Aufwandsabschätzungen des Datenschutzbeauftragten

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat sich zuletzt im Jahre 2020 mit der immer wieder gestellten Frage des Umfangs der nötigen Aufwände für die Tätigkeit von Datenschutzbeauftragten auseinandergesetzt (Positionspapier zu Aufwandsabschätzungen  des Datenschutzbeauftragten).
Die Frage ist sowohl aus der Perspektive des Verantwortlichen, als auch aus der des DSB berechtigt: Kann ich, und wenn ja, mit welchem Zeitaufwand der praktischen Erfüllung der rechtlichen Aufgaben gerecht werden, die sich im Wesentlichen aus Art. 39 DS-GVO ergeben?
Der BvD stellt in seinem Positionspapier richtigerweise fest, dass in der Praxis Unternehmen vorstellbar sind, die mit einem geringen Aufwand weniger Personentage im Jahr ausreichend zu betreuen sind (Handwerksbetriebe, Kleinstgewerbe etc.). In den meisten Fällen aber wirken Faktoren, die den Aufwand jeweils erheblich erhöhen. Dazu gehören bspw.:

• Anzahl der Mitarbeiter,
• die Größe des Unternehmens oder die Anzahl der Standorte,
• Digitalisierungsgrad des Geschäftsfeldes,
• Verankerung der Verarbeitung personenbezogener Daten im Kerngeschäft,
• Verarbeitung besonders schützenswerter Daten (sensibler Daten) in größerem Umfang,
• Umsetzungsgrad der DS-GVO,
• Komplexitätsgrad der Organisationsstruktur,
• Anzahl ausgelagerter Datenverarbeitungen,
• aber auch die Frage, in welche zusätzlichen Bereiche die  Unternehmensleitung den DSB einbeziehen will. Wird der DSB bei jeder Anfrage eingebunden oder bei jeder Datenpanne einbezogen, kann das den Kapazitätsbedarf erheblich erhöhen.

Diese Faktoren führen schon deswegen zu erheblichen Mehraufwänden, da es sich bei diesen nach dem Working Paper 48 (Leitlinien zur Datenschutz-Folgenabschätzung) um Kriterien handelt, die eine Datenschutz-Folgenabschätzung (DSFA) notwendig machen – und bei der Durchführung einer (oftmals zeitaufwendigen) DSFA ist der Datenschutzbeauftragte zumindest beratend (in der Praxis wohl oftmals darüber hinaus!) einzubinden.

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit BfDI beschäftigt sich in seiner Broschüre BfDI-Info 4 (Die Datenschutzbeauftragten in Behörden  und Betrieben) mit diesem Aspekt. Für öffentliche Stellen des Bundes empfiehlt der BfDI regelmäßig die vollständige Freistellung des Datenschutzbeauftragten ab einer Zahl von 500 Beschäftigten, da dies nach seiner Auffassung bereits die mit dem Beschäftigtendatenschutz zusammenhängenden Aufgaben gebieten. In speziellen Fällen – z. B. bei besonders komplexen oder besonders risikobehafteten Datenverarbeitungen – könne schon bei einer geringeren Beschäftigtenzahl eine vollständige Freistellung von anderen Aufgaben geboten sein.  Zudem sei dem Datenschutzbeauftragten in Abhängigkeit der beschäftigten Personen ausreichend Hilfspersonal zur Verfügung zu stellen. 

Wenn man sich anschaut, wie sich aktuell sogar auf dem ersten Blick „unkritische Datenverarbeitungen“ wie die Reichweitenmessung mit Google Analytics als zeitaufwendige und ressourcenfressende Prüfungen entpuppen, dürften die Zeitaufwände durch immer komplexer werdende (insbesondere im Bereich Drittstaatenübermittlungen bzw. TIA-Prüfungen) eher steigen, als geringer werden.

(Foto: softulka – stock.adobe.com)