Studie: Effektiver Datenschutz durch regulatorische Dialoge

Datenschutz sollte in jedem Unternehmen ein relevantes Thema sein. Ob die gesetzlichen Regelungen eingehalten werden, kontrolliert die jeweilige Aufsichtsbehörde, vgl. § 38 BDSG. In einer Studie des Hans-Bredow-Instituts – an der auch wir teilgenommen haben – wurde nun analysiert, wo die Probleme im Dialog zwischen Aufsichtsbehörde und Unternehmen liegen und wie man diesen künftig optimieren könnte.

Wo liegt das Problem?

Die Krux liegt bereits im Bundesdatenschutzgesetz selbst. Die Normen sind teilweise vage formuliert, so dass Interpretationsspielraum für alle Betroffenen bleibt. Auf der anderen Seite gibt es – im Vergleich zu anderen Rechtsgebieten – wenig datenschutzrechtliche Rechtsprechung, da der Klageweg kaum bestritten wird. Aus einer Vielfalt an Gründen scheint darüber hinaus auch der Dialog zwischen den Behörden und Unternehmen schwierig zu sein. Im Rahmen der Studie wurden Vertreter von Aufsichtsbehörden, Unternehmen, Beratungsunternehmen sowie Anwälte um Feedback zur Ist-Situation gebeten. Es kristallisierte sich heraus, dass auf Grund mangelnden Vertrauens dem anderen gegenüber oft auf der eigenen Position beharrt wird und somit kein Raum für einen effektiven Dialog bleibt.

Die Rolle der Aufsichtsbehörden

Die Studie schlägt als Lösungsansatz vor, dass die Rolle der Aufsichtsbehörden verändert werden müsse. Ein Wandel von der Überwachungs- und Kontrollfunktion hin zu einer regulierenden (lenkenden) Steuerung sei wünschenswert, bei der insbesondere der Dialog im Vordergrund steht. Hierfür bedarf es allerdings eines gesetzlichen Rahmens, da bislang etwa der informale Dialog zur Orientierung und Vorfeldklärung oder die individuelle Beratung durch die Aufsicht gesetzlich nicht vorgesehen sind. Unternehmen sollen sich bereits in frühen Stadien eines Projekts aktiv mit den Aufsichtsbehörden abstimmen können sollen, auch in informellen Gesprächssituationen. Oft scheuen sich Unternehmen, mit ihrem vollständigen Anliegen an die Aufsichtsbehörden heranzutreten, was seitens der Behörde als unseriös empfunden wird.

Alles in allem: ein bisschen mehr Verständnis, bitte!

Grundsätzlich scheinen die sich gegenüberstehenden Seiten einem verbesserten Austausch positiv gesinnt zu sein. Es wird aber wechselseitig mehr Verständnis erbeten. Die Aufsichtsbehörden verlangen

1. eine offenere Einstellung bezüglich des Themas Datenschutz, sowie Offenheit gegenüber der Behörde, sowie
2. eine frühe Einbindung bei neuen Projekten und Fragen und
3. Bereitschaft, die eigenen Ideen gegebenenfalls auch abzuwandeln.

Aus Sicht der Unternehmen sollte

1. es mehr Verständnis der Geschäftsmodelle und vor allem auch von wirtschaftlichen Folgen geben (hierzu gehört auch, dass gerade wirtschaftliche Konkurrenten gleichermaßen kontrolliert werden),
2. eine bessere Koordination der einzelnen Landesdatenschutzbehörden gewährleistet werden, so dass es nicht zu konträren Handhabungen von gleichen Fragestellungen kommt und
3. es sollte auch nicht nur mit den Datenschutzberatern, sondern auch mit anderen entscheidenden Personengruppen (Programmierer, Produktentwickler, Gründer etc.) Gespräche geführt werden.

Fazit

„Auch wenn dies Interessenkonflikte nicht immer aufzulösen vermag, verspricht man sich von dem Austausch eine für alle Beteiligten bessere und effektivere Regulierung.“

Denn die bisherigen Regelungen in Form von Bußgeldern bei Verstößen stellen ein kaum relevantes Drohpotential gegenüber den Unternehmen da. Die zu zahlenden Bußgelder sind überschaubar, so dass man es aus Unternehmenssicht im Zweifel auch mal drauf ankommen lässt, ob Verstöße überhaupt auffallen. Durch die Möglichkeit eines regulierenden Dialogs würde den Beteiligten schließlich eine weitere Option zur effektiveren Umsetzung des Datenschutzes geboten. Durch einen offeneren Umgang lassen sich zumindest Missverständnisse und Unklarheiten vermeiden.