Bislang war das Modell des betrieblichen Datenschutzbeauftragten ein gesetzgeberischer Ladenhüter. Hieran könnte sich einiges ändern, wenn der vorab veröffentlichte Vorschlag für die EU-Datenschutzverordnung tatsächlich so umgesetzt wird. Und dennoch bringt der kürzlich bekannt gewordene Brüsseler-Entwurf eine Datenschutzverordnung nur geringe Fortschritte; obwohl sich das Modell des betrieblichen Datenschutzbeauftragten als Erfolg darstellt. ilex erklärt, was künftig in ganz Europa zu beachten sein wird – sollte die Verordnung tatsächlich so in Kraft treten.

Übersicht

• Der betriebliche Datenschutzbeauftragte in Deutschland
• Die geplante EU-Regelung
• Fazit

1. Der betriebliche Datenschutzbeauftragte in Deutschland

Bislang ist die Einführung des betrieblichen Datenschutzbeauftragten den Mitgliedstaaten der EU freigestellt; von einer weiten Verbreitung kann aber noch nicht die Rede sein. In Deutschland sind die entscheidenden Normen §§ 4f, 4g BDSG. Hier müssen alle Behörden und alle nicht öffentlichen Stellen, die entweder i.d.R. mehr als 9 Personen mit der automatisierten Verarbeitung beschäftigen oder vorabkontrollepflichtige Geschäftsmodelle verfolgen.

Dies betrifft mehr Unternehmen als bislang bekannt. Der betriebliche Datenschutzbeauftragte soll eine zusätzliche Datenschutzkontrolle gewährleisten und steht somit zwischen Aufsichtsbehörden und verantwortlichen Stellen. Er kann diskret und ohne Angst vor Bußgeldern Missstände beseitigen und Beschäftigten und externen Betroffenen als Ratgeber zur Seite stehen. Er kann aus dem Unternehmen selbst stammen oder ein externer Berater sein. An dieser Stelle ist dem deutschen Gesetzgeber ein Glücksgriff gelungen, der eine gute Balance zwischen Pflicht und Gestaltungsspielräumen schafft. Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell.

2. Die geplante EU-Regelung

Nunmehr ist der Entwurf einer EU-Datenschutz-Verordnung bekannt geworden. In dessen Section 4 sind nunmehr verbindliche Regelungen zum Datenschutzbeauftragten aufgenommen. Doch bereits die Voraussetzungen, unter denen eine Pflicht zur Bestellung eines solchen Beauftragten entsteht, sind sehr eng. Für nichtöffentliche Stelle besteht diese Pflicht nur, wenn die Stelle mehr als 250 Personen beschäftigt oder Daten in einer Weise erhebt, verarbeitet und/oder nutzt, die eine ständige Kontrolle erforderlich machen. Was unter diese völlig offene Klausel fällt, ist noch nicht ganz klar.

Eine Kernfrage wird lauten, ob diese Zurückhaltung mit Artikel 8 der EU-Menschenrechts-Charta vereinbar ist. Denkbar ist nämlich, dass sich aus dem normierten Recht der informationellen Selbstbestimmung ein Mindeststandard an Schutzmaßnahmen ergibt, den die EU nicht unterschreiten darf. Ob es daher ausreicht, Unternehmen ab 250 Mitarbeitern oder besonders datensensible Stellen in die Pflicht zu nehmen, wird eine spannende Frage, die die Zukunft der europäischen Grundrechtsdogmatik bestimmen wird.

Die Erfahrungen, die Datenschützer bei der Entstehung der EU-Datenschutzrichtlinie 95/46 gemacht haben, zeigen allerdings, dass viele Änderungen, in die eine oder andere Richtung noch zu erwarten sind. Es bleibt zu hoffen, dass die Pflicht zur Bestellung wesentlich erweitert werden, denn auch unter wirtschaftlichen Gesichtspunkten dürfte sich das Modell bewehren, da hierdurch das Vertrauen von Verbrauchern und Beschäftigten in Großunternehmen, zumindest in puncto Datenschutz steigen könnte.

3. Fazit

Im Ergebnis ist der Entwurf der EU-Verordnung spannend, aber auch nur ein Entwurf. Es wäre besser hierbei die USA „ins Boot“ zu holen, denn dort sitzen die Datengiganten Facebook, Google & Co. Der Versuch ist dort teilweise unternommen.

Unternehmen in ganz Europa sollten die Entwicklung der EU-Verordnung verfolgen und möglicherweise sogar begleiten. Das Petitionsrecht besteht genauso wie die übrigen demokratischen Einflussmöglichkeiten.