Sind Datenschutzbeauftragte zahnlose Papiertiger?

Transkript

1 Aufsätze Sind Datenschutzbeauftragte zahnlose Papiertiger? Von der Unwirksamkeit der Datenschutzkontrolle in Deutschland Ingrid Pahlen-Brandt Datenschutz erfordert eine effektive Datenschutzkontrolle. Im Beitrag ist dargestellt, welche Regelungen nötig sind, damit betriebliche und behördliche Datenschutzbeauftragte wirksam ihre Aufgabe erfüllen können. Die Verfasserin spricht sich für eine Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten aus. Erforderlich seien zudem verpflichtende Regeluntersuchungen für automatisierte Verfahren der Verarbeitung von Personendaten in Anlehnung an die Untersuchungen für Dampfkessel und Kraftfahrzeuge. Ingrid Pahlen-Brandt Behördliche Datenschutzbeauftragte an der Freie Universität Berlin Einleitung Immer wieder bezeichnen sich betriebliche und behördliche Datenschutzbeauftragte als zahnlose Tiger, ohne dass hiergegen Protest laut würde. Was es mit dieser Einschätzung auf sich hat und welche Konsequenzen sich hieraus für die Datenschutzkontrolle durch Datenschutzbeauftragte ergeben, wird in diesem Beitrag näher untersucht. Ergänzende Regelungen zur Datenschutzkontrolle sowohl im öffentlichen als auch im nicht öffentlichen Bereich erweisen sich als dringend erforderlich. 1 Datenschutzkontrolle 1.1 Kontrollstellen Das Datenschutzrecht wird in Deutschland durch Vorgaben des EU-Rechts bestimmt. Die EG-Datenschutz-Richtlinie 1 verpflichtet die Mitgliedstaaten zum Erlass von Vorschriften 2 u.a. zum Führen einer Verfahrensübersicht über Verfahren der automatisierten Verarbeitung von Personendaten, für die eine Meldepflicht besteht, 3 sowie der Vorabkontrolle von besonders gefahrenträchtigen Verfahren automatisierter Verarbeitung von Personendaten. 4 Nach Art. 28 der EG-Datenschutzrichtlinie müssen die Mitgliedsstaaten durch die 1 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG ABl. Nr. C 277 vom und ABl. Nr. C 311 vom , S Art. 32 Abs. 1 EG-Datenschutzrichtlinie. 3 Art. 21 Abs. 2 i.v.m. Art. 18 EG- Datenschutzrichtlinie. 4 Art. 20 EG-Datenschutzrichtlinie. Einrichtung unabhängiger Kontrollstellen die Überwachung der Einhaltung der EG- Datenschutzvorgaben gewährleisten. 5 Diese Kontrollstellen führen die Übersichten 6 und sind zuständig für die Vorabkontrollen. 7 Die unabhängigen Kontrollstellen sind in Deutschland der Bundesdatenschutzbeauftragte, die Landesdatenschutzbeauftragten sowie in einigen Bundesländern gesonderte Aufsichtsbehörden. 8 Im Folgenden werden sie entsprechend der EU-Terminologie als Kontrollstellen bezeichnet. 1.2 Datenschutzbeauftragte Erleichterungen oder das Wegfallen der Meldepflicht können mit der Bestellung von Datenschutzbeauftragten 9 erreicht werden. Die gesetzlichen Regelungen müssen vorsehen, dass dem Datenschutzbeauftragten insbesondere folgendes obliegt: - die unabhängige Überwachung der Anwendung der zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Bestimmungen, - die Führung eines Verzeichnisses mit den nach Art 21 Absatz 2 vorgesehenen Informationen über die durch den für die Verarbeitung Verantwortlichen vorgenommenen Verarbeitungen, 5 Art. 28 EG-Datenschutzrichtlinie. 6 Art. 21 Abs. 2 EG-Datenschutzrichtlinie. 7 Art. 20 Abs. 2 EG-Datenschutzrichtlinie. 8 Die Aufsichtsbehörden für den privaten Bereich nach 38 BDSG sind in den meisten Ländern in den Innenministerien angesiedelt. Ihre Unabhängigkeit ist strittig. Vgl. Entschließung der 70. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./ in der Hansestadt Lübeck, Unabhängige Datenschutzkontrolle in Deutschland gewährleisten. 9 Entsprechend der EU-Terminologie werden hier unter Datenschutzbeauftragte nur behördliche und betriebliche Datenschutzbeauftragte, nicht dagegen der Bundes- und Landesdatenschutzbeauftragte, verstanden. 24 DuD Datenschutz und Datensicherheit 31 (2007) 1

2 Ingrid Pahlen-Brandt um auf diese Weise sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen durch die Verarbeitung nicht beeinträchtigt werden. 10, 11 Die EG-Datenschutzrichtlinie erwartet, dass die Datenschutzbeauftragten durch ihre unabhängige Tätigkeit die Sicherstellung der Rechte und Freiheiten der Betroffenen tatsächlich bewirken können. Der Datenschutzbeauftragte ist zu Vorabkontrollen verpflichtet, wobei er im Zweifelsfall die Kontrollstelle konsultieren muss Datenschutzbeauftragte als zahnlose Tiger Die deutschen Datenschutzgesetze sehen die Bestellung von behördlichen oder betrieblichen Datenschutzbeauftragten vor, die entsprechend den EU-Regelungen die Register zu führen haben und die für Vorabkontrollen zuständig sind. 13 Die von der EU geforderte unabhängige Überwachung kennen die deutschen Gesetze jedoch nicht: Kein Datenschutzgesetz gewährt den Datenschutzbeauftragten wirksame Einwirkungsbefugnisse. 14 Die Datenschutzbeauftragten können ihren von der EG-Datenschutzrichtlinie geforderten Sicherstellungsauftrag, den Schutz der Betroffenen bei automatisierter Verarbeitung ihrer Personendaten zu gewährleisten, daher nicht erfüllen. 2.1 Stark durch Unabhängigkeit Datenschutzgesetze räumen den Datenschutzbeauftragten eine starke Rechtsstellung ein: Datenschutzbeauftragte sind bei der Anwendung ihrer Fachkunde weisungsfrei. 10 Art. 18 Abs. 2 zweiter Spiegelstrich EG- Datenschutzrichtlinie. 11 Die Regelung zur Vereinfachung der Meldepflicht wurde auf Wunsch der Bundesrepublik getroffen, die sich aufgrund früherer guter Erfahrungen stark für dieses Modell der Datenschutzkontrolle eingesetzt hatte. Erst nach langer Diskussion ist dies akzeptiert worden. Siehe Christians, Die Novellierung des Bundesdatenschutzgesetzes Statusbericht, RDV 2000, Sonderdruck zur BDSG-Novellierung, S. 12 f. 12 Art. 20 Abs. 2 EG-Datenschutzrichtlinie. 13 Im öffentlichen Bereich ist die Bestellung von Datenschutzbeauftragten zum Teil freiwillig. 14 Pahlen-Brandt, Mehr Kompetenzen für den Datenschutzbeauftragten, DuD 2003, 637 ff. Datenschutzbeauftragte sind der Leitung ihrer Institutionen unmittelbar zu unterstellen und haben so das Recht, dort direkt vorzutragen. Die Datenverarbeitenden Stellen haben ihren Datenschutzbeauftragten bei seiner Arbeit zu unterstützen. 15 Datenschutzbeauftragten ist Zugang zu allen Unterlagen und Einrichtungen zu gewähren, die die Verarbeitung von Personendaten betreffen. Datenschutzbeauftragte dürfen wegen der Erfüllung ihrer Tätigkeit nicht benachteiligt werden. Datenschutzbeauftragte können sich ohne Einhaltung eines Dienstweges an die jeweils zuständige Kontrollstelle wenden. Datenschutzbeauftragten sofern unbefristet bestellt vermitteln die Regelungen größte Unabhängigkeit. Ihre Weisungsfreiheit lässt sie aus der Majorität der Mitarbeiter herausragen. Nur an das Gesetz gebunden, haben Datenschutzbeauftragte die Möglichkeit, das zu tun und zu sagen, was ihnen aus ihrer Fachkunde notwendig oder sinnvoll erscheint. Sie bestimmen die Themen. Ihre Unabhängigkeit macht sie vergleichbar mit Richtern und Hochschullehrern. Die Macht der Hausleitungen stößt hier an eine Grenze. Hieraus erklärt sich die Assoziation zum Tiger. 2.2 Folgenlos im Tun Trotz dieser starken Rechtsposition können die Datenschutzbeauftragten nichts selbst regeln. Hat ein Datenschutzbeauftragter im Rahmen seiner Überwachungstätigkeit einen Datenschutzverstoß festgestellt, hat er ihn dokumentiert und auf die Notwendigkeit von Änderungen hingewiesen, kann ihm sehr Unterschiedliches widerfahren. Hier einige Szenarien, unterteilt nach handelnden Personen: 1 Zuständige Mitarbeiter Das Ergebnis der datenschutzrechtlichen Prüfung wird innerhalb der Institution von den zuständigen Mitarbeitern wahrgenommen, aufgegriffen, geprüft und umgesetzt. 15 Insbesondere durch die Gewährung der erforderlichen Zeit, Sachmittel und Personal für die Datenschutzarbeit. Datenschutzgemäße Zustände werden jedoch nicht eintreten, wenn die zuständigen Mitarbeiter die Rechtsansicht des Datenschutzbeauftragten nicht teilen. Einem Hinweis wird sicherlich nicht nur deshalb gefolgt werden, weil er vom Datenschutzbeauftragten stammt, selbst wenn dieser als kompetent und sympathisch gilt. Vielleicht wird dann noch ein Gespräch mit dem Ziel geführt, den Datenschutzbeauftragten zur wahlweise richtigen, vernünftigen oder angemessenen Sicht, also zur Korrektur seiner Rechtsansicht, zu veranlassen 2 Leitungen Der Datenschutzbeauftragte kann sich unmittelbar an die Leitung wenden und um die erforderliche Änderung bitten. Die Leitung kann ihm folgen und die erforderlichen Maßnahmen treffen. Ein glücklicher Fall, der Datenschutzbeauftragte hatte Erfolg. a) Kein Datenschutz Aber auch die Einschaltung der Leitung kann vielfach ohne Erfolg bleiben. Dies wird regelmäßig der Fall sein, wenn die Leitung die Rechtsansicht der zuständigen Mitarbeiter und nicht die des Datenschutzbeauftragten teilt. Manchmal wird die Leitung einer Institution der Rechtsansicht des Datenschutzbeauftragten aber auch deshalb nicht folgen, weil sie für diesen Fall wirtschaftliche Nachteile befürchtet. 16 In diesem Interessenskonflikt werden sich heute vermutlich häufig die wirtschaftlichen Erwägungen durchsetzen, selbst wenn der Datenschutzbeauftragte rechtlich auf der richtigen Seite steht. Die Folgen eines von den Kontrollstellen oder der Öffentlichkeit festgestellten Datenschutzverstoßes sind regelmäßig für Betriebe und Behörden unerheblich. Datenschutz hat sich als Argument im Wettbewerb noch nicht in genügendem Umfange durchgesetzt. Eine Gefährdung für die freiheitlichen demokratischen Verhältnisse in unserer Gesellschaft durch einen Datenschutzverstoß wird in dieser Situation als Argument eher selten, wenn überhaupt, verwendet. 16 Dies könnte sie wegen der Kosten der datenschutzrechtlich gebotenen Korrekturen oder der durch die Korrektur bewirkten Zeitverzögerungen in der Produktion oder bei der Einführung von IT-Verfahren befürchten. DuD Datenschutz und Datensicherheit 31 (2007) 1 25

3 Sind Datenschutzbeauftragte zahnlose Papiertiger? 3 Mitarbeitervertretung Es kann sein, dass sich die Mitarbeitervertretung um die Umsetzung der datenschutzrechtlichen Tätigkeit kümmert. Eine Mitarbeitervertretung wird dies regelmäßig engagiert tun können, wenn die Datenschutzverstöße Mitarbeiterdaten unmittelbar betreffen. Aber auch die Mitarbeitervertretung hat eigene Ziele, die sie höher bewerten kann, als die Einhaltung der Datenschutzbestimmungen. Mitarbeitervertretung und Datenschutz gehen nicht automatisch konform. 4 Kontrollstelle mit Verspätung Ein Datenschutzbeauftragter hat das Recht, sich unmittelbar an die Kontrollstelle zu wenden. Die Kontrollstelle wird sich zunächst ihre eigene Meinung bilden. Wegen knapper Ressourcen 17 ist die Wahrscheinlichkeit jedoch groß, dass die Angelegenheit nicht geprüft und im Sinne des Datenschutzes geklärt werden kann; er kann jedenfalls nicht auf schnelle Hilfe hoffen. Teilt die Kontrollstelle dann im Ergebnis die Rechtsansicht des Datenschutzbeauftragten, kann die Daten verarbeitende Stelle die Umsetzung faktisch durch Anrufung der Gerichte verzögern. Wendet sich der Datenschutzbeauftragte an die zuständige Kontrollstelle, so ist es aber auch möglich, dass sie ihn nicht unterstützt. Gegen die Entscheidung der Kontrollstelle, auch wenn sie rechtlich falsch ist, kann der Datenschutzbeauftragte nichts unternehmen. Zusammenfassend zeigen diese Szenarien die Wirkungsmöglichkeiten eines Datenschutzbeauftragten. Er kann innerhalb seiner Institution ohne Unterstützung nicht sicherstellen, dass die Rechte und Freiheiten der Betroffenen gewährleistet sind. Das Bild vom zahnlosen Papiertiger passt! 17 Siehe Entschließung der 70. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 27./ in der Hansestadt Lübeck, Appell der Datenschutzbeauftragten des Bundes und der Länder: Eine moderne Informationsgesellschaft braucht mehr Datenschutz, DuD 2005, Braucht ein Datenschutzbeauftragter Zähne? Es wäre nicht schlimm, wenn der Datenschutzbeauftragte trotzdem seinen Pflichten nachkommen könnte. In der Praxis zeigen sich jedoch erhebliche Defizite, beginnend schon mit der Kenntnis über die eigene Institution: Nach Aussage des Hessischen Datenschutzbeauftragten in seinem 34. Tätigkeitsbericht wissen überhaupt nur 62% der Datenschutzbeauftragten über die Datenverarbeitung in ihrer Behörde Bescheid Unzureichende Ausstattung Insgesamt antworteten 40 % Teilnehmer einer Befragung des BvD 19 zur Ausstattung von Datenschutzbeauftragten im Jahre 2004, dass die ihnen zur Verfügung stehende Ausstattung zur Erledigung der ihnen gesetzlich zugewiesenen Aufgaben nicht ausreicht. 3.2 Vertrauliches Arbeiten kann nicht jeder Die Vertraulichkeit ist für die Arbeit des Datenschutzbeauftragten von zentraler Bedeutung. Wer wird sich an einen Datenschutzbeauftragten wenden, wenn er sich nicht der vertraulichen Behandlung seines Anliegens sicher sein kann? Wer hört auf die Forderung nach vertraulicher Datenhaltung, wenn der Datenschutzbeauftragte selbst diese Forderung nicht erfüllen kann? Ein beachtlicher Teil der Datenschutzbeauftragten berichtet in der BvD-Befragung von Mängeln ihrer Ausstattung, die vertrauliches Arbeiten betreffen. Dies betrifft die räumliche und die sächliche Ausstattung: Für 40% der Teilnehmer an der Befragung ist nicht gewährleistet, dass nur autorisierte Personen (einschließlich Putzfrau und Wachdienst) Zugang zu ihrem Arbeitsraum haben TB des Hessischen Datenschutzbeauftragten zum 31. Dezember 2005, Kap. 2.2, Nur 62 % gaben an, dass ihnen die in ihrer Dienststelle eingesetzten Verfahren bekannt seien. 19 Berufsverband von Datenschutzbeauftragten e.v. (BvD), Ulm, Homepage des Verbandes: 20% der antwortenden Datenschutzbeauftragten können ihre Akten nicht problemlos verschlossen und unzugänglich unterbringen. Nur die Hälfte aller DSB kann Daten elektronisch vertraulich verarbeiten Kontrolle lieber nicht Nur 55% der Teilnehmer an der BvD- Befragung, konnten ihre Kontrollaufgaben nur eingeschränkt oder gar nicht wahrnehmen. Die Überwachung von Anwendungen der Datenverarbeitungsprogramme war 60% nur eingeschränkt oder gar nicht möglich. Die Aufgaben hingegen, die die deutschen Datenschutzgesetze den Datenschutzbeauftragten zusätzlich zur Überwachungstätigkeit, der Registerführung und der Vorabkontrolle zuweisen: Schulung der Mitarbeiter, Bearbeiten von Beschwerden und Beratung in Datenschutzfragen, werden im Gegensatz zu den Kontrollaufgaben in weit größerem Umfange wahrgenommen, nämlich bis zu 80% vollständig oder aber jedenfalls in ausreichendem Maße. Zwar zeigt sich auch hier ein beachtlicher Bedarf, doch der Mangel besteht in weit geringerem Maße als bei der Überwachungstätigkeit. Zwar sind diese Werte aufgrund der geringen Teilnehmerzahl an der Befragung nicht für alle Datenschutzbeauftragten der Bundesrepublik repräsentativ. Sie bestätigen als Schilderung der Arbeitswirklichkeit von engagierten Datenschutzbeauftragten den dringenden Handlungsbedarf, wenn die Verarbeitung personenbezogener Daten tatsächlich durch unabhängige Datenschutzbeauftragte wirksam kontrolliert werden soll. Gegenwärtig beraten Datenschutzbeauftragte lieber als zu überwachen. 3.4 Vorabkontrollen selten Fehlende Vorabkontrollen machen IT-Verfahren nach der EG-Datenschutzrichtlinie unzulässig. Fehlende Vorabkontrollen auch in kritischen Fällen findet nach Aussage der Datenschutzbeauftragten nach einer Befragung der GDD nur in einem Drittel der 20 Die Frage lautete: Sind automatisiert verarbeitete Daten Ihrer Datenschutztätigkeit vor unberechtigter Kenntnisnahme auch vor Administratoren geschützt (z.b. durch Verschlüsselung, isolierte Zweitrechner etc.). 26 DuD Datenschutz und Datensicherheit 31 (2007) 1

4 Ingrid Pahlen-Brandt Fälle statt. 21 Die EG-Datenschutzrichtlinie wird in Deutschland gröblichst verletzt. 4 Wege aus dem Kontrolldefizit Die Diskrepanz zwischen dem Sicherstellungsauftrag des EU-Rechts und dem deutschen Recht kann entweder durch Anpassung der Richtlinie oder durch Anpassung der nationalen Bestimmungen ausgeglichen werden. Bei den Änderungsüberlegungen sollte beachtet werden: 4.1 Zumutbarkeit wirksamen Einwirkens auf die eigene Institution Von einem Datenschutzbeauftragten kann nicht verlangt werden, dass er den Ast absägt, auf dem er sitzt. Im nicht-öffentlichen Bereich ist es daher unzumutbar, von ihm wirksame Kontrolltätigkeit zu verlangen, wenn dadurch die Existenz seiner Einrichtung oder seines eigenen Arbeitsplatzes gefährdet werde würde. 22 Im öffentlichen Bereich ist die Situation für den Datenschutzbeauftragten regelmäßig anders. Ihm droht nicht in gleichem Maße wie dem Kollegen aus dem nichtöffentlichen Bereich der Verlust des Arbeitsplatzes bei der Einforderung der Anwendung der Datenschutz-Vorschriften. Von ihm kann daher grundsätzlich auch ein wirkungsvolles Überwachen zum Schutz der Betroffenen erwartet werden. Die bestehenden Regelungen schützen ihn jedoch nicht ausreichend vor Benachteiligungen wegen seiner Amtstätigkeit. Offen sind: Eingruppierungsvorgaben in den Besoldungsordnungen. 23 Für beamtete behördliche Datenschutzbeauftragte fehlen Regelungen zur dienstlichen Beurteilung. Es gibt keine Stelle, die den Datenschutzbeauftragten dienstlich beurteilen kann. Entweder feh- 21 Jaspers/Semmler 2006, Umfrage zur Datenschutzpraxis und zur Stellung des Datenschutzbeauftragten, S Siehe zu dem Interessenkonflikt bereits 2.2 zu 2. Leitungen b). 23 Die Empfehlungen des BvD für die Eingruppierung und Stellenbewertung von betrieblichen und behördlichen Datenschutzbeauftragten vom 27. April 2006 können hierfür Anhaltspunkte liefern. len die Unabhängigkeit, oder Kenntnisse der internen Gegebenheiten. So klebt der beamtete Datenschutzbeauftragte an seiner Stelle fest. Dienstliche Beurteilungen, die ihm erlauben würden, neue Wirkungsbereiche zu erobern, gibt es nicht. Wären diese Voraussetzungen erfüllt, könnten Datenschutzbeauftragte im öffentlichen Bereich durch die Gewährung wirksamer Einwirkungsbefugnisse, etwa durch die Einräumung eines Klagerechts, ihrem Sicherstellungsauftrag gerecht werden. 4.2 Kein Verzicht auf betriebliche Datenschutzbeauftragte Im nicht-öffentlichen Bereich funktioniert das deutsche Modell der Datenschutzkontrolle durch betriebliche Datenschutzbeauftragte nicht. Dennoch sollte auf betriebliche Datenschutzbeauftragte nicht verzichtet werden. Sie leisten wertvolle Arbeit für den Datenschutz, denn sie kennen Organisation und Abläufe ihrer Institutionen und können daher gut Beschwerden bearbeiten, Mitarbeiter schulen und bei der Einführung neuer Verfahren beraten. Häufig wird der Datenschutz aus bloßer Unkenntnis nicht beachtet. Für den Erfolg dieser Tätigkeiten ist das Einvernehmen mit der Leitung von größter Wichtigkeit. Dieses Einvernehmen leidet schnell, wenn der Datenschutzbeauftragte, entsprechend des ihm gegenwärtig obliegenden Sicherstellungsauftrages, zum Erreichen datenschutzgemäßer Zustände die Kontrollstelle um Unterstützung bittet. Es besteht dann die Gefahr, dass die Wirkung des Datenschutzbeauftragten durch kleine Nadelstiche eingeschränkt wird. Hierfür reicht es bereits, dass die Leitung ihr Missfallen an Datenschutz und Datenschutzbeauftragten zum Ausdruck bringt. Damit lässt die Leitung den Datenschutzbeauftragten auch über seinen Erfolg stolpern, wenn sie erfolgreichen Datenschutz mit Verschlechterungen der Arbeitsbedingungen beantwortet. 24 Es gäbe keinen Anlass für eine derart den Datenschutz und seinen Beauftragten schwächende Reaktion, würde das Gesetz den Datenschutzbeauftragten nicht verpflichten, bei erkannten Datenschutzverstö- 24 Es kommt daher nicht selten vor, dass Datenschutzbeauftragte die Kontrollstelle bitten, nicht zu erwähnen, wer sie angesprochen hat. ßen die Unterstützung der Kontrollstelle einzuholen Kontrolle im privaten Bereich Die Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen kann aus den aufgeführten Gründen nicht mehr Aufgabe der betrieblichen Datenschutzbeauftragten sein. Nach der Systematik des EU-Datenschutzrechts ist hierzu allein die Kontrollstelle also der Bundes- bzw. die Landesdatenschutzbeauftragten zur Kontrolle berufen. Noch können die personell hoffnungslos unterbesetzten Kontrollstellen eine effektive Überwachung nicht durchführen. Personalaufstockung ist nicht in Sicht, Kontrolle somit auch nicht. 4.4 Zwangs-TÜV für IT-Verfahren Eine effektive Überwachung automatisierter Verarbeitung personenbezogener Daten einschließlich Vorabkontrollen lässt sich im nicht öffentlichen Bereich durch Zulassungspflicht und Zwangsuntersuchungen von IT-Verfahren regeln. Wie Kraftfahrzeuge sollten IT-Verfahren nur angewendet werden, wenn ihnen bei unabhängiger Untersuchung die Einhaltung von Datenschutzbestimmungen bescheinigt wurde. Ein Audit auf freiwilliger Basis kann nicht flächendeckend wirken. Im Interesse eines fairen Wettbewerbs ist eine Gleichbehandlung, also die Erfassung sämtlicher Verfahren, sicherzustellen. Wie die sichtbare TÜV-Plakette ist das Ergebnis der Untersuchung jedermann zugänglich zu machen. Wie bei Kraftfahrzeugen wäre bei wesentlichen Änderungen des IT-Verfahrens eine erneute Prüfung erforderlich.vor Einführung entsprechender Bescheinigungen müssen noch einheitliche Maßstäbe festgelegt werden. Die Entwicklungen im Rahmen des Audits in Schleswig- Holstein können dafür Grundlage sein. 25 Bei der BvD Befragung hielten die meisten Teilnehmer das Beschreiten des Rechtsweges nicht für geeignet, um zu einer angemessenen Ausstattung zu kommen. Befürchtet wird die Beeinträchtigung des Arbeitsklimas. DuD Datenschutz und Datensicherheit 31 (2007) 1 27

5 Sind Datenschutzbeauftragte zahnlose Papiertiger? 4.5 Externe Datenschutzberater im neuen Kontrollsystem Folgte man dem hier vorgeschlagenen Weg, so bedeutete dies nicht das wirtschaftliche Aus für externe Datenschutz-Berater. Ihre Arbeit wäre voraussichtlich sogar in weit größerem Maße als bisher gefragt: Ihre Beratertätigkeit würde sich jedoch verschieben zu einer Tätigkeit als Berater auf dem Weg zum Erhalt der erforderlichen datenschutzrechtlichen Prüfbescheinigung als Voraussetzung für den Betrieb des IT- Verfahrens. 5 Fazit Datenschutzbeauftragte können die ihnen von der EG-Datenschutzrichtlinie zugedachten Kontrollaufgaben nicht in angemessener Weise erledigen, weil ihnen hierzu wirksame Einwirkungsbefugnisse fehlen. Die EG-Datenschutzrichtlinie ist in Deutschland insoweit unzureichend umgesetzt. Die Übertragung von Kontrollaufgaben auf betriebliche Datenschutzbeauftragte ist wegen möglicher Folgen dieser Tätigkeit für ihre Institution den betrieblichen Datenschutzbeauftragten nicht zumutbar. Das deutsche Modell der Datenschutzkontrolle durch Datenschutzbeauftragte ist zur Wahrung der Rechte und Pflichten von Betroffenen im nichtöffentlichen Bereich ungeeignet. Allenfalls im öffentlichen Bereich ist es zumutbar, die Erledigung dieser Aufgabe den behördlichen DSB aufzuerlegen. Bevor die Kontrollaufgaben von internen Datenschutzbeauftragten im öffentlichen Bereich effektiv wahrgenommen werden können, sind jedoch Regelungen erforderlich, die seine Unabhängigkeit umfassend sicherstellen. Nötig sind jedenfalls Besoldungsvorgaben, Regelungen zu dienstlicher Beurteilung und Eine Klagebefugnis. Bevor der Gesetzgeber diese Aufgaben nicht erledigt, wird das regelmäßig beklagte Vollzugsdefizit von Datenschutzbestimmungen kein Ende finden können. Einen Ausweg aus dem gegenwärtig bestehenden Regelungsdefizit böten im nichtöffentlichen Bereich verpflichtende Regeluntersuchungen für automatisierte Verfahren der Verarbeitung von Personendaten in Anlehnung an die Untersuchungen für Dampfkessel und Kraftfahrzeuge. Allein ein freiwilliges Audit kann das Kontrolldefizit nicht beheben. 28 DuD Datenschutz und Datensicherheit 31 (2007) 1