Editorial : Der Datenschutzbeauftragte in der Datenschutz-Grundverordnung – Rettung auf der Zielgrade : aus der RDV 1/2016, Seite 1 bis 2
Eine der Innovationen des neuen europäischen Datenschutzrechts stellt die verpflichtende Bestellung von behördlichen und betrieblichen Datenschutzbeauftragten dar. Während die EU-Datenschutzrichtlinie von 1995 die Bestellung nur fakultativ vorsah, ist diese europaweit aber für die Privatwirtschaft nur bei Unternehmen obligatorisch, deren „Kerntätigkeit aus Verarbeitungsvorgängen besteht, welche auf Grund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen“. Ebenso sollen nur Datenverarbeiter, deren Kerntätigkeit aus der Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und 9a der EU-DS-GVO „in großem Umfang“ besteht, einer Bestellpflicht unterfallen.
Eine nationale Öffnungsklausel für weitere Bestellungsvoraussetzungen schien keineswegs selbstverständlich zu sein. Ein gelaktes Papier, das den Verhandlungsstand vom 27.11.1015 dokumentierte, sah die vorstehend beschriebenen Voraussetzungen für eine europaweite Bestellpflicht offensichtlich als Kompromiss zwischen dem Vorschlag der Kommission und der Position des EU-Parlamentes für eine Pflichtbestellung – allerdings unter unterschiedlichen Voraussetzungen – und der Verhandlungsposition des Rates, die nur eine nationale Öffnungsklausel forderte, vor. Da diese Voraussetzungen für eine Bestellpflicht nur von einer sehr kleinen Anzahl von Unternehmen erfüllt werden, hätte die geplante Regelung hätte zur Konsequenz gehabt, dass in Deutschland die Bestellung betrieblicher Datenschutzbeauftragter in Industrie, Handel und Mittelstand mit Geltung der EU-DSGVO auslaufen würde. Betroffene hätten einen Anwalt für ihre Rechte und Interessen in den Unternehmen verloren. Zugleich wäre für die Unternehmensleitung der unabhängige Berater und Garant der Selbstkontrolle auf betrieblicher Ebene wegfallen.
Von daher ist die von der GDD geforderte und vom Bundesinnenministerium für zwingend erklärte zusätzliche nationale Öffnungsklausel in Art. 34 Abs. 4 für die betriebliche Selbstkontrolle von großer Bedeutung. Damit kann in Deutschland die Selbstkontrolle auf betrieblicher Ebene durch einen unabhängigen Berater erhalten bleiben. Das Bundesinnenministerium hat angekündigt, die Bestellungsvoraussetzungen für einen betrieblichen Datenschutzbeauftragten in einem Verordnungsergänzungsgesetz gegenüber dem BDSG unverändert zu regeln. Es käme damit auch einem Beschluss des Deutschen Bundestages nach, wonach die Bundesregierung aufgefordert wird, „das in Deutschland bestehende und bewährte System der Beauftragten für den Datenschutz in Unternehmen und der Verwaltung“ in der EU-DS-GVO nicht zu gefährden (BT-Drs. Drucksache 17/11325).
Was die Bestellung des Datenschutzbeauftragten und seine Rechtsstellung anbelangt, werden sich hiesige Datenverarbeiter nach Verabschiedung der Grundverordnung nur vereinzelt auf ungewohntem Terrain befinden. Neue Herausforderungen warten jedoch bei den inhaltlichen Anforderungen an die eigene Datenschutzorganisation, sei es in Gestalt des neuen Modells der Datenschutz-Folgenabschätzung oder der umfangreichen Informations- und Dokumentationspflichten. Nur wer seine interne Datenschutzorganisation mit adäquaten Ressourcen ausstattet, wird die Vorgaben einer EU-Datenschutz-Grundverordnung erfolgreich umsetzen können.
Andreas Jaspers
RA Andreas Jaspers Rechtsanwalt Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)