D: Unternehmen müssen verstärkt mit Vor-Ort Kontrollen rechnen

Der Landesdatenschutzbeauftragte NRW, Ulrich Lepper, will laut einer Pressemitteilung aus Mai 2011, seine Behörde schlagkräftiger aufstellen und zukünftig mit einem Einsatzteam vor Ort, professionell und schnell kritische Datenverarbeitungen überprüfen.

Bisher waren laut Geschäftsverteilungsplan ca. 40 Mitarbeiter in der Landesdatenschutzbehörde beschäftigt. Nun gibt es Hinweise, dass die Behörde personell aufgestockt wird und Unternehmen sich vermehrt auf Vor-Ort-Kontrollen einrichten müssen.

Grundsätzlich gilt zwar weiterhin der Grundsatz der Eigenkontrolle der verantwortlichen Stellen zur Durchsetzung eines effektiven Datenschutzes. Wie sich aber bereits aus einem Eckpunktepapier für „Ein modernes Datenschutzrecht für das 21.Jahrhundert“ der Konferenz der Datenschutzbeauftragten ergibt, gehört aber eine massive Stärkung der hoheitlichen Datenschutzaufsicht, die zugleich auch eine Verbesserung des Datenschutzes bewirken soll, zur Datenschutzstrategie der Behörden.

Zwar hat die Aufsichtsbehörde bisher nur das Recht die zu kontrollierende Stelle zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Die Kontrollen blieben trotz einiger Gesetzänderungen noch immer häufig wirkungslos, wenn Unternehmen Mitwirkungs- und Unterstützungshandlungen kategorisch ablehnten und Fragen der Kontrolleure nicht beantworteten oder den Kontrolleuren die technischen Voraussetzungen für wirksame Prüfungen nicht verschafften.

Auch zukünftig dürfte dieses Problem bestehen, weshalb unter anderem die gesetzlichen Voraussetzungen zur Durchsetzung einer aktiven Mitwirkung des Unternehmens von den Landesdatenschutzbeauftragten gefordert werden.

Das Eckpunktepapier stellt weiterhin die These auf, dass die erheblichen Vollzugsdefizite im Datenschutz unter anderem damit zusammenhängen sollen, dass es an effektiven Sanktionsmöglichkeiten mangelt. Anstatt der komplexen Zuständigkeitsregeln, fehlender Bußgeldbestimmungen und schwieriger Beweislastregeln soll zukünftig eine verschuldensunabhängige Gefährdungshaftung für nicht-öffentliche Stellen eingeführt werden. Hinzukommen soll ein pauschalierter Schadensersatz für Datenschutzverstöße bei dem es nicht mehr auf den tatsächlich entstandenen Schaden ankommt. Für immaterielle Schäden soll ebenfalls ein erleichterter Schadenersatzanspruch möglich gemacht werden, obwohl es bereits nach geltendem Recht möglich ist, Einsparungen bzw. Gewinne über entsprechende Bußgelder abzuschöpfen.

Die Vereinfachung und bessere Lesbarkeit des Gesetzes wird ebenfalls als gesonderter Eckpunkt gefordert. Diese Forderung dürfte zwar überall auf uneingeschränkte Zustimmung stoßen, sie dürfte aber das Schicksal der bundesdeutschen Steuergesetzgebung teilen. Auch diese wird bekanntermaßen immer komplexer bei gleichlautender Forderung aller Beteiligten nach Klarheit, Einfachheit und Lesbarkeit.

Fraglich ist, ob das beklagte Vollzugsdefizit nicht bereits mit den bestehenden Gesetzen behoben werden kann, wenn die Datenschutzbehörden sich auf ihre Aufsichtspflicht konzentrieren und Beratung, Schulung und Ausbildung qualifizierten Beratungsunternehmen überlassen.

Weitere Informationen: https://www.ldi.nrw.de/mainmenu_Service/submenu_Pressemitteilungsarchiv/Inhalt/PM_Datenschutz/Inhalt/2011/DIB_2011/NRW-Datenschutzbeauftragter_fordert_grundlegende_Erneuerung_der_Datenschutzgesetze.php

https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Entschliessungen_Datenschutz/Inhalt/79__Konferenz/modernes_Datenschutzrecht/Eckpunktepapier_26042010.pdf

https://www.ldi.nrw.de/mainmenu_Ueberuns/Inhalt/Ueberuns/organigramm.pdf