Sind europäische Datenwächter bereit für DSGVO?

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO, engl. General Data Protection Regulation, kurz GDPR) setzen die europäischen Datenschutzbehörden auf eine völlig andere Einstellungspolitik, um die neuen EU-Datenschutzvorschriften durchzusetzen.

Helpameout | Wikimedia

Zur Umsetzung der neuen EU-Datenschutzvorschriften ändern die europäischen Datenschutzbehörden ihre Einstellungspraktiken tiefgreifend.

Während Datenwächter in einigen EU-Ländern ihr Personal verdoppeln, planen andere überhaupt keine Neueinstellungen. Und das obwohl die EU-Bürger im Rahmen der Datenschutz-Grundverordnung (DSGVO ), die ab dem 25. Mai in Kraft treten wird, über eine ganze Reihe neuer Rechte verfügen.

Letzte Woche erklärte die EU-Justizkommissarin Vera Jourova gegenüber den Reportern, sie sei besorgt, dass unterbesetzte Datenschutzbehörden (Data Protection Authorities, kurz DPAs) die Aufgabe umso schwieriger machen könnten. „Wir wollen, dass die DPAs für diesen Job gut gerüstet sind. Nicht nur für Sanktionen, sondern auch für Empfehlungen und Beratungen. Und ich möchte nicht, dass die DPAs in Schwierigkeiten geraten“, erläuterte sie.

Die Zahl der Mitarbeiter, die derzeit in den europäischen DPAs arbeiten, variiert erheblich: Von 11 in Malta bis 565 im Vereinigten Königreich (528,5 in Vollzeitäquivalenten, d. h. einer Vergleichsmethode, die berücksichtigt, dass Mitarbeiter manchmal Teilzeit arbeiten).

Für die beiden größten Mitgliedstaaten der EU – Deutschland und Frankreich – ist noch nicht klar, ob die DPAs ihr Personal aufstocken werden, zumal die Erhöhung ihrer Budgets von der Bereitwilligkeit der Regierung abhängen.

Der deutsche Bundesbeauftragte für Datenschutz und Informationsfreiheit verfügte 2017 nach Angaben eines Sprechers über 160,5 Vollzeitäquivalente (VZÄ). Seinen Beobachtungen zufolge ist die Mitarbeiterzahl der deutschen DPAs in den vergangenen Jahren kontinuierlich gestiegen: Von 90 VZÄ im Jahr 2015 auf 110,5 VZÄ im Jahr 2016. Laut dem Sprecher habe die deutsche Behörde um zusätzliches Personal gebeten, die endgültige Erhöhung des Budgets werde aber vom Ausgang der Haushaltsverhandlungen abhängen. „Bitte haben Sie Verständnis dafür, dass ich Ihnen an dieser Stelle keine konkrete Zahl nennen kann“, fügte er hinzu.

Seine Kollegin von der französischen DPA, die unter dem Akronym CNIL bekannt ist (Commission Nationale de l’Informatique et des Libertés, deutsch Nationale Kommission für Informatik und Freiheiten), äußerte sich ganz ähnlich: „Aufgrund der DSGVO hat die CNIL ein paar zusätzliche VZÄ beantragt. Allerdings dauern die Diskussionen über die diesbezüglichen Finanzfragen noch an“, erklärte die Sprecherin. Die CNIL verfügt derzeit über 199 VZÄ.

Einige DPAs teilten EUobserver mit, dass sie eine erhebliche Aufstockung ihres Personals planen.

Die niederländische DPA hatte die Zahl der Mitarbeiter schon von 76 auf 112,8 VZÄ erhöht, und sie plant - laut einer Sprecherin - bereits eine weitere Steigerung. Ihrer Aussage zufolge hat das niederländische Justiz- und Sicherheitsministerium folgendes Szenario genehmigt: Das Personal der DPA soll auf 185 VZÄ aufgestockt werden. Allerdings reicht die vom Ministerium genehmigte Erhöhung des DPA-Budgets nicht aus, um alle Neueinstellungen abzudecken, erläuterte die niederländische Sprecherin. „Um unsere Arbeit richtig machen zu können, müssen wir zusätzliches Budget erhalten“, fügte sie hinzu.

In der Zwischenzeit planen ihre Nachbarn im Süden eine viel bescheidenere Aufstockung. Die belgische DPA hat 54,63 VZÄ, sowie die Erlaubnis, zwei zusätzliche Informationssicherheits-Berater einzustellen, so eine Sprecherin. Sie wartet immer noch auf die Genehmigung, im Jahr 2018 weitere vier VZÄ, im Jahr 2019 zwei zusätzliche, und im Jahr 2020 noch einmal zwei mehr einzustellen. Die DPA in Österreich gab an, sie stocke ihr Personal um acht Personen auf, die in Bulgarien um 18 Personen, und die in Kroatien um vier Personen.

Estland: 18 ist ausreichend

Unterdessen erklärte der tschechische Datenwächter, der bereits 100 Mitarbeiter beschäftigt, dass er keine weiteren Einstellungen plane. Ebenso wenig wie Estland, das seit vier Jahren mit 18 Mitarbeitern arbeitet.

Ein Sprecher der griechischen Datenbehörde teilte EUobserver mit, dass zusätzlich zu den 44 Mitarbeitern in den kommenden Monaten 20 Personen eingestellt werden sollen. „Bitte beachten Sie jedoch, dass die tatsächliche Zahl der aktiven Mitarbeiter in der griechischen DPA viel geringer ist, zumal einige Personen unterstützt werden, oder sich im Mutterschaftsurlaub, bzw. sogar in unbezahltem Urlaub befinden“, erklärte er.

Dänemarks DPA hat nicht auf die Fragen von EUobserver geantwortet. Dafür hat der in Brüssel ansässige Europäische Datenschutzausschuss (European Data Protection Board, kurz EDPB) erklärt, dass der dänische Datenwächter seine Mitarbeiterzahl von 20 (im August 2015) auf 55 (bis Ende 2018) erhöhen wird.

Auf die DSGVO hatte man sich im Dezember 2015 politisch geeinigt, und sie im April 2016 formell verabschiedet.

Für die Grafik ist zu beachten, dass einige Mitarbeiterzahlen in VZÄ (Vollzeitäquivalent) und andere in der Gesamtpersonenzahl angegeben wurden. Die DPAs haben nicht immer auf die Fragen von EUobserver geantwortet, oder Zahlen für die Anzahl der Mitarbeiter anstelle von VZÄ angegeben, was die Vergleichbarkeit erschwert, zumal einige Stellen Teilzeitarbeitsplätze sein können. Darüber hinaus geben die Zahlen nur einen allgemeinen Einblick. Sie sagen nichts darüber aus, wie effizient die Menschen arbeiten, und auch nichts darüber, wie viele Menschen in Management- und Verwaltungsaufgaben involviert sind, und wie viele im Vergleich dazu mit der Durchsetzung von Datenschutzvorschriften beauftragt sind.