DA+

Aufsatz : Der Datenschutzbeauftragte gemäß EU-Datenschutz- Grundverordnungs-Entwurf : aus der RDV 4/2014, Seite 183 bis 190

Entwurf des LIBE-Ausschusses – ein Schritt in die richtige Richtung für den zukünftigen DSB?

Lesezeit 29 Min.

Externe und interne betriebliche Datenschutzbeauftragte (DSB) sind nicht nur darüber verunsichert, welche Aufgaben ihnen zukünftig zukommen und welche Rahmenbedingungen ihnen dabei gegeben sein würden, sondern auch darüber, ob sie ihrer bisherigen Funktion überhaupt noch nachkommen dürfen. Ursprünglich sollte die Verordnung noch vor den Wahlen des Europäischen Parlamentes verabschiedet werden. Der ursprüngliche Entwurf der Europäischen Kommission für eine Datenschutzgrundverordnung[1] vom 25.01.2012 sah klare Unterschiede zu den Vorschriften des BDSG vor. Nach dem Entwurf des Berichterstatters des Europäischen Parlaments für die geplante Datenschutz-Grundverordnung[2] vom 17.12.2012 stellt nun auch der am 21.10.2013 durch den LIBE-Ausschuss bestätigte Entwurf[3] eine weitere Annäherung[4] an das BDSG dar, obwohl dieser ein Kompromiss ist. Die EU-Kommissarin Viviane Reding gab jedoch bereits im Januar 2014 bekannt, dass die Verabschiedung der Verordnung vor den Wahlen des Europäischen Parlamentes nicht mehr vorgenommen werden kann und stellte auf eine eventuelle Verabschiedung der Verordnung in der zweiten Hälfte des Jahres 2014 ab[5].

Im vorliegenden Artikel soll kritisch der Entwurf betrachtet werden, welcher nun nach der Neuordnung des Europäischen Parlamentes die Grundlage für den Trilog zwischen Europäischer Kommission, Europäischem Parlament und Europäischem Rat bilden soll. Hierzu wird aufgezeigt, welche Punkte durch den aktuellen Entwurf geändert wurden sowie welche weiteren Unterschiede zum BDSG bestehen und was diese in der Praxis für Folgen haben könnten. Dabei wird weiterer Korrekturbedarf identifiziert, worauf in Hinblick auf die Praxis des Datenschutzbeauftragten und die Ziele des Datenschutzes entsprechende Empfehlungen ausgesprochen werden.

I. Einführung – Erforderlichkeit des Datenschutzbeauftragten

Der europäische Gesetzgeber hat verspätet erkannt, dass die europäische Datenschutzrichtlinie 95/46/EG (DSRL) veraltet ist und den Entwicklungen seit 1995 nicht mehr gerecht wird. Hierbei ist nicht nur an technische Entwicklungen, z.B. das Internet und zugehörige Neuheiten namens Soziale Netzwerke und Suchmaschinen zu denken, sondern auch an den ubiquitären Einsatz von mobilen Endgeräten, wie z.B. Smartphones, sowie an den Wandel unternehmerischer Orientierung. Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist und bleibt zum einen für viele Unternehmen ein Nebenbestandteil der täglichen Praxis, zum anderen ist diese Tätigkeit zu einem eigenen Geschäftsfeld geworden und stellt für eine nicht unerhebliche Zahl von Unternehmen das Kerngeschäftsfeld dar. Unzulässige Erhebungen, Übermittlungen und Nutzungen von Daten durch öffentliche und nicht öffentliche Stellen, insbesondere das Erstellen von Bewegungs- und Verhaltensprofilen, sind die daraus resultierenden Risiken. Diese bestehen für den Bürger nicht nur in der Rolle des Verbrauchers, sondern auch in der des Beschäftigten, da all diese Risiken dem Bürger sowohl im Privat- als auch im Berufsleben drohen.

Eine entgegensteuernde und Risiken vorbeugende Funktion kann hier der betriebliche DSB einnehmen. Dieser kann Einfluss auf die internen Datenverarbeitungsvorgänge von Unternehmen nehmen und dabei dem Beschäftigtendatenschutz dienen. Ferner kann er aber auch den Verbrauchern behilflich sein, da er z.B. auf eine ausschließlich gesetzeskonforme Datenverarbeitung von Kundendaten hinwirken kann. Hierdurch erhält der DSB mehr als je zuvor seine Daseinsberechtigung, welche auch aus seinen zahlreichen Aufgaben hervorgeht.

Im Gegensatz zum Rat der Europäischen Union, welcher die Entscheidung über eine Bestellpflicht weiterhin in den Händen der europäischen Mitgliedsstaaten belassen möchte[6], und zur DSRL, welche den bestellten DSB außerhalb von Erwägungsgründen nur kurz als Bedingung für den Wegfall der Meldepflicht in Art. 18 Abs. 2 und als durchführende Person der Vorabkontrolle in Art. 20 Abs. 2 erwähnt, hat auch die Europäische Kommission diese Tatsache zu berücksichtigen gewusst und dem DSB im Entwurf vom 25.01.2012 einen angemessenen Platz in den Art. 35-37 eingeräumt. Diese regeln die Pflicht und Art der Bestellung des DSB, seine Position und seine Aufgaben. Diese ausführlicheren Regelungen könnten nun einen klareren und festeren Rahmen als die DSRL setzen, was sowohl dem DSB als auch der verantwortlichen Stelle zu Vor- und Nachteilen gereichen könnte.

II. Der Datenschutzbeauftragte gemäß LIBE-Ausschuss-Entwurf

Im Folgenden wird im Detail auf die drei Regelungsthematiken eingegangen, welche den betrieblichen Datenschutzbeauftragten direkt betreffen.

1. Die Bestellung

a) Grundlegende Regelungen

Die Voraussetzungen des BDSG, unter welchen die Bestellung eines DSB zwingend ist, sind für Laien undurchsichtig und unverständlich. § 4f Abs. 1 hängt die Bestellpflicht nicht nur an der Anzahl der datenverarbeitenden Mitarbeiter innerhalb der verantwortliche Stelle auf, sondern auch daran, ob die Verarbeitungen mittels Datenverarbeitungsanlagen vorgenommen werden. Der LIBE-Ausschuss-Entwurf greift das zweite Kriterium nicht auf und unterscheidet nicht zwischen automatisierten und nicht-automatisierten Verarbeitungen. Dies zeigt auch die entsprechende Definition des Art. 4 Abs. 3 LIBE-Ausschuss-Entwurf. Dem BDSG folgend, bestimmt Art. 35 Abs. 1 lit. (a) LIBE-Ausschuss-Entwurf einheitlich, dass alle öffentlichen Stellen, welche personenbezogene Daten verarbeiten, einen DSB zu bestellen haben. Diese Vereinfachung ist zeitgemäß, wird aber wahrscheinlich kaum praktische Auswirkungen haben, da gegenwärtig kaum noch eine Behörde Daten ohne PC verarbeitet und deshalb auch bisher eine Bestellpflicht für annähernd alle Behörden bestand. Auch bei nicht öffentlichen Stellen ist kaum noch an eine vollständige Datenverarbeitung ohne Datenverarbeitungsanlagen zu denken. Datenerhebungen in Papierform, beispielsweise an Messeständen oder bei Gewinnspielen, werden später gescannt oder manuell in elektronische Systeme übertragen.

Darüber hinaus ist auffällig, dass der offizielle Entwurf keine Pflicht zur Einhaltung der Schriftform bei der Bestellung konstituiert. Dieser Mangel besteht auch im LIBE-Ausschuss-Entwurf weiter, was zu einem Nachteil für den DSB werden könnte. Das Schriftformerfordernis diente bislang einer nachhaltigen Aufgabenbestimmung, falls diese um nicht bereits gesetzlich aufgeführte Aufgaben erweitert werden sollten. Zudem erfüllt diese üblicherweise eine Warnfunktion. Sie führt auch dem weniger erfahrenen DSB noch einmal abschließend vor Augen, worauf er sich verbindlich festlegt. Zudem hat ein schriftlicher Vertrag für beide Seiten die klassische Beweisfunktion. In Anbetracht der Ermangelung dieser Vorteile bei einem fehlenden Schriftformerfordernis sollte selbige in einem finalen Entwurf aufgenommen werden.

Eine Frist, innerhalb welcher ein DSB nach Aufnahme der Tätigkeit der verantwortlichen Stelle zu bestellen ist, enthält der LIBE-Ausschuss-Entwurf weder für öffentliche noch für nicht öffentliche Stellen, wohingegen § 4f Abs. 1 Satz 2 BDSG BDSG nur nicht öffentliche Stellen hierzu innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Dass diese Frist nicht mehr bestehen soll ist begrüßenswert, denn zum einen ist nicht ersichtlich, warum nicht öffentliche Stellen hierbei einer strengeren Regelung unterliegen sollten. Zum anderen liegt ohne Gewährung einer Frist eine sofortige Bestellpflicht vor, was dem Datenschutz zuträglich sein könnte. Auch die Frage, wann die verantwortliche Stelle ihre Tätigkeit konkret aufnimmt[7], würde obsolet werden.

In Bezug auf öffentliche Stellen hält Art. 35 Abs. 3 LIBEAusschuss-Entwurf ferner fest, dass diese für mehrere Bereiche einen gemeinsamen DSB bestellen können. Soweit ergeben sich keine neuen Besonderheiten bezüglich der Bestellung eines DSB durch öffentliche Stellen. In Bezug auf Unternehmensgruppen hat bereits Art. 35 Abs. 2 des Entwurfs der Europäischen Kommission angeführt, dass diese einen hauptverantwortlichen DSB bestellen können. Der LIBE-AusschussEntwurf hat dies jedoch an die vernünftige Bedingung geknüpft, dass der hauptverantwortliche DSB von jedem Unternehmen aus gut zu erreichen ist. Die Regelung könnte darauf abzielen, dass Unternehmensgruppen weltweit vertreten sind. Im Hinblick darauf sollte der DSB ggf. die erforder lichen Sprachkenntnisse aufweisen und erforderliches Hilfs personal erhalten. Es ist offensichtlich, dass die Erfüllung der erforderlichen Qualifikationen aus Art. 35 Abs. 5 eine weitere Voraussetzung ist[8].

In wörtlicher Erwähnung ist dem BDSG gegenüber jedoch Art. 35 Abs. 9 LIBE-Ausschuss-Entwurf neu. Demnach muss die verantwortliche Stelle der zuständigen Aufsichtsbehörde den Namen und die Kontaktdaten des DSB mitteilen, was bei Bedarf die Aufnahme einer entsprechenden Kommunikation beschleunigen würde. Die Rechte der Betroffenen in Art. 35 Abs. 10 LIBE-Ausschuss-Entwurf, sich mit dem DSB in Kontakt zu setzen und diesem gegenüber die Wahrnehmung der Rechte aus dem Entwurf zu beantragen, entsprechen prinzipiell denen des § 4f Abs. 5 Satz 2 BDSG. Die in Art. 35 Abs. 9 Satz 2 Berichterstatter-Entwurf angedachte Pflicht, dass die verantwortliche Stelle der Aufsichtsbehörde mitteilen muss, dass sie keinen DSB bestellt, ist nicht im LIBE-Ausschuss-Entwurf implementiert worden. Diese hätte jedoch möglicherweise dafür gesorgt, dass sich Unternehmen mehr mit der Thematik auseinandersetzen und ihrer Bestellungspflicht nachkommen[9].

b) Die Schwellenwerte

Einer der strittigsten und meist diskutiertesten Punkte, neben dem Recht auf Vergessen-Werden, der Datenportabilität und den zahlreichen Ermächtigungen der Europäischen Kommission, delegierte Rechtsakte zu erlassen, stellt sicherlich der Schwellenwert von 250 Mitarbeitern dar, welcher in nicht öffentlichen Stellen die Bestellpflicht eines DSB begründet. Dieser Schwellenwert aus Art. 35 Abs. 1 des offiziellen Entwurfs, welcher besonders in Deutschland zu häufiger Kritik geführt hat[10], ist sicherlich auch für betriebliche DSB die Vorschrift mit der meisten Brisanz und bedarf deshalb einer eingehenderen Betrachtung.

Die Bestellpflicht für nicht öffentliche Stellen, respektive der Wirtschaft, war im offiziellen Entwurf vorgesehen, wenn ein entsprechendes Unternehmen 250 oder mehr Arbeitnehmer beschäftigt. Hierbei erscheint nicht nur die willkürliche Grenze von 250 Mitarbeitern fragwürdig, sondern auch, die Bestellpflicht von der Mitarbeiterzahl abhängig zu machen. Das Kriterium der beschäftigten Personen im Unternehmen wurde bereits in der Vergangenheit des BDSG bemängelt[11]. Zutreffend wurde bereits kritisiert, dass auch ein Unternehmen mit weniger als 10 Mitarbeitern theoretisch dazu fähig sein kann, die Daten von hunderttausenden Betroffenen zu verarbeiten[12]. Ein Industrieunternehmen mit 1000 Beschäftigten kann sich hingegen darauf beschränken, die Daten von Mitarbeitern zu ausschließlich erforderlichen Zwecken, wie der Lohnabrechnung etc., und ansonsten nur die Daten von Unternehmen zu verarbeiten.

Möglicherweise hat auch der LIBE-Ausschuss diesen Widerspruch erkannt, denn die Bestellpflicht soll nun bestehen, wenn mehr Daten als von 5000 Betroffenen durch die verantwortliche Stelle verarbeitet werden. Dieser Schwellenwert kann schnell erreicht sein. Verschickt ein Unternehmen einmalig Werbeprospekte an 5000 natürliche Personen, so wäre demnach bereits ein DSB zu bestellen. Es bleibt jedoch zweifelhaft, ob diese Regelung den Zweck vollständig erfüllt, denn sollte ein Unternehmen Daten von 4900 Betroffenen verarbeiten oder schlicht 4900 Beschäftigte aufweisen, wäre kein DSB zu bestellen. Der Beschäftigtendatenschutz in Industrieunternehmen könnte dadurch ein Stück weit gefährdet sein, da dahingehend der Wert zu hoch angesetzt scheint. Der Wert von 500 Betroffenen im Entwurf des Berichterstatters[13] wurde deutlich nach oben verschoben, was nicht begrüßenswert ist.

Ferner bleibt es zweifelhaft, ob Unternehmen stets zu dem Aufwand bereit sind, eine Auflistung darüber zu erstellen, ob und wobei die Daten von wie vielen Betroffenen verarbeitet werden. Diese Prozedur könnte von manchen Unternehmen als ein lästiges Verfahren angesehen werden, was darüber hinaus aus deren Sicht auch noch zu einem vielleicht unwillkommenen Ergebnis führen könnte. Angesichts dessen bleibt es fraglich, ob die Zahl der Betroffenen ein gutes Kri terium für die Bestellpflicht ist. Grundsätzlich könnte die Arbeitnehmerzahl ein Anhaltspunkt dafür sein, wann ein Unternehmen allein aufgrund seiner Größe einen DSB bestellen sollte, sowie die Zahl der Betroffenen ein Hinweis darauf darstellen kann, dass die Bestellung eines DSB erforderlich ist.

c) Weitere Kriterien

Entscheidend für eine Bestellpflicht sollte in erster Linie der Zweck der Datenverarbeitung sowie die Sensitivität der verarbeiteten Daten sein[14]. Art. 35 Abs. 1 lit. (c) des offiziellen Entwurfs sowie der neu eingefügte lit. (d) LIBE-Ausschuss-Entwurf setzen hier an der richtigen Stelle an. Demnach müsste ein DSB bestellt werden, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich macht oder die Kerntätigkeit darin besteht, besondere Kategorien personenbezogener Daten, Standortdaten, Daten von Kindern oder Arbeitnehmern in umfangreichen Datenmanagementsystemen zu verarbeiten. Diese Vorschrift wird dem entsprechenden Schutzzweck, welchen eine Bestellung hat, wesentlich besser gerecht, denn sie umfasst neben den bisher aus dem BDSG bereits bekannten besonderen personenbezogenen Daten auch die Verarbeitung von weiteren besonders schutzwürdigen personenbezogenen Daten, ohne dabei an die Zahl der Mitarbeiter oder der Betroffenen sowie die näheren Verarbeitungsumstände anzuknüpfen. Der Norm nach würde bereits eine Bestellpflicht bestehen, wenn regelmäßig Standortdaten von Betroffenen über ihre Smartphones erhoben werden oder fortwährend ein Kauf- oder Konsumverhalten über das Internet analysiert wird. Außerdem könnte die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber sowie die Verarbeitung der Daten von Kindern durch beispielsweise Ärzte und Krankenhäuser abgedeckt sein, insofern dabei in irgendeiner Form umfangreiche Datenmanagementsysteme verwendet werden. Bisher sind solche Systeme zwar nicht näher definiert. Es ist jedoch anzunehmen, dass hierunter typischerweise sowohl elektronische Datenbanken im Sinne von eigenständigen Programmen zu verstehen sind, als auch simple Listen, wie z.B. Excel-Tabellen, vorausgesetzt, diese enthalten eine nicht unerhebliche Anzahl an personenbezogenen Daten.

Die Änderungen des Entwurfs bezogen auf die Bestellung des DSB sind somit zweckmäßig und zielführend, da ihnen nach immer eine Bestellung vorgenommen werden muss, wenn für die Betroffenen ein erhöhtes Risiko durch die Verarbeitung von besonders sensiblen Daten besteht. Nicht ganz unbedenklich erscheint jedoch die Ergänzung des Erwägungsgrundes 75. Demnach sollen archivierte Daten, welche nicht Gegenstand der normalen Datenverarbeitung und von Zugriff und Veränderung ausgeschlossen sind, nicht bei der Ermittlung berücksichtigt werden, ob ein DSB zu bestellen ist oder nicht. Sollten hiermit nur gesperrte Daten gemeint sein, welche aufgrund von Aufbewahrungsvorschriften gespeichert werden müssen[15], ergibt die Ausnahme einen Sinn. Kritisch erscheint es jedoch, wenn hierunter auch Daten fallen, welche möglicherweise einen sensiblen Inhalt haben und nur zeitweise von Zugriff, Verarbeitung und Nutzung ausgenommen sind.

d) Kündigung

Trotz dieser positiven Änderungen könnte sich bei Inkrafttreten der Vorschläge des LIBE-Ausschuss-Entwurfs der Umstand ergeben, dass für manche nicht öffentliche Stellen die bisher bestehende Bestellpflicht entfällt. Dies wäre z.B. denkbar, wenn eine nicht öffentliche Stelle mehr als 9 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt, hingegen aber kein Tatbestand des Art. 35 Abs. 1 LIBE-Ausschuss-Entwurf erfüllt wäre. Dies wirft jedoch die Frage auf, ob die verantwortliche Stelle in solch einem Fall das Recht hätte, den DSB abzuberufen. Bei der Beurteilung dieser Frage scheint der Zeitpunkt der angedachten Abberufung grundsätzlich eine wesentliche Rolle zu spielen. Wäre das BDSG noch in Kraft, so kann der DSB nur abberufen bzw. gekündigt werden, wenn dies mit den Bestimmungen des § 4f Abs. 3 BDSG vereinbar wäre. Der künftige Wegfall der Bestellpflicht durch Inkrafttreten der Vorschläge des LIBE-Ausschuss-Entwurfs würde jedoch keine ausreichende Begründung für eine Kündigung gemäß § 626 Abs. 1 BGB darstellen[16]. Wäre der LIBE-Ausschuss-Entwurf bereits in Kraft getreten und würde die Bestellpflicht anschließend wegfallen, weil kein Tatbestand des Art. 35 Abs. 1 LIBE-Ausschuss-Entwurf erfüllt wäre, so erschienen die Möglichkeiten, den DSB abzuberufen ebenso gering, da Art. 35 Abs. 7 Satz 3 LIBE-Ausschuss-Entwurf abschließend regelt, dass der DSB während seiner Bestellung nur abberufen werden kann, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt. Dass der angeführte Art. 35 Abs. 7 Satz 3 des LIBE-Ausschuss-Entwurfs eine abschließende Nennung von zulässigen Kündigungsgründen ist, untermauert auch die Empfehlung des Erwägungsgrundes 75 des LIBE-Ausschuss-Entwurfs. Dieser konstatiert, dass DSB einen besonderen Kündigungsschutz erfahren sollten.

Zwischen einer Kündigung und einer Abberufung unterscheidet der LIBE-Ausschuss-Entwurf ferner nicht.

Dies zeigt, dass eine Abberufung auf Grundlage des Wegfalls der Bestellpflicht durch die Bestimmungen des LIBE-Ausschuss-Entwurfs zu keinem Zeitpunkt zulässig wäre, insofern dieser Entwurf verabschiedet werden sollte. Dem Wortlaut nach kann der DSB nicht einmal mehr im Fall einer Fusion abbestellt werden[17]. Dies gilt auch für externe DSB.[18] Generell sind jedoch Kündigungen, welche tatsächlich auf einem Grund basieren, der eine fristlose Kündigung gemäß § 626 Abs. 1 BGB rechtfertigt, zulässig. Verantwortliche Stellen, welche nicht nur im geringen Umfang personenbezogene Daten verarbeiten, sollten im Hinblick auf die neuen Anforderungen einer möglichen europäischen Verordnung jedoch gut abwägen, ob es sinnvoller ist, einen DSB freiwillig zu bestellen oder zu versuchen, dessen Bestellung zu beenden[19]. Obwohl es nicht unbedingt erforderlich erscheint, erwähnt Art. 35 Abs. 4 LIBE-Ausschuss-Entwurf explizit, dass auch eine freiwillige Bestellung zulässig ist.

e) Dauer und Form der Bestellung

Auch Art. 35 Abs. 8 LIBE-Ausschuss-Entwurf, in dem festgehalten wird, dass der DSB Arbeitnehmer oder Dienstleister, respektive interner oder externer DSB, sein kann, erscheint überflüssig. Bereits Art. 35 Abs. 7 Satz 1 LIBE-Ausschuss-Entwurf erwähnt beiläufig, dass der DSB für mindestens 4 Jahre bestellt werden muss, wenn dieser Arbeitnehmer ist, und für nicht weniger als 2 Jahre bestellt werden darf, wenn es sich um einen externen Dienstleister handelt. Dies nimmt bereits vorweg, dass es möglich sein muss, einen internen oder externen DSB zu bestellen.

Im offiziellen Entwurf waren für interne und externe DSB 2 Jahre Mindestbestelldauer vorgesehen. Dies zumindest für interne DSB zu erhöhen, ist ein guter Vorschlag, da der Zeitraum von 4 Jahren für die Implementierung einer vollständigen Datenschutzorganisation angemessener erscheint[20], da besonders Teilzeit-DSB nicht immer genügend Zeit für die Erfüllung ihrer Aufgaben haben. Hingegen ist nicht ganz nachvollziehbar, warum für externe DSB nur 2 Jahre vorgesehen sind. Denkbar ist, dass diese als Dienstleister einen geringeren Schutzbedarf haben oder die verantwortliche Stelle im Zweifel nicht für die Dauer von 4 Jahren an einen Dienstleister gebunden sein soll. Art. 35 Abs. 7 Satz 2 LIBE-Ausschuss-Entwurf hält fest, dass der DSB nach Ablauf der Zeit erneut bestellt werden kann. Auch dies ist ohne schriftliche Fixierung offensichtlich, da der Entwurf sich nicht entgegenstehend äußert. Vielmehr hätte der Entwurf klarstellen können, dass auch eine juristische Person als externer DSB bestellt werden kann, was bisher in Deutschland strittig ist[21]. Da aber auch mittels Dienstleistungsvertrag ein DSB bestellt werden kann und der Entwurf nicht ausdrücklich die Bestellung einer juristischen Person verbietet, würde diese Frage der Vergangenheit angehören.

Gegenüber dem BDSG wird in allen Entwurfsversionen in Art. 35 Abs. 6 und in den Erwägungsgründen 75 und 75a des LIBE-Ausschuss-Entwurfs festgehalten, dass ein DSB in Teiloder Vollzeit beschäftigt werden kann. Diese Klarstellung ermöglicht eine Beibehaltung der beiden Beschäftigungsarten, welche in der deutschen Datenschutzpraxis anzutreffen sind.

f) Anforderungen an den DSB

Die Anforderungen an die Fachkunde und Zuverlässigkeit aus § 4f Abs. 2 Satz 1 BDSG, welche an den DSB bereits vor der Bestellung gestellt werden, finden sich in Art. 35 Abs. 5 und 6 LIBE-Ausschuss-Entwurf wieder. Die Fachkunde wird im Verordnungsentwurf selbst, wie im BDSG, nicht näher definiert. Hingegen wird aber darauf hingewiesen, dass sich der Grad des erforderlichen Fachwissens nach den jeweiligen Arten der Datenverarbeitungen und dem erforderlichen Schutz der Daten bestimmt. Diese sinnvolle Differenzierung entspricht § 4f Abs. 2 Satz 2 BDSG. Grundlegend hält aber der neue Erwägungsgrund 75a des LIBE-Ausschuss-Entwurfs Mindestanforderungen fest. Demnach zählen dazu umfangreiche Kenntnisse im Datenschutzrecht und dessen Anwendung sowie der zugehörigen technischen und organisatorischen Maßnahmen und Verfahren; Wissen über technische Anforderungen zur Umsetzung von Privacy by Design, Privacy by Default und Datensicherheit; Kenntnisse sowohl im Zusammenhang mit der Größe und Branche der verantwortlichen Stelle als auch der Sensibilität der zu verarbeitenden Daten und die Fähigkeit, Kontrollen, Beratungen, Dokumentationen, Protokolldateianalysen und Zusammenarbeiten mit der Arbeitnehmervertretung durchzuführen. Dieser Vorschlag für einen relativ hohen Mindeststandard[22] könnte zukünftig durch genauere Ausführungen seitens der Verbände, wie z.B. den BvD e.V. und den GDD e.V., konkretisiert werden[23]. Die treffende Aufzählung, insbesondere die wörtlichen Erwähnungen von Privacy by design und Privacy by Default, welche der ubiquitären Datenverarbeitung gerecht werden[24], verdient Anerkennung.

Die Zuverlässigkeit ist hingegen nicht wörtlich erwähnt, wohingegen Art. 35 Abs. 6 LIBE-Ausschuss-Entwurf aber festhält, dass kein Interessenskonflikt bestehen darf. Diese Anforderung stellt das BDSG nicht wörtlich, wohingegen die Literatur diese Anforderung an DSB bereits seit langem einstimmig stellt[25]. Dass der DSB auch unter dem LIBE-Ausschuss-Entwurf die entsprechende Zuverlässigkeit besitzen muss, ist jedoch aufgrund seiner Position und Aufgaben evident.

2. Die Position

Bezogen auf die Position des DSB, insbesondere seine Stellung innerhalb der verantwortlichen Stelle, und seine Rechte und Pflichten, würden sich dem BDSG gegenüber keine großen Änderungen ergeben. In Anlehnung an § 4g Abs. 1 Satz 4 Nr. 1 BDSG gewährleistet Art. 36 Abs. 1 LIBE-Ausschuss-Entwurf dem DSB eine ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen, wobei dies sinnigerweise im Gegensatz zum BDSG nicht nur auf die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme bezogen ist.

Art. 36 Abs. 2 Satz 1 LIBE-Ausschuss-Entwurf sichert ferner die bisher bestehende Weisungsfreiheit und dadurch auch die bestehende Unabhängigkeit. Diese essentiellen Voraussetzungen für die Aufgabenerfüllung des DSB ermöglichen es nicht nur in der Praxis, dass der DSB sich überhaupt seinen Aufgaben widmen kann, sondern auch, dass der DSB frei in der Ergebnisfindung ist und bei Zulässigkeitsprüfungen sowie Vorabkontrollen nicht zu vorgegebenen Resultaten kommen muss. Besonders interne DSB ziehen aufgrund ihrer ausgeprägten Abhängigkeit zum Arbeitgeber hieraus einen hohen Nutzen.

Die unmittelbare Unterstellung des DSB unter die Geschäftsführung scheint sich darin wiederzufinden, dass der DSB unmittelbar der Geschäftsführung berichtet. Diese sinnvolle Festlegung des Art. 36 Abs. 2 Satz 2 LIBE-Ausschuss-Entwurf scheint im Gegensatz zum BDSG nicht ausschließlich eine Einordnung im Organigramm zu sein, sondern konstatiert auch eine Berichtspflicht, welche dem DSB gleichzeitig Gehör bei der verantwortlichen Stelle verschafft. Diese Regelung scheint den Informationsbedürfnissen der Geschäftsführung ebenso gerecht zu werden wie dem notwendigen Kontaktbedarf zur Geschäftsführung seitens des DSB. Dieser besteht darin, dass er so leichter auf die Einhaltung des Datenschutzes hinwirken kann. Die Ergänzungen des Art. 36 Abs. 2 Satz 3 LIBE-Ausschuss-Entwurf bestimmen zudem, dass die verantwortliche Stelle ein Geschäftsführungsmitglied zu bestimmen hat, welches für die Einhaltung der Bestimmungen der Verordnung verantwortlich ist. Dies könnte zu mehr Datenschutz-Compliance führen und dem DSB mehr förderliche Aufmerksamkeit zukommen lassen. Für Fälle von Missachtung der Datenschutzvorschriften werden sich aber auch Fragen zur Haftung für das entsprechende Geschäftsführungsmitglied stellen.

Die Unterstützung des DSB mittels erforderlichem Personal und materiellen Dingen wie Räume, Einrichtungen, Geräte und andere Mittel, welche bereits das BDSG sichert, ist durch Art. 36 Abs. 3 sowie Erwägungsgrund 75a des LIBE-AusschussEntwurfs gewährleistet. Dabei wurde durch den vom LIBE-Ausschuss bestätigten Entwurf explizit hinzugefügt, dass dies auch die Maßnahmen einschließt, welche erforderlich sind, um das Fachwissen des DSB auf einem aktuellen Stand zu erhalten. Dies wurde dem DSB bereits ausdrücklich durch das BDSG zugestanden. Den Bedarf an steter Weiterbildung zeigt bereits allein die Aufgabe, sich fortwährend aus Datenschutzsicht mit neuer Technik zu befassen. Auf Unternehmenskosten besteht dieses Recht bislang für interne DSB, während externen DSB die Kosten angerechnet werden sollen[26]. Im Hinblick darauf, dass andere europäische Mitgliedsstaaten zum großen Teil bislang keine genauen Regelungen bezogen auf den DSB im nationalen Recht etabliert haben, scheint diese Anführung jedoch eine gute Entlehnung aus dem BDSG zu sein.

Von großer Bedeutung[27] sowohl für den DSB als auch für den Datenschutz im Allgemeinen ist der durch den LIBE-Ausschuss eingefügte Art. 35 Abs. 4. Dieser enthält die im offiziellen Entwurf fehlende Schweigepflicht des DSB bezüglich der Identität von Betroffenen und Umständen, welche zu deren Identifizierung führen können. Diese Pflicht ist im Hinblick auf den Beschäftigtendatenschutz unentbehrlich. Mitarbeiter der verantwortlichen Stelle könnten es sonst aus Angst vor einem Konflikt mit dem Arbeitgeber unterlassen, Auskünfte bezogen auf Ihre gespeicherten Daten einzuholen oder jeglichen anderen Datenumgang beim DSB zu rügen, welcher ihnen nicht im Einklang mit dem Datenschutz erscheint.

Sollte der Betroffene den DSB von seiner Schweigepflicht entbinden, so ist dieser gemäß Art. 35 Abs. 4 LIBE-AusschussEntwurf nicht länger an diese gesetzliche Pflicht gebunden. Dem Betroffenen diese Option zu geben, ist sinnvoll, denn eine Schweigepflicht macht nur Sinn, wenn der Betroffene diese auch selbst wünscht. Eine Offenbarung der Identität kann auch im Interesse des Betroffenen sein, da hierdurch Auskünfte zeitnaher erteilt und Maßnahmen im Sinne des Betroffenen schneller eingeleitet werden können. Wenn auch nicht gesetzlich gefordert, sollte der DSB jedoch zwecks Beweissicherung solange der Schweigepflicht genügen, bis er mehr als eine ausschließlich mündliche Schweigepflichtentbindung erhalten hat. Empfehlenswert ist eine schriftliche Form, welche den Anforderungen der Einwilligung genügt[28]. Eine dahingehende Ergänzung des Entwurfs wäre wünschenswert.

Ein weiterer Mangel des Entwurfs besteht darin, dass dieser auch nach den Änderungen des LIBE-Ausschusses weder über ein Zeugnisverweigerungsrecht für den DSB noch über eine Kündigungsschonfrist für den DSB nach erfolgter Abberufung verfügt. Dies ist ein Nachteil gegenüber dem BDSG. Eine mögliche Folge für Teilzeit-DSB ist, dass diese in der Praxis dazu tendieren könnten, sich mehr an den Bedürfnissen der verantwortlichen Stelle als an den Anforderungen des Datenschutzes zu orientieren, da ansonsten nach Ablauf der Zeit, für welche sie bestellt sind, eine unmittelbare Kündigung möglich ist. Die Unabhängigkeit des DSB könnte hierdurch gefährdet sein[29].

3. Die Aufgaben

Das BDSG trifft nicht viele konkrete Aussagen bezüglich der Aufgaben des DSB. Explizit erwähnen § 4g Abs. 1 Satz 4 Nr. 1 und 2 BDSG, dass der DSB die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zur Verarbeitung von personenbezogenen Daten zu überwachen und Mitarbeiter mit den Anforderungen des Datenschutzes vertraut zu machen hat. Obwohl der DSB laut Art. 37 Abs. 1 lit. (a) LIBE-Ausschuss-Entwurf ein Datenschutzbewusstsein innerhalb der verantwortlichen Stelle schaffen soll, wäre die Schulung der Mitarbeiter gemäß Art. 37 Abs. 1 lit. (b) LIBE-Ausschuss-Entwurf zukünftig nicht mehr Aufgabe des DSB. Deren Durchführung hätte der DSB de jure nur noch zu überwachen. Es bietet sich jedoch aufgrund der Fachkenntnis des DSB an, selbigen im Zuge der schriftlichen Bestellung auch mit der Durchführung zu betrauen. Dies erspart der verantwortlichen Stelle Kosten, welche sie ansonsten in externes fachkundiges Personal oder spezielle Schulungssoftware investieren müsste.

Die Aufgabe, „zu überwachen“, spielt im LIBE-AusschussEntwurf insgesamt eine große Rolle. Der DSB hätte gemäß Art. 37 Abs. 1 lit. (b) LIBE-Ausschuss-Entwurf nicht nur die Umsetzung und Anwendung der Strategien für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten zu überwachen und zu überprüfen, sondern gemäß Art. 37 Abs. 1 lit. (c) LIBE-Ausschuss-Entwurf die Überwachung der Umsetzung und Anwendung des Entwurfs innerhalb der verantwortlichen Stelle, insbesondere die Anforderungen an einen Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, an die Datensicherheit, an die Benachrichtigung der betroffenen Personen und an die Anträge der betroffenen Personen zur Wahrnehmung der ihnen nach diesem Entwurf zustehenden Rechte, vorzunehmen. Grundsätzlich lässt sich all dies auch darunter subsumieren, dass der DSB gemäß § 4g Abs. 1 Satz 1 BDSG auf den Datenschutz und auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinzuwirken hat. Daran knüpfen auch seine Aufgaben aus Art. 37 Abs. 1 lit. (a) LIBEAusschuss-Entwurf, die verantwortliche Stelle über die aus dem Entwurf erwachsenden Pflichten, insbesondere im Hinblick auf die zu ergreifenden technischen und organisatorischen Maßnahmen, zu sensibilisieren, zu unterrichten und zu beraten, an. Diese Tätigkeit und die erhaltenen Antworten hat der DSB zu dokumentieren. Darüber hinaus müsste der DSB gemäß Art. 37 Abs. 1 lit. (f) des offiziellen Entwurfs die Durchführung der Datenschutz-Folgeabschätzung sowie zugehörige Genehmigungen und Konsultationen der Aufsichtsbehörde, die Durchführung von Vorabkontrollen nach Art. 34 LIBE-Ausschuss-Entwurf und Risikoanalysen im Sinne des Art. 32a LIBEAusschuss-Entwurf überwachen. Durch die Änderung des Art. 34 Abs. 2 LIBE-Ausschuss-Entwurf, die Einfügung des Art. 37 Abs. 1 lit. (i) sowie eine Ergänzung des Erwägungsgrundes 75 des LIBE-Ausschuss-Entwurfs wäre der DSB für entsprechende Vorabkontrollen selbst zuständig. Aufgrund seines Fachwissens gehören diese Durchführungs- und Überwachungsfunktionen korrekterweise dem DSB zugeordnet[30], was nun auch vorgesehen wäre.

Abschließend müsste der DSB gemäß Art. 37 Abs. 1 lit. (g) LIBE-Ausschuss-Entwurf die auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen überwachen sowie innerhalb des Rahmens seiner Zuständigkeit mit der Aufsichtsbehörde kooperieren und erhält ferner das Recht, diese jederzeit zu kontaktieren. Dies würde dem DSB eine schrankenlose Möglichkeit geben, sich jederzeit an die Aufsichtsbehörde zu wenden, zumal er Art. 37 Abs. 1 lit. (h) LIBE-Ausschuss-Entwurf folgend auch im Allgemeinen deren Ansprechpartner[31] bei der verantwortlichen Stelle ist.

Weiterhin kämen dem DSB aber auch Informationspflichten zu. Der neue Art. 37 Abs. 1 lit. (j) LIBE-Ausschuss-Entwurf überträgt dem DSB die Pflicht, die Arbeitnehmervertretung über die Verarbeitung von Beschäftigtendaten aufzuklären. Trotz möglicher Konflikte mit dem Betriebsverfassungsrecht[32] erscheint diese Vorschrift grundsätzlich angebracht, da in manchen Fällen durch diese Pflicht die Arbeitnehmervertretung erst an Informationen gelangt, welche sie zur Wahrnehmung ihrer Aufgaben benötigt. Die schriftliche Aufnahme dieser Pflicht im Entwurf hat jedoch darüber hinaus noch eine andere Bedeutung. Diese begünstigt den DSB gegenüber der verantwortlichen Stelle, denn er muss diesen Informationspflichten eindeutig aufgrund einer gesetzlichen Pflicht nachkommen. Aufgrund dieser Tatsache kann der DSB sein Handeln der verantwortlichen Stelle gegenüber rechtfertigen, falls diese ein solches Handeln rügt. Dies ist ein bemerkenswertes Novum gegenüber dem BDSG. Dagegen soll die Meldepflicht gemäß § 42a Satz 1 BDSG weiterhin der verantwortlichen Stelle obliegen. Der DSB hätte, Art. 37 Abs. 1 lit. (e) LIBE-Ausschuss-Entwurf folgend, die Dokumentation über eine meldepflichtige Datenschutzpanne sowie die zugehörige Benachrichtigung an die Aufsichtsbehörde und die zugehörige Kommunikation nur zu überwachen.

Fragwürdig ist zunächst, ob der DSB in Zukunft die Verarbeitungen von personenbezogenen Daten selbst zu dokumentieren oder die verantwortliche Stelle dies vorzunehmen hat. Gemäß Art. 37 Abs. 1 lit. (d) LIBE-Ausschuss-Entwurf hat der DSB die Vornahme der Dokumentation sicherzustellen. Die eigentliche Vornahme scheint demnach nicht dem DSB zu obliegen[33], da der europäische Gesetzgeber dies andernfalls sicherlich eindeutiger formuliert hätte. Dem DSB obliegt es dem Entwurf nach vielmehr, auf die verantwortliche Stelle in dem Maß einzuwirken, dass diese der Vornahme der Dokumentation tatsächlich nachkommt. Da dem DSB jedoch keine eigenen Sanktionsmittel zur Verfügung stehen, er aber die Vornahme der Dokumentation sicherzustellen hat, scheint es zu seiner eigenen Entlastung erforderlich[34], entsprechend Art. 37 Abs. 1 lit. (g) LIBE-Ausschuss-Entwurf die Aufsichtsbehörde auf eigene Initiative zu Rate zu ziehen, falls die verantwortliche Stelle sich nachhaltig nicht zur Erfüllung dieser Aufgabe bewegen lässt. Ganz anders stellt sich die Situation jedoch dar, wenn dem DSB durch Vertrag die Aufgabe der Durchführung der Dokumentation übertragen wurde.

III. Fazit

Der LIBE-Ausschuss-Entwurf würde bei Inkrafttreten gute Rahmenbedingungen für den DSB schaffen, was auch dem Datenschutz im Allgemeinen zuträglich ist. Der ursprüngliche Entwurf wurde durch die Änderungen des LIBE-Ausschusses auf positive Art modifiziert. Dennoch enthält der Entwurf weitere Mängel. Das Fehlen des Schriftformerfordernisses bezogen auf die Bestellung des DSB sowie einer Kündigungsschonfrist nach erfolgter Abberufung und Zeugnisverweigerungsrechts sind hier zu nennen. Auch der neue Schwellenwert für die Bestellpflicht des DSB ist zu hoch angesetzt, was auch nicht der Intention des Bundesministeriums des Inneren entsprechen dürfte, den deutschen Datenschutzstandard nicht senken zu wollen[35]. Dennoch sind die Regelungen, welche den DSB betreffen, nach den Änderungen durch den LIBEAusschuss grundlegend gelungen und stellen im Vergleich zum offiziellen Entwurf eine Verbesserung dar.

Die Aufgaben des DSB aus dem LIBE-Ausschuss-Entwurf wären im Grundsatz mit denen aus dem BDSG identisch. Bei genauerem Hinsehen lässt sich erkennen, dass Durchführung und Implementierung von Maßnahmen gemäß dem Wortlaut des LIBE-Ausschuss-Entwurfs fast vollständig der verantwortlichen Stelle obliegen würden und der DSB nur eine Überwachungsund Beratungsfunktion einnehmen soll. Trotzdem scheint seine bisher überwiegende Funktion, auf den Datenschutz hinzuwirken, etwas ausgebaut zu werden. Dies zeigt sich in der Wortwahl „Überwachung“. Durch die Entwurfsänderungen des LIBEAusschusses wäre die Vorabkontrolle, wie dem BDSG entsprechend, eine Aufgabe des DSB, was zu begrüßen ist.

In der Praxis ist jedoch zu erwarten, dass der DSB mit weiteren praktischen Aufgaben und der Unterstützung bei der Erfüllung solcher, wie z.B. bereits bisher bei der Durchführung der Verfahrensdokumentation[36], betraut wird. Von daher ist es zu empfehlen, eine Aufgabenliste direkt in die schriftliche Bestellung aufzunehmen. Die neue Pflicht, die Arbeitnehmervertretung als auch die entsprechende Aufsichtsbehörde zu informieren, ist dem DSB vielmehr eine Hilfe statt eine Last. Im Übrigen sind auch die bisher in Art. 35 und 37 LIBE-Ausschuss-Entwurf enthaltenen Möglichkeiten zum Erlass von delegierten Rechtsakten durch die Europäische Kommission, welche theoretisch nahezu alle Bestimmungen dem Inhalt nach hätte verändern können, gestrichen worden. Dies sorgt für mehr Rechtssicherheit.

Bezogen auf die Bestimmungen zum DSB ist der Entwurf des LIBE-Ausschusses somit ein Schritt in die richtige Richtung. Trotzdem wäre es wünschenswert, dass unter Beibehaltung der Richtung ein weiterer Schritt erfolgt, bevor der Entwurf endgültig verabschiedet würde. Dieser zweite Schritt würde dazu führen, dass DSB den Unternehmen und Behörden effizienter dabei zur Seite stehen könnten, den Anforderungen des Datenschutzes gerecht zu werden, und somit mehr zur informationellen Selbstbestimmung der Bürger beitragen könnten. Ob, wann und mit welchem Inhalt die Novellierung des europäischen Datenschutzrechts beschlossen wird, bleibt jedoch weiterhin abzuwarten. Die zwischen der Europäischen Kommission, den beiden Berichterstattern des Europäischen Parlaments und dem ehemaligen sowie künftigen Ratspräsidenten erarbeitete Road Map zur Verabschiedung der Verordnung[37] lässt jedoch hoffen, dass eine Konkretisierung noch dieses Jahr erfolgt.

Timo Bittner LL.M., LL.M. studierte IT-Recht & Recht des geistigen Eigentums an der Leibniz Universität Hannover und der University of Oslo und erhielt von beiden Universitäten den Master of Laws. Seit dem Studium, in welchem er sich bereits mehrfach mit den Auswirkungen der geplanten DSG-VO auf den deutschen Datenschutz befasste, ist er als Berater für Datenschutz bei der s-con Datenschutz & ITK tätig.

Nebenbei hat er seine Dissertation im Datenschutzrecht begonnen, welche sich mit dem Datenschutzaudit bei Auftragsdatenverarbeitern befasst.

[1] Europäische Kommission, KOM (2012) endg. v. 25.1.2012.

[2] Jan Philipp Albrecht, Entwurf eines Berichts v. 17.12.2012.

[3] Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), Entwurf v. 07.10.2013.

[4] Jaspers/Reif, RDV 2012, 78, (84).

[5] Beuth, Zeit Online vom 23. Januar 2014, abrufbar unter: http://www.zeit.de/digital/datenschutz/2014-01/datenschutzreform-nicht-mehrvor-europawahl.

[6] Council of the European Union, Document 10227/13 vom 31.05.2013, Nr. 24.

[7] Vgl. Simitis, in: Simitis, Kommentar zum Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4f Rdnr. 54f.; Bergmann/Möhrle/Herb, Datenschutzrecht, Stand Juli 2012, § 4f Rdnr. 54.

[8] So wohl auch: Klug, RDV 2014, 90 (91)

[9] So auch: Klug, RDV 2013, 14 (15).

[10] Nur drei von vielen Bsp.: Hornung, ZD 2012, 99 (104); Jaspers/Reif, RDV 2012, 78 (78); GDD, Meldung vom 23.10.2013, abrufbar unter: http://www.gdd.de/aktuelles/nachrichten/.

[11] Simitis, in: Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4f Rdnr. 16; Scheja, in: Taeger/Gabel, Kommentar zum BDSG, 2010, § 4f Rdnr. 23.

[12] Scheja, in: Taeger/Gabel, Kommentar zum BDSG, 2010, § 4f Rdnr. 23.

[13] ENTWURF EINES BERICHTS über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (COM(2012)0011 – C7- 0025/2012 – 2012/0011(COD)), 148.

[14] 14 Auch als wichtige Kriterien angeführt durch: Klug, RDV 2013, 129 (135).

[15] Klug, RDV 2014, 90 (91).

[16] Explizite Ausführungen zum deutschen Kündigungsschutz für den DSB: Gola/Schomerus, Kommentar zum BDSG, 11. Aufl., 2012, § 4f Rn. 40 ff.

[17] So auch: Hoeren, ZD 2012, 355 (357).

[18] Gleicher Meinung: Klug, RDV 2014, 90 (92).

[19] Selber Meinung: Klug, RDV 2013, 14 (17).

[20] Vgl.: Hoeren, ZD 2012, 355 (357).

[21] Unterschiedlicher Meinung z.B.: v. d. Bussche, in: Plath, Kommentar zum BDSG, 2013, § 4f Rdnr. 26; Däubler, in: Däubler/Klebe/Wedde/Weichert, Kommentar zum Bundesdatenschutzgesetz, 3. Aufl. 2010, § 4f Rdnr. 22.

[22] Klug, RDV 2014, 90 (92).

[23] So auch: Klug, RDV 2013, 14 (17).

[24] Klug, RDV 2014, 90 (92).

[25] So z.B. bereits: Königshofen, in: Roßnagel, Handbuch Datenschutzrecht, 2003, 5.5 Rdnr. 116.

[26] Simitis, in: Simitis, Kommentar zum Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4f Rdnr. 154

[27] Jaspers/Reif, RDV 2012, 78 (83).

[28] Däubler, in: Däubler/Klebe/Wedde/Weichert, Kommentar zum Bundesdatenschutzgesetz, 3. Aufl. 2010, § 4f Rdnr. 53; Simitis, in: Simitis, Kommentar zum Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4f Rdnr. 171.

[29] Klug, RDV 2013, 14 (16).

[30] Selber Ansicht: Jaspers/Reif, RDV 2012, 78 (82).

[31] Siehe hierzu: Jaspers/Reif, RDV 2012, 78 (83)

[32] Klug, RDV 2014, 90 (92 f.).

[33] Selber Ansicht: Jaspers/Reif, RDV 2012, 78, (82); anderer Ansicht: Hoeren, ZD 2012, 355 (357).

[34] Jaspers/Reif, RDV 2012, 78 (82).

[35] Klug, RDV 2013, 143 (145).

[36] Jaspers/Reif, RDV 2012, 78 (82).

[37] Hofmann, CRonline Verfahrensstand-Anzeiger, abrufbar unter: http://www.computerundrecht.de/26378.htm.