Andreas Sachs ist Vizepräsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA).
In einem aktuellen Interview erklärt Sachs, die Datenschutz-Compliance sei «in der Regel sehr viel einfacher, als befürchtet wird» und kritisiert Berater wie insbesondere Anwälte.
Andreas Sachs verkauft gleichzeitig sein Fachwissen zur Datenschutz- und KI-Compliance. Wie passt das zusammen?
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ist die Datenschutz-Aufsichtsbehörde für private Verantwortliche im deutschen Bundesland Bayern.
In einem aktuellen Interview mit der Industrie- und Handelskammer (IHK) für München und Oberbayern spricht Andreas Sachs über den Umgang mit der europäischen Datenschutz-Grundverordnung (DSGVO) und der neuen KI-Verordnung.
Den erforderlichen Aufwand und das nötige Wissen für die Datenschutz-Compliance bei Unternehmen redet Sachs klein, unter anderem:
«Leider werden im Datenschutz mitunter viele Mythen verbreitet. Das schürt die Unsicherheit. Wir wollen aufklären, was die DS-GVO tatsächlich verlangt, in der Hoffnung, dass die Teilnehmer hinterher sagen: Oh, das ist ja alles halb so schlimm.»
Ja, es kursieren viele Mythen.
Wer allerdings feststellt, was Aufsichtsbehörden, gerade in Deutschland, tatsächlich für die Umsetzung der DSGVO verlangen, sagt normalerweise nicht, die Umsetzung sei nur «halb so schlimm». (Was aus Sicht der betroffenen Verantwortlichen ohnehin noch schlimm genug wäre.)
Wenn Sachs empfiehlt, «nach bestem Wissen und Gewissen das umsetzen, was vernünftigerweise geht» und das als den «besten Ansatz» bezeichnet, entspricht das nicht der Praxis der Datenschutz-Aufsichtsbehörden zur Umsetzung der DSGVO.
Behauptung: DSGVO-Compliance ist «in der Regel sehr viel einfacher, als befürchtet wird»
Im Interview redet Sachs die DSGVO schön …
«Für jede Art der Datenverarbeitung ermöglicht die DS-GVO gute Lösungen, die auch für jede Unternehmensgröße passen.»
… und kritisiert Anwälte und andere Berater als Reaktion auf folgende Behauptung im Interview:
«Anwälte und Berater haben das Gegenteil erzählt – und an dieser Unsicherheit mitunter gut verdient.»
Antwort:
«Das stimmt absolut. Das sehen wir auch. Die Umsetzung der DS-GVO schaffen Mittelständler aber auch ohne Consultants. Das ist in der Regel sehr viel einfacher, als befürchtet wird. Es herrscht eine ungute Mischung aus Überforderung und Unwissenheit.»
Ja, die DSGVO förderte und fördert die Tätigkeit von Beratern wie insbesondere Anwälten.
Das liegt daran, dass die meisten Verantwortlichen nicht in der Lage sind, die Umsetzung selbst zu gewährleisten – sei es fachlich, sei es zeitlich. Die meisten Unternehmen sind Kleinstunternehmen, die eine Person oder einige wenige Personen beschäftigen.
Sachs muss denn auch dem Wunsch nach einer «leicht verständlichen Checkliste» für Einzelunternehmer eine Absage erteilen:
«Diesen Wunsch habe ich schon häufiger gehört. Den Vorschlag finde ich super. Allerdings ist es schwierig, so etwas pauschal für alle Selbstständigen zu machen. Man muss da schon wissen: Ist das ein Handwerker oder ist es jemand, der sein Geschäft im Internet macht? Mit der IHK oder anderen Wirtschaftsorganisationen müssen wir da noch klären: Was machen die Soloselbstständigen genau?»
Sachs gibt ferner zu, dass Beratung für die Umsetzung der DSGVO erforderlich ist. Das BayLDA möchte nämlich mit mehr Geld und Personal jene privaten Verantwortlichen beraten können, die sich keine eigenen Anwälte oder andere Juristen leisten können:
«Wir könnten dann deutlich mehr beraten – das würde vor allem Unternehmen helfen, die keine Rechtsabteilung haben oder sich keine Anwälte leisten können. Wir könnten Unternehmen in jedem Sektor mit Handreichungen, Anleitungen, und Broschüren versorgen. Wir schaffen das bisher nicht, weil ich keine Mitarbeiter dafür habe.»
Fragwürdige Praxis: Mitarbeiter von Datenschutz-Aufsichtsbehörden verkaufen ihr Fachwissen
Beim Geschäft mit dem Fachwissen zur Umsetzung der DSGVO und sonstigem Recht mischt Andreas Sachs selbst mit.
Wie passt das zur Kritik von Sachs an der Tätigkeit von Anwälten und anderen Beratern?
Und wie passt der Verkauf von Wissen zur Datenschutz-Compliance zur Tätigkeit für eine Datenschutz-Aufsichtsbehörde?
Sein Fachwissen verkauft Sachs insbesondere bei den kommerziellen Anbieterinnen «Datenschutz-PRAXIS» und «DATAKONTEXT».
Wer beispielsweise von Sachs erfahren möchte, wie die «aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden» aussieht, zahlt für die entsprechende Online-Schulung den Betrag von EUR 708.05.
Ferner verkauft Sachs sein Fachwissen auch als Buch mit dem Titel «Datenschutz-Compliance nach der DS-GVO».
Die fragwürdige Praxis, dass Mitarbeiter von Datenschutz-Aufsichtsbehörden ihr Fachwissen verkaufen, ist nicht nur in Bayern zu beobachten.
Auch in der Schweiz ist das Fachwissen der Datenschutzbeauftragten bei Bund und Kantonen häufig nur gegen Bezahlung zugänglich, manchmal sogar nur für ein ausgewähltes Publikum irgendwo vor Ort.
Datenschutzbeauftragte und andere Personen, die für Behörden tätig sind, sollten ihr Wissen nicht verkaufen dürfen, sondern im Sinn von «Public Money, Public Content, Public Knowledge» frei teilen müssen.
Beitragsbild (Screenshot): IHK-Magazin / Torsten Jochim.
