EU-Datenschutzregeln sorgen für Boom bei Beratungen

Die DSGVO bildet seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union. Im Kern wird die Verarbeitung personenbezogener Daten etwa durch Unternehmen, Organisationen oder Vereine geregelt. Dadurch sollten Nutzer die Hoheit über ihre Daten zurückbekommen. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Bei Verstößen drohen teils hohe Bußgelder.

Niko Härting, Mitglied des Ausschusses Informationsrecht des Deutschen Anwaltvereins (DAV), schätzt, dass Unternehmen in Deutschland in Vorbereitung auf die DSGVO allein für die Erstellung einer erforderlichen Datenschutzerklärung insgesamt rund 375 Millionen Euro für Anwaltshonorare ausgegeben haben. Nach seiner Schätzung ist nach Inkrafttreten der Verordnung noch einmal ein ähnlicher Betrag hinzugekommen. Jährlich dürften demnach Anwaltshonorare für Datenschutzerklärungen in Höhe von 125 Millionen Euro eine „realistische Größe“ sein.

Der hohe Beratungsaufwand entsteht laut Weiß dadurch, dass die EU-Datenschutzregeln selbst auslegungsbedürftig seien und regelmäßig durch neue Guidelines ergänzt würden. „Zugleich stellen wir fest, dass selbst in Deutschland die Aufsichtsbehörden die Regelungen teilweise unterschiedlich interpretieren“, fügte die Bitkom-Expertin hinzu.

Experte warnt vor Falschberatung

Zudem könnten viele Unternehmen die Rechtsprechung in Europa zur DSGVO nur mithilfe von Beratung überblicken. „Dazu kommt, dass sich die Geschäftsmodelle und Geschäftsprozesse der Unternehmen bei zunehmender Digitalisierung verändern“, sagte Weiß. „Jedes neu eingesetzte Tool muss aber neu geprüft werden – entsprechend entsteht immer wieder Aufwand.“

Datenschutzexperte Spaeing sieht ebenfalls in der zunehmenden Digitalisierung von Prozessen und deren stark wachsende Komplexität und Fragmentierung einen Grund für das hohe Beratungsaufkommen. „Anwendungen und Services setzen sich zunehmend aus einer Vielzahl von Bausteinen und Dienstleistern zusammen, die häufig eigene Verarbeitungsinteressen haben und damit von allen Beteiligten neue Lösungsansätze erfordern“, erläuterte er.

Als Helfer stehen die Datenschutzaufsichtsbehörden bereit. Die meisten seien „sehr aktiv“ und versuchten, Behörden, aber auch die Wirtschaft zu unterstützen. „Der Beratungsbedarf ist gleichwohl viel größer als die Kapazität der Aufsichtsbehörden und wird daher von Datenschutzexperten verschiedener Couleur befriedigt“, fügte Spaeing hinzu.

Der Datenschutzexperte warnte in diesem Zusammenhang vor den Risiken einer Falschberatung. Mit Ausbildungen, die teilweise nicht einmal 40 Stunden umfasst hätten, seien unerfahrene Berater in den Markt gegangen. „Wir sehen immer wieder Fälle, in denen in wichtigen Bereichen unzureichend oder einseitig qualifizierte Berater durchaus auch teure und schwere Fehlberatungen erbringen“, berichtet Spaeing.

Andererseits seien gute Berater wegen der hohen Anforderungen schwer zu finden. „Als qualifizierter Berater benötigt man neben juristischen Kenntnissen auch Kenntnisse von IT-Grundlagen und Unternehmensprozessen“, erläuterte der Datenschutzexperte. „Es kann sowohl der erfahrene Rechtsanwalt in völliger Unkenntnis der typischen Unternehmensprozesse oder der IT-Grundlagen als auch der IT-Experte ohne die entsprechenden juristischen Kenntnisse bei der Beratung vollkommen falschliegen.“ Spaeing sprach sich für eine „Beraterzertifizierung“ aus. Mit entsprechender Qualifizierung würden hier Standards gesetzt, die Unternehmen und Behörden Transparenz und Sicherheit böten.

Fehlende Rechtsgrundlage für internationalen Datentransfer

Nach Einschätzung von Bitkom-Expertin Weiß gibt es infolge des hohen Beratungsbedarfs mehr spezialisierte Beratungen und Kanzleien, die auch zu Datenschutzfragen mandatiert würden. Zugleich sei über Fortbildungen auch intern Personal geschult oder nachgeschult worden, um mit der dynamischen Entwicklung im Bereich Datenschutz Schritt zu halten. So müssten neue Technologien, bei denen Daten verarbeitet werden, immer wieder aufs Neue geprüft werden.

Eine weitere Herausforderung stellt laut Weiß der Bereich der internationalen Datentransfers dar. Hintergrund ist, dass nach einem Urteil des Europäischen Gerichtshofs (EuGH) personenbezogene Daten nur an nicht europäische Länder übermittelt werden dürfen, wenn sie dort ein gleichwertiges Schutzniveau genießen. Dies ist nach Ansicht der Luxemburger Richter in den USA nicht der Fall, weil die US-Sicherheitsbehörden umfassenden Zugriff auf die bei US-Cloud-Anbietern gespeicherten Daten haben. Die rechtlichen Unsicherheiten seien durch das Urteil „hoch“ und sorgten für „großen Klärungsbedarf“, sagte die Bitkom-Expertin.

Die EU-Kommission reagierte im Juni dieses Jahres zwar mit neuen sogenannten Standardvertragsklauseln, die einen rechtskonformen Datenverkehr entsprechend den DSGVO-Vorgaben ermöglichen sollen. Für die betroffenen Unternehmen bedeutet dies allerdings einen zusätzlichen Umstellungsaufwand. Denn auch bei Verwendung der neuen Klauseln muss der Datenexporteur die Rechtslage und -praxis des Drittlands prüfen. Unter Umständen müssten „zusätzliche Schutzmaßnahmen“ ergriffen werden, geben die deutschen Aufsichtsbehörden zu bedenken. Und wenn dies nicht gelinge, müssten die Unternehmen von der Datenübermittlung Abstand nehmen.

Mehr: Das sind die fünf größten Bürokratie-Ärgernisse für Unternehmer.