Um das hohe Datenschutzniveau in Deutschland halten zu können ist das Modell der Datenschutzbeauftragten unverzichtbar!
Diese Aussage kommt nicht von den deutschen Datenschutzbeauftragten selbst, sondern vor allem von den deutschen Aufsichtsbehörden. Es gab bei der diesjährigen Herbstkonferenz des Verein der Datenschutzbeauftragten (https://www.bvdnet.de/) in Stuttgart neben qualitativ hochwertigen Fachvorträgen auch herzhafte Diskussionen über das Modell des Datenschutzbeauftragten an sich. Das deutsche Datenschutzgesetz regelt eine verpflichtende Bestellung des DPO bei einer Anzahl der Beschäftigten ab 10. Es gibt allerdings Bestrebungen insbesondere von der Wirtschaft dies zu ändern. Viele Vereine oder KMU’s würden hier “ zwangsberaten „.
Durchaus wird zB vom Vorstandes des BvD, Thomas Spaeing, vertreten, dass es andere Modelle funktionieren könnten, zB könnte nach Umsetzung der GDPR die Behörden kleinere Firmen von einer Bestellung befreien. Auch Vertreter der Behörden aus Bayern und Baden Würtemberg glauben, dass sie ihre Verpflichtungen zur Gewährleistung einer Rechtssicherheit besonders effektiv mit dem Modell des DPO bewerkstelligen können. Es wurde die Hoffung geäußert, Datenschutz direkt als Wettbewerbsvorteil zu etablieren, dazu möchte man auch einen regen Austausch mit anderen Ländern beginnen. Insgesamt diskutierten 250 Teilnehmer aus Wirtschaft, Aufsicht und Politik über viele strittige oder unsichere Themen der GDPR.
Ein kurzer fachlicher Auszug von der Konferenz:
- Löschung: Auch in Deutschland ist man sich bewusst, dass 100 % compliance noch nicht erreicht wurde, speziell bei dem Thema Datenlöschung ist noch viel zu tun ( selbst bei Behörden)!
- Auftragsverarbeiter: große Diskussion wer darunter fällt, zB gibt es für die Steuerberater unterschiedliche Auslegungen der Behörden. Sehr spannend!Es wurde auch AK AVV gegründet, um die vielen offenen Fragen zu diskutieren.
- E-privacy: in Deutschland ist das TMG nicht mehr anwendbar, weil die GDPR Vorrang hat; das bedeutet, es muß alles unter diesem Gesichtspunkt neu bewertet werden.
- Auskunft: sollte besonders gut vorbereitet werden, da dies eine Tür zu Beschwerden öffnet. Hier sei auf das Kurzpapier Nr. 6 der DSK verwiesen. Daten müssen auch nicht beauskunftet werden, wenn sie allein zum Zweck der gesetzlichen Aufbewahrungsverpflichtung gespeichert werden. Es wird die These vertreten, dass man nicht alle Empfänger nennen muss, aber alle Kategorien der Empfänger. Laut Behördenmeinung kann man 1 bis 2 mal im Jahr eine Auskunft verlangen.
- Code of Conduct: es wurde diskutiert, wie die Kontrollstelle aussehen könnte, und ob sich andere einem Code of Conduct unterwerfen könnte. Je höher das Risiko desto konkreter sollte der CoC gestaltet werden. Die Aufsichtsbehörden haben hier ein Ermessen, sollten aber nicht wegen kleinerer Änderungen die Genehmigung versagen.
- Man kennt auch die österreichischen Entscheidungen, neben der Türklingel ( wurde von jedem besprochen) auch die Entscheidung bezüglich Kobtoauszüge oder das Gutachten über die Nicht-Auftragsverarbeiterschaft der Steuerberater. Auch ist man im Bilde, welche CoC bei uns beantragt wurden.
Der Vorstand des BvD wurden zu unseren Weihnachtsfeier am 12.12 eingeladen, und wollen sehr gerne mitfeiern ….. wir freuen uns also auf spannende Diskussionen und einen regen Austausch in Wien.
Nächstes Jahr wird die Konferenz vom 23. – 25. Oktober in Nürnberg stattfinden. Privacyofficers-Mitglieder werden zum Mitgliederpreis daran teilnehmen können.
Judith Leschanz