Kurzbeitrag : Die Position des EU-Parlaments zur zukünftigen Rolle von Datenschutzbeauftragten – ein kommentierter Überblick : aus der RDV 2/2014, Seite 90 bis 93
Nach seinem ursprünglichen Zeitplan um einige Monate verspätet hat der LIBE-Ausschuss[1] des Europäischen Parlaments am 21.10.2013 mit breiter Mehrheit[2] einen Kompromisstext zur geplanten EU-Datenschutz-Grundverordnung (EU-DS-GVO) verabschiedet, der am 12.03.2014 durch ein deutliches Votum [2a] des EU-Parlaments bestätigt worden ist. Das EU-Parlament hat damit ein offizielles Mandat zur Führung von Verhandlungen mit dem Rat und der Kommission im Rahmen des sog. Trilogs[3]. Basierend auf der bisherigen Parlamentsarbeit[4] stellt der Beitrag wesentliche Neuerungen der nunmehr abgestimmten Position des EU-Parlaments zur Rolle von Datenschutzbeauftragten vor.
I. Bestellungspflicht
1. Zahlenmäßiger Schwellenwert
Sollte hinsichtlich der Bestellung von Datenschutzbeauftragten nach dem ursprünglichen Entwurf der EU-Kommission noch auf die Anzahl der im Unternehmen Beschäftigten abgestellt werden, so sah bereits der nachfolgende Berichtsentwurf des parlamentarischen Berichterstatters Jan Philipp Albrecht[5] – offensichtlich mit Blick auf das Risikopotenzial der Datenverarbeitung – stattdessen eine Orientierung an der Anzahl der Betroffenen vor. Dieser Orientierung folgend, allerdings unter Zugrundelegung eines erheblich erhöhten Schwellenwerts, wird nach dem nunmehr vorliegenden Kompromisspapier des LIBE-Ausschusses eine Bestellungspflicht von Unternehmen vorgeschlagen, wenn die Datenverarbeitung innerhalb von 12 Monaten mehr als 5000 natürliche Personen betrifft[6].
Dieser neue – von einigen bereits als „zu starr“ kritisierte[7] – Ansatz ist jedenfalls insofern bemerkenswert, als sich das EU-Parlament in Kenntnis anderweitiger Tendenzen im EU-Rat[8] immerhin für die explizite Regelung einer Bestellungspflicht auf europäischer Ebene ausgesprochen hat. Der Rat hatte demgegenüber zuletzt lediglich eine Art Öffnungsklausel vorgesehen, wonach die Mitgliedstaaten in ihren nationalen Datenschutzvorschriften eine Bestellungspflicht vorsehen können. Im Rahmen der bevorstehenden Verhandlungen dürften die ursprünglichen Zielsetzungen der EU-Kommission zur Harmonisierung und Entbürokratisierung bei gleichzeitiger Verantwortlichkeitsverlagerung in die Unternehmen in Erinnerung gerufen werden. In diesem Zusammenhang hat die Kommission eine europaweite Bestellungspflicht auch als Ausgleich für die Abschaffung der Meldepflicht vorgesehen.
2. Risikoträchtige Kernaktivitäten
In Ergänzung zu dem zahlenmäßigen Schwellenwert sollte bereits nach dem Berichtsentwurf eine Bestellungspflicht – unabhängig von der Unternehmensgröße[9] – auch dann bestehen, wenn die Kernaktivitäten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus der Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 Abs. 1 der Verordnung bestehen. Diese Vorschrift hat das EU-Parlament in Art. 35 Abs. 1 (d) des Kompromisstextes dahingehend erweitert, dass eine Bestellungspflicht auch dann bestehen soll, wenn die Kernaktivitäten die Verarbeitung von Standortdaten, Daten von Kindern oder Beschäftigten in großangelegten Dateisystemen betreffen. Insbesondere hinsichtlich des insoweit maßgeblichen Verarbeitungsumfangs bedarf es jedenfalls noch der Konkretisierung, um die gewünschte Rechtssicherheit zu gewährleisten. In diesem Zusammenhang ist auf eine parlamentarische Ergänzung in Erwägungsgrund 75 hinzuweisen, die darauf schließen lässt, dass archivierte Daten, die bestimmten Verwendungsrestriktionen unterliegen, offenbar unberücksichtigt bleiben sollen[10].
3. Bestellungsoptionen
a) Interne und externe Datenschutzbeauftragte
Anzumerken ist, dass auch der Kompromisstext des EU-Parlaments den Unternehmen einige Flexibilität bei der Bestellung von Datenschutzbeauftragten zubilligt. Die Bestellung von internen Datenschutzbeauftragten soll ebenso möglich sein wie die Beauftragung externer Dienstleister. Der entsprechende Vorschlag der EU-Kommission zu Art. 35 Abs. 8 ist insofern unangetastet geblieben[11].
b) Voll- und Teilzeit-Datenschutzbeauftragte
Die internen Datenschutzbeauftragten können ihren Aufgaben nach der Vorstellung von EU-Kommission und EU-Parlament in Voll- oder Teilzeit nachgehen, was durch Einfügungen des Parlaments in den Erwägungsgrund 75 und 75a nochmals verdeutlicht wird. Soll ein Beschäftigter die Funktion als Datenschutzbeauftragter nur in Teilzeit wahrnehmen, gilt es allerdings nach Art. 35 Abs. 6 Interessenskonflikte zu vermeiden.
c) Hauptverantwortliche Datenschutzbeauftragte in Unternehmensgruppen
Begrüßenswert ist die vom EU-Parlament vorgesehene Klarstellung der Möglichkeit der Bestellung von hauptverantwortlichen Datenschutzbeauftragten in Unternehmensgruppen. Insofern ist anzumerken, dass der Kompromisstext in Ergänzung des Kommissionsentwurfs ausdrücklich eine einfache Erreichbarkeit des hauptverantwortlichen Datenschutzbeauftragten fordert, ohne allerdings weitere Konkretisierungen (beispielsweise hinsichtlich der Zurverfügungstellung von Hilfspersonal oder der Überwindung von Sprachbarrieren) vorzunehmen. Grundvoraussetzung für die Bestellung von hauptverantwortlichen Datenschutzbeauftragten muss freilich auch deren Qualifikation nach Art. 35 Abs. 5 sein. Wesentliches Kriterium für die Qualifikation des Datenschutzbeauftragten ist im Fall ihrer Anwendbarkeit auch eine profunde Kenntnis der EU-DS-GVO. Die vorgenannten Gesichtspunkte lassen unter Umständen insbesondere die Bestellung von in entlegenen Drittländern ansässigen Haupt-Datenschutzbeauftragten als nicht unproblematisch erscheinen, zumal auch in solchen Fällen die Anforderungen der Art. 35 bis 37 zumindest eine Ausstrahlungswirkung entfalten dürften.
d) Bestellungsdauer
Des Weiteren wurde vom EU-Parlament erkannt, dass die noch im Berichtsentwurf vorgesehene Mindestbestelldauer für interne Datenschutzbeauftragte von 2 Jahren mit Blick auf die Gewährleistung einer effektiven betrieblichen Datenschutzpraxis und die Unabhängigkeit der Datenschutzbeauftragten zu kurz bemessen wäre. Vorgesehen ist nunmehr eine Mindestbestelldauer von 4 Jahren für interne und 2 Jahren für externe[12] Datenschutzbeauftragte (Art. 35 Abs. 7).
II. Rechtsstellung
1. Unabhängigkeit
a) Unmittelbares Vortragsrecht des Datenschutzbeauftragten
Begrüßenswert ist, dass das EU-Parlament die Notwendigkeit einer unabhängigen Aufgabenwahrnehmung durch die Datenschutzbeauftragten sowohl durch Ergänzungen in Erwägungsgrund 75 als auch im Text von Art. 36 anerkennt und betont.
Durch Einfügung von Satz 2 in Art. 36 Abs. 2 trägt das EU-Parlament der Forderung nach einer direkten Berichtslinie zur obersten Geschäftsleitung Rechnung, was für die Unabhängigkeit des Datenschutzbeauftragten und seine Akzeptanz im Unternehmen essentiell wichtig ist. Es wird jedoch darauf zu achten sein, dass die unmittelbare Anbindung an die oberste Geschäftsleitung nicht durch eine Fehlinterpretation des ebenfalls neu eingefügten Folgesatzes (Art. 36 Abs. 2 Satz 3) konterkariert werden kann; dieser hat folgenden Wortlaut:
„The controller or processor shall for this purpose designate an executive management member who shall be responsible for the compliance with the provisions of this Regulation.“
Vorgesehen ist demnach die Benennung eines Mitglieds der obersten Geschäftsleitung (Vorstands- oder Geschäftsführungsmitglied). Es sollte jedoch nochmals klargestellt werden, dass eine Delegation dieser Verantwortlichkeit auf Ebenen unterhalb der obersten Geschäftsleitung – z.B. auf den Compliance-Beauftragten – ausgeschlossen ist. Hierfür spricht nicht nur der Wortlaut von Art. 36 Abs. 2 Satz 3 des Parlamentsvorschlags[13]; aus gutem Grund stellt das EU-Parlament auch durch eine Ergänzung in Erwägungsgrund 75 die datenschutzrechtliche Letztverantwortlichkeit der Unternehmensleitung klar.
b) Unterstützungspflicht der Daten verarbeitenden
Stellen Gegenüber dem Kommissionsentwurf stellt der Kompromisstext des EU-Parlaments nochmals klar, dass dem Datenschutzbeauftragten alle zur ordnungsgemäßen Aufgabenerfüllung notwendigen Mittel zur Verfügung zu stellen sind. Eine weitere Einfügung des EU-Parlaments in Art. 36 Abs. 3, die mit der Einfügung eines neuen Erwägungsgrundes 75a korrespondiert, verdeutlicht, dass Unternehmen und Behörden gehalten sein sollen, ihren Datenschutzbeauftragten die zur Pflege der Fachkunde erforderlichen Fortbildungsmaßnahmen zu ermöglichen, was angesichts der Dynamik im Bereich des Datenschutzes als sinnvoll erscheint.
c) Verschwiegenheitspflicht des Datenschutzbeauftragten
Zu befürworten ist ferner die vom EU-Parlament in Art. 36 Abs. 4 vorgesehene Einführung einer grundsätzlichen Verschwiegenheitspflicht von Datenschutzbeauftragten bezüglich der Identität von Betroffenen bzw. in Bezug auf Umstände, die den Betroffenen identifizierbar machen. Die Unabhängigkeit des Datenschutzbeauftragten wird hierdurch gefördert, da er das Recht und zugleich die Pflicht hat, in bestimmten Fällen – auch gegenüber der Leitung der verantwortlichen Stelle – Stillschweigen zu bewahren.
d) Kündigungsschutz
Nach bereits in dem Berichtsentwurf geäußerter Auffassung hat die Erfahrung gezeigt, dass eine unabhängige Aufgabenwahrnehmung durch den Datenschutzbeauftragten einen Kündigungsschutz erfordert. Insofern wird in dem Kompromisstext des EU-Parlaments im Rahmen einer Ergänzung von Erwägungsgrund 75 ein besonderer Kündigungsschutz für Datenschutzbeauftragte befürwortet. Die Formulierung der vom EU-Parlament ergänzten Passage legt dabei einen Kündigungsschutz unabhängig von der gewählten Bestellungsoption[14] nahe[15].
III. Qualifikation des Datenschutzbeauftragten
Durch die Einfügung eines neuen Erwägungsgrundes 75a beschreibt das EU-Parlament dezidiert Mindestanforderungen an die Qualifikation von Datenschutzbeauftragten. Hierzu gehören demnach:
Umfangreiche Kenntnisse des Datenschutzrechts und seiner Anwendung, einschließlich der technischen und organisatorischen Maßnahmen und Verfahren; die Beherrschung der technischen Anforderungen zur Realisierung von Privacy by Design, Privacy by Default und zur Gewährleistung der Datensicherheit; branchenspezifische Kenntnisse unter Berücksichtigung der Unternehmensgröße und der Sensibilität der zu verarbeitenden Daten; die Fähigkeit zur Durchführung von Kontrollen, Konsultationen, Dokumentationen und Protokolldateianalysen und die Fähigkeit zur Zusammenarbeit mit der Arbeitnehmervertretung[16].
Das EU-Parlament schlägt somit freilich einen relativ hohen europaweiten Mindeststandard[17] vor. Zu erwägen wäre eine klarere Differenzierung zwischen den Grundkenntnissen, die jeder Datenschutzbeauftragte haben sollte, und solchen, die im Rahmen von Fortbildungsmaßnahmen – unternehmensspezifisch – ergänzend erworben werden können. Aus guten Gründen sind aber neben den essentiell wichtigen juristischen Kenntnissen auch Fähigkeiten im technisch-organisatorischen Bereich bzw. im Datenschutz-Management reflektiert. Die ausdrückliche Erwähnung von by Design und Privacy by Default trägt dabei der gewachsenen Bedeutung des Systemdatenschutzes im Rahmen ubiquitärer Datenverarbeitung Rechnung.
IV. Aufgaben des Datenschutzbeauftragten
Das EU-Parlament ist bestrebt, das Aufgabenfeld des Datenschutzbeauftragten durch Ergänzungen in Art. 37 sowie den Erwägungsgründen 75 und 75 a (neu) zu ergänzen bzw. zu präzisieren. Die Ergänzungen in § 37 Abs. 1 a betonen die wichtige Aufgabenstellung der Schaffung eines Datenschutzbewusstseins innerhalb der Daten verarbeitenden Stelle und die besondere Relevanz technischer und organisatorischer Maßnahmen und Vorgehensweisen. Mit dem letztgenannten Aspekt korrespondiert die Einfügung einer Passage in Erwägungsgrund 75, wonach der Datenschutzbeauftragte insbesondere vor der Planung, Beschaffung, Entwicklung und Einrichtung von Datenverarbeitungssystemen zu konsultieren ist, um die Wahrung der Grundsätze „Privacy by Design, Privacy by Default“ sicherzustellen.
Durch die Einfügung von Buchstabe i in Art. 37 Abs. 1 soll der Datenschutzbeauftragte gehalten sein, die Verordnungskonformität im Rahmen der Vorabkonsultationsmechanismen nach Art. 34 zu verifizieren. In diesem Zusammenhang bleibt die konkret vorgesehene Rolle des Datenschutzbeauftragten im Rahmen der vom Parlament nochmals modifizierten Datenschutzfolgenabschätzung allerdings weiterhin nebulös[18].
Schließlich schlägt das EU-Parlament in einem neuen Buchstaben j von Art. 37 Abs. 1 vor, dem Datenschutzbeauftragten auch die Aufgabe der Information der Mitarbeitervertretung über die Verarbeitung von Beschäftigtendaten zu übertragen. Eine derartige Aufgabenzuweisung an den Datenschutzbeauftragten wäre im Fall fehlender Zustimmung der Geschäftsleitung mit Blick auf das Betriebsverfassungsrecht und den dort verankerten Grundsatz der Unabhängigkeit der Betriebsparteien nicht unbedenklich. Nachzugehen wäre ggf. der Frage, ob und inwieweit die vom BAG[19] festgestellte Regelungslücke zum Verhältnis zwischen Datenschutzbeauftragtem und Betriebsrat durch eine derartige Regelung gefüllt werden könnte.
V. Fazit und Ausblick
Das EU-Parlament hat – nicht nur – zur zukünftigen Rolle des Datenschutzbeauftragten Ergänzungen und Änderungen des Kommissionsvorschlags in die Diskussion eingebracht und ein klares Mandat zur Aufnahme von Verhandlungen mit dem Rat und der Kommission gegeben. Bevor es allerdings zu offiziellen Verhandlungen im Rahmen des sogenannten Trilogs kommen kann, bedarf es noch einer abgestimmten Positionierung im Rat.
Während ein kurzfristiger Kompromiss mit der EU-Kommission möglich erscheint, entscheidet sich die Konsensfähigkeit der Vorschläge des Parlaments letztlich an der Positionierung des Rates der EU. Dieser hat indes anlässlich seiner Sitzung am 06.12.2013 erkennen lassen, dass noch wesentliche Fragen klärungsbedürftig sind, bevor politische Entscheidungen getroffen werden können. Im Hinblick auf den Fortgang des Gesetzgebungsverfahrens hat die Griechische Ratspräsidentschaft bereits zahlreiche Arbeitssitzungen ab Januar 2014 anberaumt. Ob und inwieweit der Rat hierbei bereit ist, seine bisherige Position zum Datenschutzbeauftragten an den Kompromisstext des EU-Parlaments anzupassen, bleibt abzuwarten.
* Der Autor ist Rechtsanwalt in Köln und Repräsentant der Gesellschaft für Datenschutz und Datensicherheit (GDD) in internationalen Angelegenheiten. Er hat die von der EU-Kommission durchgeführten Konsultationen und das bisherige parlamentarische Verfahren zum Erlass der EU-Datenschutz-Grundverordnung aktiv begleitet. Als Vertreter der GDD hat er an den bisherigen Stellungnahmen des europäischen Datenschutz-Dachverbandes CEDPO (www.cedpo.eu) federführend mitgewirkt. Der Beitrag spiegelt seine persönliche Einschätzung der aktuellen Debatte wieder
[1] Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres.
[2] 51 zu 1 Stimmen bei 3 Enthaltungen.
[2a] 621 zu 10 Stimmen bei 22 Enthaltungen.
[3] Vgl. Gola/Schultz, RDV 2013, 1 (7).
[4] Siehe hierzu bereits Klug, RDV 2013, 14; ders., RDV 2013, 75; ders., RDV 2013, 143.
[5] Nachfolgend als Berichtsentwurf bezeichnet.
[6] Demgegenüber hatte der Berichtsentwurf noch eine Bestellungspflicht bereits bei 500 Betroffenen vorgesehen.
[7] Vgl. etwa GDD unter http://www.gdd.de/aktuelles/nachrichten (Meldung vom 23.10.2013).
[8] Vgl. Council Doc. 10227/13 vom 31.05.2013 (Ziff. 24).
[9] Vgl. Erwägungsgrund 75 des Kompromisstextes.
[10] Gemeint sein könnten hier z.B. gesperrte Daten, die lediglich aufgrund von Aufbewahrungsvorschriften oder nach § 31 BDSG vorgehalten werden.
[11] Zur Flexibilität vgl. auch die Rede der Vizepräsidentin der EU-Kommission, Viviane Reding, vom 08.03.2013, abrufbar unter http://europa.eu/rapid/press-release_SPEECH-13-209_en.htm.
[12] Ähnlich zum externen Datenschutzbeauftragten 14. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich zuständigen Aufsichtsbehörde an den Landtag des Landes Brandenburg (LT-Drucksache 4/6537), Ziff. 3.1.4
[13] … „for this purpose” … „an executive management member” …
[14] Siehe oben I. 3. a) und b).
[15] Zur deutschen Rechtsprechung in Bezug auf den Kündigungsschutz von (Teilzeit-) Datenschutzbeauftragten vgl. Gola/Schomerus, BDSG (11. Aufl.), § 4f Rdnr. 40 ff. sowie Gola/Jaspers, RDV 1998, 47.
[16] Zur notwendigen Fortbildung siehe oben 2. b).
[17] Ähnlich Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) vom 24./25. November 2010, wiedergegeben in: BfDI-Info 4 (Anhang 10), abrufbar unter http://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO4.pdf.
[18] Zu insoweit notwendigen Klarstellungen der konkreten Rolle des Datenschutzbeauftragten vgl. bereits Klug, RDV 2013, 14 (16) sowie die Vorschläge des Parlaments zu Art. 32 a (neu) ff.; zur Konsultation der Aufsichtsbehörde durch den Datenschutzbeauftragten vgl. Klug, RDV 2001, 12 (17).
[19] BAG, RDV 1998, 64.