De gegevensbeschermingsbeambte (DSB) is verplicht voor bedrijven met 20 of meer medewerkers die in typische kantooractiviteiten zijn werkzaam. Over deze dwang heeft onlangs de Bondsdag gedebatteerd. Waarom is de beambte een beambte? De antwoord op deze vraag is tegelijkertijd de oplossing voor het willekeurige dwingende benoemen van de DSB.
Inleiding
Elke Firma van een zekere omvang heeft een gegevensbeschermingsbeambte nodig. In ieder geval geldt dit, mits minstens 20 medewerkers regelmatig met de digitale (automatiseerde) gegevensverwerking bezig zijn.
Deze grens van 20 medewerkers is vastgelegd in artikel 38 van de Bundesdatenschutzgesetz (BDSG). Vroeger lag de grens bij 10 medewerkers.
De wetgever kan geen verwijt worden gemaakt dat hij een grens heeft vastgesteld die hij voor redelijk houdt. Een wettelijk vastgestelde grens is altijd op zichzelf willekeurig. Dat geldt bijvoorbeeld ook voor de belastingtarief en de grenzen voor belastingtarieven, evenals het hele belastingstelsel in z'n geheel.
Een grens te vinden, is aanleiding tot nadenken. Vooral dan, wanneer de grens
eerst op Europees niveau helemaal niet aanwezig what (DSGVO)
b) toen werd het vastgesteld op 10 medewerkers in Duitsland
d) toen vervolgens in Duitsland vastgesteld op 20 medewerkers
d) dan afgeschaft moeten worden, maar dat niet gebeurde.
Hoe zou het zijn om geen grenzen te hebben?
De gegevensbeschermingsfunctionaris als optie in plaats van verplichting
De DSB is voor veel bedrijven verplicht. Dat is goed voor de DSB en meestal ook goed voor de gegevensbescherming. In elk geval schaadt het meestal niet dat de DSB bestaat. Dit zij evenwel iets genuanceerder vastgesteld, omdat gevallen bekend zijn waarin de verkeerde mening van een DSB tot slechte resultaten leidt.
Of deze hoopvolle zeldzame misverstand van de DSB ervoor verantwoordelijk is dat op de meeste Duitse websites ernstige inbreuken op de gegevensbescherming te betreuren zijn of of het is de weerstand tegen advies van de cliënten, mag onbelangrijk zijn. Gewoonlijk heeft de adviseur gelijk, ook als hij geen adviseur maar gemachtigde heet.
Zou de gegevensbeschermingsautoriteit niet verplicht zijn, zouden bedrijven hem dan nog steeds aanstellen?
Vaak wordt opgemerkt dat ook kleine ondernemingen een DSB aanstellen, hoewel ze dit niet hoeven te doen. Men kan er eveneens van uitgaan dat grotere bedrijven zelfs zonder dat ze het moeten doen, een DSB bestellen. Hoe zou het zijn als een autoriteit (die feitelijk geen boetes oplegt) in een conglomeraat komt kijken en ziet dat niemand zich bekommerd om de bescherming van persoonsgegevens?
Wat doet de NS eigenlijk?
Een goede vraag, waarop hier slechts een antwoord gegeven wordt.
De DSB is voornamelijk een adviseur. Veel DSB's leveren hun opdrachtgevers aan het begin van de activiteit een informatiemateriaal met opleidingsaanbod, dat vaak per video, presentatie of handleiding wordt aangeboden. Eveneens vindt aanvankelijk altijd een eerste gesprek plaats. In dit gesprek worden de bijzonderheden van de gegevensverwerking bij de opdrachtgever als verantwoordelijke geregeld.
Indien er een datalek is voorgevallen, wordt de DSB ingeschakeld. Eveneens wanneer betrokkenen gebruik maken van hun recht op inzage (Artikel 15 DSGVO). Ook in andere gevallen is de DSB een goede aanspreekpunt voor specifieke vragen en geeft hij zijn cliënt advies, als dit nodig is.
De gegevensbeschermingsbeambte lijkt in elk geval geen opdrachtgever te zijn (zie Artikel 37 DSGVO).
Voorstel voor motivatie bij bestelling van de DSB
Hoe zou het zijn als er eindelijk sancties zouden worden opgelegd voor overtredingen van verplichte regels met betrekking tot de bescherming van persoonsgegevens? Dergelijke regels zijn te vinden in de AVG als wet en in het TDDDG (vroeger TTDSG) en BDSG als wetten. Maar niemand is echt geïnteresseerd in wat er allemaal misloopt op internet. In ieder geval niet in Duitsland.
Gegevensbeschermingsautoriteiten sanctioneren gewoon niet. De extreem weinige gevallen waarin in Duitsland een boete is uitgedeeld, zijn helemaal niet de moeite waard om over te praten.
In Duitsland is de meest voorkomende overtreding van de gegevensbescherming nog nooit bestraft.
Geen enkel geval = nul of epsilon-omgeving.
De meest voorkomende inbreuk op de privacy, die bovendien het gemakkelijkst te bewijzen is, werd precies geen enkele keer bestraft. Het gaat om onwettig web-tracking inclusief onwettige cookies. Alleen voor het geval dat iemand een geval vindt: Of nul of vijf, is bij miljoenen inbreuken op de privacy die per dag in Duitsland online plaatsvinden, hetzelfde als nul. De Fast-mathematicus zou zeggen: Het aantal bestraffingen ligt binnen de Epsilon-omgeving van nul.
Als er de Verbruikerscentrale en individuen zoals Max Schrems niet zouden bestaan, zou in Duitsland niets gebeuren. Behalve dat overheidsinstanties nieuwe aanbevelingen uitgeven en aankondigen om onderzoeken te doen, deze uitvoeren en vaststellen dat er wat mis is gegaan. Daarna gaan de ambtenaren dan weer andere, aangename activiteiten doen. Men wil zich immers niet onpopulair maken. Of zoals een leidinggevende bij het Hessische Datenschutzbeauftragte ook eens aan de pensioengerechtigde denkt, die slechts een wimper van 8 jaar verwijderd is (dit zijn informatie uit eerste hand en meerdere keren gecommuniceerd). Daarom verwondert het dan ook niet dat Google Analytics door deze instantie als onschuldig wordt gezien en seksuele voorkeuren, uitgedrukt door de aankoop van sexspelletjes, als niet beschermwaardige gegevens worden gezien.
Quizvraag: Wat is het verschil tussen een belastingadviseur en een gegevensbeschermingsfunctionaris?
Enkele antwoordmogelijkheden voor deze quizvraag, waarbij de beroepsgerichte oriëntatie van beide beroepen buiten beschouwing wordt gelaten:
- De belastingadviseur wordt adviseur genoemd, de gegevensbeschermingsfunctionaris wordt functionaris genoemd.
- De belastingadviseur is niet noodzakelijk voorgeschreven, maar de gegevensbeschermingsfunctionaris wel vaak.
- De belastingadviseur wordt zeer vaak ingeschakeld, hoewel dit niet verplicht is, de gegevensbeschermingsfunctionaris daarentegen maar zelden.Ganzen Artikel jetzt über kostenfreien Dr. DSGVO Newsletter lesen.Weitere Extras für Abonnenten:
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-ChecksSchon Abonnent? Link im Newsletter anklicken & diese Seite auffrischen.↓Newsletter abonnieren
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
