Wie bereits von uns berichtet, könnte die geplante EU-Datenschutzgrundverordnung für die Unternehmen kostspielig werden.
Darüber hinaus könnte die Datenschutzreform auch eine Verschiebung der Arbeitsteilung zwischen den Aufsichtsbehörden und den betrieblichen Datenschutzbeauftragten bewirken. Nach derzeitigem Stand der Verordnung soll künftig die Arbeit der Behörden nur noch Kontrollen und Zertifizierungen umfassen, während die Mitgliedsstaaten selbst darüber entscheiden sollen, den betrieblichen Datenschutzbeauftragten weiterhin ihre unabhängige und beratenden Funktion zu belassen. Weiterhin soll für die Pflicht, einen Datenschutzbeauftragten zu bestellen, nicht mehr die Unternehmensgröße, sondern der Umfang der Datenverarbeitung und deren Bedeutung entscheidend sein – die konkrete normative Ausgestaltung hierzu ist allerdings bislang offen.
Bewährte und erfolgreiche Arbeitsteilung in Deutschland
Die in Deutschland vorgesehene starke Unabhängigkeit der Datenschutzbeauftragten habe sich nach Auffassung der Bundesbeauftragten für den Datenschutz (BfDI), Andrea Voßhoff bewährt, sei jedoch bei den Verhandlungen mit den Mitgliedsstaaten zur Datenschutzgrundverordnung bislang auf wenig Gegenliebe gestoßen. Bei dem bisher in Deutschland praktizierten Modell hätten sich die Behörden als „Feuerwehr“ und die Datenschutzbeauftragten als betriebliche „Feuerlöscher“ optimal ergänzt, so die BfDI. Die betrieblichen Datenschutzbeauftragten hätten bislang größere Schäden verhindern können, indem frühzeitig Alarm geschlagen worden sei.
Auch nach Auffassung der Staatssekretärin im Bundesinnenministerium, Frau Rogall-Grothe haben die betrieblichen Datenschutzbeauftragten die Aufsichtsbehörden in Deutschland entlastet. Bislang sehe die Datenschutzgrundverordnung jedoch nur eine Öffnungsklausel vor, nach der die Mitgliedsstaaten selbst über den Stellenwert der betrieblichen Datenschutzbeauftragten entscheiden sollen.
Angesichts der geringen Zahl an Urteilen zum Datenschutzrecht, die daher rührt, dass die Aufsichtsbehörden mit verbindlichen Verwaltungsakten traditionell eher zurückhaltend sind, sollen die Behörden nunmehr in erster Linie Datenschutzrecht durchsetzen. Hinzu kommt, dass die Prüfung je nach zuständigem Bundesland und Aufsichtsbehörde ein unterschiedliches Ausmaß hat und zu teils widersprüchlichen Entscheidungen führt, die nur selten gerichtlich überprüft werden.
Weiterhin werden Unternehmen und Behörden bisher kaum systematisch zertifiziert. Die Aufsichtsbehörden haben eine entsprechende Reform des Bundesdatenschutzgesetzes bislang über Jahrzehnte hinaus gezögert, weil ein Zertifizierungsverfahren ihre Arbeit vergleichbar und bewertbar machen würde. Die neue Datenschutzgrundverordnung soll nunmehr dafür Sorge tragen, dass die Aufsichtsbehörden den Unternehmen Zertifizierungen zu moderaten Preisen anbieten.
Fazit
Die Datenschutzgrundverordnung nimmt Gestalt an, wenngleich ihre konkrete Ausgestaltung nach wie vor nicht absehbar ist. Im Sinne des Datenschutzes wäre es von großer Bedeutung, wenn in Deutschland von der in Rede stehenden Öffnungsklausel Gebrauch gemacht wird, mithilfe derer die erfolgreiche und unabhängige Beratung der betrieblichen Datenschutzbeauftragten erhalten bleibt. Ebenso wäre es im Sinne der Rechtssicherheit wünschenswert, wenn die in den jeweiligen Bundesländern unterschiedlichen aufsichtsbehördlichen Entscheidungen einer stärkeren gerichtlichen Kontrolle zugeführt würden.
Sobald es zur näheren Ausgestaltung der Datenschutzgrundverordnung weitere belastbare Informationen von deutscher oder europäischer Seite gibt, halten wir Sie gerne auf dem Laufenden.