„Dass die Diskussion zur ersten Evaluierung der DSGVO still und leise über die Bühne gegangen ist, sehen wir als Beleg für einen allgemeinen Konsens, dass die Verordnung ein richtiger und zukunftsweisender Schritt für den Datenschutz in der EU war“, so Thomas Spaeing, Vorstandsvorsitzender des BvD. „Wir teilen diese Einschätzung voll und ganz, auch wenn es natürlich nach wie vor in mehreren Bereichen noch an der Umsetzung hapert. Außerdem haben wir durch unsere Erfahrungen in der Praxis einige Detailpunkte identifiziert, in denen wir noch Optimierungspotenzial sehen, und würden eine Diskussion darüber begrüßen, deren Ergebnis dann in die zweite Evaluation der DSGVO einfließen kann.“
Für eine echte Entlastung kleiner und mittelständischer Unternehmen schlägt der BvD in seinem Positionspapier vor, die Meldepflicht dahingehend anzupassen, dass Unternehmen, die einen DSB benannt haben, alle Vorfälle, bei denen ein Verdacht auf Datenpannen vorliegt, an den DSB melden. In einem zweiten Schritt werden nur diejenigen Datenpannen, bei denen ein hohes Risiko für die Betroffenen vorliegt, unmittelbar an die Aufsichtsbehörden weitergeleitet. Der DSB führt zudem ein Register aller Vorfälle und überwacht die Abhilfemassnahmen.
Als weitere Maßnahme empfiehlt der BvD, die Erstellung der Datenschutz-Folgenabschätzung und die Beurteilung der Risiken in die Hände des DSB zu legen. Das Ergebnis wird dann von der Unternehmensleitung verbindlich festgestellt und die vorgesehenen Maßnahmen werden umgesetzt.
Auch das Führen des Verzeichnisses der Verarbeitungstätigkeiten sieht der Verband beim DSB besser verortet als bei der ansonsten hierfür verantwortlichen Unternehmensleitung.
Neben einer Entflechtung und Harmonisierung in der DSGVO, insbesondere im Bereich der Dokumentationspflichten, plädiert das Positionspapier für gemilderte Sanktionen, wenn Unternehmen bei der Erfüllung dieser Pflichten einen DSB aktiv eingebunden haben.
Schließlich sieht der BvD noch Verbesserungspotenzial bei der Informationspflicht, um eine bessere Allgemeinverständlichkeit und Transparenz für die Betroffenen zu erreichen, und fordert für Datenschutzbeauftragte Rechtssicherheit durch die Klarstellung, dass deren beratende Tätigkeit gemäß Artt. 37 bis 39 DSGVO keinen Verstoß gegen das Rechtsdienstleistungsgesetz darstellt.
Weitere Informationen finden sich im BvD-Positionspapier, das hier zum Download zur Verfügung steht.