datenschutzpraxis in unternehmen 2015...datenschutzbeauftragte werden deshalb eine wichtige rolle...
TRANSCRIPT
Datenschutzpraxisin Unternehmen 2015
Data Protectionin the European Union
Institut für Wirtschafts- undSozialstatistik an der TU Dortmund
In Kooperation mit:
Datenschutzpraxis in Unternehmen
2015Impressum
2B Advice GmbH
vertreten durch die Geschäftsführer:Marcus Belke und Hans Joachim Bickenbach
Joseph-Schumpeter-Allee 2553227 BonnDeutschland
Phone: +49 228 926165-100Fax: +49 228 926165-109
E-Mail: [email protected]
Handelsregister-Nr.: Bonn HRB 12713
Mitwirkende
Björn Malinka (Consultant – 2B Advice GmbH)Erin Donaldson (Marketing Web & Graphics – 2B Advice LLC)
Karsten Neumann (Associate Partner – 2B Advice GmbH)Amelie Sophia Schleip (Studentin – 2B Advice GmbH)Sophie Tchanyou Ganme (Studentin – TU Dortmund)
Dr. Dominik Wied (Juniorprofessor für Wirtschafts- und Sozialstatistik – TU Dortmund)Dominik Zier (Consultant – 2B Advice GmbH)
2
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Inhaltsverzeichnis Grußworte.........................................................................................................................................3
1. Einführung ........................................................................................................................................ 4
2. Die wichtigsten Ergebnisse im Überblick ............................................................................... 5
3. Methodik und operativer Ablauf ...............................................................................................8
4. Die vollständigen Ergebnisse .....................................................................................................9
4.1 Struktur der befragten Unternehmen ..................................................................................... 9
4.2 Datenschutzpraxis im Unternehmen .......................................................................................11
4.3 Datenschutzverstöße im Unternehmen ................................................................................14
4.4 Der Datenschutzbeauftragte im Unternehmen ..................................................................18
4.5 Das Verfahrensverzeichnis ........................................................................................................23
4.6 Zertifizierung ..................................................................................................................................26
4.7 Aufsichtsbehörden ...................................................................................................................... 27
4.8 Rechtsfragen .................................................................................................................................29
4.9 Ausbildung des Datenschutzbeauftragten ..........................................................................30
4.10 Die neue EU-Datenschutzverordnung ..................................................................................32
INHALTSVERZEICHNIS
3
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Liebe Leser,die kommende Datenschutzgrundverordnung ist in aller Mun-de. Welche Rolle sie den Datenschutzbeauftragten in Europa zuschreiben wird, ist jedoch noch offen. Dass die Institution des Datenschutzbeauftragten verpflichtend in allen europäischen Ländern eingeführt wird, scheint momentan eher unwahr-scheinlich. Dabei ist der öffentliche Diskurs zur Stellung des Da-tenschutzbeauftragten von Untertreibungen, Übertreibungen, mangelndem Fachwissen und Ängsten geprägt. Den einen er-scheint der Datenschutzbeauftragte als „innovationsfeindliches Bürokratiemonster“. Den anderen als heroische Speerspitze im Kampf gegen skrupellos datensammelnde Staaten und Un-ternehmen. Beide Ansichten sind fern der Realität. Die Studie „Datenschutzpraxis 2015“ der Unternehmensberatung 2B Ad-vice möchte die Diskussion wieder versachlichen. Wir haben, zum zweiten Mal nach 2012, den gelebten Datenschutzalltag in deutschen Unternehmen empirisch untersucht und aufbereitet. Abseits der Schlagzeilen berichten die Datenschutzbeauftrag-ten in unserer Studie anonym über ihren Arbeitsalltag. Sie geben Hinweise und Anregungen, wie ein gesellschaftlich akzeptierter Ausgleich zwischen wirtschaftlichen Interessen und dem Schutz der Privatsphäre der Bürger gestaltet werden kann. Gleichzeitig mahnen die Datenschutzbeauftragten Handlungsbedarf in Poli-tik und Wirtschaft an. So erwarten 77% eine Verschlechterung des Datenschutzniveaus in Deutschland durch die Datenschutz-grundverordnung. Gleichzeitig beurteilen 79% der Datenschutz-beauftragten ihre Unterstützung durch die Geschäftsführung als „ausreichend“ oder „eher ausreichend“, was einer deutlichen Verbesserung im Vergleich zu 2012 entspricht. 69% halten die bestehenden Datenschutzgesetze, insbesondere zu den The-menbereichen Social Media, Cloud Computing und internationale Datenverarbeitung, für nicht umsetzbar.
Überrascht hat mich, dass beinahe jeder zweite befragte Da-tenschutzbeauftragte (44%) mit den Aufsichtsbehörden un-zufrieden ist. Die Datenschutzbeauftragten wünschen sich hier mehr Kontrollen, Beratung und Schulungen. Ebenfalls überra-schend: Nur 37% der festgestellten Datenschutzverstöße be-trafen Kunden, aber 48% die eigenen Mitarbeiter. Hier sollte die Selbstkontrolle der Unternehmen intensiviert werden.
Der typische Datenschutzbeauftragte (81% der Befragten) ist in Teilzeit tätig. 37% widmen sich maximal fünf Prozent ihrer Ar-beitszeit dem Datenschutz. Dabei sind die Datenschutzbeauftrag-ten höchst effizient tätig, etwa in der Sensibilisierung der Mitar-beiter, der Kommunikation mit den Aufsichtsbehörden oder der Beratung der Fachabteilungen in der Planungsphase von Projekten.
Die Studie gibt einen realitätsnahen Einblick in die Tätigkeit der Datenschutzbeauftragten, die verwendeten Ressourcen und Verbesserungsansätze aus der Praxis. Sie ist insgesamt ein Plä-doyer zur Einführung des betrieblichen Datenschutzbeauftragten in ganz Europa.
Ihr Marcus Belke
RechtsanwaltGeschäftsführer 2B Advice
Nie war der Datenschutz wichtiger als heute. Wie keine andere technische Revolution verändert die Digitalisierung unser Sozi-al- und Arbeitsverhalten, unsere Kommunikation, Wettbewerbs-fähigkeit, das Verhältnis von Staaten zueinander, die Strafverfol-gung, Einzel- und Eigentumsrechte, Urheberrecht und geistiges Eigentum, bis hin zum Grundrecht auf Datenschutz, oder, noch darüber hinausgehend, die Privatsphäre. Nahezu alle Lebensbe-reiche umfassen Daten. Daten sind die Währung der Zukunft! Die Herausforderungen, die mit der technologischen Entwick-lung, dem Internet und der Globalisierung einhergehen, sind in seinem Ausmaß weder vollständig realisiert, noch rechtsstaat-lich reguliert. Wer heute den Umgang mit Daten regulieren will, sieht sich konfrontiert mit Fragen von Grundrechtsschutz, glo-balen Wettbewerb und Wachstums- und Sicherheitsbelangen. Strukturen verschwimmen zunehmend, Datenskandale erschüt-tern das Vertrauen der Verbraucher. Genau dieses erschütterte Vertrauensbild belegt die vorliegende Studie. Sie liefert politi-schen Entscheidungsträgern ebenso wie der Wirtschaft konkrete Zahlen zur Arbeit der Datenschutzbeauftragten in Deutschland. Das langfristige Ziel ist ein europäischer digitaler Binnenmarkt mit hohen Datenschutzstandards. Die Verhandlungen zur Datenschutzgrundverordnung gehen in ihre finale Phase. Des-wegen müssen wir in Europa bei der Überarbeitung der Daten-schutzgrundverordnung das schwindende Vertrauen sowie die Bedenken der deutschen Datenschutzbeauftragten mitberück-sichtigen. Vor allem müssen wir den europäischen Datenschutz an die Digitalisierung anpassen. Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen.
Ihr Axel Voss
MdEPStellvertretender Vorsitzender des RechtsausschussesRechtspolitischer Sprecher der CDU/CSU-Gruppe
GRUßWORTE
Bild
nach
wei
s: ©
Axe
l Vos
s
4
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
behoben und ausgeräumt. Gleichzeitig wurden auch Ent-wicklungstendenzen aus zwei Jahren Datenschutzgeschichte erhoben, die von einer intensiven fachlichen und politischen Diskussion geprägt waren.
Erneut wurden deutschlandweit bestellte Datenschutzbeauf-tragte aus internationalen Konzernen genauso befragt, wie externe Datenschutzbeauftragte aus kleinen und mittelstän-dischen Unternehmen mit teilweise langjährigen Erfahrun-gen. Von den Befragungsteilnehmern wurden 62% bereits 2012 befragt, 38% waren erstmals dabei. Die fehlende Reprä-sentativität bei den beteiligten Branchen und Unternehmens-größen ist die logische Folge des Teilnehmerkreises, denn nur Unternehmen mit einem bestellten Datenschutzbeauftragten wurden im Rahmen der Studie befragt. Insgesamt fließen 2.097 Jahre Datenschutz-Erfahrung in diese zweite Befragung ein (siehe 4.9.3).
Die europäische Diskussion hat in der Datenschutzpraxis 2015 deutliche Spuren hinterlassen: 23% der befragten Daten-schutzbeauftragten gehen eher von einer Verbesserung des Datenschutzniveaus in Deutschland aus, während 77% der Befragten eher eine Verschlechterung erwarten. Hier hat sich die Erwartungshaltung deutlich abgekühlt. 2012 gingen noch 41% der Datenschutzbeauftragten von einer Verbesserung des Datenschutzniveaus aus, 2014 überwiegen die Skeptiker noch deutlicher (siehe 4.10.5).
Mit der „Datenschutzpraxis 2012“ präsentierte die internatio-nale Datenschutzberatung 2B Advice - the privacy benchmark die erste Branchenstudie über die Praxis der Datenschutzbe-auftragten in deutschen Unternehmen. Mit den detaillierten Antworten von nahezu 400 betrieblichen Datenschutzbeauf-tragten wurde erstmals ein genaueres Bild des Umsetzungsni-veaus der deutschen Datenschutzpraxis gezeichnet, welches in die europäische Diskussion über die Ausgestaltung einer europäischen Datenschutzgrundverordnung einfloss. Die da-malige Vizepräsidentin der Europäischen Kommission, Viviane Reding, betonte bei der Entgegennahme der Studie im Novem-ber 2012 im Europaparlament in Brüssel, dass die Studie zur rechten Zeit komme, um in die Beratungen eines einheitlichen europäischen Datenschutzkonzeptes einfließen zu können.
Die Studie belegte durch die analysierte Praxiserfahrung betrieblicher Datenschutzbeauftragter die Wirksamkeit und Effektivität dieses Modells unternehmerischer Selbstkont-rolle, identifizierte jedoch auch dringenden Handlungsbedarf für Unternehmen und Gesetzgeber. MdEP Axel Voss beein-druckte vor allem der Nachweis der Wirksamkeit betrieblicher Datenschutzbeauftragter anhand empirischer Daten: „Einge-bauter Datenschutz vor Ort, im Unternehmen selbst, hat sich in Deutschland als Erfolgsmodell bewährt. Wir wollen diesen nun zum Exportschlager in Europa machen“, so sein State-ment während der Präsentation.
Nun legt 2B Advice, wieder in Zusammenarbeit mit der Tech-nischen Universität Dortmund, die „Datenschutzpraxis 2015“ vor. Mit der Wiederholung der Untersuchung, durchgeführt im Jahr 2014, wurden die empirischen Daten aus 2012 über-prüft. Dabei wurden durch eine differenzierte Befragung mög-liche Fehler und Missverständnisse aus der ersten Erhebung
1. EINFÜHRUNG
1. Einführung
Bild
nach
wei
s: ©
twob
ee -
Fot
olia
.com
5
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
In konzentrierter Form spiegelt die Studie alle Aspekte des be-trieblichen Datenschutzes in deutschen Unternehmen wider. Sowohl der Status der Umsetzung der Bestellungspflicht, die Organisation von Datenschutzmanagementprozessen, die Er-fahrungen mit Aufsichtsbehörden, Datenschutzverstößen und -sanktionen werden erfasst, als auch Einschätzungen zu einem gesetzgeberischen Handlungsbedarf in Deutschland und Europa.
Struktur der Unternehmen
Deutschlandweit beschäftigen 15% der teilnehmenden Un-ternehmen bis zu 50 Mitarbeiter, 45% bis zu 500, 30% bis zu 5.000, 9% bis zu 50.000 und 1% über 50.000 Mitarbeiter. Da-mit beteiligten sich an der Befragung überproportional viele Datenschutzbeauftragte aus Großunternehmen. Dies ist auf die Methodik der Erhebung zurückzuführen. Die Befragung richtete sich an namentlich bekannte Datenschutzbeauf-tragte, weshalb Unternehmen ohne Datenschutzbeauftragte nicht erfasst wurden.
Datenschutzpraxis im Unternehmen
In 34% der Unternehmen wurde erst in den letzten fünf Jahren ein Datenschutzbeauftragter bestellt. Der durchschnittliche Datenschutzbeauftragte ist vorwiegend als Einzelkämpfer tätig, mit zu wenig Zeit und mangelnden Ressourcen. Gesetz-liche Voraussetzung für die Rechtmäßigkeit der Bestellung ist die Eignung des Datenschutzbeauftragten zur Erfüllung seiner Aufgaben. Hierzu gehört auch die Einräumung einer ausreichenden Arbeitszeit. Mit dem Beschluss des Düsseldor-fer Kreises vom 24./25. November 2010 haben die obersten Aufsichtsbehörden in Deutschland Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Da-tenschutz nach § 4f Abs. 2 und 3 BDSG formuliert, dort aber den Zeitbedarf nicht näher konkretisiert.
„48% der befragten Datenschutzbe-auftragten haben zu wenig Zeit, um ihre gesetzlichen Pflichten zu erfüllen“
Die Aus- und Belastung der Datenschutzbeauftragten wird maßgeblich durch die Größe der verantwortlichen Stelle, die Anzahl der zu betreuenden verantwortlichen Stellen, Beson-derheiten branchenspezifischer Datenverarbeitung und den Grad der Schutzbedürftigkeit der zu verarbeitenden perso-nenbezogenen Daten beeinflusst. Nach den Ergebnissen der Befragung sind 81% der Datenschutzbeauftragten in Teilzeit, 19% in Vollzeit bestellt. Diese Verteilung ist im Vergleich zu 2012 unverändert geblieben. In der Datenschutzpraxis 2015 ist der Anteil der Teilzeit deshalb genauer hinterfragt wor-den. Von den befragten Datenschutzbeauftragten widmen sich 37% maximal fünf Prozent ihrer Arbeitszeit dem Daten-schutz. Etwas mehr als die Hälfte der befragten Datenschutz-
2. Die wichtigsten Ergebnisse im Überblickbeautragten (52%) beurteilt die ihnen zur Verfügung ste-hende Zeit als ausreichend. Damit muss man feststellen, dass 48% der befragten Datenschutzbeauftragten selbst einschätzen, dass ihre Bestellung die Anforderungen des Datenschutzgesetzes nicht erfüllt. Steht nicht ausreichend Arbeitszeit zur Verfügung, gilt ein Datenschutzbeauftrag-ter nicht als wirksam bestellt. Neben den tatsächlichen Einschränkungen der Wirksamkeit der Arbeit bedeutet dies ein zusätzliches Bußgeldrisiko (siehe 4.2.4).
Datenschutzverstöße im Unternehmen
Lediglich 58% der befragten Datenschutzbeauftragten füh-len sich über mögliche Datenschutzverstöße im Unterneh- men ausreichend informiert (siehe 4.3.1). Der § 42a BDSG postuliert eine Informationspflicht der verantwortlichen Stelle bei einer unrechtmäßigen Kenntniserlangung Dritter von personenbezogenen Daten, wenn hierdurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Inter-essen der Betroffenen drohen. Diese relativ neue Regelung im BDSG verursacht in der Praxis viel Unsicherheit und Klärungs-bedarf. Die Ergebnisse der Befragung belegen deutlich die Relevanz solcher Prüfungen, wenn bereits 28% der befragten Datenschutzbeauftragten eine solche Prüfung vornehmen mussten (siehe 4.3.3). Die steigende Relevanz verdeutlicht ein Vergleich mit dem Ergebnis der Datenschutzpraxis 2012. Damals gaben noch 21% der Datenschutzpraktiker an, dass sie schon einmal eine solche Prüfung durchführen mussten.
In den Fällen, in denen festgestellte Datenschutzverstöße geahndet wurden, zeigen sich die befragten Datenschutzbe-auftragten zu 74% mit den Konsequenzen „kaum“ oder „gar nicht“ zufrieden (siehe 4.3.13). Diese Unzufriedenheit lässt sich eventuell mit zu geringen Konsequenzen begründen (47% gaben an, dass diese lediglich die Beseitigung des Mangels darstellen (siehe 4.3.12)). Dieses Ergebnis ist überraschend, wenn man es mit den Umfragewerten der Datenschutzpraxis 2012 vergleicht. Damals war die Mehrzahl der Datenschutz-beauftragten (63%) mit den Konsequenzen „ziemlich“ oder „sehr“ zufrieden.
Der Datenschutzbeauftragte im Unternehmen
Immerhin 21% der befragten Datenschutzbeauftragten beur-teilen die Unterstützung ihrer Tätigkeit durch die Geschäfts-führung als „unzureichend“ oder „eher unzureichend“, während 79% die Unterstützung als „ausreichend“ oder „eher ausrei-chend“ erachten (siehe 4.4.6). Dennoch ist hier im Vergleich zu dem Ergebnis dieser Frage in der Datenschutzpraxis 2012 eine
„42% der befragten Datenschutzbeauf-tragten werden über Datenschutzverstöße nicht ausreichend informiert“
2. DIE WICHTIGSTEN ERGEBNISSE IM ÜBERBLICK
6
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH2. DIE WICHTIGSTEN ERGEBNISSE IM ÜBERBLICK
Verbesserung zu erkennen. Damals beurteilten noch 33% die Unterstützung der Geschäftsführung als unzureichend. Erneut zeigt sich hier eine bestehende Diskrepanz zwischen der ge-setzgeberischen Vorstellung und der betrieblichen Realität.
Das Verfahrensverzeichnis
Immerhin noch 8% der befragten und bereits bestellten Da-tenschutzbeauftragten gaben an, dass ihr Unternehmen über kein Verfahrensverzeichnis verfüge (siehe 4.5.1). In der Über-sicht aller automatisierten Verfahren sind insbesondere die verantwortliche Stelle, der Kreis der Betroffenen, die Art der Daten, die Zweckbestimmung und die Vorkehrungen zur Da-tensicherheit zu dokumentieren. Befragt nach der Anzahl der einzelnen Verfahren innerhalb einer Verfahrensübersicht ga-ben die befragten Datenschutzbeauftragten im Durchschnitt 57 Verfahren an (siehe 4.5.2). Diese Anzahl variiert natürlich mit der Größe des Unterneh-mens erheblich. So gaben 46% der Unternehmen mit bis zu 50.000 Mitarbeitern an, bis zu 500 Verfahren im Verfahrens-verzeichnis zu führen. Bei den Unternehmen mit bis zu 5.000 Mitarbeitern sind dies immer noch 10%. Diese Zahlen machen deutlich, dass es sich um eine gewaltige organisatorische Ar-beit handelt, die erhebliche Ressourcen benötigt. In der Grup-pe der Unternehmen mit bis zu 50 Mitarbeitern enthalten über 90% der Verfahrensverzeichnisse hingegen nicht mehr als 50 unterschiedliche Verfahren.
Lediglich 38% der befragten Datenschutzpraktiker gaben an, dass alle Verfahren ihres Unternehmens im Verfahrensver-zeichnis erfasst werden (siehe 4.5.3). Da diese Übersicht aller automatisierter Verfahren jedoch vollständig sein muss, stellt das Fehlen dieser Verfahren im Verfahrensverzeichnis gem. § 4g Abs. 2 BDSG einen Verstoß gegen die Pflichten des Unter-nehmens dar. Die Befragten, welche angaben, dass ihr Ver-fahrensverzeichnis unvollständig sei, wurden zum genaueren Verständnis nach Prozentangaben der Vollständigkeit des Ver-fahrensverzeichnisses gefragt. Durchschnittlich wurde hierbei ein Vollständigkeitsgrad von etwa 60% genannt (siehe 4.5.3.2).
Gemäß § 11 BDSG bleibt der Auftraggeber datenschutzrecht-lich verantwortlich, wenn er Dritte mit der Verarbeitung per-sonenbezogener Daten beauftragt. Er hat umfangreiche Kont-rollpflichten, die er jedoch selbstbestimmt wahrnehmen kann. Eine bestimmte Art der Kontrolle ist gesetzlich nicht vorgege-ben. Selbstkontrolle (35%) und die im Vergleich zu 2012 um
„62% der befragten Datenschutzbeauf-tragten verfügen nicht über ein vollständiges Verfahrensverzeichnis“
„13% der befragten Datenschutzbeauftragten prüfen keine Auftragsdatenverarbeiter“
10% gestiegene Anzahl der Einholung von Zertifizierungen (31% der Gesamtnennungen), gehören zu den meistgenann-ten Kontrollverfahren (siehe 4.5.10). Allerdings gaben auch 13% der Befragten trotz der offensichtlichen Rechtswidrigkeit an, dass keine Kontrollen stattfinden. Nur in wenigen Fällen wurden Vor-Ort-Audits durchgeführt, vom Unternehmen be-zahlte Dienstleister oder unabhängige, vom Auftragnehmer bezahlte Dritte, hinzugezogen.
Zertifizierungen
Lediglich 5% der befragten Datenschutzbeauftragten gaben an, dass ihr Unternehmen bereits eine Datenschutzzer-tifizierung erhalten habe (siehe 4.6.1). 43% der befragten Datenschutzbeauftragten erachten eine Zertifizierung jedoch als sinnvoll.
„43% der befragten Datenschutzbeauftrag-ten erachten eine Zertifizierung als sinnvoll“
Nach Angabe der befragten Datenschutzpraktiker wurde eine Datenschutzzertifizierung in ihren Unternehmen hauptsäch-lich aufgrund von zu hohen Kosten (28% der Gesamtnennun-gen) nicht durchgeführt. Als weitere Gründe wurden unklare Akzeptanz durch die Aufsichtsbehörden (19%), zu hohe inter-ne Kosten (19%) und zu hohe Kosten einer externen Prüfung (16%) aufgeführt. Am seltensten wurden fehlende internati-onale Akzeptanz (13%) sowie das Risiko des Nichtbestehens (6%) genannt (siehe 4.6.3).
Aufsichtsbehörden
Die Begeisterung der Datenschutzbeauftragten für aufsichts-behördliche Kontrollen hält sich in Grenzen: Trotzdem wün-schen sich 46% der Befragten mehr Kontrollen (siehe 4.7.1). Nahezu übereinstimmend fordern die Datenschutzbeauftrag-ten mehr beratende Tätigkeit der Aufsichtsbehörden (92%) und die Durchführung von Schulungen (76%). Ebenfalls die Mehrheit (62%) der Datenschutzbeauftragten fordern Zerti-fizierungen durch die Aufsichtsbehörden ein.
„44% der befragten Datenschutzbeauf-tragten sind unzufrieden mit der Arbeit der Aufsichtsbehörden“
44% der befragten Datenschutzpraktiker beurteilen die Auf-sichtsbehörden als zu wenig konsequent (siehe 4.7.2). Damit nimmt, im Vergleich zu 2012, ein um 11% gestiegener Teil der Datenschutzbeauftragten die Aufsichtsbehörden eher als „zahnlose Tiger“ wahr. Diese Tendenz sollte die Aufsichtsbe-hörden alarmieren.
53% der befragten Datenschutzbeauftragten haben die Erfah-rung gemacht, dass Datenschutzverstöße nicht ausreichend
7
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
durch die Aufsichtsbehörden verfolgt werden (siehe 4.7.3). Im Vergleich zur Datenschutzpraxis 2012 ist diese Einschätzung um weitere 5 Prozentpunkte gestiegen.
Zusammenfassend lässt sich sagen, dass die Verfolgung von Datenschutzverstößen durch die Aufsichtsbehörden durch an-nähernd jeden zweiten Datenschutzpraktiker als unzureichend und dementsprechend als inkonsequent beurteilt wurde.
Rechtsfragen
Zum gesetzgeberischen Handlungsbedarf äußern sich die Da-tenschutzpraktiker annähernd geschlossen. Eine große und im Vergleich zu 2012 um 6% gestiegene Mehrheit der befrag-ten Datenschutzbeauftragten wünscht sich hauptsächlich Rechtsänderungen in den Bereichen Datenschutz im Internet (79%), private Internet- und E-Mailnutzung am Arbeitsplatz (77%) sowie dem Beschäftigtendatenschutz (72%). Die Da-tenschutzbeauftragten sehen ebenso Handlungsbedarf bei den Regelungen zum grenzüberschreitenden Datenverkehr (69%) und zur Auftragsdatenverarbeitung (59%) (siehe 4.8.2).
„Datenschutzbeauftragte fordern Schutz vor in- und ausländischer Überwachung“
Die Teilnehmer hatten in einem Freifeld die Möglichkeit, zu-sätzliche Themen gesetzgeberischen Handlungsbedarfes zu formulieren. In insgesamt 44 Anregungen fanden sich neben den in der Studie aufgegriffenen Themen auch wiederholt For-derungen nach einer Klärung der strafrechtlichen Befugnisse von Polizei und Staatsanwaltschaft gegenüber Unternehmen sowie der Auflösung der Widersprüche zwischen Beschäftig-ten- und Kundendatenschutz einerseits und den Compliance-Anforderungen aus Terrorlisten, AEO-Zertifizierungen und ähnlichen gesetzlichen Anforderungen. Auch der Schutz vor in- und ausländischer staatlicher Überwachung wurde hier als gesetzgeberischer Nachholbedarf identifiziert (siehe 4.8.4).
Ausbildung des Datenschutzbeauftragten
Das BDSG stellt persönliche und sachliche Voraussetzungen für die Bestellung eines Datenschutzbeauftragten auf, die durch einen Beschluss der obersten Aufsichtsbehörden konkretisiert wurden. Eine Berufsausbildung oder berufliche Qualifizierung auf gesetzlicher Grundlage gibt es bis heute nicht. Dieses Man-ko beklagen nicht nur Ausbilder und der Berufsverband, son-dern auch 67% der Teilnehmer der Befragung sprechen sich für eine gesetzlich geregelte Ausbildung aus (siehe 4.9.1). Damit wurde das Ergebnis von 2012 (64%) bestätigt.
50% der teilnehmenden Datenschutzbeauftragten gaben an, ihre Qualifikation durch Fortbildungsmaßnahmen erlangt zu haben. 28% stützen sich auf die im Verlauf ihrer Tätigkeit ge-sammelten Erfahrungen und 15% auf das Vorwissen aus ei-nem Studium (siehe 4.9.2). Diese Ergebnisse belegen, dass die erforderliche Qualifikation in der Regel durch Fortbildung und Erfahrung während der Tätigkeit erworben wird.
EU-Datenschutzgrundverordnung
Die europäische Gesetzgebungsdebatte der letzten drei Jah-re hat ihre Spuren hinterlassen: 23% der befragten Daten-schutzbeauftragten gehen eher von einer Verbesserung des Datenschutzniveaus in Deutschland aus, während 77% der Befragten eher eine Verschlechterung erwarten. Hier hat sich die Erwartungshaltung deutlich abgekühlt (siehe 4.10.5). 2012 gingen noch 41% der befragten Datenschutzbeauftragten von einer Verbesserung des Datenschutzniveaus aus, 2014 über-wiegen die Skeptiker noch deutlicher.
„77% der befragten Datenschutzbeauf-tragten erwarten eine Verschlechterung des Datenschutzniveaus in Deutschland durch die EU-DSGVO“
2. DIE WICHTIGSTEN ERGEBNISSE IM ÜBERBLICK
8
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH3. METHODIK UND OPERATIVER ABLAUF
3. Methodik und operativer AblaufErneut wurden wir bei der Erstellung, Durchführung und Auswer-tung der Studie vom Lehrstuhl für Wirtschafts- und Sozialstatis-tik an der Technischen Universität Dortmund unter der Leitung von Prof. Dr. Walter Krämer unterstützt. Wie schon bei der Studie 2012 wurde auf veröffentlichte Kontaktdaten von Datenschutz-beauftragten in deutschen Unternehmen zurückgegriffen, die um eine Teilnahme gebeten wurden. Hierzu gehörten auch alle Teil-nehmerinnen und Teilnehmer von 2012.
Unter den Teilnehmern wurden 62% bereits 2012 befragt, 38% wa-ren erstmals dabei. Die fehlende Repräsentativität bei den beteilig-ten Branchen und Unternehmensgrößen ist die logische Folge des Teilnehmerkreises, denn nur Unternehmen mit einem bestellten Datenschutzbeauftragten wurden im Rahmen der Studie befragt.
Datenschutzbeauftragten, die der Verwendung ihrer E-Mailad-resse für Marketingzwecke zugestimmt hatten, wurden zur Teil-nahme per E-Mail eingeladen, mit einem Link auf eine speziell für diese Person im Internet bereitgestellte Instanz des Fragebo-gens, die direkt nach erfolgtem Ausfüllen anonymisiert wurde. Die postalisch angeschriebenen Befragungsteilnehmer erhielten eine Login ID, mit der sie mit ihrer E-Mail-Adresse online teilnehmen konnten. Beide Gruppen konnten den Fragebogen auch ausdru-cken und einsenden. Pro E-Mail-Adresse war nur eine einmalige Teilnahme möglich. So konnten externe Datenschutzbeauftragte auch für mehrere Unternehmen teilnehmen, wenn sie beispiels-weise pro Mandant eine eigenständige E-Mail-Adresse nutzten und mit mehr als einer eine ID anforderten. Dieses Verfahren eröffnete für externe Datenschutzbeauftragte die Möglichkeit, unterschiedliche Bedingungen in den Unternehmen darzustellen.
Die Unternehmen mit weniger als 50 Mitarbeitern sind im Ver-gleich zur Unternehmensstruktur in unserer Befragung deutlich unterrepräsentiert. Dies ist nicht verwunderlich, weil diese Un-ternehmen die Namen ihrer Datenschutzbeauftragten oft nicht veröffentlichen, so dass sie auch nicht im Verteiler für diese Umfrage enthalten sein konnten.
Die Unternehmen von 50 bis unter 500 Mitarbeiter sind aus den gegenteiligen Gründen überrepräsentiert. Hier werden die Anga-ben weit häufiger veröffentlicht. Auch sind die Datenschutzbe-auftragten ab einer gewissen Unternehmensgröße eher an einer Zusammenarbeit interessiert. Statt des statistischen Anteils von ca. 20% sind sie mit 45% mehr als doppelt so häufig an der Befragung beteiligt.
Die Unternehmen ab 500 Mitarbeitern sind die zweite große Gruppe unter den Teilnehmern der Umfrage: Während sie in Deutschland allgemein nur ca. 2% der Unternehmen repräsen-tieren, sind sie bei den teilnehmenden Datenschutzbeauftragten mit exakt 40% vertreten.
Zusammenfassend kann man sagen, dass die Ergebnisse in deutlichem Umfang die Meinungen und Einschätzungen der Da-tenschutzbeauftragten von größeren und großen Unternehmen widerspiegeln: 40% der Antwortenden stammen aus Unterneh-men mit mehr als 500 Mitarbeitern und immer noch 10% aus Unternehmen mit über 5.000 Mitarbeitern.
Dies wird untermauert durch einige andere Ergebnisse, z.B. durch die Angaben zur Internationalität der Unternehmen, aber auch durch die Angaben zur Häufigkeit von Prüfungen durch Auf-sichtsbehörden.
Für diese Umfrage war jedoch nicht die Repräsentativität der teilnehmenden Unternehmen im Verhältnis zur statistischen Durchschnittsgröße deutscher Unternehmen ausschlaggebend, sondern ein klares Bild über die Datenschutzpraxis in den Unter-nehmen, die bereits einen Datenschutzbeauftragten bestellt ha-ben. Die Datenschutzpraxis 2015 legt daher den Schwerpunkt auf eine qualitative Bewertung der Umsetzung datenschutzrechtli-cher Anforderungen in deutschen Unternehmen.
Abweichungen in der Gesamtsumme ergeben sich aus den Fra-gebögen, in denen die jeweilige Frage nicht beantwortet wurde.
9
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Haben Sie schon an der Studie 2012 teilgenommen?
Lediglich 38% der befragten Datenschutzbeauftragten haben be-reits an der Umfrage zur Datenschutzpraxis 2012 teilgenommen. Dies ist für die Betrachtung und Interpretation der einzelnen Bereiche und Fragen interessant. Da die Mehrzahl der Fragen von 2012 unverän-dert in die Umfrage zur Datenschutzpraxis 2015 übernommen wurde, können unter Einbezug der Meinungen der bisher noch nicht befrag-ten Datenschutzbeauftragten die einzelnen Umfrageergebnisse dif-ferenzierter betrachtet werden. Aber auch mithilfe von Fragen, wel-che aufgrund von möglichen Verständnisproblemen erweitert oder mit zusätzlichen Erläuterungen versehen wurden, können die Um-frageergebnisse der Datenschutzpraxis 2012 verstärkt oder korrigiert werden. Damit ergibt sich im Ergebnis ein konsolidiertes Bild aus den Befragungsergebnissen der Jahre 2012 und 2014 sowie valide Aus-sagen über die Praxis der Datenschutzbeauftragten in Deutschland.
4.1 Struktur der befragten Unternehmen1. Auf welchen Kontinenten ist Ihr Unternehmen vertreten?
Von den 272 teilnehmenden Unternehmen sind 59 auch in Asien, 28 auch in Afrika, 31 auch in Australien, 61 auch in Nord-Amerika und 40 auch in Süd-Amerika mit einer Niederlassung vertreten. Damit spiegelt sich in den Ergebnissen der Befragung der professionelle Sachverstand sowohl aus kleinen und mittelständischen Unter-nehmen, als auch aus weltweit tätigen deutschen Konzernen wi-der. Auch kleine und mittelständische Unternehmen sind vermehrt weltweit tätig und müssen sich mit den spezifischen Herausforde-rungen des internationalen Datenverkehrs auseinandersetzen.
4. Die vollständigen Ergebnisse
1.1
167 62% 38% 104
nein ja
2.1
272
61
59
40
31
28
Europa
Nord-Amerika
Asien
Süd-Amerika
Australien
Afrika
2. In welcher Branche ist Ihr Unternehmen überwiegend tätig?
Von 272 Datenschutzbeauftragten gaben 50 (18%) an, dass das Tätigkeitsfeld ihres Unternehmens überwiegend in der Industrie liege, weitere 48 (18%) im Dienstleistungssektor, 42 (15%) in der Versicherung, 36 (13%) im Bereich Gesundheit und Soziales, 27 (10%) im Bereich Medien und IT, 24 (9%) im Handel und Ver-trieb, 22 (8%) in der Verwaltung und im öffentlichen Dienst und schließlich 23 (8%) in einer obig nicht genannten Branche.
Diese Zahlen belegen den Anspruch der Studie, die Praxis der Tätigkeit der Datenschutzbeauftragten aus der gesamten Breite der Unternehmen darzustellen.
3. Welcher Art sind die Geschäftsbeziehungen in Ihrem Unternehmen hauptsächlich?
Knapp über die Hälfte (54%) der Datenschutzbeauftragten gab an, dass die Mehrzahl der Geschäftsbeziehungen in ihrem Un-ternehmen Business-to-Business (B2B) Beziehungen sind. Da-mit sind auch die Bereiche der datenschutzrechtlich relevanten Datenverarbeitungen nahezu gleichwertig abgebildet.
2.2
18%
18%
15%
13%
10%
9%
8%
8%
50
48
42
36
27
24
23
22
Industrie
Dienstleistung
Banken undVersicherung
Gesundheitund Soziales
Medien und IT
Handelund Vertrieb
Sonstiges
Verwaltung undöffentlicher Dienst
2.3
147 54% 46% 125
B2B B2C
4. DIE VOLLSTÄNDIGEN ERGEBNISSE
10
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
4. Wie viele Mitarbeiter beschäftigt Ihr Unternehmen weltweit, ohne Deutschland?
Von insgesamt 222 Teilnehmern an dieser Frage gaben 37% an, in Unternehmen mit bis zu 50 Mitarbeitern, 30% in Unterneh-men mit bis zu 500 Mitarbeitern, 17% in Unternehmen mit bis zu 5.000 Mitarbeitern, 11% in Unternehmen mit bis zu 50.000 und 5% in Unternehmen mit mehr als 50.000 Mitarbeitern als Datenschutzbeauftragte tätig zu sein. Damit beteiligten sich an der Befragung überproportional viele Datenschutzbeauftragte aus Großunternehmen. Dies ist auf die Methodik der Erhebung zurückzuführen. Die Befragung richtete sich an namentlich be-kannte Datenschutzbeauftragte, weshalb Unternehmen ohne Datenschutzbeauftragte nicht erfasst wurden.
5. Wie viele Mitarbeiter beschäftigt Ihr Unternehmen deutschlandweit?
Deutschlandweit beschäftigen 15% der teilnehmenden Unter-nehmen bis zu 50 Mitarbeiter, 45% bis zu 500, 30% bis zu 5.000, 9% bis zu 50.000 und 1% über 50.000 Mitarbeiter. Damit spie-gelt die Gruppe der befragten Teilnehmer die gesamte Breite von Unternehmen wider.
2.4
37%
30%
17%
11%
5%
83
67
37
24
11
bis 50
bis 500
bis5.000
bis50.000
Über50.000
2.5
15%
45%
30%
9%
1%
40
122
82
24
1%; 4
bis 50
bis 500
bis5.000
bis50.000
Über50.000
6. Wie viele Mitarbeiter beschäftigen sich unmittelbar mit Datenschutz in Ihrem Unternehmen, indem sie auf die Einhaltung datenschutzrechtlicher Vorgaben hinwirken?
Mit insgesamt 960 Mitarbeitern weltweit und 1006 Mitarbeitern in Deutschland, die sich unmittelbar mit dem Datenschutz in den teilnehmenden Unternehmen befassen, handelt es sich durchschnittlich um 5,24 bzw. 3,9 Mitarbeiter pro Unternehmen. Nach den Antworten aus den verschiedenen Unternehmens-größenklassen gestaltet sich die Verteilung der Mitarbeiter (MA) wie folgt:
2.6. +2.5
4%
75%
60%
44%
13%
15%
29%
37%
42%
25%
3%
13%
25%
3%
8%
3%
4%
8%
25%
3%7% 6%
13%25%
4%
bis 50 bis 500 bis5.000
bis50.000
über50.000
keine Angabe
mehr als 50
21 bis 50
11 bis 20
6 bis 10
2 bis 5
1 MA
0 MA
40 122 82 24 4
7. Ist Ihr Unternehmen einem Mutterkonzern untergeordnet?
66% aller befragten Unternehmen sind nicht in einen Mutter-konzern eingegliedert. Damit sind immerhin fast ein Drittel aller befragten Datenschutzbeauftragten mit den Herausforderungen einer Innerkonzerndatenverarbeitung befasst.
2.7
179 66% 34% 93
nein ja
4.1 STRUKTUR DER BEFRAGTEN UNTERNEHMEN
11
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
4.2 Datenschutzpraxis im Unternehmen1. Seit wie vielen Jahren ist in Ihrem Unternehmen ein Datenschutzbeauftragter bestellt?
Durchschnittlich sind in den befragten Unternehmen Daten-schutzbeauftragte seit 17,7 Jahre tätig. Der obligatorisch zu be-stellende Datenschutzbeauftragte wurde bereits 1977 im BDSG als Mittel der internen Selbstkontrolle im deutschen Daten-schutzrecht verankert. Durch die Novellierung des Jahres 2009 wurden die Regelungen zum Kündigungsschutz erweitert, womit eine lange Verweildauer der bestellten Datenschutzbeauftrag-ten nicht nur fachlich begründet, sondern auch rechtlich zu er-klären ist. Vergleicht man die Größenklassen der Unternehmen mit der jeweiligen Bestelldauer wird deutlich, dass in den Unter-nehmen mit bis zu 50 Mitarbeitern seit der BDSG-Novellierung 2009 deutlich mit der Erfüllung der Bestellungspflicht nachgeholt wurde. Die großen Unternehmen beschäftigen bereits wesent-lich länger Datenschutzbeauftragte. Je größer das Unternehmen, desto länger sind dort bereits Datenschutzbeauftragte tätig.
2. Sind Sie als interner oder als externer DSB in Ihrem Unternehmen bestellt?
Das BDSG eröffnet die Möglichkeit, den gesetzlichen Regelfall der Bestellung eines Mitarbeiters zum (internen) Datenschutz-
34%
31%
25%
8%
1%
93
85
68
23
3
bis 5 Jahre
6 bis 10 Jahre
11 bis 20 Jahre
> 20 Jahre
keine Angabe
2.8
2.9
81%221 interner
19%51 externer
beauftragten durch die Bestellung eines externen Datenschutz-beauftragten zu erfüllen, § 4f Abs. 2 Satz 3 BDSG. Dies kann eine Person außerhalb der verantwortlichen Stelle sein, also sowohl externe spezialisierte Dienstleister wie auch andere (interne) Datenschutzbeauftragte verbundener Unternehmen. Die Anzahl der internen und externen Datenschutzbeauftragten unserer Befragung geben jedoch kein repräsentatives Bild der Ver-teilung bei der Gesamtheit deutscher Unternehmen wieder, son-dern die Zusammensetzung der Gruppe der Befragten. Der interne Datenschutzbeauftragte ist in der Praxis der Regelfall, 81% der Un-ternehmen haben eigene Mitarbeiter als Datenschutzbeauftragte bestellt. Von der Möglichkeit der Bestellung externer Datenschutz-beauftragter haben 19% der Unternehmen Gebrauch gemacht.
3. In welchem zeitlichen Umfang widmen Sie sich der Tätigkeit des Datenschutzbeauftragten?
Gesetzliche Voraussetzung für die Rechtmäßigkeit der Bestellung ist die Eignung des Datenschutzbeauftragten zur Erfüllung seiner Aufgaben. Hierzu gehört auch die Einräumung einer ausreichen-den Arbeitszeit. Mit dem Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 haben die obersten Aufsichtsbehörden in Deutschland Mindestanforderungen an Fachkunde und Unab-hängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 BDSG formuliert, dort aber den Zeitbedarf nicht näher konkretisiert. Die Aus- und Belastung der Datenschutzbeauftrag-ten wird maßgeblich durch die Größe der verantwortlichen Stelle, die Anzahl der zu betreuenden verantwortlichen Stellen, Beson-derheiten branchenspezifischer Datenverarbeitung und den Grad der Schutzbedürftigkeit der zu verarbeitenden personenbezo-genen Daten beeinflusst. Nach den Ergebnissen der Befragung ist der Datenschutzbeauftragte zu 81% in Teilzeit und zu 19% in Vollzeit bestellt. Diese Verteilung ist im Vergleich zu 2012 unver-ändert geblieben. In der Datenschutzpraxis 2015 ist der Anteil der Teilzeit deshalb genauer hinterfragt worden. Danach widmen sich 37% der in Teilzeit bestellten Datenschutzbeauftragten in bis zu 5% ihrer Arbeitszeit dem Thema Datenschutz.
2.10
219 81% 19% 53
Teilzeit Vollzeit
2.10(2)
37%
27%
12%
5%
19%
101
73
32
13
53
TZ bis 5 %
TZ bis 20 %
TZ bis 50 %
TZ bis 80 %
Vollzeit
4.2 DATENSCHUTZPRAXIS IM UNTERNEHMEN
12
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH4.2 DATENSCHUTZPRAXIS IM UNTERNEHMEN
4. Beurteilen Sie die Ihnen zur Verfügung stehende Zeit für die Ausübung Ihrer Tätigkeit als ausreichend?
Etwas mehr als die Hälfte der befragten Datenschutzbeauftrag-ten (52%) beurteilt die ihnen zur Verfügung stehende Zeit als ausreichend. Damit muss man feststellen, dass 48% der be-fragten Datenschutzbeauftragten selbst einschätzen, dass ihre Bestellung die Anforderungen des Datenschutzgesetzes nicht erfüllt. Steht nicht ausreichend Arbeitszeit zur Verfügung, gilt ein Datenschutzbeauftragter nicht als wirksam bestellt. Neben den tatsächlichen Einschränkungen der Wirksamkeit der Arbeit be-deutet dies ein zusätzliches Bußgeldrisiko.
5. Unterliegt Ihr Unternehmen der Meldepflicht, i.S.v. §4d Abs. 4 BDSG (geschäftsmäßigen Datenverarbei-tung zum Zweck der Übermittlung, anonymisierten Übermittlung oder Markt-und Meinungsforschung)?
Gemäß § 4 BDSG entfällt die Pflicht zur Meldung automatisierter Datenverarbeitungsverfahren an die zuständige Aufsichtsbehörde immer dann, wenn das Unternehmen einen Datenschutzbeauftrag-ten bestellt hat. Aber selbst wenn ein solcher bestellt wurde, müs-sen gem. § 4d Abs. 4 BDSG die Verfahren an die zuständige Auf-sichtsbehörde gemeldet werden, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezo-gene Daten zum Zweck der Übermittlung, zum Zweck der anony-misierten Übermittlung oder für Zwecke der Markt- oder Meinungs-forschung gespeichert werden. Diese Meldungen werden durch die jeweiligen Aufsichtsbehörden in Registern erfasst. Hier scheint sich zu zeigen, dass eine wichtige Voraussetzung für die Meldung solcher Verfahren die Bestellung eines Datenschutzbeauftragten ist, der die gesetzliche Anforderung im Unternehmen durchzusetzen vermag. 11% der Datenschutzbeauftragten gaben an, dass ihr Unternehmen der Meldepflicht unterliegt. Im Vergleich zu den Ergebnissen 2012 mit 30% meldepflichtigen Unternehmen scheint hier in den letzten zwei Jahren eine Bereinigung stattgefunden zu haben.
6. Wird der Meldepflicht nachgekommen?
2.11
130 48% 52% 142
nein ja
2.12
240 89% 11% 31
nein ja
2.13
50 53% 47% 45
nein ja
Mit dieser neuen Frage gingen wir der offensichtlichen Diskre-panz zwischen Meldepflicht und den Zahlen bei den Aufsichts-behörden nach. Trotz Kenntnis der gesetzlichen Pflicht kommen lediglich 47% der Unternehmen ihrer Meldepflicht nach. Gem. § 43 BDSG handelt derjenige ordnungswidrig, der „vorsätzlich oder fahrlässig 1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht“. Hier verbirgt sich also ein nicht zu unterschätzendes Bußgeldrisiko.
7. Wurde Ihr Unternehmen in den letzten zwei Jahren durch eine Datenschutzaufsichtsbehörde geprüft?
Bereits das mengenmäßige Missverhältnis zwischen den Mitar-beiterzahlen in den Aufsichtsbehörden zu der Anzahl der Unter-nehmen ließ hier eine Beantwortung im Promillebereich erwar-ten. Dies wäre sicher auch bei einer repräsentativen Befragung aller Unternehmen der Fall. Im Rahmen dieser Befragung haben allerdings vor allem bestellte Datenschutzbeauftragte von grö-ßeren Unternehmen geantwortet, was die Wahrscheinlichkeit von Erfahrungen mit einer aufsichtsbehördlichen Prüfung offen-sichtlich erhöht. Es ist auch denkbar, dass der Begriff der „Prü-fung“ nicht von allen Befragten in gleicher Weise verstanden wurde: Aktionen wie das Abfragen bestimmter gesetzlich vorge-schriebener Merkmale bei einer Vielzahl von Unternehmen durch einzelne Aufsichtsbehörden mag von einzelnen Befragten durch-aus schon als Prüfung verstanden worden sein. Insgesamt wurden 7% der befragten Unternehmen schon ein-mal durch eine Aufsichtsbehörde überprüft. Dieser Wert ist im Vergleich zu 2012 (15%) unverändert gering. Die Prüfungen wur-den aufgrund einer Betroffenenbeschwerde (52%), ohne Anlass (33%) oder aufgrund einer automatisierten Prüfung, beispiels-weise der Internetseite des Unternehmens, durch die Aufsichts-behörde (14%) durchgeführt. Unverändert bleibt es bei der Si-tuation, dass weit überdurchschnittliche 35% der Unternehmen mit mehr als 50.000 Mitarbeitern mit aufsichtsbehördlichen Prü-fungen Erfahrung gemacht haben.
8. Sind Sie als Datenschutzbeauftragter direkt der Geschäftsführung unterstellt?
Die Unterstellung des Datenschutzbeauftragten unter den Leiter der verantwortlichen Stelle ist eine zwingende gesetzliche Vorgabe, § 4f Abs. 3 BDSG. Gleichwohl beantworteten 8% der befragten Da-
2.14
251 93% 7% 20
nein ja
2.15
21 8% 92% 250
nein ja
13
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
tenschutzbeauftragten diese Frage mit „Nein“. Dieses Ergebnis ist im Vergleich zur Datenschutzpraxis 2012, als 4% der Datenschutz-beauftragten diese Frage mit „Nein“ beantworteten, gestiegen.
9. Fordert Ihre Geschäftsführung einen Tätigkeitsbericht ein?
Im Gegensatz zu den öffentlich und dem Parlament verpflichteten Landesdatenschutzbeauftragten als Aufsichtsbehördenleitern ist ein Tätigkeitsbericht des betrieblichen Datenschutzbeauftragten nicht gesetzlich vorgeschrieben. Es hat sich aber als bewährtes Instrument erwiesen, die Umsetzung der Datenschutzvorgaben im Berichtswege zu steuern. Trotz der Bestellung eines Daten-schutzbeauftragten behält die Geschäftsführung ihre Gesamt-verantwortung auch in diesem Bereich. 53% der Geschäftsleitun-gen fordern einen solchen Bericht ein. Dieses Ergebnis entspricht den Umfragewerten der Datenschutzpraxis 2012.
10. In welchem Turnus berichten Sie mündlich oder schriftlich an die Geschäftsführung?
Knapp die Hälfte der Datenschutzbeauftragten erstattet der Ge-schäftsleitung jährlich (44%) einen Bericht, lediglich 14% haben der Geschäftsleitung bisher noch nie berichtet. Bis auf eine Per-son wurden alle 38 Datenschutzbeauftragte, die die Frage nach einer Berichtspflicht an die Geschäftsleitung mit „Nie“ beantwor-teten, von der Unternehmensleitung auch nicht zur Berichter-stattung aufgefordert. In allen anderen Fällen erstellen die Daten-schutzbeauftragten jedoch einen Bericht, auch ohne hierzu aufgefordert zu werden. Hier hat sich unter den Datenschutzbe-auftragten also offensichtlich die Erkenntnis durchgesetzt, dass er oder sie ohne eine Dokumentation der eigenen Arbeit und die regelmäßige Information der Geschäftsführung seiner Verant-wortung im Unternehmen nur schwer nachkommen kann. Der
2.16
127 47% 53% 145
nein ja
2.17
44%
15%
14%
13%
11%
120
41
38
34
30
3%; 9
jährlich
monatlich
bisher noch nie
quartalsweise
halbjährlich
wöchentlich(oder öfter)
Turnus der Berichterstattung ändert sich nur unwesentlich, wenn die Geschäftsführung diesen anfordert. Offensichtlich bestim-men betriebliche Übung und das sonstige innerbetriebliche Be-richtswesen den Turnus der Berichterstattung. Auch die Größe des Unternehmens scheint keinen erkennbaren Einfluss auf den Turnus der Berichterstattung zu haben.
11. Wie oft werden die Mitarbeiter Ihres Unternehmens generell im Datenschutz geschult?
11. Wie oft werden die Mitarbeiter Ihres Unternehmens generell im Datenschutz geschult?
Zu den gesetzlichen Kernaufgaben des Datenschutzbeauftrag-ten gehört die Unterweisung der Mitarbeiter in die Datenschutz-vorschriften und die jeweiligen besonderen Erfordernisse des Datenschutzes, § 4g Abs. 1 Nummer 2 BDSG. Die Art und Weise sowie der Umfang dieser Schulungen unterliegt also auch den besonderen Bedingungen des jeweiligen Unternehmens und des jeweiligen Arbeitsplatzes. Über Umfang, Häufigkeit und Art entscheidet der Datenschutz-beauftragte in eigener fachlicher Unabhängigkeit. 22% der Un-ternehmen schulen ihre Mitarbeiter im Datenschutz nur einmalig bei Einstellung. Diese Praxis kann in Bereichen rechtskonform sein, in denen die Verarbeitung personenbezogener Daten allen-falls gelegentlich und nicht elektronisch erfolgt. Eine jährliche Schulung der Mitarbeiter fand nur in 4% der Un-ternehmen statt. Ein kürzerer Schulungsrhythmus (monatlich bis halbjährlich) kann in sensiblen Bereichen erforderlich werden und wird in 9% der Unternehmen praktiziert. Die Mehrzahl der Mitarbeiter (42%) wurde jedoch seltener als jährlich geschult. Im Vergleich zur Datenschutzpraxis 2012 hat sich dieses Bild über-raschend geändert. Damals gab die Mehrheit (39%) der Daten-schutzpraktiker an, dass die Mitarbeiter ihres Unternehmens jährlich geschult wurden. Dieses Bild ist nunmehr zu korrigieren. Der Schulungsbedarf ist offensichtlich ungedeckt.
2.18
42%
22%
22%
3%; 8
115
61
60
4%; 11
3%; 9
3%; 8
seltener
nie
einmaligbei Einstellung
jährlich
monatlich
halbjährlich
quartalsweise
4.2 DATENSCHUTZPRAXIS IM UNTERNEHMEN
14
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
12. Wie oft werden die Mitarbeiter Ihres Unternehmens fachbezogen im Datenschutz geschult (Präsenz-Schulungen, E-Learning, Web-Based- Training), mit inhaltlichen Schwerpunkten, wie z.B. zur Datenverarbeitung in der Marketing-oder Personalabteilung?
Neben der allgemeinen Unterweisung in das Datenschutz-gesetz gehört es zu den gesetzlichen Aufgaben des Daten-schutzbeauftragten, die Mitarbeiter „mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen“, § 4g Abs. 1 Nummer 2 BDSG. 31% der Mitarbeiter wur-den lediglich einmalig bei der Einstellung fachbezogen im Da-tenschutz geschult, 20% jährlich oder öfter und 34% seltener als jährlich. 14% der Mitarbeiter wurden hingegen nie geschult. Im Vergleich zur Datenschutzpraxis 2012 ist eine negative Tendenz zu erkennen. Damals hatten die Datenschutzprakti-ker angegeben, dass 48% der Mitarbeiter jährlich oder öfter und lediglich 6% nie geschult wurden. Diese Tendenz ist über-raschend, da der Bedarf an einer Schulung der Mitarbeiter in Hinblick auf sich ständig ändernde Arbeitsinhalte und tech-nisch-organisatorische Anforderungen eher steigt.
13. Auf welchem Weg schulen Sie die Mitarbeiter Ihres Unternehmens?
2.19
34%
31%
14%
11%
2%; 6
92
85
39
29
4%; 11
3%; 9
seltener
einmalig bei Einstellung
nie
monatlich
jährlich
halbjährlich
quartalsweise
2.20
47%
26%
22%
5%, 21
216
118
102
Interne Schulung
Selbststudium
Online-Schulung
Externe Schulung
Zu den Kernaufgaben des Datenschutzbeauftragten gehört die Schulung der Mitarbeiter. Die weit überwiegende Anzahl der Datenschutzbeauftragten führt interne Datenschutzschu-lungen (47%) durch, nur 5% arbeiten mit externen Anbietern zusammen, aber immerhin schon 22% der Datenschutzbe-auftragten greifen zumindest auch zum Mittel der Online-Schulungen. 26% der Mitarbeiter werden im Selbststudium geschult. Diese Gewichtung hat sich im Vergleich zur Daten-schutzpraxis 2012 kaum verändert.
4.3 Datenschutzverstöße im Unternehmen1. Fühlen Sie sich über mögliche Datenschutz- verstöße durch Sicherheitsverletzungen in Ihrem Unternehmen ausreichend informiert?
Datenschutzverstöße im Unternehmen schaden nicht nur dem Image oder können zu Informationspflichten und Schadener-satzansprüchen Betroffener führen. Sie müssen auch in beson-deren Fällen der zuständigen Aufsichtsbehörde gemeldet wer-den, § 42a BDSG. Daneben stellen aber solche Verstöße auch für den Datenschutzbeauftragten eine wichtige Informationsquelle dar, um seiner Aufgabe zur Umsetzung des Datenschutzrechtes gerecht zu werden. Damit zählen Verstöße jedenfalls zu den In-formationen, die dem Datenschutzbeauftragten zwingend mit-zuteilen sind, und an deren Aufklärung er zu beteiligen ist.
42% der betrieblichen Datenschutzbeauftragten fühlen sich nicht ausreichend über Datenschutzverstöße im Unternehmen informiert. Diese hohe Anzahl und im Vergleich mit der Daten-schutzpraxis 2012 (38%) leicht steigende Tendenz ist vor allem angesichts der Befragungsgruppe von überwiegend langjährig erfahrenen Datenschutzbeauftragten alarmierend.
2. Fühlen Sie sich über mögliche Datenschutzverstöße durch Sicherheitsverletzungen in Ihrem Unternehmen rechtzeitig genug informiert?
Lediglich 51% der Datenbeauftragten gaben an, rechtzeitig genug über mögliche Datenschutzverstöße informiert worden zu sein. Diese Zahl ist aufgrund des akuten Handlungsbedarfs bei Datenschutzverstößen bedenklich. Mögliche Probleme können unter anderem aufgrund von zu geringem Einbezug
115 42% 58% 157
nein ja
3.1
3.2
133 49% 51% 136
nein ja
4.3 DATENSCHUTZVERSTÖSSE IM UNTERNEHMEN
15
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
von Datenschutzbeauftragten in Projekte, insbesondere in der Planungsphase, auftreten. Nur eine frühzeitige Einbindung des Datenschutzbeauftragten ermöglicht eine rechtzeitige Prüfung eventueller Informationspflichten gem. § 42a BDSG.
3. Mussten Sie schon einmal klären, ob eine Benach-richtigung nach §42a BDSG (Informationspflicht bei der Möglichkeit unrechtmäßiger Kenntniserlangung von Daten durch Dritte) notwendig ist?
Der § 42a BDSG postuliert eine Informationspflicht der ver-antwortlichen Stelle bei einer unrechtmäßigen Kenntniserlan-gung Dritter von personenbezogenen Daten, wenn hierdurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Diese relativ neue Regelung im BDSG verursachte in der Praxis viel Unsicherheit und Klärungsbedarf. Die Ergebnisse der Befra-gung belegen deutlich die Relevanz solcher Prüfungen, wenn bereits durchschnittlich 28% der befragten Datenschutzbe-auftragten eine solche Prüfung vornehmen mussten. Eine steigende Relevanz kann auch durch den Vergleich mit dem Ergebnis der Datenschutzpraxis 2012 verdeutlicht werden. Damals gaben noch 21% der Datenschutzpraktiker an, dass sie schon einmal eine solche Prüfung durchführen mussten.
4.1 Mussten Sie schon einmal Benachrichtigungen nach §42a BDSG vornehmen?
3.4.1
249 93% 7% 18
nein ja
Gemäß § 42a BDSG besteht eine Informationspflicht der ver-antwortlichen Stelle bei einer unrechtmäßigen Kenntniserlan-gung Dritter von personenbezogenen Daten, wenn hierdurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Wenn eine solche Gefahr festgestellt wird, müssen die Betroffenen unter Darlegung der Art der unrechtmäßigen Kenntniserlan-gung und von Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen informiert werden. Eine solche Benachrichtigung erfolgt durch die verantwortliche Stelle. Im Vergleich zu den Umfrageergebnissen der Datenschutzpraxis 2012 (5%) ist die Zahl der nach §42a BDSG notwendigen Be-nachrichtigungen mit 7% leicht gestiegen.
3.3
194 72% 28% 76
nein ja
4.2 In welcher Form haben Sie die Betroffenen nach § 42a BDSG informiert?
In diesen 23 Fällen erfolgte die Benachrichtigung nach §42a BDSG der Betroffenen hauptsächlich (52%) durch einen Brief, in 26% der Fälle durch einen Anruf, in 17% der Fälle durch eine E-Mail und in 5% der Fälle durch Zeitungsanzeigen.
5. Welche Gruppe verübt aus Ihrer Sicht die meisten Datenschutzverstöße in Ihrem Unternehmen?
Das Datenschutzrecht regelt den Schutz personenbezogener Daten vor einem Missbrauch durch Unberechtigte. Aus den Er-fahrungen der Datenschutzbeauftragten ergibt sich als wich-tigste Ursache von Datenschutzverstößen das Fehlverhalten einzelner Beschäftigter mit 81% der Gesamtnennungen. Nur 6% der Nennungen entfallen auf externe Dienstleister sowie weitere 5% auf sonstige Täter. Der deutliche Schwerpunkt liegt also, wie bereits in der Datenschutzpraxis 2012 zu er-kennen, nach der Einschätzung der Praktiker bei den internen Verursachern. Vor zwei Jahren waren einzelne Beschäftigte mit 60% bereits die meistgenannte Gruppe.
3.4.2
52%
26%
17%
0%
12
6
4
5%; 1
0
0
Brief an Betroffenen
Anruf bei Betroffenen
E-Mail an Betroffenen
Zeitungsanzeigen
SMS an Betroffenen
Sonstiges
3.5
81% 201
8%; 20
6%; 15
5%; 13
einzelne Beschäftigte
ehemalige Beschäftigte
externe Dienstleister
Sonstige
4.3 DATENSCHUTZVERSTÖSSE IM UNTERNEHMEN
16
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
6. Welche Gruppe ist Ihrer Ansicht nach am häufigsten von Datenschutzverstößen Ihres Unternehmens betroffen?
Opfer von Datenschutzverstößen sind die Betroffenen, deren Daten unrechtmäßig verarbeitet werden. Dies können in Unter-nehmen sowohl Kunden, als auch die eigenen Mitarbeiter sein. Im Vergleich zu den Ergebnissen der Datenschutzpraxis 2012 steht an der Spitze der Opfer von Datenschutzverstößen nicht mehr der Kunde als Betroffener (37%), sondern eigene Beschäftigte der Unternehmen (48%). Diese Zahlen legen eine Gleichgewichtung der datenschutzrechtlichen Selbst-kontrolle zugunsten externer (Kunden) und interner (Beschäf-tigte) Betroffener nahe.
7. Bewerten Sie die Häufigkeit der folgenden Gründe von Datenschutzpannen in Ihrem Unternehmen?
Die Befragung gab als mögliche Gründe Unachtsamkeit, Un-wissenheit, IT-Infrastruktur und Konzernvorgaben vor. Über die Gründe von Datenschutzverstößen sind sich die befragten Da-tenschutzbeauftragten bei der „Unachtsamkeit“ jedenfalls un-einig: während 58% diesen Grund „häufig“ oder „eher häufig“
3.6
48%
37%
6%
123
95
16
4%; 11
3%; 7
2%; 5
eigeneBeschäftigte
Kunden
Mitarbeitervon Kunden
Sonstige
Mitarbeiterexterner Dienstleister
ehemaligeBeschäftigte
Grund häufig eher
häufig
eher
selten
selten nie
Unachtsamkeit 20,00% 38,11% 21,13% 16,60% 4,15%
Summe 58,11% 41,89%
Unwissenheit 10,15% 36,47% 29,32% 19,92% 4,14%
Summe 46,62% 53,38%
IT-Infrastuktur 3,41% 13,64% 28,03% 43,18% 11,74%
Summe 17,05% 82,95%
Konzernvorgaben 3,88% 11,24% 12,79% 34,88% 37,21%
Summe 15,12% 84,88%
erleben, geben die anderen 42% diesen Grund als „eher selten“ bis „nie“ an. Nur unwesentlich deutlicher wird die Aussage bei „Unwissenheit“ als Ursache: hier sind es ca. 47% der Daten-schutzbeauftragten, die diese Ursache häufig feststellten, 53% eher selten bis nie.
Deutlicher wird das Bild erst bei der „IT-Infrastruktur“ und bei den „Konzernvorgaben“ als mögliche Gründe: Hier sind es 83% bzw. 85% aller Befragten, die dieses „eher selten“ bis „nie“ als Ursache für Datenschutzverstöße erlebten. Diese Analyse unterstreicht den Bedarf an Schulungen der Mitarbeiterinnen und Mitarbeiter als wirksame Maßnahme zur Bekämpfung der wichtigsten Ursache für Datenschutzpannen.
8. In welchen Abteilungen verzeichnen Sie die meisten Datenschutzverstöße?
Verkauf, Vertrieb, Marketing und Kundenbetreuung sind nicht nur die Abteilungen mit den meisten personenbezogenen Daten. Sie bleiben auch 2014 wie 2012 an der Spitze der Daten-schutzverstöße.
3.8 16%
14%
12%
10%
9%
9%
5%
5%
4%
3%
3%
0%
90
82
71
56
54
52
30
27
25
20
17
2%; 12
2%; 11
2%; 11
1%; 8
1%; 6
1%; 6
1%; 1
Verkauf, Vertrieb
Marketingabteilung
Kundenbetreuung,ggf. Call Center
Internet-,Dateninfrastruktur
Personalabteilung
Administration,Technik
Buchhaltung,Rechnungswesen
Geschäftsführung
Poststelle
Fertigung,Produktion
Sonstiges
Öffentlichkeits-arbeit
Finanzen
Forschung,Entwicklung
Logistik,Materialwirtschaft
Hausverwaltung/-meisterei
Qualitätssicherung
Rechtsabteilung
4.3 DATENSCHUTZVERSTÖSSE IM UNTERNEHMEN
17
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
9. In welchen Abteilungen wird sich Ihrer Meinung nach am meisten mit Datenschutz auseinandergesetzt?
Aus den Befragungsergebnissen lässt sich ein sehr differen-ziertes Problembewusstsein in den einzelnen Abteilungen der Unternehmen ablesen: Während sich die Personalabtei-lungen am meisten mit den Datenschutzthemen auseinan-dersetzen, stehen sie trotzdem auf Platz fünf der Verstöße. Die Spitzenreiter bei den Datenschutzverstößen sind die Unternehmensbereiche „Verkauf, Vertrieb und Marketing“. Diese finden sich auch auf den unteren Plätzen, wenn es um die Befassung mit den Datenschutzthemen geht. Hier zeigt sich, wie bereits in der Datenschutzpraxis 2012, deutlich der erwartete Zusammenhang zwischen fehlender Kenntnis gesetzlicher Vorgaben und Datenschutzverletzungen.
3.918%
16%
11%
10%
9%
7%
6%
5%
4%
3%
3%
2%
2%
0%
147
128
85
82
73
52
50
42
30
25
23
19
18
1%; 10
1%; 5
1%; 5
1%; 4
0%; 2
Personalabteilung
Administration,Technik
Rechtsabteilung
Internet-,Dateninfrastruktur
Geschäftsführung
Kundenbetreuung,ggf. Call Center
Marketingabteilung
Buchhaltung,Rechnungswesen
Qualitätssicherung
Öffentlichkeitsarbeit
Verkauf, Vertrieb
Finanzen
Poststelle
Sonstige
Forschung,Entwicklung
Hausverwaltung/-meisterei
Fertigung,Produktion
Logistik,Materialwirtschaft
10. Wie oft beobachten Sie die folgenden aufgelisteten Datenschutzverstöße in Ihrem Unternehmen?
Datenschutzverstöße sind in Unternehmen genauso vielfältig, wie deren mögliche Ursachen. Das Gesetz unterscheidet bei den Ordnungswidrigkeiten zwischen eher formalen Verstößen, die mit einem Bußgeld bis zu 50.000€ geahndet werden, und materiell rechtlichen Verstößen, die mit einer Verletzung des Rechtes auf informationelle Selbstbestimmung Betroffener einhergehen und mit Bußgeldern bis zu 300.000€ geahndet werden können. Werden diese Taten mit einer Bereicherungs- oder Schädigungsabsicht vorsätzlich begangen, handelt es sich um Straftaten, die mit Freiheitsstrafe bis zu zwei Jahren bestraft werden können. In der Befragung wurden typische
häufig eher
häufig
eher
selten
selten nie
Unbefugter Zutritt in
betriebliche Räumlichkeiten
2,64% 10,94% 22,64% 39,25% 24,53%
Summe 13,58% 86,42%
Sorgloser Umgang mit
der IT-Infrastruktur
5,97% 33,21% 25,37% 27,61% 7,84%
Summe 39,18% 60,82%
Unbefugte Nutzung
von EDV-Anlagen
1,50% 8,24% 22,85% 33,33% 34,08%
Summe 9,74% 90,26%
Unrechtmäßige Erhebung
personenbezogener Daten
5,24% 20,97% 29,21% 26,97% 17,60%
Summe 26,22% 73,78%
Unbefugte Verarbeitung
personenbezogener Daten
3,33% 21,85% 28,15% 28,15% 18,52%
Summe 25,19% 74,81%
Unrechtmäßige Übermittlung
personenbezogener Daten
3,76% 17,29% 25,19% 30,08% 23,68%
Summe 21,05% 78,95%
Vertragswidrige Verarbeitung
personenbezogener Daten
1.15% 6.90% 18.39% 38.31% 35.25%
Summe 8,05% 91,95%
Unsachgemäße
Aufbewahrung
personenbezogener Daten
4,51% 21,05% 24,81% 33,83% 15,79%
Summe 25,56% 74,44%
Liegengebliebene
Dokumente in Druckern
6,74% 20,60% 27,72% 35,21% 9,74%
Summe 27,34% 72,66%
Unverschlüsselte, ungesi-
cherte IT- und EDV-Geräte
11,19% 22,01% 20,52% 30,97% 15,30%
Summe 33,21% 66,79%
4.3 DATENSCHUTZVERSTÖSSE IM UNTERNEHMEN
18
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Datenschutzverletzungen aus der Praxis abgefragt. Dabei handelt es sich sowohl um typisches Fehlverhalten von Mit-arbeitern (sorgloser Umgang, unbefugte Nutzung, unsachge-mäße Aufbewahrung, liegengebliebene Dokumente), als auch um fehlende Umsetzung der gesetzlich vorgeschriebenen organisatorischen Maßnahmen (unrechtmäßige Erhebung, Übermittlung, vertragswidrige und unbefugte Verarbeitung von personenbezogenen Daten) und technischen Maßnah-men (unverschlüsselte oder ungesicherte IT- und EDV-Gerä-te). Nach der Häufigkeit der Nennungen stehen der sorglose Umgang mit der IT-Infrastruktur, unverschlüsselte, ungesi-cherte IT- und EDV-Geräte und im Drucker liegengebliebene Dokumente an der Spitze der Datenschutzverstöße in den befragten Unternehmen. Die vertragswidrige Verarbeitung personenbezogener Daten hingegen bildet das Schlusslicht.
11. Ergriff Ihre Unternehmensleitung nach Entdeckung eines Datenschutzverstoßes Konsequenzen?
Die befragten Datenschutzbeauftragten haben die Erfahrung gemacht, dass 80% der festgestellten Datenschutzverstöße auch entsprechend geahndet werden. Im Gegensatz dazu blieben nach Angaben der Datenschutzbeauftragten in der Datenschutzpraxis 2012 knapp die Hälfte (49%) der Daten-schutzverstöße nach Entdeckung ohne Konsequenzen.
12. Welche Arten von Konsequenzen hatte die Entdeckung eines Datenschutzverstoßes?
47% der Datenschutzbeauftragten gaben an, dass ihrer Er-fahrung nach die Konsequenz bei Entdeckung eines Daten-schutzverstoßes lediglich die Beseitigung des Mangels dar-stellt. Weitere Konsequenzen stellten häufig Schulungen der
3.11
51 20% 80% 209
nein ja
3.12
47%
36%
9%
236
182
47
3%; 14
2%; 13
2%; 11
Beseitigungdes Mangels
Schulung derbetroffenen Mitarbeiter
Abmahnung derbetroffenen Mitarbeiter
Kündigung derbetroffenen Mitarbeiter
Sonstiges
Kündigung desDienstleisters
betroffenen Mitarbeiter dar (36%), um weitere Datenschutz-verstöße in Zukunft zu vermeiden. Seltener wurden drasti-schere Maßnahmen ergriffen, indem die betroffenen Mitar-beiter abgemahnt (9%), gekündigt (3%) beziehungsweise dem Dienstleister gekündigt (2%) wurde.
13. Wie zufrieden sind Sie mit den Konsequenzen?
Die betrieblichen Datenschutzbeauftragten haben selbst keine Kompetenz, Verstöße gegen das Datenschutzrecht zu ahnden, und auch keine Pflicht, Verstöße der zuständigen Aufsichtsbehör-de mitzuteilen. Hier sind sie vielmehr auf die Unternehmensleitung und deren Bereitschaft angewiesen, aus Verstößen und Fehlver-halten Konsequenzen zu ziehen. In den Fällen, in denen festgestellte Datenschutzverstöße geahn-det wurden, zeigen sich die befragten Datenschutzbeauftragten zu 74% mit den Konsequenzen „kaum“ oder „gar nicht“ zufrieden. Diese Unzufriedenheit lässt sich eventuell mit zu geringen Konse-quenzen (47% gaben an, dass diese lediglich die Beseitigung des Mangels darstellte) begründen. Dieses Ergebnis ist überraschend, wenn man es mit den Umfragewerten der Datenschutzpraxis 2012 vergleicht. Damals war die Mehrzahl der Datenschutzbeauftragten (63%) mit den Konsequenzen „ziemlich“ oder „sehr“ zufrieden.
4.4 Der Datenschutzbeauftragte im Unternehmen1. Wie viele Kunden (Unternehmen) betreuen Sie zusätzlich neben diesem Unternehmen als Datenschutzbeauftragter?
Gefragt wurde nach der Anzahl der Unternehmen und der Mitar-beiter im Durchschnitt der letzten zwei Jahre. 159 der Befragten betreuen keine weiteren Unternehmen als externe Datenschutz-beauftragte. 112 Datenschutzbeauftragte betreuen insgesamt 658 weitere Unternehmen (durchschnittlich 5,8 Unternehmen pro Kopf) mit 31.028 Mitarbeiterinnen und Mitarbeitern (durch-schnittlich 277 pro Beauftragter).
Mit dieser Frage können nun die Ergebnisse der Befragung 2012 besser interpretiert werden: Von den 63 an der Befragung 2012 teilnehmenden externen Datenschutzbeauftragten betreuten neun (14%) nur einen weiteren Kunden, 2014 trifft dies für 29 von 112 zu (25%).
3.13
61%
23%
13%
155
60
34
3%; 7
kaum
ziemlich
gar nicht
sehr
4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN
19
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
2012 betreuten 38 Befragte (60%) zwei bis zehn weitere Unter-nehmen, 2014 sind dies 66 (59%).
2012 haben sieben befragte Datenschutzbeauftragte (11%) weite-re elf bis 20 Kunden betreut, 2014 sind es 18 (16% der Befragten). In der Umfrage 2014 hat ein Befragter angegeben, 50 weitere Unternehmen mit 600 Mitarbeitern zu betreuen. Diesem stehen dann aber auch ein Budget von 1,1 Mio. Euro und 8,5 weitere Mitarbeiter zur Verfügung.
2. Wie lange sind Sie bereits in Ihrem Unternehmen als Datenschutzbeauftragter bestellt?
Insgesamt haben die 263 bei dieser Frage teilnehmenden Daten-schutzbeauftragten innerhalb des gleichen Unternehmens 1602 Jahre Datenschutzerfahrung gesammelt, also ergibt sich daraus eine durchschnittliche Bestellungszeit von 5,9 Jahren.
Bei Betrachtung der Bestellungszeit in Relation zu der Größe der jeweiligen Unternehmen, in der die Datenschutzbeauftragen tätig sind, fällt auf, dass die Länge der Bestellungszeit mit der Größe des Unternehmens korreliert. Je größer das Unternehmen, desto länger ist meist auch die Bestellungszeit.
4.2
85%
64%
45% 42%
25%
15%
25%
33%46%
50%
5%
16% 25%
5% 6%13%
bis 50 bis 500 bis5.000
bis50.000
über50.000
keine Angabe
> 15 Jahre
11 bis 15 Jahre
6 bis 10 Jahre
1 bis 5 Jahre
< 1 Jahr
40 122 82 24 4
3. Sind Sie in Ihrem Unternehmen allen Mitarbeitern als Datenschutzbeauftragter bekannt?
4.3
76%
24%
0%
206
66
0%; 0
ja
teilweise
nein
Aufgrund der Funktion des Datenschutzbeauftragten einer-seits als fachlicher Berater, andererseits aber auch als Be-schwerdeinstanz für Mitarbeiter bei Datenschutzverstößen, ist dessen persönliche Bekanntheit im Unternehmen über-wiegend eine Selbstverständlichkeit. 76% der Datenschutz-praktiker gaben an, in ihrem Unternehmen als Datenschutz-beauftragter bekannt zu sein und die restlichen 24% gaben an, zumindest teilweise bekannt zu sein. Im Jahr 2012 gaben noch 86% der befragten Datenschutzbeauftragten an, in ihrem Unternehmen bekannt zu sein und nur 13% waren nur teilweise bekannt. Hier wird eine Verschiebung in der Struktur der teilnehmenden Datenschutzbeauftragten deutlich.
4. Können Sie der Tätigkeit als Datenschutzbeauf-tragter fachlich unabhängig nachkommen?
4.4
82%
16%
222
44
2%; 6
ja
teilweise
nein
Nur 82% der Datenschutzbeauftragten schätzen ein, dass sie ihrer Tätigkeit fachlich unabhängig nachkommen können, obwohl diese Unabhängigkeit gesetzlich zwingende Voraus-setzung der Wirksamkeit der Bestellung ist. Als mögliche Ursachen für die Einschränkungen ergeben sich aus der Aus-wertung der Befragungsergebnissen zu den Fragen 4.4.6 und 4.4.10, dass sowohl die Unterstützung durch die Geschäfts-führung als auch die personelle Unterstützung teilweise als unzureichend beurteilt wurde.
4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN
20
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
5. Sind Sie der Meinung, dass die Geschäftsführung ihre Pflichten im internen Datenschutzmanagement erfüllt?
Die Teilnehmer wurden zu ihrer Ausstattung mit Räumen, Zeit und Hilfspersonal, Ermöglichung von Schulungen und Übernah-me deren Kosten sowie zur Unterstützung des DSB durch Be-nennung von Ansprechpartnern in den Abteilungen befragt.
Etwa die Hälfte der Datenschutzbeauftragten (54%) gab an, dass die Geschäftsführung ihrer Meinung nach ihre Pflichten im inter-nen Datenschutzmanagement erfüllt und weitere 40% gaben an, dass die Geschäftsführung diese immerhin teilweise erfüllt. Mög-liche Gründe dafür, dass 6% der Datenschutzbeauftragten diese Frage mit „Nein“ beantworteten, ergeben sich aus der Auswer-tung der Befragungsergebnisse der folgenden Fragen. Bemängelt wurden unter anderem die Unterstützung durch die Geschäfts-führung, die personelle Unterstützung und der geringe Einbezug der Datenschutzbeauftragten bei Projekten.
6. Wie beurteilen Sie die Unterstützung Ihrer Tätigkeit als Datenschutzbeauftragter durch die Geschäftsführung?
4.6
42%
37%
17%
4%
113
100
46
11
ausreichend
eherausreichend
eherunzureichend
unzureichend
Immerhin 21% der befragten Datenschutzbeauftragten beurteilen die Unterstützung ihrer Tätigkeit durch die Ge-schäftsführung als „unzureichend“ oder „eher unzureichend“, während 79% die Unterstützung als „ausreichend“ oder „eher ausreichend“ erachten. Dennoch ist hier im Vergleich zu dem Ergebnis dieser Frage in der Datenschutzpraxis 2012 eine Verbesserung zu erkennen. Damals beurteilten noch 33% die Unterstützung der Geschäftsführung als unzureichend.
4.5
54%
40%
6%
147
109
16
ja
teilweise
nein
7.1 Wie viel Budget steht Ihnen für Ihre Tätigkeit als Datenschutzbeauftragter jährlich zur Verfügung?
Exklusive eventueller Personalkosten oder anderer unterneh-mensinterner Verrechnungen.
4.7
42%
27%
10%
7%
7%
115
74
26
19
19
4%; 10
2%; 5
1%; 3
keine Angaben
bis 5.000
kein Budget
bis 10.000
bis 50.000
nach Anfrage
bis 100.000
über 100.000
7.2 In welcher Form können Sie über das Budget verfügen?
4.7.2
183 80% 20% 47
nach Genehmigungim Einzelfall
als festes Budget zurVerfügung des DSB
4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN
21
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
7.3 Wie hoch ist das Budget eines Datenschutzbe-auftragten nach Unternehmensgröße?
4.7 (+2.5)
13% 15%
4%
35%25%
30%21%
3%
6%
7% 21%
3%3% 11%
17%
25%
8%
25%
4%
3%5%
4%
45% 47%40%
25%
50%
bis 50 bis 500 bis5.000
bis50.000
über50.000
keine Angabe
nach Anfrage
über 100.000
bis 100.000
bis 50.000
bis 10.000
bis 5.000
kein Budget
40 122 82 24 4
Das jährliche Budget der Datenschutzbeauftragten, die diese Fra-ge beantwortet haben, liegt bei durchschnittlich 18.822 €. Dieses Ergebnis erscheint aufgrund der Konkretisierung der Fragestel-lung realistischer, als das der Datenschutzpraxis 2012, wo das an-gegebene Budget der Datenschutzbeauftragten durchschnittlich 70.596 € betrug. Offensichtlich hatten 2012 die meisten Daten-schutzbeauftragen die Personalkosten ins Budget einberechnet. 10% der befragten Datenschutzbeauftragten geben an, kein Budget zur Verfügung zu haben, wobei die Frage insgesamt nur von 156 Datenschutzbeauftragten beantwortet wurde.
Im zweiten Teil der Frage ist zu erkennen, dass die deutliche Mehrheit der Datenschutzbeauftragten (80%) ihr Budget, wie erwartet, nur auf Anfrage erhält.
Mit der Größe des Unternehmens steigt auch die Höhe des Bud-gets. Jedoch bleibt zu beachten, dass das Ergebnis aufgrund einer zu geringen Anzahl an Antworten (lediglich 156 von 272 befragten Datenschutzbeauftragten haben diese Frage beantwortet) nicht repräsentativ ist.
Die geringen Prozentzahlen der angegebenen „Mehrheiten“ kommen dadurch zustande, dass die fehlenden Angaben der restlichen 115 Datenschutzbeauftragten als „keine Angabe“ in die Statistik integriert wurden. Darunter entfällt auf Unternehmen mit bis zu 50 Mitarbeitern hauptsächlich ein Budget von bis zu 5.000€ (35%), auf Unternehmen mit bis zu 500 Mitarbeitern meist bis zu 5.000€ (25%) oder auch bis zu 10.000€ (6%), auf Unternehmen mit bis zu 5.000 Mitarbei-ter meist bis zu 5.000€ (30%), bis 10.000€ (7%) oder bis zu 50.000€ (11%). In größeren Unternehmen mit bis 50.000 Mit-arbeitern beträgt das Budget meist bis zu 5.000€ (21%), bis zu 10.000€ (21%) oder auch bis zu 50.000€ (17%). Bei Unter-nehmen mit mehr als 50.000 Mitarbeitern beträgt es meist bis 50.000€ oder bis zu 100.000€.
8. Wie beurteilen Sie die Höhe dieses Budgets?
4.8
39%
27%
22%
11%
98
68
56
28
ausreichend
eherausreichend
eherunzureichend
unzureichend
Ähnlich wie in der Datenschutzpraxis 2012, beurteilte mit 66% die Mehrheit der befragten Datenschutzbeauftragten ihr Budget als „ausreichend“ oder „eher ausreichend“.
9. Wie viele Mitarbeiter stehen Ihnen als ausdrücklich benannte Ansprechpartner, als Hilfspersonal oder Teil der Datenschutzorganisation bei der Ausübung Ihrer Tätigkeit direkt zur Verfügung?4.9
47%
29%
8%
8%
129
79
22
22
4%; 12
3%; 7
0%; 0
keiner
einer
zwei
3 bis 9
keineAngaben
10 bis 50
mehr als50
4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN
22
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
261 befragte Datenschutzbeauftragte gaben an, dass Ihnen durchschnittlich 1,7 Mitarbeiter bei der Ausübung ihrer Tätigkeit direkt zur Verfügung stehen. Das sind immerhin durchschnittlich 30% mehr Mitarbeiter zur Unterstützung als bei den Umfrage-ergebnissen der Datenschutzpraxis 2012. Jedoch bestätigt sich hier weiterhin das Bild vom Datenschutzbeauftragten als „Einzel-kämpfer“ im Unternehmen.
Die folgende Tabelle verdeutlicht den Zusammenhang zwi-schen der Anzahl der Datenschutzmitarbeiter und der Unter-nehmensgröße in Deutschland:
4.9 (+2.5)
45%53%
45%38%
35%
29%
30%
17%
25%
8%7%
10%
4%
25%
5%7%
6%
25%
25%
4%
8% 25%
4% 5% 8%
bis 50 bis 500 bis5.000
bis50.000
über50.000
keine Angabe
mehr als 50
10 bis 50
3 bis 9
zwei
einer
keiner
40 122 82 24 4
10. Wie beurteilen Sie die personelle Unterstützung?
4.10
34%
31%
20%
15%
89
83
52
41
ausreichend
eher unzureichend
eher ausreichend
unzureichend
Immerhin 54 % der Datenschutzbeauftragten beurteilen das zur Unterstützung bereitgestellte Personal als „ausreichend“ oder „eher ausreichend“ zur Erfüllung ihrer Aufgaben. 46% der Daten-schutzbeauftragten sind damit jedoch unzufrieden. Obwohl Ihnen mit 1,7 Mitarbeitern im Vergleich zu den Ergeb-nissen der Datenschutzpraxis 2012 30% mehr Mitarbeiter zur Unterstützung bereitgestellt wurden, haben 2014 mehr Daten-schutzbeauftragte die personelle Unterstützung als „eher unzu-reichend“ oder „unzureichend“ beurteilt.
11. Wie kooperativ beurteilen Sie die Fachabteilungen in der Zusammenarbeit im Datenschutz?4.11
55%
31%
13%
148
85
35
1%; 3
eherkooperativ
kooperativ
eherunkooperativ
unkooperativ
Die weit überwiegende Anzahl von Datenschutzbeauf- tragten erlebt, wie bereits in der Datenschutzpraxis 2012 zu erkennen, die Fachabteilungen im Unternehmen als koopera-tiv. Diese Antwort spiegelt auch die besondere Situation der befragten Datenschutzbeauftragten wider, die oft bereits langjährig in einem Unternehmen tätig sind.
4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN
23
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
12. Bitte ordnen Sie die Erforderlichkeit folgender Fachkundebereiche für Ihre Tätigkeit:
1 am meisten - 6 am wenigsten
Durchschnitt
Audit, Revision 3,53
Betriebswirtschaft 4,70
Datenschutzrecht 1,63
IT-Sicherheit 2,31
Kommunikation 2,85
Organisation 3,09
Im Ranking der für die Tätigkeit als Datenschutzbeauftragter erforderlichen Fachkunde steht das Datenschutzrecht wei-terhin, wenig überraschend, an erster Stelle (durchschnittlich 1,63), bereits dicht gefolgt von Fragen der IT-Sicherheit (2,31), Kenntnissen der betrieblichen Kommunikation (2,85) und Organisation (3,09). Kenntnisse in Auditierungen (3,53) und der Betriebswirtschaft (4,7) werden von den Befragten als am wenigsten erforderlich gewichtet. Der Benotungswert der datenschutzrechtlichen Kenntnisse hat sich allerdings von 2,18 in 2012 auf 1,63 verbessert, was eine zunehmende Verrechtlichung des Themas unterstreicht.
13. Bitte ordnen Sie die folgenden Tätigkeiten danach, wie viel Zeit sie in Anspruch nehmen:
1 am meisten - 6 am wenigsten
Durchschnitt
Anfragen von Mitarbeitern 3,26
Beratung der Geschäftsführung 3,78
Durchführung von Schulungen 3,56
Externe Betroffenenanfragen 5,40
Interne Audits und Kontrolle 3,62
Kontrollen von Auftragsdatenverarbeitern
4,16
Pflege Verfahrensverzeichnis 3,68
Das Ranking der zeitlichen Inanspruchnahme der Daten-schutzbeauftragten führen interne Anfragen (3,26) vor der Durchführung von Schulungen (3,56), der Durchführung von Audits und Kontrollen (3,62) und der Pflege des Verfahrens-verzeichnisses (3,68) sowie der Beratung der Geschäftsfüh-rung (3,78) an. Am wenigsten Zeit nehmen Kontrollen von Auftragsdatenverarbeitern (4,16) und externe Anfragen (5,4) in Anspruch. Dieses Ergebnis lässt vermuten, dass die Mög-lichkeit der Beschwerde beim betrieblichen Datenschutzbe-auftragten für die Betroffenen außerhalb der Unternehmen
kaum bekannt ist, oder jedenfalls selten genutzt wird. Diese Gewichtung entspricht dem Ergebnis zu dieser Frage in der Datenschutzpraxis 2012.
14. In welcher Phase werden Sie in der Regel in Projekte einbezogen?
4.14
49%
26%
15%
10%
131
71
41
27
Planungsphase
Wirkbetrieb
gar nicht
Investitionsentscheidungzu Projektbeginn
Nur eine frühzeitige Einbeziehung des Datenschutzbeauftragten kann Fehlentscheidungen und Fehlinvestitionen verhindern. 49% der Datenschutzbeauftragten gaben an, bereits in der Planungs-phase für Projekte zur datenschutzrechtlichen Bewertung einbe-zogen zu werden, 10% werden bei der Investitionsentscheidung zu Projektbeginn einbezogen und 26% erst im Wirkbetrieb. 15% der Datenschutzbeauftragten werden jedoch gar nicht in Projek-te einbezogen.
4.5 Das Verfahrensverzeichnis1. Wird ein Verfahrensverzeichnis in Ihrem Unternehmen geführt?
5.1
22; 8% 92% 247
nein ja
Immerhin 8% der befragten Datenschutzbeauftragten gaben an, dass das Unternehmen kein Verfahrensverzeichnis führt. Da es beim gegenwärtigen Stand der Verwendung automatisierter Datenverarbeitungsanlagen äußerst unwahrscheinlich ist, dass Unternehmen keinerlei personenbezogene Daten automatisiert verarbeiten, stellt das Fehlen des Verfahrensverzeichnisses gem. § 4g Abs. 2 BDSG einen Verstoß gegen die Pflichten des Unter-nehmens dar, das dieses Verzeichnis dem Datenschutzbeauf-tragten zur Verfügung stellen muss.
Die Auswirkungen eines fehlenden Verfahrensverzeichnisses sind vielfältig. Weder kann der Datenschutzbeauftragte, wie ge-setzlich gefordert, die öffentlichen Teile des Verzeichnisses jeder-mann auf Antrag zur Verfügung stellen, noch ist der Datenschutz-beauftragte in der Lage zu prüfen, ob und welche Verfahren der Vorabkontrolle unterliegen. Ihm fehlt zudem der Überblick über die im Unternehmen vorhandenen Datenverarbeitungsvorgänge, was auch die Beratung bei Löschungs-, Berichtigungs- und Aus-kunftsersuchen deutlich erschwert.
4.5 DAS VERFAHRENSVERZEICHNIS
24
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Zwar ist das Fehlen eines Verfahrensverzeichnisses nicht mit einem Bußgeld direkt bedroht, das fehlende Verfahrensver-zeichnis kann aber zu unentdeckt unzulässigen Verfahren und damit indirekt zu vermeidbaren Nachteilen für das Unterneh-men führen.
2. Wie viele Verfahren werden in Ihrem Verfahrensverzeichnis geführt?
5.2 (+2.5)
3% 3%
45%
23%20%
4%
40%
52%
43%
42%
25%
5%
11%
12%
25%
10%
46%
4%
25%
8% 9%13%
4%
25%
bis 50 bis500
bis5.000
bis50.000
über50.000
keine Angabe
über 500
101 bis 500
51 bis 100
11 bis 50
1 bis 10
0
40 121 82 24 4
In der Übersicht aller automatisierten Verfahren sind insbeson-dere die verantwortliche Stelle, der Kreis der Betroffenen, die Art der Daten, die Zweckbestimmung und die Vorkehrungen zur Datensicherheit zu dokumentieren. Befragt nach der Anzahl der einzelnen Verfahren innerhalb einer Verfahrensübersicht gaben die Datenschutzbeauftragten im Durchschnitt 57 Verfahren an. Diese Anzahl variiert natürlich mit der Größe des Unternehmens erheblich. So gaben 25% der Datenschutzbeauftragten in Unter-nehmen mit mehr als 50.000 Mitarbeitern an, über 500 einzelne Verfahren im Verfahrensverzeichnis zu führen.
Diese Zahlen machen deutlich, dass es sich um eine gewaltige organisatorische Arbeit handelt, die erhebliche Ressourcen be-nötigt. In der Gruppe der Unternehmen mit bis zu 50 Mitarbeitern enthalten beinahe 90% der Verfahrensverzeichnisse hingegen nicht mehr als 50 unterschiedliche Verfahren.
3.1 Sind alle Verfahren Ihres Unternehmens im Verzeichnis erfasst?
5.3
158 62% 38% 96
nein ja
3.2 Wie viel Prozent der Verfahren sind erfasst?
5.3.1 (+2.5)
7%13%
15%
15% 15%
9%
10%11%
8%
13%
15%17%
33%
35%
35%31%
46%33%
26%
15%
15%23%
4% 3%9% 8%
33%
bis 50 bis500
bis5.000
bis50.000
über50.000
keine Angabe
über 80 %
61% bis 80%
41% bis 60 %
21% bis 40%
1% bis 20%
0%
23 60 54 13 3
Lediglich 38% der befragten Datenschutzpraktiker gaben an, dass alle Verfahren ihres Unternehmens im Verfahrensverzeich-nis erfasst werden. Da diese Übersicht aller automatisierten Verfahren jedoch vollständig sein muss, stellt das Fehlen dieser Verfahren im Verfahrensverzeichnisses gem. § 4g Abs. 2 BDSG einen Verstoß gegen die Pflichten des Unternehmens dar. Die Befragten, welche angaben, dass ihr Verfahrensverzeichnis un-vollständig sei, wurden zum genaueren Verständnis nach Pro-zentangaben der Vollständigkeit des Verfahrensverzeichnisses gefragt. Durchschnittlich wurde hierbei ein Vollständigkeitsgrad von etwa 60% genannt. Zur Erfassung eventueller Besonder-heiten in den unterschiedlichen Unternehmensgrößen wurden diese mit den kategorisierten Prozentangaben des Vollstän-digkeitgrades des Verfahrensverzeichnisses in Relation gesetzt.
4.5 DAS VERFAHRENSVERZEICHNIS
25
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Dabei fielen jedoch keine spezifischen Besonderheiten bezüglich der Unternehmensgröße auf. Die größte oder mitgrößte Katego-rie bildete hierbei bei jeder Unternehmensgröße die mit einem Vollständigkeitsgrad von 61% - 80%. Diese Ergebnisse können jedoch aufgrund der zu geringen Stichprobe nicht als repräsen-tativ angesehen werden.
4. Gibt es einen Regelprozess, der die Aktualität des Verfahrensverzeichnisses sicherstellt?
5.4
155 59% 41% 108
nein ja
Das Verfahrensverzeichnis unterliegt einem ständigen Wan-del durch jede Veränderung innerhalb der abgebildeten Ver-fahren, aber auch durch Änderungen der technisch-organi-satorischen Maßnahmen im Unternehmen. Zur Sicherstellung der Aktualität des Verzeichnisses ist ein unternehmensinter-ner Prozess erforderlich. Einen solchen Prozess haben nach Angaben der Datenschutzbeauftragten 108 von 263 Unter-nehmen (41%) eingeführt.
5. Stellt Ihr Unternehmen Ihnen eine Verarbeitungs-übersicht, wie gesetzlich gefordert, zur Verfügung?
5.5
155 60% 40% 105
nein ja
Nach den Vorschriften des BDSG ist es Aufgabe des Unterneh-mens, dem Datenschutzbeauftragten die Übersicht über die Ver-fahren automatisierter Datenverarbeitung (Verarbeitungsüber-sicht) zur Verfügung zu stellen. In der Praxis ist es jedoch gerade bei der ersten Bestellung eines Datenschutzbeauftragten oft der Fall, dass dieser erst selbst das Verfahrensverzeichnis erstellen muss. Mit der Verneinung dieser Frage durch 60% der Daten-schutzbeauftragten wird im Vergleich zur Beantwortung der Frage 4.5.1 deutlich, dass hier nicht die Unternehmen das Ver-fahrensverzeichnis erstellt und dem Datenschutzbeauftragten zur Verfügung gestellt haben – wie es das Gesetz postuliert –, sondern der Datenschutzbeauftragte selbst dieses Verfahrens-verzeichnis erstellt hat. Aufgrund der hohen Anforderungen an die Verfahrensübersichten kann es sich aber auch als vorteilhaft erweisen, wenn der Datenschutzbeauftragte jedenfalls eng in das Verfahren eingebunden ist.
Verglichen mit den Umfrageergebnissen dieser Frage in der Da-tenschutzpraxis 2012 zeichnet sich hierbei ein überraschendes
Bild ab. 2012 haben noch 28% der befragten Datenschutzbe-auftragten die Frage mit Nein beantwortet. Dieses Jahr ist diese Zahl mit 60% um 32% gestiegen. Das deutet darauf hin, dass die Frage in 2012 noch nicht hinreichend konkret formuliert war. Damals fragten wir danach, ob das Unternehmen eine Ver-fahrensübersicht zur Verfügung stellt. Dies haben wohl einige Befragte als die Zur-Verfügung-Stellung an Jedermann interpre-tiert. Mit der Konkretisierung der Fragestellung wird nun deut-lich, dass die Pflicht der Unternehmen gegenüber dem eigenen Datenschutzbeauftragten noch viel häufiger unerfüllt bleibt, als 2012 befürchtet.
6. Wie viele Auskunftsersuche von Kunden erhält Ihr Unternehmen pro Jahr?5.6 (+2.5)
45% 46%
30%
8%
45% 43%
43%
50%
25%
8%3%
16%
25%
25%
4%8%
25%
4%5% 6% 4%
25%
bis 50 bis 500 bis5.000
bis50.000
über50.000
keine Angabe
mehr als 1000
501 bis 1000
101 bis 500
11 bis 100
1 bis 10
keine
40 122 82 24 4
Durchschnittlich erhielten die Unternehmen jährlich jeweils 231 Auskunftsersuche von Kunden. Zur Erfassung eventueller Be-sonderheiten in den unterschiedlichen Unternehmensgrößen wurden diese mit den nach Anzahl kategorisierten Auskunftser-suchen im Jahr in Relation gesetzt. Dabei wurde deutlich, dass die Anzahl der Auskunftsersuche, wie erwartet, mit der steigenden Unternehmensgröße korreliert.
4.5 DAS VERFAHRENSVERZEICHNIS
26
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
7. Gibt es einen Regelprozess zur Einsichtnahme des öffentlichen Teils des Verfahrensverzeichnisses für Jedermann?
5.7
125 48% 52% 135
nein ja
Obwohl es die Pflicht des Datenschutzbeauftragten ist, auf An-trag den öffentlichen Teil des Verfahrensverzeichnisses für Jeder-mann zugänglich zu machen, gibt es nur in 52% der Unterneh-men der befragten Datenschutzbeauftragten einen Regelprozess hierfür. Zwar ist der Verstoß gegen die Pflicht ein solches Verfah-rensverzeichnis auf Antrag Jedermann zur Verfügung zu stellen nicht direkt mit einem Bußgeld bedroht, jedoch ist anzunehmen, dass die Personen, die nach einem solchen Verzeichnis fragen, datenschutzaffin genug sind, um bei einem Ausbleiben des Ver-zeichnisses die Aufsichtsbehörde(n) einzuschalten. Dies kann dann weitere Fragen – etwa auch nach dem internen Verfah-rensverzeichnis – nach sich ziehen.
8. Sind die Fachabteilungen in die Erstellung und Aktualisierung des Verfahrensverzeichnisses mit eingebunden?
5.8
68 26% 74% 192
nein ja
Die Erstellung und Aktualisierung der Verfahrensbeschreibungen erfolgt, ähnlich wie in der Datenschutzpraxis 2012, nur in 74% der Unternehmen unter Einbindung der Fachabteilungen.
9. Erstellen Sie das Verfahrensverzeichnis selber?
5.9
45 17% 83% 216
nein ja
Die befragten Datenschutzbeauftragten, die meist über lang-jährige Erfahrungen in der Anwendung des Datenschutzrechts verfügen, erstellen das Verfahrensverzeichnis zu 83% selbst, als dies durch die Fachabteilungen allein erledigen zu lassen. Im Vergleich zur Datenschutzpraxis 2012 ist diese deutliche Mehr-heit von 60% um 23% gestiegen. Hier bestätigt sich offen-sichtlich die Tendenz, dass die Datenschutzbeauftragten nicht, wie vom Gesetzgeber gefordert, die bloßen „Empfänger“ der Verfahrensverzeichnisse sind, sondern aktiv in deren Erstellung und Aktualisierung eingebunden sind.
10. Wie üben Sie als Auftraggeber die Kontrolle im Rahmen der Datenverarbeitung im Auftrag aus?
5.10
35%
31%
13%
11%
164
145
59
53
4%; 19
4%; 17
2%; 9
mittels einerSelbstkontrolle
durch Einholungbestehender Zertifizierungen
findet nicht statt
sonstigeKontrollmaßnahme
durch einen vom Unternehmenbezahlten Dienstleister
Vor-Ort-Audits
durch einenunabhängigen Dritten
Gemäß § 11 BDSG bleibt der Auftraggeber datenschutzrechtlich verantwortlich, wenn er Dritte mit der Verarbeitung personenbe-zogener Daten beauftragt. Er hat umfangreiche Kontrollpflichten, die er jedoch selbstbestimmt wahrnehmen kann. Eine bestimmte Art der Kontrolle ist gesetzlich nicht vorgegeben. Selbstkontrolle (35%) und die im Vergleich zu 2012 um 10% gestiegene Anzahl der Einholung von Zertifizierungen (31% der Gesamtnennungen), gehören zu den meistgenannten Kontrollverfahren. Allerdings ga-ben auch 13% der Befragten trotz der offensichtlichen Rechts-widrigkeit an, dass keine Kontrollen stattfinden. Nur in wenigen Einzelfällen wurden Vor-Ort-Audits durchgeführt, vom Unterneh-men bezahlte Dienstleister oder unabhängige, vom Auftragneh-mer bezahlte Dritte, hinzugezogen.
4.6 Zertifizierung1. Hat Ihr Unternehmen bereits eine Datenschutz-zertifizierung (wie z.B. EuroPriSe, ULD oder ähnliches, für Produkte oder Dienstleistungen, Verfahren oder Unternehmensprozesse) erhalten?
6.1
254 95% 5%; 12
nein ja
Bisher haben 5% der Unternehmen eigene Erfahrungen mit ei-ner Datenschutzzertifzierung sammeln können. 2012 hatten die-se Frage 7% der Unternehmen mit Ja beantwortet. Die Situation hat sich nicht wesentlich verändert.
4.6 ZERTIFIZIERUNG
27
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
2. Ist Ihr Unternehmen an einer Datenschutzzertifizierung interessiert?
6.2
214 82% 18% 46
nein ja
18% der Datenschutzbeauftragten schätzen ein, dass ihr Unter-nehmen an einer Datenschutzzertifizierung interessiert ist, 2012 waren dies 21%.
3. Wenn Sie eine Datenschutzzertifizierung bereits in Betracht gezogen haben, warum wurde eine solche dann nicht durchgeführt?
6.3
28%
19%
19%
16%
13%
6%
92
63
62
52
42
19
zu hohe Kosten der Zertifizierung
unklare Akzeptanz durchdie Aufsichtsbehörden
zu hohe interne Kosten
zu hohe Kosteneiner externen Prüfung
fehlendeinternationale Akzeptanz
Risiko des Nicht-Bestehens
Nach Angaben der Datenschutzpraktiker wurde eine Daten-schutzzertifizierung in ihren Unternehmen hauptsächlich auf-grund der zu hohen Kosten (28% der Gesamtnennungen) nicht durchgeführt. Als weitere Gründe wurden unklare Akzeptanz (19%) durch die Aufsichtsbehörden, zu hohe interne Kosten (19%) und zu hohe Kosten einer externen Prüfung (16%) aufge-führt. Am seltensten wurden fehlende internationale Akzeptanz (13%) sowie das Risiko des Nichtbestehens (6%) genannt.
4. Erachten Sie eine Datenschutzzertifizierung Ihres Unternehmens als sinnvoll?
6.4
146 57% 43% 112
nein ja
Fast die Hälfte (43%) der befragten Datenschutzbeauftragten würden eine Datenschutzzertifizierung ihres Unternehmens als sinnvoll erachten. Bei der Betrachtung der Umfrageergebnis-se dieser und der vorherigen Fragen 4.6.1-4.6.3 wird somit wie
erwartet deutlich, dass Unternehmen, beziehungsweise deren Datenschutzbeauftragte, zwar an einer Datenschutzzertifizierung interessiert sind und eine solche auch in Betracht ziehen, die-se jedoch meistens aufgrund von zu hohen Kosten bisher nicht durchgeführt haben.
4.7 Aufsichtsbehörden1. Bitte nehmen Sie Stellung zu den folgenden Aussagen: Aufsichtsbehörden...
stimme
zu
stimme
eher zu
stimme eher
nicht zu
stimme
nicht zu
keine
Meinung
Müssen mehr kontrollieren 16,09% 29,50% 25,67% 21,84% 6,90%
Summe 45,59% 47,51%
Sollen weniger kontrollieren 3,11% 12,06% 24,90% 48,64% 11,28%
Summe 15,18% 73,54%
Sollten ausschließlich
kontrollierend tätig sein
5,43% 7,36% 20,93% 58,91% 7,36%
Summe 12,79% 79,85%
Müssen beratend tätig sein 54,75% 37,64% 4,18% 2,66% 0,76%
Summe 92,40% 6,84%
Können sowohl beratend, als
auch kontrollierend tätig sein
44,27% 44,66% 7,63% 1,91% 1,53%
Summe 88,93% 9,54%
Sollten Schulungen anbieten 46,36% 29,89% 11,88% 10,73% 1,15%
Summe 76,25% 22,60%
Sollten Zertifizierungen anbieten 30,53% 31,68% 16,03% 15,27% 6,49%
Summe 62,21% 31,30%
Die Begeisterung der Datenschutzbeauftragten für aufsichtsbe-hördliche Kontrollen hält sich in Grenzen: Trotzdem wünschen sich 46% der Befragten mehr Kontrollen. Nahezu übereinstim-mend fordern die Datenschutzbeauftragten mehr beratende Tätigkeit der Aufsichtsbehörden (92%) und die Durchführung von Schulungen (76%). Ebenfalls die Mehrheit (62%) der Da-tenschutzbeauftragten fordern zudem Zertifizierungen durch die Aufsichtsbehörden.
Im Vergleich zu den Umfragewerten dieser Frage in der Daten-schutzpraxis 2012 sind die Tendenzen in die jeweiligen Richtun-gen weiter bekräftigt worden und fielen noch eindeutiger aus.
2. Denken Sie, dass Aufsichtsbehörden zu wenig konsequent durchgreifen?
7.2
146 56% 44% 114
nein ja
44% der befragten Datenschutzpraktiker beurteilen die Auf-sichtsbehörden als zu wenig konsequent. Damit nimmt, im Ver-gleich zu 2012, ein um 11% gestiegener Teil der Datenschutzbe-auftragten die Aufsichtsbehörden eher als „zahnlose Tiger“ wahr. Diese Tendenz sollte die Aufsichtsbehörden alarmieren.
4.7 AUFSICHTSBEHÖRDEN
28
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
3. Denken Sie, dass Datenschutzverstöße durch die Aufsichtsbehörden ausreichend verfolgt werden?
7.3
135 53% 47% 122
nein ja
53% der Datenschutzbeauftragten haben die Erfahrung gemacht, dass Datenschutzverstöße nicht ausreichend durch die Aufsichtsbehörden verfolgt werden. Dieses Meinungsbild wird durch den Vergleich zur Datenschutzpraxis 2012 sowie durch Be-trachtung der Ergebnisse der vorherigen Frage verdeutlicht. Im Vergleich zur Datenschutzpraxis 2012 ist diese Einschätzung immerhin um weitere 5 Prozentpunkte gestiegen. Bei der Fra-ge 4.7.2 haben 44% der Datenschutzpraktiker angegeben, dass die Aufsichtsbehörden ihrer Meinung nach zu inkonsequent sind. Diese Zahl ist im Vergleich zur Datenschutzpraxis 2012 um weitere 11% gestiegen. Zusammenfassend lässt sich somit sagen, dass die Verfolgung der Datenschutzverstöße durch die Aufsichtsbehörde durch annähernd jeden zweiten Datenschutz-praktiker als unzureichend und dementsprechend als inkonse-quent beurteilt wurde.
4. Haben Sie schon erlebt, dass Wettbewerber Datenschutzvorschriften straffrei übertraten und dadurch einen Wettbewerbsvorteil erhalten haben?
7.4
207 81% 19% 50
nein ja
Die Mehrheit der Datenschutzpraktiker (81%) gab an, dass sie es noch nie erlebt haben, dass Wettbewerber Datenschutzvor-schriften straffrei übertreten und dadurch einen Wettbewerbs-vorteil erhalten haben.
5. Erachten Sie die daraus folgenden Strafen und Bußgelder als ausreichend?
7.5
110 48% 52% 117
nein ja
Die Strafen der Aufsichtsbehörden aufgrund von Datenschutz-verstößen in Unternehmen halten 52% der Datenschutzbeauf-tragten für ausreichend.
6. Beurteilen Sie die Aufsichtsbehörden als ausreichend kompetent?
7.6
56 22% 78% 197
nein ja
Zweifel an der Kompetenz der Aufsichtsbehörden haben im-merhin 22% der befragten Datenschutzbeauftragten. Im Ver-gleich zu 2012 mit 24,5% ist dieser Wert zwar leicht, aber nur unwesentlich, gesunken. Die Zweifel an der Kompetenz der Aufsichtsbehörden scheinen sich zu verfestigen.
7. Wird die Möglichkeit der Anrufung der Aufsichtsbehörde für Datenschutz in Ihrem Unternehmen ernst genommen?
7.7
102 39% 61% 158
nein ja
Lediglich 61% der befragten Datenschutzbeauftragten haben den Eindruck, dass die Möglichkeit der Anrufung der Aufsichts-behörde in ihrem Unternehmen ernst genommen wird. Dieser Wert ist im Vergleich zu 2012 von 75% deutlich gesunken.
Zusammenfassend gesehen, zeichnet sich in diesem Kapitel ein eher kritisches Bild der Aufsichtsbehörde ab. Kritisiert wurden fehlende Konsequenz, eine unzureichende Verfolgung der Daten-schutzverstöße sowie teilweise zu geringe Strafen und Bußgelder. Des Weiteren wünschten fast die Hälfte der Datenschutzpraktiker mehr Kontrollen sowie umfassendere Informationsmöglickeiten durch Beratung und Schulungen durch die Aufsichtsbehörde.
4.7 AUFSICHTSBEHÖRDEN
29
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
4.8 Rechtsfragen1. Bitte nehmen Sie Stellung zu den folgenden Aussagen:
stimme
zu
stimme
eher zu
stimme eher
nicht zu
stimme
nicht zu
keine
Meinung
Der DSB braucht
eine Art
Weisungsbefugnis.
36,12% 33,46% 12,17% 18,25% 0,00%
Summe 69,58% 30,42%
Die Datenschutz-
gesetze sind
verständlich
und eindeutig.
2,65% 20,45% 43,56% 33,33% 0,00%
Summe 23,11% 76,89%
Es ist möglich, alle
Datenschutzge-
setze einzuhalten.
3,41% 26,14% 35,61% 33,33% 1,52%
Summe 29,55% 68,93%
Für eine Art Weisungsbefugnis des Datenschutzbeauftragten sprechen sich fast 70% der befragten Datenschutzbeauftragten aus. Der überwiegende Teil der Datenschutzbeauftragten hält die bestehenden Datenschutzgesetze weder für verständlich (77%), noch für umsetzbar (69%). Hier haben sich die Ergebnisse der Befragung 2012 bestätigt.
2. Es bedarf Änderungen in den Bereichen:
stimme
zu
stimme
eher zu
stimme eher
nicht zu
stimme
nicht zu
keine
Meinung
Auftragsdaten-
verarbeitung
26,34% 32,44% 23,66% 11,83% 5,73%
Summe 58,78% 35,50%
Beschäftigtendatenschutz 38,02% 33,84% 17,11% 7,60% 3,42%
Summe 71,86% 24,71%
Datenschutz und Werbung 22,01% 32,84% 21,27% 10,82% 13,06%
Summe 54,85% 32,09%
Grenzüberschreitender
Datenverkehr
40,08% 29,18% 6,61% 2,33% 21,79%
Summe 69,26% 8,95%
Datenschutz im Internet 44,23% 34,62% 8,46% 8,85% 3,85%
Summe 78,85% 17,31%
Private Internet- und E-Mail-
nutzung am Arbeitsplatz
40,46% 36,26% 14,50% 7,25% 1,53%
Summe 76,72% 21,76%
Videoüberwachung 23,85% 26,92% 25,77% 19,62% 3,85%
Summe 50,77% 45,38%
Eine große und im Vergleich zu 2012 um 6% gestiegene Mehr-heit der Datenschutzbeauftragten wünscht sich hauptsächlich
Rechtsänderungen in den Bereichen Datenschutz im Internet (79%), private Internet- und E-Mailnutzung am Arbeitsplatz (77%) sowie dem Beschäftigtendatenschutz (72%). Die Da-tenschutzbeauftragten sehen ebenso Handlungsbedarf bei den Regelungen zum grenzüberschreitenden Datenverkehr (69%) und zur Auftragsdatenverarbeitung (59%).
Eine knappe Mehrheit von 55% wünscht sich auch Änderungen beim Thema Datenschutz und Werbung. Eher unentschieden ist die Meinungslage hinsichtlich eines gesetzgeberischen Hand-lungsbedarfs beim Thema Videoüberwachung (51%).
3. Decken die bestehenden Gesetze die folgenden Themengebiete Ihrer Meinung nach praxistauglich ab?
stimme zu stimme
eher zu
stimme eher
nicht zu
stimme
nicht zu
keine
Meinung
Cloud Computing 1,93% 8,11% 24,71% 59,46% 5,79%
Summe 10,04% 84,17%
Datenverarbeitung
im Konzern
2,70% 23,17% 23,94% 36,68% 13,51%
Summe 25,87% 60,62%
Geolokation 1,19% 11,07% 36,36% 32,02% 19,37%
Summe 12,25% 68,38%
Internationale
Datenverarbeitung
0,77% 9,62% 33,08% 40,00% 16,54%
Summe 10,38% 73,08%
Rechte und
Aufgaben des DSB
14,29% 54,44% 22,01% 8,11% 1,16%
Summe 68,73% 30,12%
Social Media 1,15% 8,85% 33,46% 52,31% 4,23%
Summe 10,00% 85,77%
Umgang mit Kundendaten 8,08% 58,46% 23,46% 8,85% 1,15%
Summe 66,54% 32,31%
Videoüberwachung 7,69% 47,31% 28,08% 12,69% 4,23%
Summe 55,00% 40,77%
Werbung 1,93% 35,52% 34,75% 19,31% 8,49%
Summe 37,45% 54,05%
Überwiegend zufrieden sind die befragten Datenschutzbeauf-tragten nur mit den gesetzlichen Regelungen zu den Rechten und Aufgaben der Datenschutzbeauftragten. Hier sehen nur 30% der Befragten einen Korrekturbedarf, 32% sehen Korrek-turbedarfe bei den Regelungen zum Umgang mit Kundendaten. Zu allen anderen befragten Regelungsfeldern fällt das Urteil der Datenschutzbeauftragten mit bis zu 86% fehlender Zustimmung deutlich negativ aus.
Das Negativ-Ranking führen die Themenfelder Social Media (86%) und Cloud Computing (84%) sowie Internationale Daten-verarbeitung (73%) an, gefolgt vom Thema Geolokation mit 68% und der konzerninternen Datenverarbeitung, deren Regelungen 61% für überarbeitungsbedürftig halten.
4.8 RECHTSFRAGEN
30
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Das Meinungsbild der Datenschutzbeauftragten spiegelt die öffentliche Diskussion sehr klar wider: Die neuen datenschutz-rechtlichen Herausforderungen durch die internationale Ver-netzung sind ein deutlicher Auftrag an die Gesetzgeber. Das klassische Datenschutzrecht scheint für international vernetzte Kommunikation keine überzeugenden Antworten zu geben.
Bei Angeboten sogenannter sozialer Medien stoßen nicht nur das Verhältnis von informationeller Selbstbestimmung und kommer-zieller Nutzung privater Kommunikation an technische Grenzen, sondern auch nationale Regelungen an die Grenzen international erbrachter Dienstleistungen.
4. In welchen Bereichen sehen Sie darüber hinaus Nachholbedarf des Gesetzgebers?
Die Teilnehmer hatten in einem Freifeld die Möglichkeit, zusätzliche Themen gesetzgeberischen Handlungsbedarfes zu formulieren. In insgesamt 44 Anregungen fanden sich neben den in der Studie aufgegriffenen Themen auch wiederholt Forderungen nach einer Klärung der strafrechtlichen Befugnisse von Polizei und Staatsan-waltschaften gegenüber Unternehmen sowie der Auflösung der Widersprüche zwischen Beschäftigten- und Kundendatenschutz einerseits und den Compliance-Anforderungen aus Terrorlisten, AEO-Zertifizierungen u.ä. gesetzlichen Anforderungen.
Auch der Schutz vor in- und ausländischer staatlicher Überwach-ung wurde hier als gesetzgeberischer Nachholbedarf identifiziert.
4.9 Ausbildung des Datenschutzbeauftragten1. Erachten Sie eine gesetzlich vorgeschriebene Ausbildung zum DSB für sinnvoll?
9.1
87 33% 67% 175
nein ja
Das BDSG stellt persönliche und sachliche Voraussetzungen für die Bestellung eines Datenschutzbeauftragten auf, die durch ei-nen Beschluss der Obersten Aufsichtsbehörden konkretisiert wurden. Eine Berufsausbildung oder berufliche Qualifizierung auf gesetzlicher Grundlage gibt es bis heute nicht. Dieses Man-ko beklagen nicht nur Ausbilder und der Berufsverband, sondern auch 67% der Teilnehmer der Befragung sprechen sich für eine gesetzlich geregelte Ausbildung aus. Damit wurde das Ergebniss von 2012 (64%) bestätigt.
2. Wie haben Sie die Qualifikation zum Datenschutzbeauftragten erlangt?
Mehrfachnennung möglich
9.2
50%
28%
9%
247
140
46
6%; 28
4%; 19
3%; 13
Fortbildung/ Qualifikation
einschlägigeTätigkeit
juristisches Studium
einschlägigestechnisches Studium
Ausbildungsberuf
ohne besondereAusbildung
Die für die Tätigkeit als Datenschutzbeauftragter erforderliche fachliche Qualifikation kann beispielsweise durch ein Hochschul-studium in den Ingenieurswissenschaften oder Rechtswissen-schaften erworben werden. Diese Studienrichtungen vermitteln allerdings jeweils nur eine Grundkompetenz, die durch entspre-chende Fortbildungen ergänzt werden müssen. Hierfür gibt es auf dem Fortbildungsmarkt verschiedene mehrwöchige modu-lar aufgebaute Angebote, aber auch ein- bis fünftägige Ange-bote. 50% der teilnehmenden Datenschutzbeauftragten gaben an, ihre Qualifikation durch Fortbildungsmaßnahmen erlangt zu haben, 28% stützen sich auf die im Verlauf ihrer Tätigkeit ge-sammelten Erfahrungen und 15% auf das Vorwissen aus einem Studium. Diese Ergebnisse belegen, dass die erforderliche Qua-lifikation in der Regel durch Fortbildung und Erfahrung während der Tätigkeit erworben wird und bestätigen im Wesentlichen die Ergebnisse aus 2012.
3. Wie lange arbeiten Sie schon allgemein im Datenschutz?
9.3
41%
36%
21%
109
95
54
2%; 5
0-5Jahre
6-10Jahre
11-20Jahre
über 20Jahre
4.9 AUSBILDUNG DES DATENSCHUTZBEAUFTRAGTEN
31
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Eine bußgeldbewehrte Pflicht zur Bestellung eines Datenschutz-beauftragten gibt es in Deutschland seit dem 1.7.1977. Die befrag-ten Datenschutzpraktiker gaben an, durchschnittlich bereits 7,9 Jahre im Datenschutz tätig zu sein. 2% der Teilnehmer der Be-fragung sind bereits seit über 20 Jahren, 21% der Teilnehmer zwi-schen elf und 20 Jahren und 36% der Teilnehmer zwischen sechs und zehn Jahren im Datenschutz tätig. 41% der Befragungsteil-nehmer sind bis zu fünf Jahre im Datenschutz tätig. Insgesamt kommen so 2.097 Jahre Erfahrung zusammen.
4. Wie oft besuchen Sie im Durchschnitt eines Jahres Fortbildungsveranstaltungen?
Eine besondere Herausforderung für die Arbeit des Datenschutz-beauftragten ergibt sich nicht nur aus der Komplexität der Aufga-ben im Unternehmen, sondern auch durch ständige Änderungen des Rechtsrahmens und der technischen Entwicklung. Deshalb kommt einer regelmäßigen Fortbildung eine hohe Bedeutung zu. 17% der Befragten nutzen die Möglichkeit zur Fortbildung quar-talsweise, 27% halbjährlich und 34% immerhin jährlich. Insge-samt 79% der Befragten bilden sich mindestens einmal im Jahr fort, 14% seltener als jährlich. Immerhin 19 befragte Datenschutz-beauftragte beantworteten die Frage mit „nie“.
5. In welcher Form nehmen Sie Fortbildungen am liebsten wahr?
9.5
81%
12%
2%
214
31
5%; 14
2%; 4
externeSchulungen
Selbst-studium
Online-Schulungen
interneSchulungen
9.4
34%
27%
17%
14%
7%
93
74
45
38
19
1%; 3
jährlich
halbjährlich
quartalsweise
seltener
nie
monatlich
Die Beantwortung einer Frage zur Bevorzugung bestimmter Fortbildungsarten ist sicherlich von persönlichen Erfahrungen ge-prägt, entspricht aber auch dem konkreten Bedarf der Befragten. Wie bereits im Jahr 2012 zu erkennen war, werden Fortbildungen in Form von externen Schulungen von Datenschutzbeauftragten deutlich bevorzugt. 81% der Befragten gaben an, Fortbildungen am liebsten als externe Schulung wahrzunehmen. Das Selbststu-dium bevorzugen 12% der Befragten, während die Online-Schu-lung bisher nur 5% der Befragten überzeugt hat. Dieses Ergebnis überrascht vor dem Hintergrund des konkreten Fortbildungsbe-darfes nicht. Die Datenschutzpraktiker in den Unternehmen sind auf hochspezialisierte Angebote angewiesen, die in der Regel weder in Online-Schulungen, noch durch interne Schulungen ver-mittelt werden. Auch das Selbststudium ist nur bedingt geeignet, hochaktuelles Wissen und Kompetenzen zu erwerben.
6. Wie viele Tage haben Sie im letzten Jahr in Datenschutzfortbildungen investiert?
9.6
79%
16%
202
40
6%; 15
0
0
bis 1Woche
bis 2Wochen
bis 1Monat
bis 3/4Jahr
bis halbesJahr
Im Durchschnitt gaben die befragten Datenschutzbeauftragten an, fünf Tage im letzten Jahr in die eigene Datenschutzfortbildung investiert zu haben. Bei Betrachtung der Verteilung der Dauer von Fortbildungen in Kombination mit der Größe der Unternehmen, in welchen die Datenschutzbeauftragten tätig sind, fällt auf, dass in kleinen und mittelständischen Unternehmen vor allem Fort-bildungen von bis zu einer Woche besucht werden, während in Großunternehmen auch Fortbildungen von bis zu zwei Wochen häufiger genutzt werden.
4.9 AUSBILDUNG DES DATENSCHUTZBEAUFTRAGTEN
32
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
Hier ein Überblick über die Fortbildungsintensität in Abhängigkeit von der Unternehmensgröße:
9.6 + 2.5
86%90%
69%
50% 50%
8%7%
24%
32%
50%
5% 3%8%
18%
bis 50 bis500
bis5.000
bis50.000
über50.000
bis halbes Jahr
bis 3/4 Jahr
bis 1 Monat
bis 2 Wochen
bis 1 Woche
37 113 80 22 4
7. Beinhalteten diese Fortbildungen eine abschließende Prüfung?
9.7
63%
31%
162
79
6%; 15
nein
teilweise
ja
Lediglich 37% der von den Datenschutzbeauftragten besuchten Fortbildungen beinhalteten eine vollständige oder teilweise Prü-fung der Schulungsergebnisse. In den restlichen 63% der Fortbil-dungen gab es keine abschließende Prüfung.
4.10 Die neue EU-Datenschutzverordnung1. Haben Sie die EU-Datenschutzverordnung in der Fassung nach der Parlamentsberatung schon gelesen?
10.1
131 50% 50% 133
nein ja
Die Hälfte (50%) der Datenschutzbeauftragten hat die EU-Da-tenschutzverordnung in der Fassung nach der Parlamentsbera-tung zum Befragungszeitung ca. zwei Monate nach Veröffentli-chung bereits gelesen. Ähnlich groß war auch das Interesse am ersten Entwurf im Jahr 2012.
2. Wie haben Sie sich über die Verordnung bisher informiert?
10.2
28%
22%
16%
13%
11%
11%
191
149
112
90
75
74
Internet
Datenschutz-fachzeitschriften
Tagespresse
Nachrichten-portale
Konferenzen
Seminare
Die Mehrzahl der Befragten hat sich bisher unter anderem im Internet (28%), in Datenschutzfachzeitschriften (22%) oder in der Tagespresse (16%) über die EU-Datenschutzverordnung in-formiert. Seltener wurden hingegen Konferenzen oder Seminare (jeweils 11%) genannt.
3. Ist eine EU-weite Vereinheitlichung des Datenschutzes durch eine unmittelbar geltende Verordnung Ihrer Meinung nach dem richtigen Weg?
10.3
51 20% 80% 208
nein ja
4.10 DIE NEUE EU-DATENSCHUTZVERORDNUNG
33
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
80% aller befragten Datenschutzbeauftragten halten eine EU-weite Vereinheitlichung des Datenschutzes generell für den rich-tigen Weg. Dieser hohe Wert ist seit 2012 nahezu unverändert geblieben (81%).
4. Sollten Mitgliedsstaaten das Recht haben, auch weiterhin vom Datenschutzniveau der Verordnung abzuweichen?
10.4
156 60% 40% 104
nein ja
Auch wenn sich eine deutliche Mehrheit gegen nationalstaatli-che Abweichungen ausspricht, wünschen sich doch 40% der Datenschutzbeauftragten die Möglichkeit der Mitgliedsstaaten, vom Datenschutzniveau der Verordnung abzuweichen. Dieses Meinungsbild entspricht den Umfrageergebnissen dieser Frage in der Datenschutzpraxis 2012.
5. Würde durch die EU-Datenschutzverordnung in ihrer jetzigen Form nach den Beschlüssen des EU-Parlaments Ihrer Meinung nach das Datenschutzniveau in Deutschland verbessert oder verschlechtert?
10.5
63%
15%
14%
8%
158
38
34
19
eherverschlechtert
eherverbessert
verschlechtert
verbessert
23% der befragten Datenschutzbeauftragten gehen eher von einer Verbesserung des Datenschutzniveaus in Deutschland aus, während 77% der Befragten eher eine Verschlechterung er-warten. Hier hat sich die Erwartungshaltung deutlich abgekühlt. 2012 gingen noch 41% der Datenschutzbeauftragten von einer Verbesserung des Datenschutzniveaus aus, 2014 überwiegen die Skeptiker noch deutlicher.
Hier ein Überblick auf die Antworten zu 4.10.5 in Bezug auf die Unternehmensgröße:
10.5 + 2.5
40 121 82 24 4
13% 9%
18%17%
9% 8%25%
43%56%
68%58%
75%
15%
7%17%
25%
13% 11%4% 4%
bis 500
bis5.000
bis50.000
über50.000
keine Angabe
verschlechtert
eher verschlechtert
eher verbessert
verbessert
bis50
6. Hat der Betroffene Ihrer Meinung nach durch die EU-Datenschutzverordnung eine bessere Kontrolle über seine Daten?
10.6
189 77% 23% 57
nein ja
Das Recht auf informationelle Selbstbestimmung hat nach deut-schem Datenschutzverständnis das Ziel, dem Betroffenen die Kontrolle über seine Daten zu ermöglichen. Diesem Ziel fühlt sich auch die Kommission in Umsetzung des Artikels 8 der Grund-rechtecharta, Artikel 16 des Vertrages über die Arbeitsweise der Europäischen Union, und in Artikel 8 der Europäischen Men-schenrechtskonvention verpflichtet. Wie bereits in den Umfrage-ergebnissen der Datenschutzpraxis 2012 ersichtlich ist, zweifeln die Datenschutzpraktiker jedoch überwiegend an der Umsetz-barkeit dieser Zielvorstellung. 77% glauben nicht, dass der Be-troffene nach der EU-Datenschutzgrundverordnung wieder Kon-trolle über seine Daten bekommt.
4.10 DIE NEUE EU-DATENSCHUTZVERORDNUNG
34
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
7. Wie beurteilen Sie die Höhe der geplanten Bußgelder von 100 Millionen Euro oder bis zu 5% des weltweiten Umsatzes?
10.7
61%
35%
154
90
4%; 10
gerade richtig
zuhoch
zuniedrig
Relativ ausgewogen fällt das Urteil der Datenschutzbeauftragten zu dem vorgesehenen Bußgeldrahmen aus. 61% der Befragten beurteilen geplante Bußgelder bis zu 100 Millionen Euro oder bis zu 5% des weltweiten Umsatzes als “gerade richtig”, 4% als “zu niedrig” und 35% als “zu hoch”.
8. Wie beurteilen Sie das Recht auf Löschung von personenbezogenen Daten in sozialen Netzwerken?
10.8
58%
40%
194
132
1%; 3
1%; 3
richtig
technisch nicht realisierbar
sonstiges
zu unterneh-mensfeindlich
Das Recht auf Löschung von personenbezogenen Daten in sozi-alen Netzwerken halten 58% der Befragten für richtig, allerdings auch 40% für technisch nicht realisierbar. Dies zeigt deutlich die Unterstützung des Anliegens, aber auch die Zweifel an der techni-schen Realisierbarkeit. Diese Beurteilung hat sich im Vergleich zu 2012 kaum geändert.
9. Wie beurteilen Sie, dass Unternehmen bei der Weitergabe von Daten die jeweiligen Empfänger auch nach der Datenweitergabe von einem später geäußerten Löschverlangen informieren müssen?
10.9
40%
27%
18%
8%
7%
165
110
76
33
29
richtig
lässt sich nichtdurchsetzen
technisch nicht realisierbar
lässt sich zuleicht umgehen
zu unterneh-mensfeindlich
Datenübermittlungen sind in unserer vernetzten Wirtschaft alltäg-lich und das größte Problem für die Durchsetzung eines Löschan-spruches. Die vorgesehene Pflicht zur Benachrichtigung von Da-tenempfängern bei einer Löschabsicht („Löschungskette“) ist, wie 2012, auch zwei Jahre später für 40% der Datenschutzbeauftrag-ten zwar richtig, zugleich bezweifeln aber 60% der Befragten die Durchsetzbarkeit (zu unternehmensfeindlich, technisch nicht reali-sierbar, zu leicht zu umgehen oder Kombinationen hiervon).
10. Statt des Kommissionsvorschlages ab 250 Mitarbeitern soll nunmehr ein DSB bestellt werden, wenn Daten von mehr als 5.000 Kunden über einen Zeitraum von aufeinanderfolgenden 12 Monaten verarbeitet werden. Erachten Sie es für richtig, die Pflicht zur Bestellung eines DSB an die Anzahl der im Unternehmen regelmäßig verarbeiteten Datensätze zu knüpfen?
10.10
177 68% 32% 84
nein ja
Lediglich 32% der teilnehmenden Datenschutzbeauftragten erachten es für richtig, die Pflicht zur Bestellung eines DSB an die Anzahl der im Unternehmen regelmäßig verarbeiteten Datensätze zu knüpfen, klare 68% halten dies für einen falschen Weg.
4.10 DIE NEUE EU-DATENSCHUTZVERORDNUNG
35
2B ADVICE | DATENSCHUTZPRAXIS 2015
DEUTSCH
11. Begrüßen Sie die namentliche Registrierung des Datenschutzbeauftragten bei der Aufsichtsbehörde?
10.11
76 29% 71% 186
nein ja
Eine namentliche Meldepflicht des Datenschutzbeauftragten bei der Aufsichtsbehörde begrüßen 71% der Befragungsteilnehmer. Im Vergleich zu den Ergebnissen der Datenschutzpraxis 2012, wo dies bereits 57% der Datenschutzbeauftragten befürworteten, ist weiterhin eine positive Tendenz zu erkennen.
12. Denken Sie, die neue EU-Datenschutzverordnung wird Ihre Arbeit als Datenschutzbeauftragter erleichtern?
10.12
193 76% 24% 60
nein ja
Auch 2014 erwarten nur 24% der teilnehmenden Datenschutzbe-auftragten eine Arbeitserleichterung durch die neue EU-Daten-schutzgrundverordnung.
13. Der Entwurf der EU-Datenschutzverordnung enthält detailliertere Regelungen zu Binding Corporate Rules (BCR), welche die Übermittlung von personen-bezogenen Daten in das Ausland und innerhalb des Konzerns erleichtern sollen. Für wie wahrscheinlich halten Sie es, dass Ihr Unternehmen von dieser Möglichkeit zukünftig Gebrauch macht?
10.13
40%
35%
16%
9%
102
90
40
24
eherunwahrscheinlich
unwahrscheinlich
eherwahrscheinlich
wahrscheinlich
25% der teilnehmenden Datenschutzbeauftragten halten es für wahrscheinlich oder eher wahrscheinlich, dass ihr Unternehmen
von der Möglichkeit von verbindlichen Unternehmensregeln (BCR) zukünftig Gebrauch macht. 2012 hielten es noch 40% für wahr-scheinlich oder eher wahrscheinlich. Im Allgemeinen ist das Inte-resse an Binding Corporate Rules (BCR) im Vergleich zu den Um-frageergebnissen der Datenschutzpraxis 2012 deutlich gesunken. Dies ist besonders bei den größeren Unternehmen mit mehr als 5.000 Beschäftigten zu erkennen.
Mit Artikel 43 des Entwurfes einer Datenschutzgrundverordnung sollen Datenübermittlungen auf der Grundlage verbindlicher un-ternehmensinterner Vorschriften zulässig sein, wenn eine Auf-sichtsbehörde nach Maßgabe des in Artikel 58 beschriebenen Kohärenzverfahrens verbindliche unternehmensinterne Vorschrif-ten genehmigt hat. Trotz des enormen Aufwandes für ein solches Verfahren hielten es 2012 vor allem die Praktiker aus den großen Unternehmen für wahrscheinlich, dass ihr Unternehmen von die-ser Regelung zukünftig Gebrauch machen wird. 2014 tendieren Datenschutzbeauftragte aus großen Unternehmen bereits eher dazu, dies als unwahrscheinlich einzuschätzen.
Hier ein Überblick auf die Antworten zu 4.10.13 in Bezug auf die Unternehmensgröße:
10.13 + 2.5
5% 7% 10%
21%13% 11%
22%
13%
25%
38% 39%
38%42%
25%
40% 37%
28% 21%
25%
5% 8% 4%
25%
keine Angaben
unwahrscheinlich
eherunwahrscheinlich
eherwahrscheinlich
wahrscheinlich
40 121 82 24 4
bis 50 bis500
bis5.000
bis50.000
über50.000
4.10 DIE NEUE EU-DATENSCHUTZVERORDNUNG
2B Advice GmbHJoseph-Schumpeter-Allee 2553227 BonnPhone: +49 228 926165-100Fax:+49 228 926165-109Email: [email protected]
www.2b-advice.com