- Info
Die Datenschutzgruppe nach Art. 29 der EG-Datenschutzrichtlinie hat am
18.01.2005 das Arbeitspapier WP 106 verabschiedet. Dieses enthält einen
Bericht über die Verpflichtung der verantwortlichen Stellen zur Meldung
an die staatlichen Kontrollstellen. U. a. wird auch die bestmögliche
Nutzung von Ausnahmen oder Vereinfachungen im Bereich der Meldepflicht
erörtert. In diesem Zusammenhang wird ausführlich auf die Rolle des
betrieblichen bzw. behördlichen Datenschutzbeauftragten unter
Heranziehung internationaler Erfahrungen eingegangen.
• Das deutsche Modell
Die Art. 29-Gruppe stellt in dem Arbeitspapier fest, dass die in der
EG-Datenschutzrichtlinie vorgesehene Möglichkeit der Bestellung
betrieblicher Datenschutzbeauftragter als Alternative zur herkömmlichen
Meldepflicht im Wesentlichen durch das deutsche Datenschutzrecht
inspiriert gewesen ist. Diese Option haben nach den Ausführungen der
Gruppe bislang folgende fünf EU-Mitgliedstaaten in ihren
Datenschutzgesetzen verankert: Deutschland, Niederlande, Schweden,
Luxemburg und Frankreich. Die Erfahrungen deutscher
Datenschutzaufsichtsbehörden belegten, dass das Prinzip der
betrieblichen Selbstkontrolle gut funktioniere. Positiv hervorgehoben
wird in diesem Zusammenhang, dass den Datenschutzbeauftragten in
Deutschland geeignete Fachliteratur sowie Aus- und
Weiterbildungsmöglichkeiten zur Verfügung stehen. Schließlich wird
festgestellt, dass der Datenschutzbeauftragte nach allgemeiner Meinung
die Schlüsselrolle bei der „Success Story“ des Datenschutzes in
Deutschland gespielt habe. Mit dem Datenschutzbeauftragten sei ein
neuer Beruf mit eigener Ausbildung geschaffen worden. Kongresse,
Seminare und andere Veranstaltungen böten inzwischen wichtige
Plattformen für den Erfahrungsaustausch. Die Art. 29-Gruppe führt
abschließend aus, dass die Stärke der deutschen Datenschutz-Community
nicht zuletzt durch die Resonanz auf die Konsultation der EU-Kommission
zur Umsetzung der EG-Datenschutzrichtlinie belegt sei; danach stammten
nahezu 50 % aller Antworten von deutschen Unternehmen oder
Einzelpersonen.
• Schweden
In Schweden kann ein Datenschutzbeauftragter (Personal Data
Representative) freiwillig bestellt werden. Erfolgt eine Bestellung, so
soll diese gegenüber der schwedischen Datenschutzaufsichtsbehörde (Data
Inspection Board) angezeigt werden. Wenn dem Data Inspection Board ein
Datenschutzbeauftragter benannt worden ist, entfällt die Meldepflicht.
In diesen Fällen hat allerdings der Datenschutzbeauftragte ein
ordnungsgemäßes Verfahrensverzeichnis zu führen. Das schwedische Data
Inspection Board bietet Seminare und andere praxisorientierte
Ausbildungsmöglichkeiten für bestellte Datenschutzbeauftragte an. Ein
als Rechtsanwalt zugelassenes Mitglied des Data Inspection Board
fungiert als spezialisierter Ansprechpartner für die
Datenschutzbeauftragten.
Ende 2003 waren dem Data Inspection Board von 5.324 verantwortlichen
Stellen Datenschutzbeauftragte benannt worden. Die Anzahl der „Personal
Data Representatives“ betrug zu diesem Zeitpunkt 3.133 (ein
Datenschutzbeauftragter kann mehrere verantwortliche Stellen
repräsentieren). Die Erfahrungen des schwedischen Data Inspection Board
spiegeln nach den Ausführungen der Art. 29-Gruppe eine Verbesserung des
Datenschutzniveaus in den Organisationen wider. Dem entsprechend hat
die schwedische Aufsichtsbehörde bekundet, dass das Prinzip der
betrieblichen Selbstkontrolle auch in Schweden gut funktioniert.
• Niederlande
In den Niederlanden besteht ebenfalls die Möglichkeit, nicht aber die
Pflicht zur Bestellung betrieblicher Datenschutzbeauftragter (Privacy
Officers). Im Fall der Bestellung kann die Meldung an den
Datenschutzbeauftragten erfolgen. Die niederländische
Datenschutzaufsichtsbehörde (College Bescherming Persoonsgegevens) hat
ein intranetgeeignetes Meldeverfahren für Datenschutzbeauftragte
entwickelt. Nach dem Bericht der Art. 29-Gruppe sind derzeit ca. 165
Datenschutzbeauftragte bestellt. Die niederländische Aufsichtsbehörde
geht davon aus, dass sich diese Anzahl erhöhen wird. Die
Datenschutzbeauftragten sind in allen Geschäftszweigen und vornehmlich
in größeren und mittelgroßen Unternehmen tätig (z.B. Banken,
Versicherungen, Handelsunternehmen, Finanzdienstleister, Schulen,
Krankenhäuser, Gemeinden, Ministerien und sonstige).
Die niederländische Aufsichtsbehörde führt eine aktuelle Liste der
registrierten Datenschutzbeauftragten und fördert den
Erfahrungsaustausch. Dort, wo das Prinzip der betrieblichen
Selbstkontrolle durch Datenschutzbeauftragte funktioniert, übt sich die
Aufsichtsbehörde in Zurückhaltung.
• Frankreich
Das neue französische Datenschutzgesetz sieht nach den Ausführungen
der Art. 29-Gruppe ebenfalls eine Ausnahme von der Meldepflicht im Fall
der Bestellung eines unabhängigen internen Datenschutzbeauftragten
(Correspondant à la Protection des Données) vor (vgl. GDD-Mitteilungen
5/2004, S. 1). Die neue Gesetzgebung soll insbesondere die Kooperation
zwischen der französischen Aufsichtsbehörde (CNIL) und den
verantwortlichen Unternehmen verbessern.
• Luxemburg
Auch das luxemburgische Datenschutzgesetz sieht eine Ausnahme von der
Meldepflicht für verantwortliche Stellen vor, die einen
Datenschutzbeauftragten (Data Protection Delegate/Officer) bestellen.
Derzeit kann der Datenschutzbeauftragte allerdings nicht zugleich
Beschäftigter des Unternehmens sein. Er muss mithin Dritter (z.B.
Rechtsanwalt, IT-Berater, Auditor) sein.
Nach dem aktuellen Arbeitspapier der Art. 29-Gruppe wird z. Zt.
allerdings die Möglichkeit der Bestellung eigener Beschäftigter
diskutiert. Sollte sich dieser Vorschlag durchsetzen, würde eine
Gesetzesänderung notwendig. Der Datenschutzbeauftragte führt ein
Verfahrensverzeichnis und leitet der Datenschutzaufsichtsbehörde eine
Kopie dieses Verzeichnisses zu.
• Empfehlung der Art. 29-Gruppe
Die Datenschutzgruppe weist daraufhin, dass auch andere
Mitgliedstaaten Datenschutzbeauftragte in ihren Datenschutzgesetzen
regeln (z.B. Polen, Slowakei), allerdings sei deren Rechtsstellung
nicht mit einer Ausnahme von der Meldepflicht gegenüber der staatlichen
Aufsichtsbehörde verbunden.
Mit dem WP 106 hat die Art. 29-Gruppe den ersten Bericht der
EU-Kommission über die Durchführung der Datenschutzrichtlinie - KOM
(2003) 265 endgültig - aufgegriffen, wonach die Meldeanforderungen zu
harmonisieren und zu vereinfachen sind.
In diesem Zusammenhang war die Rolle des Datenschutzbeauftragten in
der Europäischen Union von besonderer Bedeutung. Abschließend stellt
die Datenschutzgruppe nach Art. 29 im Rahmen ihrer Empfehlungen zum
Einsatz von Datenschutzbeauftragten sinngemäß Folgendes fest:
In Anbetracht der positiven Erfahrungen in den Mitgliedstaaten, in
denen Datenschutzbeauftragte eingeführt worden sind bzw. traditionell
vorhanden waren, wäre eine breitere Anwendung des Prinzips der
betrieblichen Selbstkontrolle durch Datenschutzbeauftragte als Ausnahme
von der Meldepflicht nützlich. Dies gelte jedenfalls für bestimmte
Wirtschaftssektoren und/oder für größere Organisationen, einschließlich
solcher des öffentlichen Bereichs. Dabei dürfe aber nicht vergessen
werden, dass der Einsatz von Datenschutzbeauftragten die gesetzlichen
Befugnisse der Datenschutzaufsichtsbehörden - insbesondere auch am Fall
der Vorabkontrolle - unberührt lasse. Gerade die Vorabkontrolle sei ein
wesentlicher Bestandteil der Vereinfachung und helfe der
Aufsichtsbehörde dabei, sich auf bestimmte Verarbeitungsprozesse bzw.
Sektoren zu konzentrieren, die für die Privatsphäre von Individuen von
besonderer Bedeutung seien. Wenn man die Möglichkeit erwäge, den
Datenschutzbeauftragten allgemein zu etablieren, d.h. insofern von
administrativer zu interner Aufsicht überzugehen, müsse man sowohl die
bisher in den Mitgliedstaaten gesammelten Erfahrungen als auch die in
den einzelnen Ländern geltenden Gesetze und deren Rechtskultur
insgesamt berücksichtigen.