Datenschutzbeauftragter im Rahmen der EU-Datenschutz-Grundverordnung

Die EU Datenschutz-Grundverordnung wurde am 25.05.2016 im europäischen Amtsblatt veröffentlicht und ist somit verbindlich beschlossen. Nach einer Übergangsfrist von zwei Jahren wird die Verordnung am 25.05.2018 wirksam.

Bis zum Mai 2018 müssen also weltweit alle Unternehmen diese Verordnung in die Praxis umgesetzt haben, sofern die Daten europäischer Bürger verarbeitet werden. Das gleiche gilt für die öffentlichen Stellen. Der Countdown läuft.

Der Datenschutzbeauftragte nimmt hier eine überragend wichtige Rolle wahr. Er ist der Experte, der den sehr abstrakten Verordnungstext in die unternehmerische Praxis überführt.

Freiwillige Bestellung

Das EU-Verordnung sieht im Artikel 37 Absatz 4 vor, dass die Unternehmen jederzeit freiwillig einen Datenschutzbeauftragten bestellen können. Das ist insofern relevant, weil der betriebliche Datenschutzbeauftragte natürlich auch viele personenbezogene Daten des Unternehmens einsehen kann. Hierfür braucht es eine Rechtsgrundlage, und die ist dann durch die EU-Verordnung gegeben. (Man muss sich also nicht die Frage stellen, ob es eine Funktionsübertragung oder eine Auftragsdatenverarbeitung ist. Und die dementsprechenden Formalitäten spielen dann auch keine Rolle.)

Verpflichtung durch deutsche Gesetze

Der Artikel 37 Abs. 4 der EU-Verordnung sieht vor, dass die Nationalstaaten selbst regeln können, ob es eine verpflichtende Bestellung eines betrieblichen Datenschutzbeauftragten geben soll. Hier ist also der deutsche Gesetzgeber gefragt, ob die bestehende Regelung des § 4f BDSG weiterhin gelten soll.

In diesem Zusammenhang sind zwei Fachartikel aus aktuellen Datenschutz-Fachzeitschriften interessant. Beide Text legen nahe, dass es den jetzigen betrieblichen DSB in unveränderter Form auch zukünftig geben wird.

Die „Datenschutz-Praxis“ schreibt hier u.a.:

„Besonders wichtig: Da die vorhandenen Regelungen des BDSG für die Bestellung eines Datenschutzbeauftragten mit den Vorgaben der Grundverordnung zu vereinbaren sind, gelten sie auch noch nach Inkrafttreten der Grundverordnung fort. Sollte es der deutsche Gesetzgeber also versäumen, rechtzeitig zum Inkrafttreten der Grundverordnung neue Regelungen zu treffen, bleibt es schlicht beim jetzigen Rechtsstand.“

Der „Datenschutz-Berater“ 01/2016 schreibt u.a.:

„Das Bundesinnenministerium hat angekündigt, die Bestellungsvoraussetzungen für einen betrieblichen Datenschutzbeauftragten in einem Verordnungsergänzungsgesetz gegenüber dem BDSG unverändert zu regeln.“

Demnach wäre es egal, ob der deutsche Gesetzgeber handelt, oder nicht: An der bestehenden Bestellpflicht würde sich nichts ändern.

Beratungsbedarf besteht so oder so

Der europäisch vereinheitlichte Datenschutz soll Vieles erleichtern, und er soll einen wirtschaftlichen Aufschwung bringen. Auf der anderen Seite wird der Datenschutz aus administrativer Sicht wohl noch komplexer. Bisher mussten Unternehmen nur auf das übersichtliche BDSG schauen und die Landes-Datenschutz-Aufsichtsbehörde im Visier haben. Das wird sich ändern.
Insofern ist die Bestellung eines betrieblichen Datenschutzbeauftragten auch zukünftig sehr sinnvoll. Er hat alle Entwicklungen im Blick und hält das Unternehmen (hoffentlich) von negativen Ereignissen fern.

Wie bereitet sich as-con vor?

Nachdem die EU-Verordnung im Mai 2016 offiziell beschlossen wurde, bereiten wir uns sehr intensiv vor. Die Übergangsfrist von zwei Jahren bis zum 25.05.2018 geht schnell vorbei. So bereiten wir uns vor:

  • Der von Brüssel gelieferte Verordnungstext ist viel zu unübersichtlich und eignet sich nicht zum produktiven Arbeiten. Daher haben wir den Verordnungstext in seine Einzelteile zerlegt und haben die 99 Artikel und 173 Erwägungsgründ auf der Website www.privacy-regulation.eu publiziert. Dies stellen wir allen Internetnutzern kostenlos zur Verfügung.
  • Um die Verordnung schneller zu verstehen, haben wir darüber hinaus ein elektronisches Kommentarsystem erstellt, wo alle Kolleginnen und Kollegen im Netzwerk DSB-MIT-SYSTEM® die einzelnen Bestimmungen fachlich kommentieren können. So lernen wir alle voneinander.
  • In unserem Datenschutz-Praxishandbuch TOM-Guide® werden alle Erkenntnisse zur EU-Verordnung eingearbeitet. Zum 28.05.2018 werden dann die Bestimmungen zum Bundesdatenschutzgesetz aus dem Praxishandbuch entfernt. (Dieser Punkt ist traurig, denn hier löschen wir viele Jahre an Arbeit und Knowhow…)
  • In unserer Software zum Datenschutz-Management DSB-Reporter® werden größere Änderungen nötig sein. Die geforderte Verarbeitungs-Dokumentation stellt keine große Änderung dar. Die Risikoabschätzungen schon eher.
  • Die vielen von uns erarbeiteten Formulare und Checklisten müssen auf das Wording bzw. die Inhalte der EU-Verordnung angepasst werden. Beispielhaft genannt sei der Meldebogen zu Verstößen gegen den Datenschutz gemäß den Artikeln 33 und 34.
  • Wir haben die Aufsichtsbehörden und EU-Gremien im Blick, die bis zum Mai 2018 möglicherweise eine Vielzahl von Einschätzungen und Standardformularen zur Verfügung stellen werden. Dies wird sich auf alle Aspekte unserer Arbeit auswirken.
  • Generell müssen wir uns überlegen, inwieweit sich die Natur unseres Aufgbenbereichs ändert. Die Fachliteratur äußert die Meinung, dass der Datenschutzbeauftragte verstärkt als „Compliance“-Beauftragter agieren wird. Die Pflicht zu Kontrollen (und deren verbindlicher Nachweis) scheint mehr in den Vordrgrund zu rücken.
    Darauf bereiten wir uns vor. Im Juni 2016 konzipieren wir ein automatisiertes Kontrollsystem für alle Aspekte des Datenschutzes.
  • Und ganz generell gilt nun mehr denn je: Lesen, lesen, lesen. Knowhow sammeln. Und leider auch altes Knowhow löschen. In unserem Knowhow-Archiv befinden sich hunderte PDF-Dokumente, die sich als sehr wertvoll bei fachlichen Recherchen erwiesen haben. Größere Teile davon können dann wohl gelöscht werden. Das gilt beispielsweise für viele der über 600 gespeicherten gerichtlichen Entscheidungen; die meisten beziehen sich auf das BDSG, welches dann in dieser Form nicht mehr bestehen wird.

Schon diese unvollständige Auflistung verdeutlicht, dass die EU-Verordnung sehr viel Arbeit verursachen wird.

Hinzu kommt – und das ist natürlich noch viel zeitaufwändiger -, dass die Unternehmen bis zum 25.05.2018 komplett auf das neue Datenschutz-„Denken“ umgestellt sein müssen. Es gibt also viel zu tun… packen wir es an!