Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle...

37
Datenschutzpraxis in Unternehmen 2015 Data Protection in the European Union Institut für Wirtschafts- und Sozialstatistik an der TU Dortmund In Kooperation mit:

Transcript of Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle...

Page 1: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

Datenschutzpraxisin Unternehmen 2015

Data Protectionin the European Union

Institut für Wirtschafts- undSozialstatistik an der TU Dortmund

In Kooperation mit:

Page 2: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

Datenschutzpraxis in Unternehmen

2015Impressum

2B Advice GmbH

vertreten durch die Geschäftsführer:Marcus Belke und Hans Joachim Bickenbach

Joseph-Schumpeter-Allee 2553227 BonnDeutschland

Phone: +49 228 926165-100Fax: +49 228 926165-109

E-Mail: [email protected]

Handelsregister-Nr.: Bonn HRB 12713

Mitwirkende

Björn Malinka (Consultant – 2B Advice GmbH)Erin Donaldson (Marketing Web & Graphics – 2B Advice LLC)

Karsten Neumann (Associate Partner – 2B Advice GmbH)Amelie Sophia Schleip (Studentin – 2B Advice GmbH)Sophie Tchanyou Ganme (Studentin – TU Dortmund)

Dr. Dominik Wied (Juniorprofessor für Wirtschafts- und Sozialstatistik – TU Dortmund)Dominik Zier (Consultant – 2B Advice GmbH)

Page 3: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

2

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Inhaltsverzeichnis Grußworte.........................................................................................................................................3

1. Einführung ........................................................................................................................................ 4

2. Die wichtigsten Ergebnisse im Überblick ............................................................................... 5

3. Methodik und operativer Ablauf ...............................................................................................8

4. Die vollständigen Ergebnisse .....................................................................................................9

4.1 Struktur der befragten Unternehmen ..................................................................................... 9

4.2 Datenschutzpraxis im Unternehmen .......................................................................................11

4.3 Datenschutzverstöße im Unternehmen ................................................................................14

4.4 Der Datenschutzbeauftragte im Unternehmen ..................................................................18

4.5 Das Verfahrensverzeichnis ........................................................................................................23

4.6 Zertifizierung ..................................................................................................................................26

4.7 Aufsichtsbehörden ...................................................................................................................... 27

4.8 Rechtsfragen .................................................................................................................................29

4.9 Ausbildung des Datenschutzbeauftragten ..........................................................................30

4.10 Die neue EU-Datenschutzverordnung ..................................................................................32

INHALTSVERZEICHNIS

Page 4: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

3

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Liebe Leser,die kommende Datenschutzgrundverordnung ist in aller Mun-de. Welche Rolle sie den Datenschutzbeauftragten in Europa zuschreiben wird, ist jedoch noch offen. Dass die Institution des Datenschutzbeauftragten verpflichtend in allen europäischen Ländern eingeführt wird, scheint momentan eher unwahr-scheinlich. Dabei ist der öffentliche Diskurs zur Stellung des Da-tenschutzbeauftragten von Untertreibungen, Übertreibungen, mangelndem Fachwissen und Ängsten geprägt. Den einen er-scheint der Datenschutzbeauftragte als „innovationsfeindliches Bürokratiemonster“. Den anderen als heroische Speerspitze im Kampf gegen skrupellos datensammelnde Staaten und Un-ternehmen. Beide Ansichten sind fern der Realität. Die Studie „Datenschutzpraxis 2015“ der Unternehmensberatung 2B Ad-vice möchte die Diskussion wieder versachlichen. Wir haben, zum zweiten Mal nach 2012, den gelebten Datenschutzalltag in deutschen Unternehmen empirisch untersucht und aufbereitet. Abseits der Schlagzeilen berichten die Datenschutzbeauftrag-ten in unserer Studie anonym über ihren Arbeitsalltag. Sie geben Hinweise und Anregungen, wie ein gesellschaftlich akzeptierter Ausgleich zwischen wirtschaftlichen Interessen und dem Schutz der Privatsphäre der Bürger gestaltet werden kann. Gleichzeitig mahnen die Datenschutzbeauftragten Handlungsbedarf in Poli-tik und Wirtschaft an. So erwarten 77% eine Verschlechterung des Datenschutzniveaus in Deutschland durch die Datenschutz-grundverordnung. Gleichzeitig beurteilen 79% der Datenschutz-beauftragten ihre Unterstützung durch die Geschäftsführung als „ausreichend“ oder „eher ausreichend“, was einer deutlichen Verbesserung im Vergleich zu 2012 entspricht. 69% halten die bestehenden Datenschutzgesetze, insbesondere zu den The-menbereichen Social Media, Cloud Computing und internationale Datenverarbeitung, für nicht umsetzbar.

Überrascht hat mich, dass beinahe jeder zweite befragte Da-tenschutzbeauftragte (44%) mit den Aufsichtsbehörden un-zufrieden ist. Die Datenschutzbeauftragten wünschen sich hier mehr Kontrollen, Beratung und Schulungen. Ebenfalls überra-schend: Nur 37% der festgestellten Datenschutzverstöße be-trafen Kunden, aber 48% die eigenen Mitarbeiter. Hier sollte die Selbstkontrolle der Unternehmen intensiviert werden.

Der typische Datenschutzbeauftragte (81% der Befragten) ist in Teilzeit tätig. 37% widmen sich maximal fünf Prozent ihrer Ar-beitszeit dem Datenschutz. Dabei sind die Datenschutzbeauftrag-ten höchst effizient tätig, etwa in der Sensibilisierung der Mitar-beiter, der Kommunikation mit den Aufsichtsbehörden oder der Beratung der Fachabteilungen in der Planungsphase von Projekten.

Die Studie gibt einen realitätsnahen Einblick in die Tätigkeit der Datenschutzbeauftragten, die verwendeten Ressourcen und Verbesserungsansätze aus der Praxis. Sie ist insgesamt ein Plä-doyer zur Einführung des betrieblichen Datenschutzbeauftragten in ganz Europa.

Ihr Marcus Belke

RechtsanwaltGeschäftsführer 2B Advice

Nie war der Datenschutz wichtiger als heute. Wie keine andere technische Revolution verändert die Digitalisierung unser Sozi-al- und Arbeitsverhalten, unsere Kommunikation, Wettbewerbs-fähigkeit, das Verhältnis von Staaten zueinander, die Strafverfol-gung, Einzel- und Eigentumsrechte, Urheberrecht und geistiges Eigentum, bis hin zum Grundrecht auf Datenschutz, oder, noch darüber hinausgehend, die Privatsphäre. Nahezu alle Lebensbe-reiche umfassen Daten. Daten sind die Währung der Zukunft! Die Herausforderungen, die mit der technologischen Entwick-lung, dem Internet und der Globalisierung einhergehen, sind in seinem Ausmaß weder vollständig realisiert, noch rechtsstaat-lich reguliert. Wer heute den Umgang mit Daten regulieren will, sieht sich konfrontiert mit Fragen von Grundrechtsschutz, glo-balen Wettbewerb und Wachstums- und Sicherheitsbelangen. Strukturen verschwimmen zunehmend, Datenskandale erschüt-tern das Vertrauen der Verbraucher. Genau dieses erschütterte Vertrauensbild belegt die vorliegende Studie. Sie liefert politi-schen Entscheidungsträgern ebenso wie der Wirtschaft konkrete Zahlen zur Arbeit der Datenschutzbeauftragten in Deutschland. Das langfristige Ziel ist ein europäischer digitaler Binnenmarkt mit hohen Datenschutzstandards. Die Verhandlungen zur Datenschutzgrundverordnung gehen in ihre finale Phase. Des-wegen müssen wir in Europa bei der Überarbeitung der Daten-schutzgrundverordnung das schwindende Vertrauen sowie die Bedenken der deutschen Datenschutzbeauftragten mitberück-sichtigen. Vor allem müssen wir den europäischen Datenschutz an die Digitalisierung anpassen. Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen.

Ihr Axel Voss

MdEPStellvertretender Vorsitzender des RechtsausschussesRechtspolitischer Sprecher der CDU/CSU-Gruppe

GRUßWORTE

Bild

nach

wei

s: ©

Axe

l Vos

s

Page 5: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

4

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

behoben und ausgeräumt. Gleichzeitig wurden auch Ent-wicklungstendenzen aus zwei Jahren Datenschutzgeschichte erhoben, die von einer intensiven fachlichen und politischen Diskussion geprägt waren.

Erneut wurden deutschlandweit bestellte Datenschutzbeauf-tragte aus internationalen Konzernen genauso befragt, wie externe Datenschutzbeauftragte aus kleinen und mittelstän-dischen Unternehmen mit teilweise langjährigen Erfahrun-gen. Von den Befragungsteilnehmern wurden 62% bereits 2012 befragt, 38% waren erstmals dabei. Die fehlende Reprä-sentativität bei den beteiligten Branchen und Unternehmens-größen ist die logische Folge des Teilnehmerkreises, denn nur Unternehmen mit einem bestellten Datenschutzbeauftragten wurden im Rahmen der Studie befragt. Insgesamt fließen 2.097 Jahre Datenschutz-Erfahrung in diese zweite Befragung ein (siehe 4.9.3).

Die europäische Diskussion hat in der Datenschutzpraxis 2015 deutliche Spuren hinterlassen: 23% der befragten Daten-schutzbeauftragten gehen eher von einer Verbesserung des Datenschutzniveaus in Deutschland aus, während 77% der Befragten eher eine Verschlechterung erwarten. Hier hat sich die Erwartungshaltung deutlich abgekühlt. 2012 gingen noch 41% der Datenschutzbeauftragten von einer Verbesserung des Datenschutzniveaus aus, 2014 überwiegen die Skeptiker noch deutlicher (siehe 4.10.5).

Mit der „Datenschutzpraxis 2012“ präsentierte die internatio-nale Datenschutzberatung 2B Advice - the privacy benchmark die erste Branchenstudie über die Praxis der Datenschutzbe-auftragten in deutschen Unternehmen. Mit den detaillierten Antworten von nahezu 400 betrieblichen Datenschutzbeauf-tragten wurde erstmals ein genaueres Bild des Umsetzungsni-veaus der deutschen Datenschutzpraxis gezeichnet, welches in die europäische Diskussion über die Ausgestaltung einer europäischen Datenschutzgrundverordnung einfloss. Die da-malige Vizepräsidentin der Europäischen Kommission, Viviane Reding, betonte bei der Entgegennahme der Studie im Novem-ber 2012 im Europaparlament in Brüssel, dass die Studie zur rechten Zeit komme, um in die Beratungen eines einheitlichen europäischen Datenschutzkonzeptes einfließen zu können.

Die Studie belegte durch die analysierte Praxiserfahrung betrieblicher Datenschutzbeauftragter die Wirksamkeit und Effektivität dieses Modells unternehmerischer Selbstkont-rolle, identifizierte jedoch auch dringenden Handlungsbedarf für Unternehmen und Gesetzgeber. MdEP Axel Voss beein-druckte vor allem der Nachweis der Wirksamkeit betrieblicher Datenschutzbeauftragter anhand empirischer Daten: „Einge-bauter Datenschutz vor Ort, im Unternehmen selbst, hat sich in Deutschland als Erfolgsmodell bewährt. Wir wollen diesen nun zum Exportschlager in Europa machen“, so sein State-ment während der Präsentation.

Nun legt 2B Advice, wieder in Zusammenarbeit mit der Tech-nischen Universität Dortmund, die „Datenschutzpraxis 2015“ vor. Mit der Wiederholung der Untersuchung, durchgeführt im Jahr 2014, wurden die empirischen Daten aus 2012 über-prüft. Dabei wurden durch eine differenzierte Befragung mög-liche Fehler und Missverständnisse aus der ersten Erhebung

1. EINFÜHRUNG

1. Einführung

Bild

nach

wei

s: ©

twob

ee -

Fot

olia

.com

Page 6: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

5

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

In konzentrierter Form spiegelt die Studie alle Aspekte des be-trieblichen Datenschutzes in deutschen Unternehmen wider. Sowohl der Status der Umsetzung der Bestellungspflicht, die Organisation von Datenschutzmanagementprozessen, die Er-fahrungen mit Aufsichtsbehörden, Datenschutzverstößen und -sanktionen werden erfasst, als auch Einschätzungen zu einem gesetzgeberischen Handlungsbedarf in Deutschland und Europa.

Struktur der Unternehmen

Deutschlandweit beschäftigen 15% der teilnehmenden Un-ternehmen bis zu 50 Mitarbeiter, 45% bis zu 500, 30% bis zu 5.000, 9% bis zu 50.000 und 1% über 50.000 Mitarbeiter. Da-mit beteiligten sich an der Befragung überproportional viele Datenschutzbeauftragte aus Großunternehmen. Dies ist auf die Methodik der Erhebung zurückzuführen. Die Befragung richtete sich an namentlich bekannte Datenschutzbeauf-tragte, weshalb Unternehmen ohne Datenschutzbeauftragte nicht erfasst wurden.

Datenschutzpraxis im Unternehmen

In 34% der Unternehmen wurde erst in den letzten fünf Jahren ein Datenschutzbeauftragter bestellt. Der durchschnittliche Datenschutzbeauftragte ist vorwiegend als Einzelkämpfer tätig, mit zu wenig Zeit und mangelnden Ressourcen. Gesetz-liche Voraussetzung für die Rechtmäßigkeit der Bestellung ist die Eignung des Datenschutzbeauftragten zur Erfüllung seiner Aufgaben. Hierzu gehört auch die Einräumung einer ausreichenden Arbeitszeit. Mit dem Beschluss des Düsseldor-fer Kreises vom 24./25. November 2010 haben die obersten Aufsichtsbehörden in Deutschland Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Da-tenschutz nach § 4f Abs. 2 und 3 BDSG formuliert, dort aber den Zeitbedarf nicht näher konkretisiert.

„48% der befragten Datenschutzbe-auftragten haben zu wenig Zeit, um ihre gesetzlichen Pflichten zu erfüllen“

Die Aus- und Belastung der Datenschutzbeauftragten wird maßgeblich durch die Größe der verantwortlichen Stelle, die Anzahl der zu betreuenden verantwortlichen Stellen, Beson-derheiten branchenspezifischer Datenverarbeitung und den Grad der Schutzbedürftigkeit der zu verarbeitenden perso-nenbezogenen Daten beeinflusst. Nach den Ergebnissen der Befragung sind 81% der Datenschutzbeauftragten in Teilzeit, 19% in Vollzeit bestellt. Diese Verteilung ist im Vergleich zu 2012 unverändert geblieben. In der Datenschutzpraxis 2015 ist der Anteil der Teilzeit deshalb genauer hinterfragt wor-den. Von den befragten Datenschutzbeauftragten widmen sich 37% maximal fünf Prozent ihrer Arbeitszeit dem Daten-schutz. Etwas mehr als die Hälfte der befragten Datenschutz-

2. Die wichtigsten Ergebnisse im Überblickbeautragten (52%) beurteilt die ihnen zur Verfügung ste-hende Zeit als ausreichend. Damit muss man feststellen, dass 48% der befragten Datenschutzbeauftragten selbst einschätzen, dass ihre Bestellung die Anforderungen des Datenschutzgesetzes nicht erfüllt. Steht nicht ausreichend Arbeitszeit zur Verfügung, gilt ein Datenschutzbeauftrag-ter nicht als wirksam bestellt. Neben den tatsächlichen Einschränkungen der Wirksamkeit der Arbeit bedeutet dies ein zusätzliches Bußgeldrisiko (siehe 4.2.4).

Datenschutzverstöße im Unternehmen

Lediglich 58% der befragten Datenschutzbeauftragten füh-len sich über mögliche Datenschutzverstöße im Unterneh- men ausreichend informiert (siehe 4.3.1). Der § 42a BDSG postuliert eine Informationspflicht der verantwortlichen Stelle bei einer unrechtmäßigen Kenntniserlangung Dritter von personenbezogenen Daten, wenn hierdurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Inter-essen der Betroffenen drohen. Diese relativ neue Regelung im BDSG verursacht in der Praxis viel Unsicherheit und Klärungs-bedarf. Die Ergebnisse der Befragung belegen deutlich die Relevanz solcher Prüfungen, wenn bereits 28% der befragten Datenschutzbeauftragten eine solche Prüfung vornehmen mussten (siehe 4.3.3). Die steigende Relevanz verdeutlicht ein Vergleich mit dem Ergebnis der Datenschutzpraxis 2012. Damals gaben noch 21% der Datenschutzpraktiker an, dass sie schon einmal eine solche Prüfung durchführen mussten.

In den Fällen, in denen festgestellte Datenschutzverstöße geahndet wurden, zeigen sich die befragten Datenschutzbe-auftragten zu 74% mit den Konsequenzen „kaum“ oder „gar nicht“ zufrieden (siehe 4.3.13). Diese Unzufriedenheit lässt sich eventuell mit zu geringen Konsequenzen begründen (47% gaben an, dass diese lediglich die Beseitigung des Mangels darstellen (siehe 4.3.12)). Dieses Ergebnis ist überraschend, wenn man es mit den Umfragewerten der Datenschutzpraxis 2012 vergleicht. Damals war die Mehrzahl der Datenschutz-beauftragten (63%) mit den Konsequenzen „ziemlich“ oder „sehr“ zufrieden.

Der Datenschutzbeauftragte im Unternehmen

Immerhin 21% der befragten Datenschutzbeauftragten beur-teilen die Unterstützung ihrer Tätigkeit durch die Geschäfts-führung als „unzureichend“ oder „eher unzureichend“, während 79% die Unterstützung als „ausreichend“ oder „eher ausrei-chend“ erachten (siehe 4.4.6). Dennoch ist hier im Vergleich zu dem Ergebnis dieser Frage in der Datenschutzpraxis 2012 eine

„42% der befragten Datenschutzbeauf-tragten werden über Datenschutzverstöße nicht ausreichend informiert“

2. DIE WICHTIGSTEN ERGEBNISSE IM ÜBERBLICK

Page 7: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

6

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH2. DIE WICHTIGSTEN ERGEBNISSE IM ÜBERBLICK

Verbesserung zu erkennen. Damals beurteilten noch 33% die Unterstützung der Geschäftsführung als unzureichend. Erneut zeigt sich hier eine bestehende Diskrepanz zwischen der ge-setzgeberischen Vorstellung und der betrieblichen Realität.

Das Verfahrensverzeichnis

Immerhin noch 8% der befragten und bereits bestellten Da-tenschutzbeauftragten gaben an, dass ihr Unternehmen über kein Verfahrensverzeichnis verfüge (siehe 4.5.1). In der Über-sicht aller automatisierten Verfahren sind insbesondere die verantwortliche Stelle, der Kreis der Betroffenen, die Art der Daten, die Zweckbestimmung und die Vorkehrungen zur Da-tensicherheit zu dokumentieren. Befragt nach der Anzahl der einzelnen Verfahren innerhalb einer Verfahrensübersicht ga-ben die befragten Datenschutzbeauftragten im Durchschnitt 57 Verfahren an (siehe 4.5.2). Diese Anzahl variiert natürlich mit der Größe des Unterneh-mens erheblich. So gaben 46% der Unternehmen mit bis zu 50.000 Mitarbeitern an, bis zu 500 Verfahren im Verfahrens-verzeichnis zu führen. Bei den Unternehmen mit bis zu 5.000 Mitarbeitern sind dies immer noch 10%. Diese Zahlen machen deutlich, dass es sich um eine gewaltige organisatorische Ar-beit handelt, die erhebliche Ressourcen benötigt. In der Grup-pe der Unternehmen mit bis zu 50 Mitarbeitern enthalten über 90% der Verfahrensverzeichnisse hingegen nicht mehr als 50 unterschiedliche Verfahren.

Lediglich 38% der befragten Datenschutzpraktiker gaben an, dass alle Verfahren ihres Unternehmens im Verfahrensver-zeichnis erfasst werden (siehe 4.5.3). Da diese Übersicht aller automatisierter Verfahren jedoch vollständig sein muss, stellt das Fehlen dieser Verfahren im Verfahrensverzeichnis gem. § 4g Abs. 2 BDSG einen Verstoß gegen die Pflichten des Unter-nehmens dar. Die Befragten, welche angaben, dass ihr Ver-fahrensverzeichnis unvollständig sei, wurden zum genaueren Verständnis nach Prozentangaben der Vollständigkeit des Ver-fahrensverzeichnisses gefragt. Durchschnittlich wurde hierbei ein Vollständigkeitsgrad von etwa 60% genannt (siehe 4.5.3.2).

Gemäß § 11 BDSG bleibt der Auftraggeber datenschutzrecht-lich verantwortlich, wenn er Dritte mit der Verarbeitung per-sonenbezogener Daten beauftragt. Er hat umfangreiche Kont-rollpflichten, die er jedoch selbstbestimmt wahrnehmen kann. Eine bestimmte Art der Kontrolle ist gesetzlich nicht vorgege-ben. Selbstkontrolle (35%) und die im Vergleich zu 2012 um

„62% der befragten Datenschutzbeauf-tragten verfügen nicht über ein vollständiges Verfahrensverzeichnis“

„13% der befragten Datenschutzbeauftragten prüfen keine Auftragsdatenverarbeiter“

10% gestiegene Anzahl der Einholung von Zertifizierungen (31% der Gesamtnennungen), gehören zu den meistgenann-ten Kontrollverfahren (siehe 4.5.10). Allerdings gaben auch 13% der Befragten trotz der offensichtlichen Rechtswidrigkeit an, dass keine Kontrollen stattfinden. Nur in wenigen Fällen wurden Vor-Ort-Audits durchgeführt, vom Unternehmen be-zahlte Dienstleister oder unabhängige, vom Auftragnehmer bezahlte Dritte, hinzugezogen.

Zertifizierungen

Lediglich 5% der befragten Datenschutzbeauftragten gaben an, dass ihr Unternehmen bereits eine Datenschutzzer-tifizierung erhalten habe (siehe 4.6.1). 43% der befragten Datenschutzbeauftragten erachten eine Zertifizierung jedoch als sinnvoll.

„43% der befragten Datenschutzbeauftrag-ten erachten eine Zertifizierung als sinnvoll“

Nach Angabe der befragten Datenschutzpraktiker wurde eine Datenschutzzertifizierung in ihren Unternehmen hauptsäch-lich aufgrund von zu hohen Kosten (28% der Gesamtnennun-gen) nicht durchgeführt. Als weitere Gründe wurden unklare Akzeptanz durch die Aufsichtsbehörden (19%), zu hohe inter-ne Kosten (19%) und zu hohe Kosten einer externen Prüfung (16%) aufgeführt. Am seltensten wurden fehlende internati-onale Akzeptanz (13%) sowie das Risiko des Nichtbestehens (6%) genannt (siehe 4.6.3).

Aufsichtsbehörden

Die Begeisterung der Datenschutzbeauftragten für aufsichts-behördliche Kontrollen hält sich in Grenzen: Trotzdem wün-schen sich 46% der Befragten mehr Kontrollen (siehe 4.7.1). Nahezu übereinstimmend fordern die Datenschutzbeauftrag-ten mehr beratende Tätigkeit der Aufsichtsbehörden (92%) und die Durchführung von Schulungen (76%). Ebenfalls die Mehrheit (62%) der Datenschutzbeauftragten fordern Zerti-fizierungen durch die Aufsichtsbehörden ein.

„44% der befragten Datenschutzbeauf-tragten sind unzufrieden mit der Arbeit der Aufsichtsbehörden“

44% der befragten Datenschutzpraktiker beurteilen die Auf-sichtsbehörden als zu wenig konsequent (siehe 4.7.2). Damit nimmt, im Vergleich zu 2012, ein um 11% gestiegener Teil der Datenschutzbeauftragten die Aufsichtsbehörden eher als „zahnlose Tiger“ wahr. Diese Tendenz sollte die Aufsichtsbe-hörden alarmieren.

53% der befragten Datenschutzbeauftragten haben die Erfah-rung gemacht, dass Datenschutzverstöße nicht ausreichend

Page 8: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

7

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

durch die Aufsichtsbehörden verfolgt werden (siehe 4.7.3). Im Vergleich zur Datenschutzpraxis 2012 ist diese Einschätzung um weitere 5 Prozentpunkte gestiegen.

Zusammenfassend lässt sich sagen, dass die Verfolgung von Datenschutzverstößen durch die Aufsichtsbehörden durch an-nähernd jeden zweiten Datenschutzpraktiker als unzureichend und dementsprechend als inkonsequent beurteilt wurde.

Rechtsfragen

Zum gesetzgeberischen Handlungsbedarf äußern sich die Da-tenschutzpraktiker annähernd geschlossen. Eine große und im Vergleich zu 2012 um 6% gestiegene Mehrheit der befrag-ten Datenschutzbeauftragten wünscht sich hauptsächlich Rechtsänderungen in den Bereichen Datenschutz im Internet (79%), private Internet- und E-Mailnutzung am Arbeitsplatz (77%) sowie dem Beschäftigtendatenschutz (72%). Die Da-tenschutzbeauftragten sehen ebenso Handlungsbedarf bei den Regelungen zum grenzüberschreitenden Datenverkehr (69%) und zur Auftragsdatenverarbeitung (59%) (siehe 4.8.2).

„Datenschutzbeauftragte fordern Schutz vor in- und ausländischer Überwachung“

Die Teilnehmer hatten in einem Freifeld die Möglichkeit, zu-sätzliche Themen gesetzgeberischen Handlungsbedarfes zu formulieren. In insgesamt 44 Anregungen fanden sich neben den in der Studie aufgegriffenen Themen auch wiederholt For-derungen nach einer Klärung der strafrechtlichen Befugnisse von Polizei und Staatsanwaltschaft gegenüber Unternehmen sowie der Auflösung der Widersprüche zwischen Beschäftig-ten- und Kundendatenschutz einerseits und den Compliance-Anforderungen aus Terrorlisten, AEO-Zertifizierungen und ähnlichen gesetzlichen Anforderungen. Auch der Schutz vor in- und ausländischer staatlicher Überwachung wurde hier als gesetzgeberischer Nachholbedarf identifiziert (siehe 4.8.4).

Ausbildung des Datenschutzbeauftragten

Das BDSG stellt persönliche und sachliche Voraussetzungen für die Bestellung eines Datenschutzbeauftragten auf, die durch einen Beschluss der obersten Aufsichtsbehörden konkretisiert wurden. Eine Berufsausbildung oder berufliche Qualifizierung auf gesetzlicher Grundlage gibt es bis heute nicht. Dieses Man-ko beklagen nicht nur Ausbilder und der Berufsverband, son-dern auch 67% der Teilnehmer der Befragung sprechen sich für eine gesetzlich geregelte Ausbildung aus (siehe 4.9.1). Damit wurde das Ergebnis von 2012 (64%) bestätigt.

50% der teilnehmenden Datenschutzbeauftragten gaben an, ihre Qualifikation durch Fortbildungsmaßnahmen erlangt zu haben. 28% stützen sich auf die im Verlauf ihrer Tätigkeit ge-sammelten Erfahrungen und 15% auf das Vorwissen aus ei-nem Studium (siehe 4.9.2). Diese Ergebnisse belegen, dass die erforderliche Qualifikation in der Regel durch Fortbildung und Erfahrung während der Tätigkeit erworben wird.

EU-Datenschutzgrundverordnung

Die europäische Gesetzgebungsdebatte der letzten drei Jah-re hat ihre Spuren hinterlassen: 23% der befragten Daten-schutzbeauftragten gehen eher von einer Verbesserung des Datenschutzniveaus in Deutschland aus, während 77% der Befragten eher eine Verschlechterung erwarten. Hier hat sich die Erwartungshaltung deutlich abgekühlt (siehe 4.10.5). 2012 gingen noch 41% der befragten Datenschutzbeauftragten von einer Verbesserung des Datenschutzniveaus aus, 2014 über-wiegen die Skeptiker noch deutlicher.

„77% der befragten Datenschutzbeauf-tragten erwarten eine Verschlechterung des Datenschutzniveaus in Deutschland durch die EU-DSGVO“

2. DIE WICHTIGSTEN ERGEBNISSE IM ÜBERBLICK

Page 9: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

8

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH3. METHODIK UND OPERATIVER ABLAUF

3. Methodik und operativer AblaufErneut wurden wir bei der Erstellung, Durchführung und Auswer-tung der Studie vom Lehrstuhl für Wirtschafts- und Sozialstatis-tik an der Technischen Universität Dortmund unter der Leitung von Prof. Dr. Walter Krämer unterstützt. Wie schon bei der Studie 2012 wurde auf veröffentlichte Kontaktdaten von Datenschutz-beauftragten in deutschen Unternehmen zurückgegriffen, die um eine Teilnahme gebeten wurden. Hierzu gehörten auch alle Teil-nehmerinnen und Teilnehmer von 2012.

Unter den Teilnehmern wurden 62% bereits 2012 befragt, 38% wa-ren erstmals dabei. Die fehlende Repräsentativität bei den beteilig-ten Branchen und Unternehmensgrößen ist die logische Folge des Teilnehmerkreises, denn nur Unternehmen mit einem bestellten Datenschutzbeauftragten wurden im Rahmen der Studie befragt.

Datenschutzbeauftragten, die der Verwendung ihrer E-Mailad-resse für Marketingzwecke zugestimmt hatten, wurden zur Teil-nahme per E-Mail eingeladen, mit einem Link auf eine speziell für diese Person im Internet bereitgestellte Instanz des Fragebo-gens, die direkt nach erfolgtem Ausfüllen anonymisiert wurde. Die postalisch angeschriebenen Befragungsteilnehmer erhielten eine Login ID, mit der sie mit ihrer E-Mail-Adresse online teilnehmen konnten. Beide Gruppen konnten den Fragebogen auch ausdru-cken und einsenden. Pro E-Mail-Adresse war nur eine einmalige Teilnahme möglich. So konnten externe Datenschutzbeauftragte auch für mehrere Unternehmen teilnehmen, wenn sie beispiels-weise pro Mandant eine eigenständige E-Mail-Adresse nutzten und mit mehr als einer eine ID anforderten. Dieses Verfahren eröffnete für externe Datenschutzbeauftragte die Möglichkeit, unterschiedliche Bedingungen in den Unternehmen darzustellen.

Die Unternehmen mit weniger als 50 Mitarbeitern sind im Ver-gleich zur Unternehmensstruktur in unserer Befragung deutlich unterrepräsentiert. Dies ist nicht verwunderlich, weil diese Un-ternehmen die Namen ihrer Datenschutzbeauftragten oft nicht veröffentlichen, so dass sie auch nicht im Verteiler für diese Umfrage enthalten sein konnten.

Die Unternehmen von 50 bis unter 500 Mitarbeiter sind aus den gegenteiligen Gründen überrepräsentiert. Hier werden die Anga-ben weit häufiger veröffentlicht. Auch sind die Datenschutzbe-auftragten ab einer gewissen Unternehmensgröße eher an einer Zusammenarbeit interessiert. Statt des statistischen Anteils von ca. 20% sind sie mit 45% mehr als doppelt so häufig an der Befragung beteiligt.

Die Unternehmen ab 500 Mitarbeitern sind die zweite große Gruppe unter den Teilnehmern der Umfrage: Während sie in Deutschland allgemein nur ca. 2% der Unternehmen repräsen-tieren, sind sie bei den teilnehmenden Datenschutzbeauftragten mit exakt 40% vertreten.

Zusammenfassend kann man sagen, dass die Ergebnisse in deutlichem Umfang die Meinungen und Einschätzungen der Da-tenschutzbeauftragten von größeren und großen Unternehmen widerspiegeln: 40% der Antwortenden stammen aus Unterneh-men mit mehr als 500 Mitarbeitern und immer noch 10% aus Unternehmen mit über 5.000 Mitarbeitern.

Dies wird untermauert durch einige andere Ergebnisse, z.B. durch die Angaben zur Internationalität der Unternehmen, aber auch durch die Angaben zur Häufigkeit von Prüfungen durch Auf-sichtsbehörden.

Für diese Umfrage war jedoch nicht die Repräsentativität der teilnehmenden Unternehmen im Verhältnis zur statistischen Durchschnittsgröße deutscher Unternehmen ausschlaggebend, sondern ein klares Bild über die Datenschutzpraxis in den Unter-nehmen, die bereits einen Datenschutzbeauftragten bestellt ha-ben. Die Datenschutzpraxis 2015 legt daher den Schwerpunkt auf eine qualitative Bewertung der Umsetzung datenschutzrechtli-cher Anforderungen in deutschen Unternehmen.

Abweichungen in der Gesamtsumme ergeben sich aus den Fra-gebögen, in denen die jeweilige Frage nicht beantwortet wurde.

Page 10: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

9

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Haben Sie schon an der Studie 2012 teilgenommen?

Lediglich 38% der befragten Datenschutzbeauftragten haben be-reits an der Umfrage zur Datenschutzpraxis 2012 teilgenommen. Dies ist für die Betrachtung und Interpretation der einzelnen Bereiche und Fragen interessant. Da die Mehrzahl der Fragen von 2012 unverän-dert in die Umfrage zur Datenschutzpraxis 2015 übernommen wurde, können unter Einbezug der Meinungen der bisher noch nicht befrag-ten Datenschutzbeauftragten die einzelnen Umfrageergebnisse dif-ferenzierter betrachtet werden. Aber auch mithilfe von Fragen, wel-che aufgrund von möglichen Verständnisproblemen erweitert oder mit zusätzlichen Erläuterungen versehen wurden, können die Um-frageergebnisse der Datenschutzpraxis 2012 verstärkt oder korrigiert werden. Damit ergibt sich im Ergebnis ein konsolidiertes Bild aus den Befragungsergebnissen der Jahre 2012 und 2014 sowie valide Aus-sagen über die Praxis der Datenschutzbeauftragten in Deutschland.

4.1 Struktur der befragten Unternehmen1. Auf welchen Kontinenten ist Ihr Unternehmen vertreten?

Von den 272 teilnehmenden Unternehmen sind 59 auch in Asien, 28 auch in Afrika, 31 auch in Australien, 61 auch in Nord-Amerika und 40 auch in Süd-Amerika mit einer Niederlassung vertreten. Damit spiegelt sich in den Ergebnissen der Befragung der professionelle Sachverstand sowohl aus kleinen und mittelständischen Unter-nehmen, als auch aus weltweit tätigen deutschen Konzernen wi-der. Auch kleine und mittelständische Unternehmen sind vermehrt weltweit tätig und müssen sich mit den spezifischen Herausforde-rungen des internationalen Datenverkehrs auseinandersetzen.

4. Die vollständigen Ergebnisse

1.1

167 62% 38% 104

nein ja

2.1

272

61

59

40

31

28

Europa

Nord-Amerika

Asien

Süd-Amerika

Australien

Afrika

2. In welcher Branche ist Ihr Unternehmen überwiegend tätig?

Von 272 Datenschutzbeauftragten gaben 50 (18%) an, dass das Tätigkeitsfeld ihres Unternehmens überwiegend in der Industrie liege, weitere 48 (18%) im Dienstleistungssektor, 42 (15%) in der Versicherung, 36 (13%) im Bereich Gesundheit und Soziales, 27 (10%) im Bereich Medien und IT, 24 (9%) im Handel und Ver-trieb, 22 (8%) in der Verwaltung und im öffentlichen Dienst und schließlich 23 (8%) in einer obig nicht genannten Branche.

Diese Zahlen belegen den Anspruch der Studie, die Praxis der Tätigkeit der Datenschutzbeauftragten aus der gesamten Breite der Unternehmen darzustellen.

3. Welcher Art sind die Geschäftsbeziehungen in Ihrem Unternehmen hauptsächlich?

Knapp über die Hälfte (54%) der Datenschutzbeauftragten gab an, dass die Mehrzahl der Geschäftsbeziehungen in ihrem Un-ternehmen Business-to-Business (B2B) Beziehungen sind. Da-mit sind auch die Bereiche der datenschutzrechtlich relevanten Datenverarbeitungen nahezu gleichwertig abgebildet.

2.2

18%

18%

15%

13%

10%

9%

8%

8%

50

48

42

36

27

24

23

22

Industrie

Dienstleistung

Banken undVersicherung

Gesundheitund Soziales

Medien und IT

Handelund Vertrieb

Sonstiges

Verwaltung undöffentlicher Dienst

2.3

147 54% 46% 125

B2B B2C

4. DIE VOLLSTÄNDIGEN ERGEBNISSE

Page 11: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

10

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

4. Wie viele Mitarbeiter beschäftigt Ihr Unternehmen weltweit, ohne Deutschland?

Von insgesamt 222 Teilnehmern an dieser Frage gaben 37% an, in Unternehmen mit bis zu 50 Mitarbeitern, 30% in Unterneh-men mit bis zu 500 Mitarbeitern, 17% in Unternehmen mit bis zu 5.000 Mitarbeitern, 11% in Unternehmen mit bis zu 50.000 und 5% in Unternehmen mit mehr als 50.000 Mitarbeitern als Datenschutzbeauftragte tätig zu sein. Damit beteiligten sich an der Befragung überproportional viele Datenschutzbeauftragte aus Großunternehmen. Dies ist auf die Methodik der Erhebung zurückzuführen. Die Befragung richtete sich an namentlich be-kannte Datenschutzbeauftragte, weshalb Unternehmen ohne Datenschutzbeauftragte nicht erfasst wurden.

5. Wie viele Mitarbeiter beschäftigt Ihr Unternehmen deutschlandweit?

Deutschlandweit beschäftigen 15% der teilnehmenden Unter-nehmen bis zu 50 Mitarbeiter, 45% bis zu 500, 30% bis zu 5.000, 9% bis zu 50.000 und 1% über 50.000 Mitarbeiter. Damit spie-gelt die Gruppe der befragten Teilnehmer die gesamte Breite von Unternehmen wider.

2.4

37%

30%

17%

11%

5%

83

67

37

24

11

bis 50

bis 500

bis5.000

bis50.000

Über50.000

2.5

15%

45%

30%

9%

1%

40

122

82

24

1%; 4

bis 50

bis 500

bis5.000

bis50.000

Über50.000

6. Wie viele Mitarbeiter beschäftigen sich unmittelbar mit Datenschutz in Ihrem Unternehmen, indem sie auf die Einhaltung datenschutzrechtlicher Vorgaben hinwirken?

Mit insgesamt 960 Mitarbeitern weltweit und 1006 Mitarbeitern in Deutschland, die sich unmittelbar mit dem Datenschutz in den teilnehmenden Unternehmen befassen, handelt es sich durchschnittlich um 5,24 bzw. 3,9 Mitarbeiter pro Unternehmen. Nach den Antworten aus den verschiedenen Unternehmens-größenklassen gestaltet sich die Verteilung der Mitarbeiter (MA) wie folgt:

2.6. +2.5

4%

75%

60%

44%

13%

15%

29%

37%

42%

25%

3%

13%

25%

3%

8%

3%

4%

8%

25%

3%7% 6%

13%25%

4%

bis 50 bis 500 bis5.000

bis50.000

über50.000

keine Angabe

mehr als 50

21 bis 50

11 bis 20

6 bis 10

2 bis 5

1 MA

0 MA

40 122 82 24 4

7. Ist Ihr Unternehmen einem Mutterkonzern untergeordnet?

66% aller befragten Unternehmen sind nicht in einen Mutter-konzern eingegliedert. Damit sind immerhin fast ein Drittel aller befragten Datenschutzbeauftragten mit den Herausforderungen einer Innerkonzerndatenverarbeitung befasst.

2.7

179 66% 34% 93

nein ja

4.1 STRUKTUR DER BEFRAGTEN UNTERNEHMEN

Page 12: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

11

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

4.2 Datenschutzpraxis im Unternehmen1. Seit wie vielen Jahren ist in Ihrem Unternehmen ein Datenschutzbeauftragter bestellt?

Durchschnittlich sind in den befragten Unternehmen Daten-schutzbeauftragte seit 17,7 Jahre tätig. Der obligatorisch zu be-stellende Datenschutzbeauftragte wurde bereits 1977 im BDSG als Mittel der internen Selbstkontrolle im deutschen Daten-schutzrecht verankert. Durch die Novellierung des Jahres 2009 wurden die Regelungen zum Kündigungsschutz erweitert, womit eine lange Verweildauer der bestellten Datenschutzbeauftrag-ten nicht nur fachlich begründet, sondern auch rechtlich zu er-klären ist. Vergleicht man die Größenklassen der Unternehmen mit der jeweiligen Bestelldauer wird deutlich, dass in den Unter-nehmen mit bis zu 50 Mitarbeitern seit der BDSG-Novellierung 2009 deutlich mit der Erfüllung der Bestellungspflicht nachgeholt wurde. Die großen Unternehmen beschäftigen bereits wesent-lich länger Datenschutzbeauftragte. Je größer das Unternehmen, desto länger sind dort bereits Datenschutzbeauftragte tätig.

2. Sind Sie als interner oder als externer DSB in Ihrem Unternehmen bestellt?

Das BDSG eröffnet die Möglichkeit, den gesetzlichen Regelfall der Bestellung eines Mitarbeiters zum (internen) Datenschutz-

34%

31%

25%

8%

1%

93

85

68

23

3

bis 5 Jahre

6 bis 10 Jahre

11 bis 20 Jahre

> 20 Jahre

keine Angabe

2.8

2.9

81%221 interner

19%51 externer

beauftragten durch die Bestellung eines externen Datenschutz-beauftragten zu erfüllen, § 4f Abs. 2 Satz 3 BDSG. Dies kann eine Person außerhalb der verantwortlichen Stelle sein, also sowohl externe spezialisierte Dienstleister wie auch andere (interne) Datenschutzbeauftragte verbundener Unternehmen. Die Anzahl der internen und externen Datenschutzbeauftragten unserer Befragung geben jedoch kein repräsentatives Bild der Ver-teilung bei der Gesamtheit deutscher Unternehmen wieder, son-dern die Zusammensetzung der Gruppe der Befragten. Der interne Datenschutzbeauftragte ist in der Praxis der Regelfall, 81% der Un-ternehmen haben eigene Mitarbeiter als Datenschutzbeauftragte bestellt. Von der Möglichkeit der Bestellung externer Datenschutz-beauftragter haben 19% der Unternehmen Gebrauch gemacht.

3. In welchem zeitlichen Umfang widmen Sie sich der Tätigkeit des Datenschutzbeauftragten?

Gesetzliche Voraussetzung für die Rechtmäßigkeit der Bestellung ist die Eignung des Datenschutzbeauftragten zur Erfüllung seiner Aufgaben. Hierzu gehört auch die Einräumung einer ausreichen-den Arbeitszeit. Mit dem Beschluss des Düsseldorfer Kreises vom 24./25. November 2010 haben die obersten Aufsichtsbehörden in Deutschland Mindestanforderungen an Fachkunde und Unab-hängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 BDSG formuliert, dort aber den Zeitbedarf nicht näher konkretisiert. Die Aus- und Belastung der Datenschutzbeauftrag-ten wird maßgeblich durch die Größe der verantwortlichen Stelle, die Anzahl der zu betreuenden verantwortlichen Stellen, Beson-derheiten branchenspezifischer Datenverarbeitung und den Grad der Schutzbedürftigkeit der zu verarbeitenden personenbezo-genen Daten beeinflusst. Nach den Ergebnissen der Befragung ist der Datenschutzbeauftragte zu 81% in Teilzeit und zu 19% in Vollzeit bestellt. Diese Verteilung ist im Vergleich zu 2012 unver-ändert geblieben. In der Datenschutzpraxis 2015 ist der Anteil der Teilzeit deshalb genauer hinterfragt worden. Danach widmen sich 37% der in Teilzeit bestellten Datenschutzbeauftragten in bis zu 5% ihrer Arbeitszeit dem Thema Datenschutz.

2.10

219 81% 19% 53

Teilzeit Vollzeit

2.10(2)

37%

27%

12%

5%

19%

101

73

32

13

53

TZ bis 5 %

TZ bis 20 %

TZ bis 50 %

TZ bis 80 %

Vollzeit

4.2 DATENSCHUTZPRAXIS IM UNTERNEHMEN

Page 13: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

12

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH4.2 DATENSCHUTZPRAXIS IM UNTERNEHMEN

4. Beurteilen Sie die Ihnen zur Verfügung stehende Zeit für die Ausübung Ihrer Tätigkeit als ausreichend?

Etwas mehr als die Hälfte der befragten Datenschutzbeauftrag-ten (52%) beurteilt die ihnen zur Verfügung stehende Zeit als ausreichend. Damit muss man feststellen, dass 48% der be-fragten Datenschutzbeauftragten selbst einschätzen, dass ihre Bestellung die Anforderungen des Datenschutzgesetzes nicht erfüllt. Steht nicht ausreichend Arbeitszeit zur Verfügung, gilt ein Datenschutzbeauftragter nicht als wirksam bestellt. Neben den tatsächlichen Einschränkungen der Wirksamkeit der Arbeit be-deutet dies ein zusätzliches Bußgeldrisiko.

5. Unterliegt Ihr Unternehmen der Meldepflicht, i.S.v. §4d Abs. 4 BDSG (geschäftsmäßigen Datenverarbei-tung zum Zweck der Übermittlung, anonymisierten Übermittlung oder Markt-und Meinungsforschung)?

Gemäß § 4 BDSG entfällt die Pflicht zur Meldung automatisierter Datenverarbeitungsverfahren an die zuständige Aufsichtsbehörde immer dann, wenn das Unternehmen einen Datenschutzbeauftrag-ten bestellt hat. Aber selbst wenn ein solcher bestellt wurde, müs-sen gem. § 4d Abs. 4 BDSG die Verfahren an die zuständige Auf-sichtsbehörde gemeldet werden, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezo-gene Daten zum Zweck der Übermittlung, zum Zweck der anony-misierten Übermittlung oder für Zwecke der Markt- oder Meinungs-forschung gespeichert werden. Diese Meldungen werden durch die jeweiligen Aufsichtsbehörden in Registern erfasst. Hier scheint sich zu zeigen, dass eine wichtige Voraussetzung für die Meldung solcher Verfahren die Bestellung eines Datenschutzbeauftragten ist, der die gesetzliche Anforderung im Unternehmen durchzusetzen vermag. 11% der Datenschutzbeauftragten gaben an, dass ihr Unternehmen der Meldepflicht unterliegt. Im Vergleich zu den Ergebnissen 2012 mit 30% meldepflichtigen Unternehmen scheint hier in den letzten zwei Jahren eine Bereinigung stattgefunden zu haben.

6. Wird der Meldepflicht nachgekommen?

2.11

130 48% 52% 142

nein ja

2.12

240 89% 11% 31

nein ja

2.13

50 53% 47% 45

nein ja

Mit dieser neuen Frage gingen wir der offensichtlichen Diskre-panz zwischen Meldepflicht und den Zahlen bei den Aufsichts-behörden nach. Trotz Kenntnis der gesetzlichen Pflicht kommen lediglich 47% der Unternehmen ihrer Meldepflicht nach. Gem. § 43 BDSG handelt derjenige ordnungswidrig, der „vorsätzlich oder fahrlässig 1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht“. Hier verbirgt sich also ein nicht zu unterschätzendes Bußgeldrisiko.

7. Wurde Ihr Unternehmen in den letzten zwei Jahren durch eine Datenschutzaufsichtsbehörde geprüft?

Bereits das mengenmäßige Missverhältnis zwischen den Mitar-beiterzahlen in den Aufsichtsbehörden zu der Anzahl der Unter-nehmen ließ hier eine Beantwortung im Promillebereich erwar-ten. Dies wäre sicher auch bei einer repräsentativen Befragung aller Unternehmen der Fall. Im Rahmen dieser Befragung haben allerdings vor allem bestellte Datenschutzbeauftragte von grö-ßeren Unternehmen geantwortet, was die Wahrscheinlichkeit von Erfahrungen mit einer aufsichtsbehördlichen Prüfung offen-sichtlich erhöht. Es ist auch denkbar, dass der Begriff der „Prü-fung“ nicht von allen Befragten in gleicher Weise verstanden wurde: Aktionen wie das Abfragen bestimmter gesetzlich vorge-schriebener Merkmale bei einer Vielzahl von Unternehmen durch einzelne Aufsichtsbehörden mag von einzelnen Befragten durch-aus schon als Prüfung verstanden worden sein. Insgesamt wurden 7% der befragten Unternehmen schon ein-mal durch eine Aufsichtsbehörde überprüft. Dieser Wert ist im Vergleich zu 2012 (15%) unverändert gering. Die Prüfungen wur-den aufgrund einer Betroffenenbeschwerde (52%), ohne Anlass (33%) oder aufgrund einer automatisierten Prüfung, beispiels-weise der Internetseite des Unternehmens, durch die Aufsichts-behörde (14%) durchgeführt. Unverändert bleibt es bei der Si-tuation, dass weit überdurchschnittliche 35% der Unternehmen mit mehr als 50.000 Mitarbeitern mit aufsichtsbehördlichen Prü-fungen Erfahrung gemacht haben.

8. Sind Sie als Datenschutzbeauftragter direkt der Geschäftsführung unterstellt?

Die Unterstellung des Datenschutzbeauftragten unter den Leiter der verantwortlichen Stelle ist eine zwingende gesetzliche Vorgabe, § 4f Abs. 3 BDSG. Gleichwohl beantworteten 8% der befragten Da-

2.14

251 93% 7% 20

nein ja

2.15

21 8% 92% 250

nein ja

Page 14: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

13

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

tenschutzbeauftragten diese Frage mit „Nein“. Dieses Ergebnis ist im Vergleich zur Datenschutzpraxis 2012, als 4% der Datenschutz-beauftragten diese Frage mit „Nein“ beantworteten, gestiegen.

9. Fordert Ihre Geschäftsführung einen Tätigkeitsbericht ein?

Im Gegensatz zu den öffentlich und dem Parlament verpflichteten Landesdatenschutzbeauftragten als Aufsichtsbehördenleitern ist ein Tätigkeitsbericht des betrieblichen Datenschutzbeauftragten nicht gesetzlich vorgeschrieben. Es hat sich aber als bewährtes Instrument erwiesen, die Umsetzung der Datenschutzvorgaben im Berichtswege zu steuern. Trotz der Bestellung eines Daten-schutzbeauftragten behält die Geschäftsführung ihre Gesamt-verantwortung auch in diesem Bereich. 53% der Geschäftsleitun-gen fordern einen solchen Bericht ein. Dieses Ergebnis entspricht den Umfragewerten der Datenschutzpraxis 2012.

10. In welchem Turnus berichten Sie mündlich oder schriftlich an die Geschäftsführung?

Knapp die Hälfte der Datenschutzbeauftragten erstattet der Ge-schäftsleitung jährlich (44%) einen Bericht, lediglich 14% haben der Geschäftsleitung bisher noch nie berichtet. Bis auf eine Per-son wurden alle 38 Datenschutzbeauftragte, die die Frage nach einer Berichtspflicht an die Geschäftsleitung mit „Nie“ beantwor-teten, von der Unternehmensleitung auch nicht zur Berichter-stattung aufgefordert. In allen anderen Fällen erstellen die Daten-schutzbeauftragten jedoch einen Bericht, auch ohne hierzu aufgefordert zu werden. Hier hat sich unter den Datenschutzbe-auftragten also offensichtlich die Erkenntnis durchgesetzt, dass er oder sie ohne eine Dokumentation der eigenen Arbeit und die regelmäßige Information der Geschäftsführung seiner Verant-wortung im Unternehmen nur schwer nachkommen kann. Der

2.16

127 47% 53% 145

nein ja

2.17

44%

15%

14%

13%

11%

120

41

38

34

30

3%; 9

jährlich

monatlich

bisher noch nie

quartalsweise

halbjährlich

wöchentlich(oder öfter)

Turnus der Berichterstattung ändert sich nur unwesentlich, wenn die Geschäftsführung diesen anfordert. Offensichtlich bestim-men betriebliche Übung und das sonstige innerbetriebliche Be-richtswesen den Turnus der Berichterstattung. Auch die Größe des Unternehmens scheint keinen erkennbaren Einfluss auf den Turnus der Berichterstattung zu haben.

11. Wie oft werden die Mitarbeiter Ihres Unternehmens generell im Datenschutz geschult?

11. Wie oft werden die Mitarbeiter Ihres Unternehmens generell im Datenschutz geschult?

Zu den gesetzlichen Kernaufgaben des Datenschutzbeauftrag-ten gehört die Unterweisung der Mitarbeiter in die Datenschutz-vorschriften und die jeweiligen besonderen Erfordernisse des Datenschutzes, § 4g Abs. 1 Nummer 2 BDSG. Die Art und Weise sowie der Umfang dieser Schulungen unterliegt also auch den besonderen Bedingungen des jeweiligen Unternehmens und des jeweiligen Arbeitsplatzes. Über Umfang, Häufigkeit und Art entscheidet der Datenschutz-beauftragte in eigener fachlicher Unabhängigkeit. 22% der Un-ternehmen schulen ihre Mitarbeiter im Datenschutz nur einmalig bei Einstellung. Diese Praxis kann in Bereichen rechtskonform sein, in denen die Verarbeitung personenbezogener Daten allen-falls gelegentlich und nicht elektronisch erfolgt. Eine jährliche Schulung der Mitarbeiter fand nur in 4% der Un-ternehmen statt. Ein kürzerer Schulungsrhythmus (monatlich bis halbjährlich) kann in sensiblen Bereichen erforderlich werden und wird in 9% der Unternehmen praktiziert. Die Mehrzahl der Mitarbeiter (42%) wurde jedoch seltener als jährlich geschult. Im Vergleich zur Datenschutzpraxis 2012 hat sich dieses Bild über-raschend geändert. Damals gab die Mehrheit (39%) der Daten-schutzpraktiker an, dass die Mitarbeiter ihres Unternehmens jährlich geschult wurden. Dieses Bild ist nunmehr zu korrigieren. Der Schulungsbedarf ist offensichtlich ungedeckt.

2.18

42%

22%

22%

3%; 8

115

61

60

4%; 11

3%; 9

3%; 8

seltener

nie

einmaligbei Einstellung

jährlich

monatlich

halbjährlich

quartalsweise

4.2 DATENSCHUTZPRAXIS IM UNTERNEHMEN

Page 15: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

14

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

12. Wie oft werden die Mitarbeiter Ihres Unternehmens fachbezogen im Datenschutz geschult (Präsenz-Schulungen, E-Learning, Web-Based- Training), mit inhaltlichen Schwerpunkten, wie z.B. zur Datenverarbeitung in der Marketing-oder Personalabteilung?

Neben der allgemeinen Unterweisung in das Datenschutz-gesetz gehört es zu den gesetzlichen Aufgaben des Daten-schutzbeauftragten, die Mitarbeiter „mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen“, § 4g Abs. 1 Nummer 2 BDSG. 31% der Mitarbeiter wur-den lediglich einmalig bei der Einstellung fachbezogen im Da-tenschutz geschult, 20% jährlich oder öfter und 34% seltener als jährlich. 14% der Mitarbeiter wurden hingegen nie geschult. Im Vergleich zur Datenschutzpraxis 2012 ist eine negative Tendenz zu erkennen. Damals hatten die Datenschutzprakti-ker angegeben, dass 48% der Mitarbeiter jährlich oder öfter und lediglich 6% nie geschult wurden. Diese Tendenz ist über-raschend, da der Bedarf an einer Schulung der Mitarbeiter in Hinblick auf sich ständig ändernde Arbeitsinhalte und tech-nisch-organisatorische Anforderungen eher steigt.

13. Auf welchem Weg schulen Sie die Mitarbeiter Ihres Unternehmens?

2.19

34%

31%

14%

11%

2%; 6

92

85

39

29

4%; 11

3%; 9

seltener

einmalig bei Einstellung

nie

monatlich

jährlich

halbjährlich

quartalsweise

2.20

47%

26%

22%

5%, 21

216

118

102

Interne Schulung

Selbststudium

Online-Schulung

Externe Schulung

Zu den Kernaufgaben des Datenschutzbeauftragten gehört die Schulung der Mitarbeiter. Die weit überwiegende Anzahl der Datenschutzbeauftragten führt interne Datenschutzschu-lungen (47%) durch, nur 5% arbeiten mit externen Anbietern zusammen, aber immerhin schon 22% der Datenschutzbe-auftragten greifen zumindest auch zum Mittel der Online-Schulungen. 26% der Mitarbeiter werden im Selbststudium geschult. Diese Gewichtung hat sich im Vergleich zur Daten-schutzpraxis 2012 kaum verändert.

4.3 Datenschutzverstöße im Unternehmen1. Fühlen Sie sich über mögliche Datenschutz- verstöße durch Sicherheitsverletzungen in Ihrem Unternehmen ausreichend informiert?

Datenschutzverstöße im Unternehmen schaden nicht nur dem Image oder können zu Informationspflichten und Schadener-satzansprüchen Betroffener führen. Sie müssen auch in beson-deren Fällen der zuständigen Aufsichtsbehörde gemeldet wer-den, § 42a BDSG. Daneben stellen aber solche Verstöße auch für den Datenschutzbeauftragten eine wichtige Informationsquelle dar, um seiner Aufgabe zur Umsetzung des Datenschutzrechtes gerecht zu werden. Damit zählen Verstöße jedenfalls zu den In-formationen, die dem Datenschutzbeauftragten zwingend mit-zuteilen sind, und an deren Aufklärung er zu beteiligen ist.

42% der betrieblichen Datenschutzbeauftragten fühlen sich nicht ausreichend über Datenschutzverstöße im Unternehmen informiert. Diese hohe Anzahl und im Vergleich mit der Daten-schutzpraxis 2012 (38%) leicht steigende Tendenz ist vor allem angesichts der Befragungsgruppe von überwiegend langjährig erfahrenen Datenschutzbeauftragten alarmierend.

2. Fühlen Sie sich über mögliche Datenschutzverstöße durch Sicherheitsverletzungen in Ihrem Unternehmen rechtzeitig genug informiert?

Lediglich 51% der Datenbeauftragten gaben an, rechtzeitig genug über mögliche Datenschutzverstöße informiert worden zu sein. Diese Zahl ist aufgrund des akuten Handlungsbedarfs bei Datenschutzverstößen bedenklich. Mögliche Probleme können unter anderem aufgrund von zu geringem Einbezug

115 42% 58% 157

nein ja

3.1

3.2

133 49% 51% 136

nein ja

4.3 DATENSCHUTZVERSTÖSSE IM UNTERNEHMEN

Page 16: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

15

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

von Datenschutzbeauftragten in Projekte, insbesondere in der Planungsphase, auftreten. Nur eine frühzeitige Einbindung des Datenschutzbeauftragten ermöglicht eine rechtzeitige Prüfung eventueller Informationspflichten gem. § 42a BDSG.

3. Mussten Sie schon einmal klären, ob eine Benach-richtigung nach §42a BDSG (Informationspflicht bei der Möglichkeit unrechtmäßiger Kenntniserlangung von Daten durch Dritte) notwendig ist?

Der § 42a BDSG postuliert eine Informationspflicht der ver-antwortlichen Stelle bei einer unrechtmäßigen Kenntniserlan-gung Dritter von personenbezogenen Daten, wenn hierdurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Diese relativ neue Regelung im BDSG verursachte in der Praxis viel Unsicherheit und Klärungsbedarf. Die Ergebnisse der Befra-gung belegen deutlich die Relevanz solcher Prüfungen, wenn bereits durchschnittlich 28% der befragten Datenschutzbe-auftragten eine solche Prüfung vornehmen mussten. Eine steigende Relevanz kann auch durch den Vergleich mit dem Ergebnis der Datenschutzpraxis 2012 verdeutlicht werden. Damals gaben noch 21% der Datenschutzpraktiker an, dass sie schon einmal eine solche Prüfung durchführen mussten.

4.1 Mussten Sie schon einmal Benachrichtigungen nach §42a BDSG vornehmen?

3.4.1

249 93% 7% 18

nein ja

Gemäß § 42a BDSG besteht eine Informationspflicht der ver-antwortlichen Stelle bei einer unrechtmäßigen Kenntniserlan-gung Dritter von personenbezogenen Daten, wenn hierdurch schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Wenn eine solche Gefahr festgestellt wird, müssen die Betroffenen unter Darlegung der Art der unrechtmäßigen Kenntniserlan-gung und von Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen informiert werden. Eine solche Benachrichtigung erfolgt durch die verantwortliche Stelle. Im Vergleich zu den Umfrageergebnissen der Datenschutzpraxis 2012 (5%) ist die Zahl der nach §42a BDSG notwendigen Be-nachrichtigungen mit 7% leicht gestiegen.

3.3

194 72% 28% 76

nein ja

4.2 In welcher Form haben Sie die Betroffenen nach § 42a BDSG informiert?

In diesen 23 Fällen erfolgte die Benachrichtigung nach §42a BDSG der Betroffenen hauptsächlich (52%) durch einen Brief, in 26% der Fälle durch einen Anruf, in 17% der Fälle durch eine E-Mail und in 5% der Fälle durch Zeitungsanzeigen.

5. Welche Gruppe verübt aus Ihrer Sicht die meisten Datenschutzverstöße in Ihrem Unternehmen?

Das Datenschutzrecht regelt den Schutz personenbezogener Daten vor einem Missbrauch durch Unberechtigte. Aus den Er-fahrungen der Datenschutzbeauftragten ergibt sich als wich-tigste Ursache von Datenschutzverstößen das Fehlverhalten einzelner Beschäftigter mit 81% der Gesamtnennungen. Nur 6% der Nennungen entfallen auf externe Dienstleister sowie weitere 5% auf sonstige Täter. Der deutliche Schwerpunkt liegt also, wie bereits in der Datenschutzpraxis 2012 zu er-kennen, nach der Einschätzung der Praktiker bei den internen Verursachern. Vor zwei Jahren waren einzelne Beschäftigte mit 60% bereits die meistgenannte Gruppe.

3.4.2

52%

26%

17%

0%

12

6

4

5%; 1

0

0

Brief an Betroffenen

Anruf bei Betroffenen

E-Mail an Betroffenen

Zeitungsanzeigen

SMS an Betroffenen

Sonstiges

3.5

81% 201

8%; 20

6%; 15

5%; 13

einzelne Beschäftigte

ehemalige Beschäftigte

externe Dienstleister

Sonstige

4.3 DATENSCHUTZVERSTÖSSE IM UNTERNEHMEN

Page 17: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

16

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

6. Welche Gruppe ist Ihrer Ansicht nach am häufigsten von Datenschutzverstößen Ihres Unternehmens betroffen?

Opfer von Datenschutzverstößen sind die Betroffenen, deren Daten unrechtmäßig verarbeitet werden. Dies können in Unter-nehmen sowohl Kunden, als auch die eigenen Mitarbeiter sein. Im Vergleich zu den Ergebnissen der Datenschutzpraxis 2012 steht an der Spitze der Opfer von Datenschutzverstößen nicht mehr der Kunde als Betroffener (37%), sondern eigene Beschäftigte der Unternehmen (48%). Diese Zahlen legen eine Gleichgewichtung der datenschutzrechtlichen Selbst-kontrolle zugunsten externer (Kunden) und interner (Beschäf-tigte) Betroffener nahe.

7. Bewerten Sie die Häufigkeit der folgenden Gründe von Datenschutzpannen in Ihrem Unternehmen?

Die Befragung gab als mögliche Gründe Unachtsamkeit, Un-wissenheit, IT-Infrastruktur und Konzernvorgaben vor. Über die Gründe von Datenschutzverstößen sind sich die befragten Da-tenschutzbeauftragten bei der „Unachtsamkeit“ jedenfalls un-einig: während 58% diesen Grund „häufig“ oder „eher häufig“

3.6

48%

37%

6%

123

95

16

4%; 11

3%; 7

2%; 5

eigeneBeschäftigte

Kunden

Mitarbeitervon Kunden

Sonstige

Mitarbeiterexterner Dienstleister

ehemaligeBeschäftigte

Grund häufig eher

häufig

eher

selten

selten nie

Unachtsamkeit 20,00% 38,11% 21,13% 16,60% 4,15%

Summe 58,11% 41,89%

Unwissenheit 10,15% 36,47% 29,32% 19,92% 4,14%

Summe 46,62% 53,38%

IT-Infrastuktur 3,41% 13,64% 28,03% 43,18% 11,74%

Summe 17,05% 82,95%

Konzernvorgaben 3,88% 11,24% 12,79% 34,88% 37,21%

Summe 15,12% 84,88%

erleben, geben die anderen 42% diesen Grund als „eher selten“ bis „nie“ an. Nur unwesentlich deutlicher wird die Aussage bei „Unwissenheit“ als Ursache: hier sind es ca. 47% der Daten-schutzbeauftragten, die diese Ursache häufig feststellten, 53% eher selten bis nie.

Deutlicher wird das Bild erst bei der „IT-Infrastruktur“ und bei den „Konzernvorgaben“ als mögliche Gründe: Hier sind es 83% bzw. 85% aller Befragten, die dieses „eher selten“ bis „nie“ als Ursache für Datenschutzverstöße erlebten. Diese Analyse unterstreicht den Bedarf an Schulungen der Mitarbeiterinnen und Mitarbeiter als wirksame Maßnahme zur Bekämpfung der wichtigsten Ursache für Datenschutzpannen.

8. In welchen Abteilungen verzeichnen Sie die meisten Datenschutzverstöße?

Verkauf, Vertrieb, Marketing und Kundenbetreuung sind nicht nur die Abteilungen mit den meisten personenbezogenen Daten. Sie bleiben auch 2014 wie 2012 an der Spitze der Daten-schutzverstöße.

3.8 16%

14%

12%

10%

9%

9%

5%

5%

4%

3%

3%

0%

90

82

71

56

54

52

30

27

25

20

17

2%; 12

2%; 11

2%; 11

1%; 8

1%; 6

1%; 6

1%; 1

Verkauf, Vertrieb

Marketingabteilung

Kundenbetreuung,ggf. Call Center

Internet-,Dateninfrastruktur

Personalabteilung

Administration,Technik

Buchhaltung,Rechnungswesen

Geschäftsführung

Poststelle

Fertigung,Produktion

Sonstiges

Öffentlichkeits-arbeit

Finanzen

Forschung,Entwicklung

Logistik,Materialwirtschaft

Hausverwaltung/-meisterei

Qualitätssicherung

Rechtsabteilung

4.3 DATENSCHUTZVERSTÖSSE IM UNTERNEHMEN

Page 18: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

17

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

9. In welchen Abteilungen wird sich Ihrer Meinung nach am meisten mit Datenschutz auseinandergesetzt?

Aus den Befragungsergebnissen lässt sich ein sehr differen-ziertes Problembewusstsein in den einzelnen Abteilungen der Unternehmen ablesen: Während sich die Personalabtei-lungen am meisten mit den Datenschutzthemen auseinan-dersetzen, stehen sie trotzdem auf Platz fünf der Verstöße. Die Spitzenreiter bei den Datenschutzverstößen sind die Unternehmensbereiche „Verkauf, Vertrieb und Marketing“. Diese finden sich auch auf den unteren Plätzen, wenn es um die Befassung mit den Datenschutzthemen geht. Hier zeigt sich, wie bereits in der Datenschutzpraxis 2012, deutlich der erwartete Zusammenhang zwischen fehlender Kenntnis gesetzlicher Vorgaben und Datenschutzverletzungen.

3.918%

16%

11%

10%

9%

7%

6%

5%

4%

3%

3%

2%

2%

0%

147

128

85

82

73

52

50

42

30

25

23

19

18

1%; 10

1%; 5

1%; 5

1%; 4

0%; 2

Personalabteilung

Administration,Technik

Rechtsabteilung

Internet-,Dateninfrastruktur

Geschäftsführung

Kundenbetreuung,ggf. Call Center

Marketingabteilung

Buchhaltung,Rechnungswesen

Qualitätssicherung

Öffentlichkeitsarbeit

Verkauf, Vertrieb

Finanzen

Poststelle

Sonstige

Forschung,Entwicklung

Hausverwaltung/-meisterei

Fertigung,Produktion

Logistik,Materialwirtschaft

10. Wie oft beobachten Sie die folgenden aufgelisteten Datenschutzverstöße in Ihrem Unternehmen?

Datenschutzverstöße sind in Unternehmen genauso vielfältig, wie deren mögliche Ursachen. Das Gesetz unterscheidet bei den Ordnungswidrigkeiten zwischen eher formalen Verstößen, die mit einem Bußgeld bis zu 50.000€ geahndet werden, und materiell rechtlichen Verstößen, die mit einer Verletzung des Rechtes auf informationelle Selbstbestimmung Betroffener einhergehen und mit Bußgeldern bis zu 300.000€ geahndet werden können. Werden diese Taten mit einer Bereicherungs- oder Schädigungsabsicht vorsätzlich begangen, handelt es sich um Straftaten, die mit Freiheitsstrafe bis zu zwei Jahren bestraft werden können. In der Befragung wurden typische

häufig eher

häufig

eher

selten

selten nie

Unbefugter Zutritt in

betriebliche Räumlichkeiten

2,64% 10,94% 22,64% 39,25% 24,53%

Summe 13,58% 86,42%

Sorgloser Umgang mit

der IT-Infrastruktur

5,97% 33,21% 25,37% 27,61% 7,84%

Summe 39,18% 60,82%

Unbefugte Nutzung

von EDV-Anlagen

1,50% 8,24% 22,85% 33,33% 34,08%

Summe 9,74% 90,26%

Unrechtmäßige Erhebung

personenbezogener Daten

5,24% 20,97% 29,21% 26,97% 17,60%

Summe 26,22% 73,78%

Unbefugte Verarbeitung

personenbezogener Daten

3,33% 21,85% 28,15% 28,15% 18,52%

Summe 25,19% 74,81%

Unrechtmäßige Übermittlung

personenbezogener Daten

3,76% 17,29% 25,19% 30,08% 23,68%

Summe 21,05% 78,95%

Vertragswidrige Verarbeitung

personenbezogener Daten

1.15% 6.90% 18.39% 38.31% 35.25%

Summe 8,05% 91,95%

Unsachgemäße

Aufbewahrung

personenbezogener Daten

4,51% 21,05% 24,81% 33,83% 15,79%

Summe 25,56% 74,44%

Liegengebliebene

Dokumente in Druckern

6,74% 20,60% 27,72% 35,21% 9,74%

Summe 27,34% 72,66%

Unverschlüsselte, ungesi-

cherte IT- und EDV-Geräte

11,19% 22,01% 20,52% 30,97% 15,30%

Summe 33,21% 66,79%

4.3 DATENSCHUTZVERSTÖSSE IM UNTERNEHMEN

Page 19: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

18

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Datenschutzverletzungen aus der Praxis abgefragt. Dabei handelt es sich sowohl um typisches Fehlverhalten von Mit-arbeitern (sorgloser Umgang, unbefugte Nutzung, unsachge-mäße Aufbewahrung, liegengebliebene Dokumente), als auch um fehlende Umsetzung der gesetzlich vorgeschriebenen organisatorischen Maßnahmen (unrechtmäßige Erhebung, Übermittlung, vertragswidrige und unbefugte Verarbeitung von personenbezogenen Daten) und technischen Maßnah-men (unverschlüsselte oder ungesicherte IT- und EDV-Gerä-te). Nach der Häufigkeit der Nennungen stehen der sorglose Umgang mit der IT-Infrastruktur, unverschlüsselte, ungesi-cherte IT- und EDV-Geräte und im Drucker liegengebliebene Dokumente an der Spitze der Datenschutzverstöße in den befragten Unternehmen. Die vertragswidrige Verarbeitung personenbezogener Daten hingegen bildet das Schlusslicht.

11. Ergriff Ihre Unternehmensleitung nach Entdeckung eines Datenschutzverstoßes Konsequenzen?

Die befragten Datenschutzbeauftragten haben die Erfahrung gemacht, dass 80% der festgestellten Datenschutzverstöße auch entsprechend geahndet werden. Im Gegensatz dazu blieben nach Angaben der Datenschutzbeauftragten in der Datenschutzpraxis 2012 knapp die Hälfte (49%) der Daten-schutzverstöße nach Entdeckung ohne Konsequenzen.

12. Welche Arten von Konsequenzen hatte die Entdeckung eines Datenschutzverstoßes?

47% der Datenschutzbeauftragten gaben an, dass ihrer Er-fahrung nach die Konsequenz bei Entdeckung eines Daten-schutzverstoßes lediglich die Beseitigung des Mangels dar-stellt. Weitere Konsequenzen stellten häufig Schulungen der

3.11

51 20% 80% 209

nein ja

3.12

47%

36%

9%

236

182

47

3%; 14

2%; 13

2%; 11

Beseitigungdes Mangels

Schulung derbetroffenen Mitarbeiter

Abmahnung derbetroffenen Mitarbeiter

Kündigung derbetroffenen Mitarbeiter

Sonstiges

Kündigung desDienstleisters

betroffenen Mitarbeiter dar (36%), um weitere Datenschutz-verstöße in Zukunft zu vermeiden. Seltener wurden drasti-schere Maßnahmen ergriffen, indem die betroffenen Mitar-beiter abgemahnt (9%), gekündigt (3%) beziehungsweise dem Dienstleister gekündigt (2%) wurde.

13. Wie zufrieden sind Sie mit den Konsequenzen?

Die betrieblichen Datenschutzbeauftragten haben selbst keine Kompetenz, Verstöße gegen das Datenschutzrecht zu ahnden, und auch keine Pflicht, Verstöße der zuständigen Aufsichtsbehör-de mitzuteilen. Hier sind sie vielmehr auf die Unternehmensleitung und deren Bereitschaft angewiesen, aus Verstößen und Fehlver-halten Konsequenzen zu ziehen. In den Fällen, in denen festgestellte Datenschutzverstöße geahn-det wurden, zeigen sich die befragten Datenschutzbeauftragten zu 74% mit den Konsequenzen „kaum“ oder „gar nicht“ zufrieden. Diese Unzufriedenheit lässt sich eventuell mit zu geringen Konse-quenzen (47% gaben an, dass diese lediglich die Beseitigung des Mangels darstellte) begründen. Dieses Ergebnis ist überraschend, wenn man es mit den Umfragewerten der Datenschutzpraxis 2012 vergleicht. Damals war die Mehrzahl der Datenschutzbeauftragten (63%) mit den Konsequenzen „ziemlich“ oder „sehr“ zufrieden.

4.4 Der Datenschutzbeauftragte im Unternehmen1. Wie viele Kunden (Unternehmen) betreuen Sie zusätzlich neben diesem Unternehmen als Datenschutzbeauftragter?

Gefragt wurde nach der Anzahl der Unternehmen und der Mitar-beiter im Durchschnitt der letzten zwei Jahre. 159 der Befragten betreuen keine weiteren Unternehmen als externe Datenschutz-beauftragte. 112 Datenschutzbeauftragte betreuen insgesamt 658 weitere Unternehmen (durchschnittlich 5,8 Unternehmen pro Kopf) mit 31.028 Mitarbeiterinnen und Mitarbeitern (durch-schnittlich 277 pro Beauftragter).

Mit dieser Frage können nun die Ergebnisse der Befragung 2012 besser interpretiert werden: Von den 63 an der Befragung 2012 teilnehmenden externen Datenschutzbeauftragten betreuten neun (14%) nur einen weiteren Kunden, 2014 trifft dies für 29 von 112 zu (25%).

3.13

61%

23%

13%

155

60

34

3%; 7

kaum

ziemlich

gar nicht

sehr

4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN

Page 20: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

19

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

2012 betreuten 38 Befragte (60%) zwei bis zehn weitere Unter-nehmen, 2014 sind dies 66 (59%).

2012 haben sieben befragte Datenschutzbeauftragte (11%) weite-re elf bis 20 Kunden betreut, 2014 sind es 18 (16% der Befragten). In der Umfrage 2014 hat ein Befragter angegeben, 50 weitere Unternehmen mit 600 Mitarbeitern zu betreuen. Diesem stehen dann aber auch ein Budget von 1,1 Mio. Euro und 8,5 weitere Mitarbeiter zur Verfügung.

2. Wie lange sind Sie bereits in Ihrem Unternehmen als Datenschutzbeauftragter bestellt?

Insgesamt haben die 263 bei dieser Frage teilnehmenden Daten-schutzbeauftragten innerhalb des gleichen Unternehmens 1602 Jahre Datenschutzerfahrung gesammelt, also ergibt sich daraus eine durchschnittliche Bestellungszeit von 5,9 Jahren.

Bei Betrachtung der Bestellungszeit in Relation zu der Größe der jeweiligen Unternehmen, in der die Datenschutzbeauftragen tätig sind, fällt auf, dass die Länge der Bestellungszeit mit der Größe des Unternehmens korreliert. Je größer das Unternehmen, desto länger ist meist auch die Bestellungszeit.

4.2

85%

64%

45% 42%

25%

15%

25%

33%46%

50%

5%

16% 25%

5% 6%13%

bis 50 bis 500 bis5.000

bis50.000

über50.000

keine Angabe

> 15 Jahre

11 bis 15 Jahre

6 bis 10 Jahre

1 bis 5 Jahre

< 1 Jahr

40 122 82 24 4

3. Sind Sie in Ihrem Unternehmen allen Mitarbeitern als Datenschutzbeauftragter bekannt?

4.3

76%

24%

0%

206

66

0%; 0

ja

teilweise

nein

Aufgrund der Funktion des Datenschutzbeauftragten einer-seits als fachlicher Berater, andererseits aber auch als Be-schwerdeinstanz für Mitarbeiter bei Datenschutzverstößen, ist dessen persönliche Bekanntheit im Unternehmen über-wiegend eine Selbstverständlichkeit. 76% der Datenschutz-praktiker gaben an, in ihrem Unternehmen als Datenschutz-beauftragter bekannt zu sein und die restlichen 24% gaben an, zumindest teilweise bekannt zu sein. Im Jahr 2012 gaben noch 86% der befragten Datenschutzbeauftragten an, in ihrem Unternehmen bekannt zu sein und nur 13% waren nur teilweise bekannt. Hier wird eine Verschiebung in der Struktur der teilnehmenden Datenschutzbeauftragten deutlich.

4. Können Sie der Tätigkeit als Datenschutzbeauf-tragter fachlich unabhängig nachkommen?

4.4

82%

16%

222

44

2%; 6

ja

teilweise

nein

Nur 82% der Datenschutzbeauftragten schätzen ein, dass sie ihrer Tätigkeit fachlich unabhängig nachkommen können, obwohl diese Unabhängigkeit gesetzlich zwingende Voraus-setzung der Wirksamkeit der Bestellung ist. Als mögliche Ursachen für die Einschränkungen ergeben sich aus der Aus-wertung der Befragungsergebnissen zu den Fragen 4.4.6 und 4.4.10, dass sowohl die Unterstützung durch die Geschäfts-führung als auch die personelle Unterstützung teilweise als unzureichend beurteilt wurde.

4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN

Page 21: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

20

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

5. Sind Sie der Meinung, dass die Geschäftsführung ihre Pflichten im internen Datenschutzmanagement erfüllt?

Die Teilnehmer wurden zu ihrer Ausstattung mit Räumen, Zeit und Hilfspersonal, Ermöglichung von Schulungen und Übernah-me deren Kosten sowie zur Unterstützung des DSB durch Be-nennung von Ansprechpartnern in den Abteilungen befragt.

Etwa die Hälfte der Datenschutzbeauftragten (54%) gab an, dass die Geschäftsführung ihrer Meinung nach ihre Pflichten im inter-nen Datenschutzmanagement erfüllt und weitere 40% gaben an, dass die Geschäftsführung diese immerhin teilweise erfüllt. Mög-liche Gründe dafür, dass 6% der Datenschutzbeauftragten diese Frage mit „Nein“ beantworteten, ergeben sich aus der Auswer-tung der Befragungsergebnisse der folgenden Fragen. Bemängelt wurden unter anderem die Unterstützung durch die Geschäfts-führung, die personelle Unterstützung und der geringe Einbezug der Datenschutzbeauftragten bei Projekten.

6. Wie beurteilen Sie die Unterstützung Ihrer Tätigkeit als Datenschutzbeauftragter durch die Geschäftsführung?

4.6

42%

37%

17%

4%

113

100

46

11

ausreichend

eherausreichend

eherunzureichend

unzureichend

Immerhin 21% der befragten Datenschutzbeauftragten beurteilen die Unterstützung ihrer Tätigkeit durch die Ge-schäftsführung als „unzureichend“ oder „eher unzureichend“, während 79% die Unterstützung als „ausreichend“ oder „eher ausreichend“ erachten. Dennoch ist hier im Vergleich zu dem Ergebnis dieser Frage in der Datenschutzpraxis 2012 eine Verbesserung zu erkennen. Damals beurteilten noch 33% die Unterstützung der Geschäftsführung als unzureichend.

4.5

54%

40%

6%

147

109

16

ja

teilweise

nein

7.1 Wie viel Budget steht Ihnen für Ihre Tätigkeit als Datenschutzbeauftragter jährlich zur Verfügung?

Exklusive eventueller Personalkosten oder anderer unterneh-mensinterner Verrechnungen.

4.7

42%

27%

10%

7%

7%

115

74

26

19

19

4%; 10

2%; 5

1%; 3

keine Angaben

bis 5.000

kein Budget

bis 10.000

bis 50.000

nach Anfrage

bis 100.000

über 100.000

7.2 In welcher Form können Sie über das Budget verfügen?

4.7.2

183 80% 20% 47

nach Genehmigungim Einzelfall

als festes Budget zurVerfügung des DSB

4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN

Page 22: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

21

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

7.3 Wie hoch ist das Budget eines Datenschutzbe-auftragten nach Unternehmensgröße?

4.7 (+2.5)

13% 15%

4%

35%25%

30%21%

3%

6%

7% 21%

3%3% 11%

17%

25%

8%

25%

4%

3%5%

4%

45% 47%40%

25%

50%

bis 50 bis 500 bis5.000

bis50.000

über50.000

keine Angabe

nach Anfrage

über 100.000

bis 100.000

bis 50.000

bis 10.000

bis 5.000

kein Budget

40 122 82 24 4

Das jährliche Budget der Datenschutzbeauftragten, die diese Fra-ge beantwortet haben, liegt bei durchschnittlich 18.822 €. Dieses Ergebnis erscheint aufgrund der Konkretisierung der Fragestel-lung realistischer, als das der Datenschutzpraxis 2012, wo das an-gegebene Budget der Datenschutzbeauftragten durchschnittlich 70.596 € betrug. Offensichtlich hatten 2012 die meisten Daten-schutzbeauftragen die Personalkosten ins Budget einberechnet. 10% der befragten Datenschutzbeauftragten geben an, kein Budget zur Verfügung zu haben, wobei die Frage insgesamt nur von 156 Datenschutzbeauftragten beantwortet wurde.

Im zweiten Teil der Frage ist zu erkennen, dass die deutliche Mehrheit der Datenschutzbeauftragten (80%) ihr Budget, wie erwartet, nur auf Anfrage erhält.

Mit der Größe des Unternehmens steigt auch die Höhe des Bud-gets. Jedoch bleibt zu beachten, dass das Ergebnis aufgrund einer zu geringen Anzahl an Antworten (lediglich 156 von 272 befragten Datenschutzbeauftragten haben diese Frage beantwortet) nicht repräsentativ ist.

Die geringen Prozentzahlen der angegebenen „Mehrheiten“ kommen dadurch zustande, dass die fehlenden Angaben der restlichen 115 Datenschutzbeauftragten als „keine Angabe“ in die Statistik integriert wurden. Darunter entfällt auf Unternehmen mit bis zu 50 Mitarbeitern hauptsächlich ein Budget von bis zu 5.000€ (35%), auf Unternehmen mit bis zu 500 Mitarbeitern meist bis zu 5.000€ (25%) oder auch bis zu 10.000€ (6%), auf Unternehmen mit bis zu 5.000 Mitarbei-ter meist bis zu 5.000€ (30%), bis 10.000€ (7%) oder bis zu 50.000€ (11%). In größeren Unternehmen mit bis 50.000 Mit-arbeitern beträgt das Budget meist bis zu 5.000€ (21%), bis zu 10.000€ (21%) oder auch bis zu 50.000€ (17%). Bei Unter-nehmen mit mehr als 50.000 Mitarbeitern beträgt es meist bis 50.000€ oder bis zu 100.000€.

8. Wie beurteilen Sie die Höhe dieses Budgets?

4.8

39%

27%

22%

11%

98

68

56

28

ausreichend

eherausreichend

eherunzureichend

unzureichend

Ähnlich wie in der Datenschutzpraxis 2012, beurteilte mit 66% die Mehrheit der befragten Datenschutzbeauftragten ihr Budget als „ausreichend“ oder „eher ausreichend“.

9. Wie viele Mitarbeiter stehen Ihnen als ausdrücklich benannte Ansprechpartner, als Hilfspersonal oder Teil der Datenschutzorganisation bei der Ausübung Ihrer Tätigkeit direkt zur Verfügung?4.9

47%

29%

8%

8%

129

79

22

22

4%; 12

3%; 7

0%; 0

keiner

einer

zwei

3 bis 9

keineAngaben

10 bis 50

mehr als50

4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN

Page 23: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

22

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

261 befragte Datenschutzbeauftragte gaben an, dass Ihnen durchschnittlich 1,7 Mitarbeiter bei der Ausübung ihrer Tätigkeit direkt zur Verfügung stehen. Das sind immerhin durchschnittlich 30% mehr Mitarbeiter zur Unterstützung als bei den Umfrage-ergebnissen der Datenschutzpraxis 2012. Jedoch bestätigt sich hier weiterhin das Bild vom Datenschutzbeauftragten als „Einzel-kämpfer“ im Unternehmen.

Die folgende Tabelle verdeutlicht den Zusammenhang zwi-schen der Anzahl der Datenschutzmitarbeiter und der Unter-nehmensgröße in Deutschland:

4.9 (+2.5)

45%53%

45%38%

35%

29%

30%

17%

25%

8%7%

10%

4%

25%

5%7%

6%

25%

25%

4%

8% 25%

4% 5% 8%

bis 50 bis 500 bis5.000

bis50.000

über50.000

keine Angabe

mehr als 50

10 bis 50

3 bis 9

zwei

einer

keiner

40 122 82 24 4

10. Wie beurteilen Sie die personelle Unterstützung?

4.10

34%

31%

20%

15%

89

83

52

41

ausreichend

eher unzureichend

eher ausreichend

unzureichend

Immerhin 54 % der Datenschutzbeauftragten beurteilen das zur Unterstützung bereitgestellte Personal als „ausreichend“ oder „eher ausreichend“ zur Erfüllung ihrer Aufgaben. 46% der Daten-schutzbeauftragten sind damit jedoch unzufrieden. Obwohl Ihnen mit 1,7 Mitarbeitern im Vergleich zu den Ergeb-nissen der Datenschutzpraxis 2012 30% mehr Mitarbeiter zur Unterstützung bereitgestellt wurden, haben 2014 mehr Daten-schutzbeauftragte die personelle Unterstützung als „eher unzu-reichend“ oder „unzureichend“ beurteilt.

11. Wie kooperativ beurteilen Sie die Fachabteilungen in der Zusammenarbeit im Datenschutz?4.11

55%

31%

13%

148

85

35

1%; 3

eherkooperativ

kooperativ

eherunkooperativ

unkooperativ

Die weit überwiegende Anzahl von Datenschutzbeauf- tragten erlebt, wie bereits in der Datenschutzpraxis 2012 zu erkennen, die Fachabteilungen im Unternehmen als koopera-tiv. Diese Antwort spiegelt auch die besondere Situation der befragten Datenschutzbeauftragten wider, die oft bereits langjährig in einem Unternehmen tätig sind.

4.4 DER DATENSCHUTZBEAUFTRAGTE IM UNTERNEHMEN

Page 24: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

23

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

12. Bitte ordnen Sie die Erforderlichkeit folgender Fachkundebereiche für Ihre Tätigkeit:

1 am meisten - 6 am wenigsten

Durchschnitt

Audit, Revision 3,53

Betriebswirtschaft 4,70

Datenschutzrecht 1,63

IT-Sicherheit 2,31

Kommunikation 2,85

Organisation 3,09

Im Ranking der für die Tätigkeit als Datenschutzbeauftragter erforderlichen Fachkunde steht das Datenschutzrecht wei-terhin, wenig überraschend, an erster Stelle (durchschnittlich 1,63), bereits dicht gefolgt von Fragen der IT-Sicherheit (2,31), Kenntnissen der betrieblichen Kommunikation (2,85) und Organisation (3,09). Kenntnisse in Auditierungen (3,53) und der Betriebswirtschaft (4,7) werden von den Befragten als am wenigsten erforderlich gewichtet. Der Benotungswert der datenschutzrechtlichen Kenntnisse hat sich allerdings von 2,18 in 2012 auf 1,63 verbessert, was eine zunehmende Verrechtlichung des Themas unterstreicht.

13. Bitte ordnen Sie die folgenden Tätigkeiten danach, wie viel Zeit sie in Anspruch nehmen:

1 am meisten - 6 am wenigsten

Durchschnitt

Anfragen von Mitarbeitern 3,26

Beratung der Geschäftsführung 3,78

Durchführung von Schulungen 3,56

Externe Betroffenenanfragen 5,40

Interne Audits und Kontrolle 3,62

Kontrollen von Auftragsdatenverarbeitern

4,16

Pflege Verfahrensverzeichnis 3,68

Das Ranking der zeitlichen Inanspruchnahme der Daten-schutzbeauftragten führen interne Anfragen (3,26) vor der Durchführung von Schulungen (3,56), der Durchführung von Audits und Kontrollen (3,62) und der Pflege des Verfahrens-verzeichnisses (3,68) sowie der Beratung der Geschäftsfüh-rung (3,78) an. Am wenigsten Zeit nehmen Kontrollen von Auftragsdatenverarbeitern (4,16) und externe Anfragen (5,4) in Anspruch. Dieses Ergebnis lässt vermuten, dass die Mög-lichkeit der Beschwerde beim betrieblichen Datenschutzbe-auftragten für die Betroffenen außerhalb der Unternehmen

kaum bekannt ist, oder jedenfalls selten genutzt wird. Diese Gewichtung entspricht dem Ergebnis zu dieser Frage in der Datenschutzpraxis 2012.

14. In welcher Phase werden Sie in der Regel in Projekte einbezogen?

4.14

49%

26%

15%

10%

131

71

41

27

Planungsphase

Wirkbetrieb

gar nicht

Investitionsentscheidungzu Projektbeginn

Nur eine frühzeitige Einbeziehung des Datenschutzbeauftragten kann Fehlentscheidungen und Fehlinvestitionen verhindern. 49% der Datenschutzbeauftragten gaben an, bereits in der Planungs-phase für Projekte zur datenschutzrechtlichen Bewertung einbe-zogen zu werden, 10% werden bei der Investitionsentscheidung zu Projektbeginn einbezogen und 26% erst im Wirkbetrieb. 15% der Datenschutzbeauftragten werden jedoch gar nicht in Projek-te einbezogen.

4.5 Das Verfahrensverzeichnis1. Wird ein Verfahrensverzeichnis in Ihrem Unternehmen geführt?

5.1

22; 8% 92% 247

nein ja

Immerhin 8% der befragten Datenschutzbeauftragten gaben an, dass das Unternehmen kein Verfahrensverzeichnis führt. Da es beim gegenwärtigen Stand der Verwendung automatisierter Datenverarbeitungsanlagen äußerst unwahrscheinlich ist, dass Unternehmen keinerlei personenbezogene Daten automatisiert verarbeiten, stellt das Fehlen des Verfahrensverzeichnisses gem. § 4g Abs. 2 BDSG einen Verstoß gegen die Pflichten des Unter-nehmens dar, das dieses Verzeichnis dem Datenschutzbeauf-tragten zur Verfügung stellen muss.

Die Auswirkungen eines fehlenden Verfahrensverzeichnisses sind vielfältig. Weder kann der Datenschutzbeauftragte, wie ge-setzlich gefordert, die öffentlichen Teile des Verzeichnisses jeder-mann auf Antrag zur Verfügung stellen, noch ist der Datenschutz-beauftragte in der Lage zu prüfen, ob und welche Verfahren der Vorabkontrolle unterliegen. Ihm fehlt zudem der Überblick über die im Unternehmen vorhandenen Datenverarbeitungsvorgänge, was auch die Beratung bei Löschungs-, Berichtigungs- und Aus-kunftsersuchen deutlich erschwert.

4.5 DAS VERFAHRENSVERZEICHNIS

Page 25: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

24

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Zwar ist das Fehlen eines Verfahrensverzeichnisses nicht mit einem Bußgeld direkt bedroht, das fehlende Verfahrensver-zeichnis kann aber zu unentdeckt unzulässigen Verfahren und damit indirekt zu vermeidbaren Nachteilen für das Unterneh-men führen.

2. Wie viele Verfahren werden in Ihrem Verfahrensverzeichnis geführt?

5.2 (+2.5)

3% 3%

45%

23%20%

4%

40%

52%

43%

42%

25%

5%

11%

12%

25%

10%

46%

4%

25%

8% 9%13%

4%

25%

bis 50 bis500

bis5.000

bis50.000

über50.000

keine Angabe

über 500

101 bis 500

51 bis 100

11 bis 50

1 bis 10

0

40 121 82 24 4

In der Übersicht aller automatisierten Verfahren sind insbeson-dere die verantwortliche Stelle, der Kreis der Betroffenen, die Art der Daten, die Zweckbestimmung und die Vorkehrungen zur Datensicherheit zu dokumentieren. Befragt nach der Anzahl der einzelnen Verfahren innerhalb einer Verfahrensübersicht gaben die Datenschutzbeauftragten im Durchschnitt 57 Verfahren an. Diese Anzahl variiert natürlich mit der Größe des Unternehmens erheblich. So gaben 25% der Datenschutzbeauftragten in Unter-nehmen mit mehr als 50.000 Mitarbeitern an, über 500 einzelne Verfahren im Verfahrensverzeichnis zu führen.

Diese Zahlen machen deutlich, dass es sich um eine gewaltige organisatorische Arbeit handelt, die erhebliche Ressourcen be-nötigt. In der Gruppe der Unternehmen mit bis zu 50 Mitarbeitern enthalten beinahe 90% der Verfahrensverzeichnisse hingegen nicht mehr als 50 unterschiedliche Verfahren.

3.1 Sind alle Verfahren Ihres Unternehmens im Verzeichnis erfasst?

5.3

158 62% 38% 96

nein ja

3.2 Wie viel Prozent der Verfahren sind erfasst?

5.3.1 (+2.5)

7%13%

15%

15% 15%

9%

10%11%

8%

13%

15%17%

33%

35%

35%31%

46%33%

26%

15%

15%23%

4% 3%9% 8%

33%

bis 50 bis500

bis5.000

bis50.000

über50.000

keine Angabe

über 80 %

61% bis 80%

41% bis 60 %

21% bis 40%

1% bis 20%

0%

23 60 54 13 3

Lediglich 38% der befragten Datenschutzpraktiker gaben an, dass alle Verfahren ihres Unternehmens im Verfahrensverzeich-nis erfasst werden. Da diese Übersicht aller automatisierten Verfahren jedoch vollständig sein muss, stellt das Fehlen dieser Verfahren im Verfahrensverzeichnisses gem. § 4g Abs. 2 BDSG einen Verstoß gegen die Pflichten des Unternehmens dar. Die Befragten, welche angaben, dass ihr Verfahrensverzeichnis un-vollständig sei, wurden zum genaueren Verständnis nach Pro-zentangaben der Vollständigkeit des Verfahrensverzeichnisses gefragt. Durchschnittlich wurde hierbei ein Vollständigkeitsgrad von etwa 60% genannt. Zur Erfassung eventueller Besonder-heiten in den unterschiedlichen Unternehmensgrößen wurden diese mit den kategorisierten Prozentangaben des Vollstän-digkeitgrades des Verfahrensverzeichnisses in Relation gesetzt.

4.5 DAS VERFAHRENSVERZEICHNIS

Page 26: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

25

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Dabei fielen jedoch keine spezifischen Besonderheiten bezüglich der Unternehmensgröße auf. Die größte oder mitgrößte Katego-rie bildete hierbei bei jeder Unternehmensgröße die mit einem Vollständigkeitsgrad von 61% - 80%. Diese Ergebnisse können jedoch aufgrund der zu geringen Stichprobe nicht als repräsen-tativ angesehen werden.

4. Gibt es einen Regelprozess, der die Aktualität des Verfahrensverzeichnisses sicherstellt?

5.4

155 59% 41% 108

nein ja

Das Verfahrensverzeichnis unterliegt einem ständigen Wan-del durch jede Veränderung innerhalb der abgebildeten Ver-fahren, aber auch durch Änderungen der technisch-organi-satorischen Maßnahmen im Unternehmen. Zur Sicherstellung der Aktualität des Verzeichnisses ist ein unternehmensinter-ner Prozess erforderlich. Einen solchen Prozess haben nach Angaben der Datenschutzbeauftragten 108 von 263 Unter-nehmen (41%) eingeführt.

5. Stellt Ihr Unternehmen Ihnen eine Verarbeitungs-übersicht, wie gesetzlich gefordert, zur Verfügung?

5.5

155 60% 40% 105

nein ja

Nach den Vorschriften des BDSG ist es Aufgabe des Unterneh-mens, dem Datenschutzbeauftragten die Übersicht über die Ver-fahren automatisierter Datenverarbeitung (Verarbeitungsüber-sicht) zur Verfügung zu stellen. In der Praxis ist es jedoch gerade bei der ersten Bestellung eines Datenschutzbeauftragten oft der Fall, dass dieser erst selbst das Verfahrensverzeichnis erstellen muss. Mit der Verneinung dieser Frage durch 60% der Daten-schutzbeauftragten wird im Vergleich zur Beantwortung der Frage 4.5.1 deutlich, dass hier nicht die Unternehmen das Ver-fahrensverzeichnis erstellt und dem Datenschutzbeauftragten zur Verfügung gestellt haben – wie es das Gesetz postuliert –, sondern der Datenschutzbeauftragte selbst dieses Verfahrens-verzeichnis erstellt hat. Aufgrund der hohen Anforderungen an die Verfahrensübersichten kann es sich aber auch als vorteilhaft erweisen, wenn der Datenschutzbeauftragte jedenfalls eng in das Verfahren eingebunden ist.

Verglichen mit den Umfrageergebnissen dieser Frage in der Da-tenschutzpraxis 2012 zeichnet sich hierbei ein überraschendes

Bild ab. 2012 haben noch 28% der befragten Datenschutzbe-auftragten die Frage mit Nein beantwortet. Dieses Jahr ist diese Zahl mit 60% um 32% gestiegen. Das deutet darauf hin, dass die Frage in 2012 noch nicht hinreichend konkret formuliert war. Damals fragten wir danach, ob das Unternehmen eine Ver-fahrensübersicht zur Verfügung stellt. Dies haben wohl einige Befragte als die Zur-Verfügung-Stellung an Jedermann interpre-tiert. Mit der Konkretisierung der Fragestellung wird nun deut-lich, dass die Pflicht der Unternehmen gegenüber dem eigenen Datenschutzbeauftragten noch viel häufiger unerfüllt bleibt, als 2012 befürchtet.

6. Wie viele Auskunftsersuche von Kunden erhält Ihr Unternehmen pro Jahr?5.6 (+2.5)

45% 46%

30%

8%

45% 43%

43%

50%

25%

8%3%

16%

25%

25%

4%8%

25%

4%5% 6% 4%

25%

bis 50 bis 500 bis5.000

bis50.000

über50.000

keine Angabe

mehr als 1000

501 bis 1000

101 bis 500

11 bis 100

1 bis 10

keine

40 122 82 24 4

Durchschnittlich erhielten die Unternehmen jährlich jeweils 231 Auskunftsersuche von Kunden. Zur Erfassung eventueller Be-sonderheiten in den unterschiedlichen Unternehmensgrößen wurden diese mit den nach Anzahl kategorisierten Auskunftser-suchen im Jahr in Relation gesetzt. Dabei wurde deutlich, dass die Anzahl der Auskunftsersuche, wie erwartet, mit der steigenden Unternehmensgröße korreliert.

4.5 DAS VERFAHRENSVERZEICHNIS

Page 27: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

26

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

7. Gibt es einen Regelprozess zur Einsichtnahme des öffentlichen Teils des Verfahrensverzeichnisses für Jedermann?

5.7

125 48% 52% 135

nein ja

Obwohl es die Pflicht des Datenschutzbeauftragten ist, auf An-trag den öffentlichen Teil des Verfahrensverzeichnisses für Jeder-mann zugänglich zu machen, gibt es nur in 52% der Unterneh-men der befragten Datenschutzbeauftragten einen Regelprozess hierfür. Zwar ist der Verstoß gegen die Pflicht ein solches Verfah-rensverzeichnis auf Antrag Jedermann zur Verfügung zu stellen nicht direkt mit einem Bußgeld bedroht, jedoch ist anzunehmen, dass die Personen, die nach einem solchen Verzeichnis fragen, datenschutzaffin genug sind, um bei einem Ausbleiben des Ver-zeichnisses die Aufsichtsbehörde(n) einzuschalten. Dies kann dann weitere Fragen – etwa auch nach dem internen Verfah-rensverzeichnis – nach sich ziehen.

8. Sind die Fachabteilungen in die Erstellung und Aktualisierung des Verfahrensverzeichnisses mit eingebunden?

5.8

68 26% 74% 192

nein ja

Die Erstellung und Aktualisierung der Verfahrensbeschreibungen erfolgt, ähnlich wie in der Datenschutzpraxis 2012, nur in 74% der Unternehmen unter Einbindung der Fachabteilungen.

9. Erstellen Sie das Verfahrensverzeichnis selber?

5.9

45 17% 83% 216

nein ja

Die befragten Datenschutzbeauftragten, die meist über lang-jährige Erfahrungen in der Anwendung des Datenschutzrechts verfügen, erstellen das Verfahrensverzeichnis zu 83% selbst, als dies durch die Fachabteilungen allein erledigen zu lassen. Im Vergleich zur Datenschutzpraxis 2012 ist diese deutliche Mehr-heit von 60% um 23% gestiegen. Hier bestätigt sich offen-sichtlich die Tendenz, dass die Datenschutzbeauftragten nicht, wie vom Gesetzgeber gefordert, die bloßen „Empfänger“ der Verfahrensverzeichnisse sind, sondern aktiv in deren Erstellung und Aktualisierung eingebunden sind.

10. Wie üben Sie als Auftraggeber die Kontrolle im Rahmen der Datenverarbeitung im Auftrag aus?

5.10

35%

31%

13%

11%

164

145

59

53

4%; 19

4%; 17

2%; 9

mittels einerSelbstkontrolle

durch Einholungbestehender Zertifizierungen

findet nicht statt

sonstigeKontrollmaßnahme

durch einen vom Unternehmenbezahlten Dienstleister

Vor-Ort-Audits

durch einenunabhängigen Dritten

Gemäß § 11 BDSG bleibt der Auftraggeber datenschutzrechtlich verantwortlich, wenn er Dritte mit der Verarbeitung personenbe-zogener Daten beauftragt. Er hat umfangreiche Kontrollpflichten, die er jedoch selbstbestimmt wahrnehmen kann. Eine bestimmte Art der Kontrolle ist gesetzlich nicht vorgegeben. Selbstkontrolle (35%) und die im Vergleich zu 2012 um 10% gestiegene Anzahl der Einholung von Zertifizierungen (31% der Gesamtnennungen), gehören zu den meistgenannten Kontrollverfahren. Allerdings ga-ben auch 13% der Befragten trotz der offensichtlichen Rechts-widrigkeit an, dass keine Kontrollen stattfinden. Nur in wenigen Einzelfällen wurden Vor-Ort-Audits durchgeführt, vom Unterneh-men bezahlte Dienstleister oder unabhängige, vom Auftragneh-mer bezahlte Dritte, hinzugezogen.

4.6 Zertifizierung1. Hat Ihr Unternehmen bereits eine Datenschutz-zertifizierung (wie z.B. EuroPriSe, ULD oder ähnliches, für Produkte oder Dienstleistungen, Verfahren oder Unternehmensprozesse) erhalten?

6.1

254 95% 5%; 12

nein ja

Bisher haben 5% der Unternehmen eigene Erfahrungen mit ei-ner Datenschutzzertifzierung sammeln können. 2012 hatten die-se Frage 7% der Unternehmen mit Ja beantwortet. Die Situation hat sich nicht wesentlich verändert.

4.6 ZERTIFIZIERUNG

Page 28: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

27

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

2. Ist Ihr Unternehmen an einer Datenschutzzertifizierung interessiert?

6.2

214 82% 18% 46

nein ja

18% der Datenschutzbeauftragten schätzen ein, dass ihr Unter-nehmen an einer Datenschutzzertifizierung interessiert ist, 2012 waren dies 21%.

3. Wenn Sie eine Datenschutzzertifizierung bereits in Betracht gezogen haben, warum wurde eine solche dann nicht durchgeführt?

6.3

28%

19%

19%

16%

13%

6%

92

63

62

52

42

19

zu hohe Kosten der Zertifizierung

unklare Akzeptanz durchdie Aufsichtsbehörden

zu hohe interne Kosten

zu hohe Kosteneiner externen Prüfung

fehlendeinternationale Akzeptanz

Risiko des Nicht-Bestehens

Nach Angaben der Datenschutzpraktiker wurde eine Daten-schutzzertifizierung in ihren Unternehmen hauptsächlich auf-grund der zu hohen Kosten (28% der Gesamtnennungen) nicht durchgeführt. Als weitere Gründe wurden unklare Akzeptanz (19%) durch die Aufsichtsbehörden, zu hohe interne Kosten (19%) und zu hohe Kosten einer externen Prüfung (16%) aufge-führt. Am seltensten wurden fehlende internationale Akzeptanz (13%) sowie das Risiko des Nichtbestehens (6%) genannt.

4. Erachten Sie eine Datenschutzzertifizierung Ihres Unternehmens als sinnvoll?

6.4

146 57% 43% 112

nein ja

Fast die Hälfte (43%) der befragten Datenschutzbeauftragten würden eine Datenschutzzertifizierung ihres Unternehmens als sinnvoll erachten. Bei der Betrachtung der Umfrageergebnis-se dieser und der vorherigen Fragen 4.6.1-4.6.3 wird somit wie

erwartet deutlich, dass Unternehmen, beziehungsweise deren Datenschutzbeauftragte, zwar an einer Datenschutzzertifizierung interessiert sind und eine solche auch in Betracht ziehen, die-se jedoch meistens aufgrund von zu hohen Kosten bisher nicht durchgeführt haben.

4.7 Aufsichtsbehörden1. Bitte nehmen Sie Stellung zu den folgenden Aussagen: Aufsichtsbehörden...

stimme

zu

stimme

eher zu

stimme eher

nicht zu

stimme

nicht zu

keine

Meinung

Müssen mehr kontrollieren 16,09% 29,50% 25,67% 21,84% 6,90%

Summe 45,59% 47,51%

Sollen weniger kontrollieren 3,11% 12,06% 24,90% 48,64% 11,28%

Summe 15,18% 73,54%

Sollten ausschließlich

kontrollierend tätig sein

5,43% 7,36% 20,93% 58,91% 7,36%

Summe 12,79% 79,85%

Müssen beratend tätig sein 54,75% 37,64% 4,18% 2,66% 0,76%

Summe 92,40% 6,84%

Können sowohl beratend, als

auch kontrollierend tätig sein

44,27% 44,66% 7,63% 1,91% 1,53%

Summe 88,93% 9,54%

Sollten Schulungen anbieten 46,36% 29,89% 11,88% 10,73% 1,15%

Summe 76,25% 22,60%

Sollten Zertifizierungen anbieten 30,53% 31,68% 16,03% 15,27% 6,49%

Summe 62,21% 31,30%

Die Begeisterung der Datenschutzbeauftragten für aufsichtsbe-hördliche Kontrollen hält sich in Grenzen: Trotzdem wünschen sich 46% der Befragten mehr Kontrollen. Nahezu übereinstim-mend fordern die Datenschutzbeauftragten mehr beratende Tätigkeit der Aufsichtsbehörden (92%) und die Durchführung von Schulungen (76%). Ebenfalls die Mehrheit (62%) der Da-tenschutzbeauftragten fordern zudem Zertifizierungen durch die Aufsichtsbehörden.

Im Vergleich zu den Umfragewerten dieser Frage in der Daten-schutzpraxis 2012 sind die Tendenzen in die jeweiligen Richtun-gen weiter bekräftigt worden und fielen noch eindeutiger aus.

2. Denken Sie, dass Aufsichtsbehörden zu wenig konsequent durchgreifen?

7.2

146 56% 44% 114

nein ja

44% der befragten Datenschutzpraktiker beurteilen die Auf-sichtsbehörden als zu wenig konsequent. Damit nimmt, im Ver-gleich zu 2012, ein um 11% gestiegener Teil der Datenschutzbe-auftragten die Aufsichtsbehörden eher als „zahnlose Tiger“ wahr. Diese Tendenz sollte die Aufsichtsbehörden alarmieren.

4.7 AUFSICHTSBEHÖRDEN

Page 29: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

28

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

3. Denken Sie, dass Datenschutzverstöße durch die Aufsichtsbehörden ausreichend verfolgt werden?

7.3

135 53% 47% 122

nein ja

53% der Datenschutzbeauftragten haben die Erfahrung gemacht, dass Datenschutzverstöße nicht ausreichend durch die Aufsichtsbehörden verfolgt werden. Dieses Meinungsbild wird durch den Vergleich zur Datenschutzpraxis 2012 sowie durch Be-trachtung der Ergebnisse der vorherigen Frage verdeutlicht. Im Vergleich zur Datenschutzpraxis 2012 ist diese Einschätzung immerhin um weitere 5 Prozentpunkte gestiegen. Bei der Fra-ge 4.7.2 haben 44% der Datenschutzpraktiker angegeben, dass die Aufsichtsbehörden ihrer Meinung nach zu inkonsequent sind. Diese Zahl ist im Vergleich zur Datenschutzpraxis 2012 um weitere 11% gestiegen. Zusammenfassend lässt sich somit sagen, dass die Verfolgung der Datenschutzverstöße durch die Aufsichtsbehörde durch annähernd jeden zweiten Datenschutz-praktiker als unzureichend und dementsprechend als inkonse-quent beurteilt wurde.

4. Haben Sie schon erlebt, dass Wettbewerber Datenschutzvorschriften straffrei übertraten und dadurch einen Wettbewerbsvorteil erhalten haben?

7.4

207 81% 19% 50

nein ja

Die Mehrheit der Datenschutzpraktiker (81%) gab an, dass sie es noch nie erlebt haben, dass Wettbewerber Datenschutzvor-schriften straffrei übertreten und dadurch einen Wettbewerbs-vorteil erhalten haben.

5. Erachten Sie die daraus folgenden Strafen und Bußgelder als ausreichend?

7.5

110 48% 52% 117

nein ja

Die Strafen der Aufsichtsbehörden aufgrund von Datenschutz-verstößen in Unternehmen halten 52% der Datenschutzbeauf-tragten für ausreichend.

6. Beurteilen Sie die Aufsichtsbehörden als ausreichend kompetent?

7.6

56 22% 78% 197

nein ja

Zweifel an der Kompetenz der Aufsichtsbehörden haben im-merhin 22% der befragten Datenschutzbeauftragten. Im Ver-gleich zu 2012 mit 24,5% ist dieser Wert zwar leicht, aber nur unwesentlich, gesunken. Die Zweifel an der Kompetenz der Aufsichtsbehörden scheinen sich zu verfestigen.

7. Wird die Möglichkeit der Anrufung der Aufsichtsbehörde für Datenschutz in Ihrem Unternehmen ernst genommen?

7.7

102 39% 61% 158

nein ja

Lediglich 61% der befragten Datenschutzbeauftragten haben den Eindruck, dass die Möglichkeit der Anrufung der Aufsichts-behörde in ihrem Unternehmen ernst genommen wird. Dieser Wert ist im Vergleich zu 2012 von 75% deutlich gesunken.

Zusammenfassend gesehen, zeichnet sich in diesem Kapitel ein eher kritisches Bild der Aufsichtsbehörde ab. Kritisiert wurden fehlende Konsequenz, eine unzureichende Verfolgung der Daten-schutzverstöße sowie teilweise zu geringe Strafen und Bußgelder. Des Weiteren wünschten fast die Hälfte der Datenschutzpraktiker mehr Kontrollen sowie umfassendere Informationsmöglickeiten durch Beratung und Schulungen durch die Aufsichtsbehörde.

4.7 AUFSICHTSBEHÖRDEN

Page 30: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

29

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

4.8 Rechtsfragen1. Bitte nehmen Sie Stellung zu den folgenden Aussagen:

stimme

zu

stimme

eher zu

stimme eher

nicht zu

stimme

nicht zu

keine

Meinung

Der DSB braucht

eine Art

Weisungsbefugnis.

36,12% 33,46% 12,17% 18,25% 0,00%

Summe 69,58% 30,42%

Die Datenschutz-

gesetze sind

verständlich

und eindeutig.

2,65% 20,45% 43,56% 33,33% 0,00%

Summe 23,11% 76,89%

Es ist möglich, alle

Datenschutzge-

setze einzuhalten.

3,41% 26,14% 35,61% 33,33% 1,52%

Summe 29,55% 68,93%

Für eine Art Weisungsbefugnis des Datenschutzbeauftragten sprechen sich fast 70% der befragten Datenschutzbeauftragten aus. Der überwiegende Teil der Datenschutzbeauftragten hält die bestehenden Datenschutzgesetze weder für verständlich (77%), noch für umsetzbar (69%). Hier haben sich die Ergebnisse der Befragung 2012 bestätigt.

2. Es bedarf Änderungen in den Bereichen:

stimme

zu

stimme

eher zu

stimme eher

nicht zu

stimme

nicht zu

keine

Meinung

Auftragsdaten-

verarbeitung

26,34% 32,44% 23,66% 11,83% 5,73%

Summe 58,78% 35,50%

Beschäftigtendatenschutz 38,02% 33,84% 17,11% 7,60% 3,42%

Summe 71,86% 24,71%

Datenschutz und Werbung 22,01% 32,84% 21,27% 10,82% 13,06%

Summe 54,85% 32,09%

Grenzüberschreitender

Datenverkehr

40,08% 29,18% 6,61% 2,33% 21,79%

Summe 69,26% 8,95%

Datenschutz im Internet 44,23% 34,62% 8,46% 8,85% 3,85%

Summe 78,85% 17,31%

Private Internet- und E-Mail-

nutzung am Arbeitsplatz

40,46% 36,26% 14,50% 7,25% 1,53%

Summe 76,72% 21,76%

Videoüberwachung 23,85% 26,92% 25,77% 19,62% 3,85%

Summe 50,77% 45,38%

Eine große und im Vergleich zu 2012 um 6% gestiegene Mehr-heit der Datenschutzbeauftragten wünscht sich hauptsächlich

Rechtsänderungen in den Bereichen Datenschutz im Internet (79%), private Internet- und E-Mailnutzung am Arbeitsplatz (77%) sowie dem Beschäftigtendatenschutz (72%). Die Da-tenschutzbeauftragten sehen ebenso Handlungsbedarf bei den Regelungen zum grenzüberschreitenden Datenverkehr (69%) und zur Auftragsdatenverarbeitung (59%).

Eine knappe Mehrheit von 55% wünscht sich auch Änderungen beim Thema Datenschutz und Werbung. Eher unentschieden ist die Meinungslage hinsichtlich eines gesetzgeberischen Hand-lungsbedarfs beim Thema Videoüberwachung (51%).

3. Decken die bestehenden Gesetze die folgenden Themengebiete Ihrer Meinung nach praxistauglich ab?

stimme zu stimme

eher zu

stimme eher

nicht zu

stimme

nicht zu

keine

Meinung

Cloud Computing 1,93% 8,11% 24,71% 59,46% 5,79%

Summe 10,04% 84,17%

Datenverarbeitung

im Konzern

2,70% 23,17% 23,94% 36,68% 13,51%

Summe 25,87% 60,62%

Geolokation 1,19% 11,07% 36,36% 32,02% 19,37%

Summe 12,25% 68,38%

Internationale

Datenverarbeitung

0,77% 9,62% 33,08% 40,00% 16,54%

Summe 10,38% 73,08%

Rechte und

Aufgaben des DSB

14,29% 54,44% 22,01% 8,11% 1,16%

Summe 68,73% 30,12%

Social Media 1,15% 8,85% 33,46% 52,31% 4,23%

Summe 10,00% 85,77%

Umgang mit Kundendaten 8,08% 58,46% 23,46% 8,85% 1,15%

Summe 66,54% 32,31%

Videoüberwachung 7,69% 47,31% 28,08% 12,69% 4,23%

Summe 55,00% 40,77%

Werbung 1,93% 35,52% 34,75% 19,31% 8,49%

Summe 37,45% 54,05%

Überwiegend zufrieden sind die befragten Datenschutzbeauf-tragten nur mit den gesetzlichen Regelungen zu den Rechten und Aufgaben der Datenschutzbeauftragten. Hier sehen nur 30% der Befragten einen Korrekturbedarf, 32% sehen Korrek-turbedarfe bei den Regelungen zum Umgang mit Kundendaten. Zu allen anderen befragten Regelungsfeldern fällt das Urteil der Datenschutzbeauftragten mit bis zu 86% fehlender Zustimmung deutlich negativ aus.

Das Negativ-Ranking führen die Themenfelder Social Media (86%) und Cloud Computing (84%) sowie Internationale Daten-verarbeitung (73%) an, gefolgt vom Thema Geolokation mit 68% und der konzerninternen Datenverarbeitung, deren Regelungen 61% für überarbeitungsbedürftig halten.

4.8 RECHTSFRAGEN

Page 31: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

30

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Das Meinungsbild der Datenschutzbeauftragten spiegelt die öffentliche Diskussion sehr klar wider: Die neuen datenschutz-rechtlichen Herausforderungen durch die internationale Ver-netzung sind ein deutlicher Auftrag an die Gesetzgeber. Das klassische Datenschutzrecht scheint für international vernetzte Kommunikation keine überzeugenden Antworten zu geben.

Bei Angeboten sogenannter sozialer Medien stoßen nicht nur das Verhältnis von informationeller Selbstbestimmung und kommer-zieller Nutzung privater Kommunikation an technische Grenzen, sondern auch nationale Regelungen an die Grenzen international erbrachter Dienstleistungen.

4. In welchen Bereichen sehen Sie darüber hinaus Nachholbedarf des Gesetzgebers?

Die Teilnehmer hatten in einem Freifeld die Möglichkeit, zusätzliche Themen gesetzgeberischen Handlungsbedarfes zu formulieren. In insgesamt 44 Anregungen fanden sich neben den in der Studie aufgegriffenen Themen auch wiederholt Forderungen nach einer Klärung der strafrechtlichen Befugnisse von Polizei und Staatsan-waltschaften gegenüber Unternehmen sowie der Auflösung der Widersprüche zwischen Beschäftigten- und Kundendatenschutz einerseits und den Compliance-Anforderungen aus Terrorlisten, AEO-Zertifizierungen u.ä. gesetzlichen Anforderungen.

Auch der Schutz vor in- und ausländischer staatlicher Überwach-ung wurde hier als gesetzgeberischer Nachholbedarf identifiziert.

4.9 Ausbildung des Datenschutzbeauftragten1. Erachten Sie eine gesetzlich vorgeschriebene Ausbildung zum DSB für sinnvoll?

9.1

87 33% 67% 175

nein ja

Das BDSG stellt persönliche und sachliche Voraussetzungen für die Bestellung eines Datenschutzbeauftragten auf, die durch ei-nen Beschluss der Obersten Aufsichtsbehörden konkretisiert wurden. Eine Berufsausbildung oder berufliche Qualifizierung auf gesetzlicher Grundlage gibt es bis heute nicht. Dieses Man-ko beklagen nicht nur Ausbilder und der Berufsverband, sondern auch 67% der Teilnehmer der Befragung sprechen sich für eine gesetzlich geregelte Ausbildung aus. Damit wurde das Ergebniss von 2012 (64%) bestätigt.

2. Wie haben Sie die Qualifikation zum Datenschutzbeauftragten erlangt?

Mehrfachnennung möglich

9.2

50%

28%

9%

247

140

46

6%; 28

4%; 19

3%; 13

Fortbildung/ Qualifikation

einschlägigeTätigkeit

juristisches Studium

einschlägigestechnisches Studium

Ausbildungsberuf

ohne besondereAusbildung

Die für die Tätigkeit als Datenschutzbeauftragter erforderliche fachliche Qualifikation kann beispielsweise durch ein Hochschul-studium in den Ingenieurswissenschaften oder Rechtswissen-schaften erworben werden. Diese Studienrichtungen vermitteln allerdings jeweils nur eine Grundkompetenz, die durch entspre-chende Fortbildungen ergänzt werden müssen. Hierfür gibt es auf dem Fortbildungsmarkt verschiedene mehrwöchige modu-lar aufgebaute Angebote, aber auch ein- bis fünftägige Ange-bote. 50% der teilnehmenden Datenschutzbeauftragten gaben an, ihre Qualifikation durch Fortbildungsmaßnahmen erlangt zu haben, 28% stützen sich auf die im Verlauf ihrer Tätigkeit ge-sammelten Erfahrungen und 15% auf das Vorwissen aus einem Studium. Diese Ergebnisse belegen, dass die erforderliche Qua-lifikation in der Regel durch Fortbildung und Erfahrung während der Tätigkeit erworben wird und bestätigen im Wesentlichen die Ergebnisse aus 2012.

3. Wie lange arbeiten Sie schon allgemein im Datenschutz?

9.3

41%

36%

21%

109

95

54

2%; 5

0-5Jahre

6-10Jahre

11-20Jahre

über 20Jahre

4.9 AUSBILDUNG DES DATENSCHUTZBEAUFTRAGTEN

Page 32: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

31

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Eine bußgeldbewehrte Pflicht zur Bestellung eines Datenschutz-beauftragten gibt es in Deutschland seit dem 1.7.1977. Die befrag-ten Datenschutzpraktiker gaben an, durchschnittlich bereits 7,9 Jahre im Datenschutz tätig zu sein. 2% der Teilnehmer der Be-fragung sind bereits seit über 20 Jahren, 21% der Teilnehmer zwi-schen elf und 20 Jahren und 36% der Teilnehmer zwischen sechs und zehn Jahren im Datenschutz tätig. 41% der Befragungsteil-nehmer sind bis zu fünf Jahre im Datenschutz tätig. Insgesamt kommen so 2.097 Jahre Erfahrung zusammen.

4. Wie oft besuchen Sie im Durchschnitt eines Jahres Fortbildungsveranstaltungen?

Eine besondere Herausforderung für die Arbeit des Datenschutz-beauftragten ergibt sich nicht nur aus der Komplexität der Aufga-ben im Unternehmen, sondern auch durch ständige Änderungen des Rechtsrahmens und der technischen Entwicklung. Deshalb kommt einer regelmäßigen Fortbildung eine hohe Bedeutung zu. 17% der Befragten nutzen die Möglichkeit zur Fortbildung quar-talsweise, 27% halbjährlich und 34% immerhin jährlich. Insge-samt 79% der Befragten bilden sich mindestens einmal im Jahr fort, 14% seltener als jährlich. Immerhin 19 befragte Datenschutz-beauftragte beantworteten die Frage mit „nie“.

5. In welcher Form nehmen Sie Fortbildungen am liebsten wahr?

9.5

81%

12%

2%

214

31

5%; 14

2%; 4

externeSchulungen

Selbst-studium

Online-Schulungen

interneSchulungen

9.4

34%

27%

17%

14%

7%

93

74

45

38

19

1%; 3

jährlich

halbjährlich

quartalsweise

seltener

nie

monatlich

Die Beantwortung einer Frage zur Bevorzugung bestimmter Fortbildungsarten ist sicherlich von persönlichen Erfahrungen ge-prägt, entspricht aber auch dem konkreten Bedarf der Befragten. Wie bereits im Jahr 2012 zu erkennen war, werden Fortbildungen in Form von externen Schulungen von Datenschutzbeauftragten deutlich bevorzugt. 81% der Befragten gaben an, Fortbildungen am liebsten als externe Schulung wahrzunehmen. Das Selbststu-dium bevorzugen 12% der Befragten, während die Online-Schu-lung bisher nur 5% der Befragten überzeugt hat. Dieses Ergebnis überrascht vor dem Hintergrund des konkreten Fortbildungsbe-darfes nicht. Die Datenschutzpraktiker in den Unternehmen sind auf hochspezialisierte Angebote angewiesen, die in der Regel weder in Online-Schulungen, noch durch interne Schulungen ver-mittelt werden. Auch das Selbststudium ist nur bedingt geeignet, hochaktuelles Wissen und Kompetenzen zu erwerben.

6. Wie viele Tage haben Sie im letzten Jahr in Datenschutzfortbildungen investiert?

9.6

79%

16%

202

40

6%; 15

0

0

bis 1Woche

bis 2Wochen

bis 1Monat

bis 3/4Jahr

bis halbesJahr

Im Durchschnitt gaben die befragten Datenschutzbeauftragten an, fünf Tage im letzten Jahr in die eigene Datenschutzfortbildung investiert zu haben. Bei Betrachtung der Verteilung der Dauer von Fortbildungen in Kombination mit der Größe der Unternehmen, in welchen die Datenschutzbeauftragten tätig sind, fällt auf, dass in kleinen und mittelständischen Unternehmen vor allem Fort-bildungen von bis zu einer Woche besucht werden, während in Großunternehmen auch Fortbildungen von bis zu zwei Wochen häufiger genutzt werden.

4.9 AUSBILDUNG DES DATENSCHUTZBEAUFTRAGTEN

Page 33: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

32

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

Hier ein Überblick über die Fortbildungsintensität in Abhängigkeit von der Unternehmensgröße:

9.6 + 2.5

86%90%

69%

50% 50%

8%7%

24%

32%

50%

5% 3%8%

18%

bis 50 bis500

bis5.000

bis50.000

über50.000

bis halbes Jahr

bis 3/4 Jahr

bis 1 Monat

bis 2 Wochen

bis 1 Woche

37 113 80 22 4

7. Beinhalteten diese Fortbildungen eine abschließende Prüfung?

9.7

63%

31%

162

79

6%; 15

nein

teilweise

ja

Lediglich 37% der von den Datenschutzbeauftragten besuchten Fortbildungen beinhalteten eine vollständige oder teilweise Prü-fung der Schulungsergebnisse. In den restlichen 63% der Fortbil-dungen gab es keine abschließende Prüfung.

4.10 Die neue EU-Datenschutzverordnung1. Haben Sie die EU-Datenschutzverordnung in der Fassung nach der Parlamentsberatung schon gelesen?

10.1

131 50% 50% 133

nein ja

Die Hälfte (50%) der Datenschutzbeauftragten hat die EU-Da-tenschutzverordnung in der Fassung nach der Parlamentsbera-tung zum Befragungszeitung ca. zwei Monate nach Veröffentli-chung bereits gelesen. Ähnlich groß war auch das Interesse am ersten Entwurf im Jahr 2012.

2. Wie haben Sie sich über die Verordnung bisher informiert?

10.2

28%

22%

16%

13%

11%

11%

191

149

112

90

75

74

Internet

Datenschutz-fachzeitschriften

Tagespresse

Nachrichten-portale

Konferenzen

Seminare

Die Mehrzahl der Befragten hat sich bisher unter anderem im Internet (28%), in Datenschutzfachzeitschriften (22%) oder in der Tagespresse (16%) über die EU-Datenschutzverordnung in-formiert. Seltener wurden hingegen Konferenzen oder Seminare (jeweils 11%) genannt.

3. Ist eine EU-weite Vereinheitlichung des Datenschutzes durch eine unmittelbar geltende Verordnung Ihrer Meinung nach dem richtigen Weg?

10.3

51 20% 80% 208

nein ja

4.10 DIE NEUE EU-DATENSCHUTZVERORDNUNG

Page 34: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

33

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

80% aller befragten Datenschutzbeauftragten halten eine EU-weite Vereinheitlichung des Datenschutzes generell für den rich-tigen Weg. Dieser hohe Wert ist seit 2012 nahezu unverändert geblieben (81%).

4. Sollten Mitgliedsstaaten das Recht haben, auch weiterhin vom Datenschutzniveau der Verordnung abzuweichen?

10.4

156 60% 40% 104

nein ja

Auch wenn sich eine deutliche Mehrheit gegen nationalstaatli-che Abweichungen ausspricht, wünschen sich doch 40% der Datenschutzbeauftragten die Möglichkeit der Mitgliedsstaaten, vom Datenschutzniveau der Verordnung abzuweichen. Dieses Meinungsbild entspricht den Umfrageergebnissen dieser Frage in der Datenschutzpraxis 2012.

5. Würde durch die EU-Datenschutzverordnung in ihrer jetzigen Form nach den Beschlüssen des EU-Parlaments Ihrer Meinung nach das Datenschutzniveau in Deutschland verbessert oder verschlechtert?

10.5

63%

15%

14%

8%

158

38

34

19

eherverschlechtert

eherverbessert

verschlechtert

verbessert

23% der befragten Datenschutzbeauftragten gehen eher von einer Verbesserung des Datenschutzniveaus in Deutschland aus, während 77% der Befragten eher eine Verschlechterung er-warten. Hier hat sich die Erwartungshaltung deutlich abgekühlt. 2012 gingen noch 41% der Datenschutzbeauftragten von einer Verbesserung des Datenschutzniveaus aus, 2014 überwiegen die Skeptiker noch deutlicher.

Hier ein Überblick auf die Antworten zu 4.10.5 in Bezug auf die Unternehmensgröße:

10.5 + 2.5

40 121 82 24 4

13% 9%

18%17%

9% 8%25%

43%56%

68%58%

75%

15%

7%17%

25%

13% 11%4% 4%

bis 500

bis5.000

bis50.000

über50.000

keine Angabe

verschlechtert

eher verschlechtert

eher verbessert

verbessert

bis50

6. Hat der Betroffene Ihrer Meinung nach durch die EU-Datenschutzverordnung eine bessere Kontrolle über seine Daten?

10.6

189 77% 23% 57

nein ja

Das Recht auf informationelle Selbstbestimmung hat nach deut-schem Datenschutzverständnis das Ziel, dem Betroffenen die Kontrolle über seine Daten zu ermöglichen. Diesem Ziel fühlt sich auch die Kommission in Umsetzung des Artikels 8 der Grund-rechtecharta, Artikel 16 des Vertrages über die Arbeitsweise der Europäischen Union, und in Artikel 8 der Europäischen Men-schenrechtskonvention verpflichtet. Wie bereits in den Umfrage-ergebnissen der Datenschutzpraxis 2012 ersichtlich ist, zweifeln die Datenschutzpraktiker jedoch überwiegend an der Umsetz-barkeit dieser Zielvorstellung. 77% glauben nicht, dass der Be-troffene nach der EU-Datenschutzgrundverordnung wieder Kon-trolle über seine Daten bekommt.

4.10 DIE NEUE EU-DATENSCHUTZVERORDNUNG

Page 35: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

34

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

7. Wie beurteilen Sie die Höhe der geplanten Bußgelder von 100 Millionen Euro oder bis zu 5% des weltweiten Umsatzes?

10.7

61%

35%

154

90

4%; 10

gerade richtig

zuhoch

zuniedrig

Relativ ausgewogen fällt das Urteil der Datenschutzbeauftragten zu dem vorgesehenen Bußgeldrahmen aus. 61% der Befragten beurteilen geplante Bußgelder bis zu 100 Millionen Euro oder bis zu 5% des weltweiten Umsatzes als “gerade richtig”, 4% als “zu niedrig” und 35% als “zu hoch”.

8. Wie beurteilen Sie das Recht auf Löschung von personenbezogenen Daten in sozialen Netzwerken?

10.8

58%

40%

194

132

1%; 3

1%; 3

richtig

technisch nicht realisierbar

sonstiges

zu unterneh-mensfeindlich

Das Recht auf Löschung von personenbezogenen Daten in sozi-alen Netzwerken halten 58% der Befragten für richtig, allerdings auch 40% für technisch nicht realisierbar. Dies zeigt deutlich die Unterstützung des Anliegens, aber auch die Zweifel an der techni-schen Realisierbarkeit. Diese Beurteilung hat sich im Vergleich zu 2012 kaum geändert.

9. Wie beurteilen Sie, dass Unternehmen bei der Weitergabe von Daten die jeweiligen Empfänger auch nach der Datenweitergabe von einem später geäußerten Löschverlangen informieren müssen?

10.9

40%

27%

18%

8%

7%

165

110

76

33

29

richtig

lässt sich nichtdurchsetzen

technisch nicht realisierbar

lässt sich zuleicht umgehen

zu unterneh-mensfeindlich

Datenübermittlungen sind in unserer vernetzten Wirtschaft alltäg-lich und das größte Problem für die Durchsetzung eines Löschan-spruches. Die vorgesehene Pflicht zur Benachrichtigung von Da-tenempfängern bei einer Löschabsicht („Löschungskette“) ist, wie 2012, auch zwei Jahre später für 40% der Datenschutzbeauftrag-ten zwar richtig, zugleich bezweifeln aber 60% der Befragten die Durchsetzbarkeit (zu unternehmensfeindlich, technisch nicht reali-sierbar, zu leicht zu umgehen oder Kombinationen hiervon).

10. Statt des Kommissionsvorschlages ab 250 Mitarbeitern soll nunmehr ein DSB bestellt werden, wenn Daten von mehr als 5.000 Kunden über einen Zeitraum von aufeinanderfolgenden 12 Monaten verarbeitet werden. Erachten Sie es für richtig, die Pflicht zur Bestellung eines DSB an die Anzahl der im Unternehmen regelmäßig verarbeiteten Datensätze zu knüpfen?

10.10

177 68% 32% 84

nein ja

Lediglich 32% der teilnehmenden Datenschutzbeauftragten erachten es für richtig, die Pflicht zur Bestellung eines DSB an die Anzahl der im Unternehmen regelmäßig verarbeiteten Datensätze zu knüpfen, klare 68% halten dies für einen falschen Weg.

4.10 DIE NEUE EU-DATENSCHUTZVERORDNUNG

Page 36: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

35

2B ADVICE | DATENSCHUTZPRAXIS 2015

DEUTSCH

11. Begrüßen Sie die namentliche Registrierung des Datenschutzbeauftragten bei der Aufsichtsbehörde?

10.11

76 29% 71% 186

nein ja

Eine namentliche Meldepflicht des Datenschutzbeauftragten bei der Aufsichtsbehörde begrüßen 71% der Befragungsteilnehmer. Im Vergleich zu den Ergebnissen der Datenschutzpraxis 2012, wo dies bereits 57% der Datenschutzbeauftragten befürworteten, ist weiterhin eine positive Tendenz zu erkennen.

12. Denken Sie, die neue EU-Datenschutzverordnung wird Ihre Arbeit als Datenschutzbeauftragter erleichtern?

10.12

193 76% 24% 60

nein ja

Auch 2014 erwarten nur 24% der teilnehmenden Datenschutzbe-auftragten eine Arbeitserleichterung durch die neue EU-Daten-schutzgrundverordnung.

13. Der Entwurf der EU-Datenschutzverordnung enthält detailliertere Regelungen zu Binding Corporate Rules (BCR), welche die Übermittlung von personen-bezogenen Daten in das Ausland und innerhalb des Konzerns erleichtern sollen. Für wie wahrscheinlich halten Sie es, dass Ihr Unternehmen von dieser Möglichkeit zukünftig Gebrauch macht?

10.13

40%

35%

16%

9%

102

90

40

24

eherunwahrscheinlich

unwahrscheinlich

eherwahrscheinlich

wahrscheinlich

25% der teilnehmenden Datenschutzbeauftragten halten es für wahrscheinlich oder eher wahrscheinlich, dass ihr Unternehmen

von der Möglichkeit von verbindlichen Unternehmensregeln (BCR) zukünftig Gebrauch macht. 2012 hielten es noch 40% für wahr-scheinlich oder eher wahrscheinlich. Im Allgemeinen ist das Inte-resse an Binding Corporate Rules (BCR) im Vergleich zu den Um-frageergebnissen der Datenschutzpraxis 2012 deutlich gesunken. Dies ist besonders bei den größeren Unternehmen mit mehr als 5.000 Beschäftigten zu erkennen.

Mit Artikel 43 des Entwurfes einer Datenschutzgrundverordnung sollen Datenübermittlungen auf der Grundlage verbindlicher un-ternehmensinterner Vorschriften zulässig sein, wenn eine Auf-sichtsbehörde nach Maßgabe des in Artikel 58 beschriebenen Kohärenzverfahrens verbindliche unternehmensinterne Vorschrif-ten genehmigt hat. Trotz des enormen Aufwandes für ein solches Verfahren hielten es 2012 vor allem die Praktiker aus den großen Unternehmen für wahrscheinlich, dass ihr Unternehmen von die-ser Regelung zukünftig Gebrauch machen wird. 2014 tendieren Datenschutzbeauftragte aus großen Unternehmen bereits eher dazu, dies als unwahrscheinlich einzuschätzen.

Hier ein Überblick auf die Antworten zu 4.10.13 in Bezug auf die Unternehmensgröße:

10.13 + 2.5

5% 7% 10%

21%13% 11%

22%

13%

25%

38% 39%

38%42%

25%

40% 37%

28% 21%

25%

5% 8% 4%

25%

keine Angaben

unwahrscheinlich

eherunwahrscheinlich

eherwahrscheinlich

wahrscheinlich

40 121 82 24 4

bis 50 bis500

bis5.000

bis50.000

über50.000

4.10 DIE NEUE EU-DATENSCHUTZVERORDNUNG

Page 37: Datenschutzpraxis in Unternehmen 2015...Datenschutzbeauftragte werden deshalb eine wichtige Rolle spielen. Ihr Axel Voss MdEP Stellvertretender Vorsitzender des Rechtsausschusses Rechtspolitischer

2B Advice GmbHJoseph-Schumpeter-Allee 2553227 BonnPhone: +49 228 926165-100Fax:+49 228 926165-109Email: [email protected]

www.2b-advice.com