9. Juni 2015 - Entwürfe zur EU-Datenschutz-Grundverordnung

DSGVO: Die Rolle des betrieblichen Datenschutzbeauftragten

Die aktuellen Entwürfe zu der EU-Datenschutz-Grundverordnung (DSGVO) enthalten verschiedene mögliche Änderungen des bestehenden deutschen Datenschutzrechts. Besonders die Vorstellungen zur Bestellung eines betrieblichen Datenschutzbeauftragten gilt es kritisch zu betrachten.

Neue Entwürfe zur DSGVO Bisher noch umstritten: Die Rolle des Datenschutzbeauftragten (Bild: sinonimas / iStock / Thinkstock)

EU-Datenschutz zwischen Änderung und Zielgeraden

„Europäische Datenschutzreform auf der Zielgeraden“, so lautete eine Meldung des Bundesinnenministeriums Anfang Juni 2015. Gleichzeitig reißen die Berichte über neue Versionen und Änderungen an den Entwürfen für die EU-Datenschutz-Grundverordnung (DSGVO) nicht ab. Die diskutierten Änderungen betreffen so zentrale Punkte wie

  • das Prinzip der Zweckbindung,
  • die Zuständigkeiten der nationalen Datenschutzaufsichtsbehörden bei grenzüberschreitendem Datenverkehr und
  • das Thema der Geldbußen, um einige Beispiele zu nennen.

In den nächsten Wochen sind ein Treffen der EU-Justizminister und dann erste Trilogue Meetings geplant, also Treffen zwischen den entsprechenden Gruppen von EU-Parlament, EU-Rat und EU-Kommission (zusammen Trilog). Auf der Agenda für die Trilog-Treffen ist eine ganze Reihe von Punkten zu finden, für die eine Einigung erzielt werden muss.

Sie möchten zur Datenschutz-Grundverordnung auf dem Laufenden bleiben?
Melden Sie sich einfach für unsere kostenlosen Datenschutz-Newsletter an.

Datenschutzbeauftragter zwischen Pflicht und Kür?

Viele der noch zu klärenden Punkte der Grundverordnung sind von elementarer Bedeutung, wie zum Beispiel die mögliche Aufweichung der Zweckbindung. Aus deutscher Sicht besonders kritisch zu sehen ist auch die diskutierte Änderung, die die Bestellung des oder der betrieblichen Datenschutzbeauftragten betrifft:

  • Der Entwurf des Rates der Europäischen Union (9281/15) von Anfang Juni 2015 enthält weiterhin einen Punkt, der bereits im Mai 2015 mehrfach kritisiert wurde. Es geht dabei um die Frage, ob die Benennung eines Datenschutzbeauftragten freiwillig statt obligatorisch sein soll (Article 35 Designation of the data protection officer). Der genannte Entwurf sieht vor, die Bestellpflicht den nationalen Regelungen oder separaten EU-Vorgaben zu überlassen.
  • Ein weiterer Vorschlag besteht darin, die Benennung eines Datenschutzbeauftragten auf die Fälle zu beschränken, in denen ein eindeutiger Bedarf besteht, hier geht es also um die Verarbeitung besonders sensibler Daten.
  • Andererseits könnte die Bestellpflicht eines oder einer DSB von der Unternehmensgröße ab 250 Mitarbeitern abhängig gemacht werden.
  • Eine andere Idee ist es, die Bestellpflicht von der Anzahl der von der Datenverarbeitung Betroffenen bezogen auf einen Zeitraum von zwölf Monaten abhängig zu machen.

Kommentar: EU-Datenschutz soll Datenschutz stärken und nicht aufweichen

Betrachtet man das Ziel der EU-Datenschutz-Grundverordnung, den Datenschutz innerhalb der EU zu harmonisieren und zu stärken sowie einen kohärenteren Datenschutzrahmen in der EU zu schaffen, sind viele der geplanten Änderungen kritisch zu sehen, insbesondere aber die möglichen Änderungen an der Bestellpflicht eines oder einer DSB. Der betriebliche DSB ist ein Erfolgsmodell, das aus dem Bundesdatenschutzgesetz (BDSG) in die EU-Datenschutz-Grundverordnung übernommen werden sollte.

Verschiebung auf die Aufsichtsbehörden ist keine Lösung

Die von den betrieblichen DSB geleistete Arbeit in der Beratung und Kontrolle können nicht ohne Weiteres die Aufsichtsbehörden leisten. Eine Verschiebung der Datenschutzkontrolle hin zu den Aufsichtsbehörden entspricht auch nicht der gegenwärtigen und zu erwartenden personellen Ausstattung der Aufsichtsbehörden. Der Kritik von Verbänden wie BvD und GDD sollte deshalb bei den anstehenden Beratungen auf EU-Ebene Gehör geschenkt werden, damit der EU-Datenschutz den hohen Anforderungen durch die neuen Technologien und Risiken gerecht werden kann, was ohne die umfassende Arbeit der betrieblichen DSB kaum möglich sein dürfte.

„Mit der Reform der EU-Datenschutzvorschriften wird die Gewährleistung eines sehr hohen Schutzniveaus für personenbezogene Daten angestrebt“, so der EU-Rat. Dazu allerdings müssen die wesentlichen Grundlagen sichergestellt sein, wozu die Arbeit der betrieblichen Datenschutzbeauftragten gehört.

Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln