorieren.

2024 veröffentlichte die EU mit der KI-Verordnung nun das erste 144seitige Regelwerk zum Umgang mit KI. Liest man sich diese Verordnung einmal durch, kann man erkennen, dass es bei den Regulierungen meistens um den Schutz von Persönlichkeits-rechten geht. Und genau darum geht es ja in der DSGVO auch. Wir finden also in der KI-Verordnung vieles wieder, was auch schon in der DSGVO steht. 

Wenn Sie also planen, KI im Unternehmen einzusetzen, tun Sie gut daran, sich mal mit einem betriebswirtschaftlich orientierten DSB darüber zu unterhalten. Wir beschäftigen uns jedenfalls stark mit dem Thema KI-Nutzung bei unseren Kunden und haben auch schon einige Datenschutzfolgeabschätzungen dazu geschrieben.

Es gibt immer wieder Diskussionen darüber, ob die Mitarbeiteranzahl zur Benennungspflicht eines DSB weiter steigen soll, oder die Benennungspflicht für KMU´s sogar ganz abgeschafft wird – ein beliebtes Wahlkampfthema.

Das ist allerdings eine Mogelpackung, denn die Veränderung oder Abschaffung der Benennungspflicht eines DSB beinhaltet nicht die Befreiung von der DSGVO. Natürlich muss man weiterhin die Bestimmungen der DSGVO in vollem Umfang umsetzen. Man kann sich dann allerdings aussuchen, ob es ein DSB macht oder die für den Datenschutz verantwortliche Person selbst – also in erster Linie der Geschäftsführer.

Unsere Erfahrung zeigt, dass die Landesdatenschutzbehörden alleine die Anwesenheit eines DSB bei einer Prüfung oder einem Datenschutzvorfall als positiven Aspekt bei der Beurteilung des Datenschutzniveaus des Unternehmens bewertet. Diese Bewertung hat auch Auswirkungen auf die Höhe möglicher Bußgelder.