Startseite

CEDPO: Weniger Bürokratie – Mehr Datenschutz

 

CEDPO

 

     


 

Der auf Initiative der GDD gegründete Datenschutz-Dachverband CEDPO (Confederation of European Data Protection Organisations) appelliert in einer aktuellen Stellungnahme an das EU-Parlament, den Ministerrat und die EU-Kommission, Entbürokratisierungspotenziale im künftigen EU-Datenschutzrecht auszuschöpfen und zugleich die innerbetriebliche Selbstkontrolle nachhaltig zu stärken.

 

Zu Recht sehe der aktuelle Verordnungsentwurf der EU-Kommission vor, dass der Abbau administrativer Hürden mit einer gestärkten Selbstverantwortung der Unternehmen einhergehen müsse. Dies allerdings setze eine entsprechende Datenschutzorganisation in den Unternehmen voraus. Hierbei komme der Rolle der betrieblichen Datenschutzbeauftragten eine noch wichtigere Rolle zu als bisher.

 

Nicht zuletzt angesichts der nach dem Kommissionsentwurf erweiterten Verantwortlichkeiten von Unternehmen – etwa hinsichtlich einer verstärkten Rechenschaftspflicht (Accountability) – wirft CEDPO die Frage auf, wie diese Anforderungen im Unternehmen möglichst effektiv erfüllt werden können. Vor diesem Hintergrund sei es vielen Unternehmen zu empfehlen, einen Datenschutzbeauftragten zu bestellen, nicht zuletzt, um Kompetenzen zu bündeln und Synergieeffekte nutzbar zu machen. Unabhängig von einer EU-weiten Pflicht zur Bestellung von Datenschutzbeauftragten ab einer gewissen Größenordnung sei es inzwischen für zahlreiche Unternehmen ohnehin ratsam, einen Datenschutzbeauftragten zu bestellen, sei es um den nach dem Verordnungsentwurf deutlich erhöhten Bußgeldern oder einem drohenden Imageverlust vorzubeugen. Unternehmen mit einem eigens designierten Datenschutz-Profi könnten – auch langfristig – das Vertrauen von Kunden und Mitarbeitern maßgeblich fördern.

 

Bedauerlicherweise fehle es in dem Verordnungsentwurf noch an den nötigen Anreizen zur Bestellung von Datenschutzbeauftragten. Insbesondere könnten im Fall der Bestellung von qualifizierten betrieblichen Datenschützern gewisse Formalitäten, wie etwa eine förmliche Konsultation der Aufsichtsbehörde entfallen, was durchaus im Sinne der angestrebten Entbürokratisierung sei. Klarzustellen sei im Übrigen, unter welchen Voraussetzungen auch kleinere und mittelständische Unternehmen zur Bestellung von Datenschutzbeauftragten verpflichtet werden sollen. Insofern enthalte der Verordnungsvorschlag noch widersprüchliche bzw. klärungsbedürftige Aussagen.

 

Ohne Zweifel sei es notwendig, den Datenschutzbeauftragten eine angemessene Qualifikation und produktive Arbeitsbedingungen zu ermöglichen. Dies beinhalte u.a. eine direkte Berichtslinie zur obersten Geschäftsleitung, die Gewährleistung eines hinreichenden Bekanntheitsgrades des Datenschutzbeauftragten im Unternehmen sowie seine rechtzeitige Einbindung in die Verarbeitungsprozesse. Die Unabhängigkeit betrieblicher Datenschützer dürfe nicht dadurch gefährdet werden, dass ihre Bestellung automatisch mit Ablauf einer 2-Jahres-Frist endet. Deren Abberufung aus Gründen mangelnder Pflichterfüllung in Sachen Datenschutz sei zukünftig der Aufsichtsbehörde anzuzeigen, einerseits um ggf. eine Neubestellung kontrollieren zu können, und andererseits, um die Rechtfertigung der Abberufung nachvollziehen zu können.

 

Hinsichtlich der Aufgaben des Datenschutzbeauftragten fehle es noch an einer zeitgemäßen Grundsatzaussage. Nach dem Verordnungsentwurf seien die betrieblichen Datenschützer ausschließlich mit Compliance-Aufgaben betraut. Dies allerdings werde einem modernen Verständnis von Datenschutz-Managern nicht gerecht, denn der Datenschutzbeauftragte sei zunehmend auch mit proaktiven und strategischen Aufgaben befasst. Beispielhaft nennt CEDPO in diesem Zusammenhang die in dem Verordnungsvorschlag selbst angeführten Datenschutzstrategien und -maßnahmen (Art. 22 Ziff. 1).

 

Nach Auffassung von CEDPO ist es mit Blick auf die Zukunft ferner wichtig, die zu Recht angestrebte Harmonisierung des Datenschutzrechts in der EU nicht durch zusätzliche Einzelanforderungen der nationalen Datenschutzbehörden, z.B. bei deren Beteiligung im Zusammenhang mit der Technikfolgenabschätzung, zu konterkarieren. Überdies sei nicht zuletzt angesichts der in dem Kommissionsvorschlag zahlreich vorgesehenen delegierten Rechtsakte fraglich, ob mit der EU-Datenschutzverordnung die gewünschte Rechtssicherheit erreicht werden könne. Als besonders wichtig erachtet CEDPO die Sicherstellung einer hinreichenden Beteiligung der Verbände und Datenschutzpraktiker, auch bei der Erarbeitung derartiger Rechtsakte. Insofern begrüßt CEDPO die in der begleitenden Kommissionsmitteilung KOM(2012) 9 endg. enthaltende Absichtserklärung der Kommission, wonach sie während des Gesetzgebungsverfahrens und darüber hinaus einen engen und transparenten Dialog mit allen Beteiligten des privaten und öffentlichen Sektors pflegen wird. CEDPO hat insofern bereits angeboten, die in dem Dachverband gebündelten Erfahrungen aus den verschiedenen Mitgliedstaaten auch und insbesondere zu den Themen Qualifikation und Bestellung von Datenschutzbeauftragten in die Diskussion mit einzubringen.

 

 

Hinweis: Die CEDPO-Stellungnahme ist im Volltext in englischer Sprache hier abrufbar sowie unter www.cedpo.eu.

 

 

Über die in dieser Pressemeldung genannten europäischen Datenschutzverbände:

 

GDD

Die GDD tritt als gemeinnütziger Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Sie hat zum Ziel, die Daten verarbeitenden Stellen, insbesondere auch deren Datenschutzbeauftragte, bei der Lösung und Umsetzung der vielfältigen mit Datenschutz und Datensicherung verbundenen technischen, rechtlichen und organisatorischen Fragen zu beraten. Die GDD findet die Unterstützung von rund 2.400 Unternehmen, Behörden und persönlichen Mitgliedern. Sie stellt damit die größte Vereinigung ihrer Art und zugleich einen der größten Fachverbände in der Informations- und Kommunikationsbranche dar.

 

Kontakt: Christoph Klug, Tel.: +49-228-694313, klug@gdd.de, Website: http://www.gdd.de

 

 

AFCDP

AFCDP, Association Française des Correspondants à la Protection des Données, was created in 2004, following the modification of the Data Protection Act, which created the function of DPO («Correspondant à la protection des données à caractère personnel» also called CIL, « Correspondant Informatique & Libertés »). AFCDP is a wide forum which welcomes any person interested in the protection of personal data: CIL, data protection managers, lawyers, HR specialists, IT and IS experts, quality and compliance managers, professionals of the e-commerce and marketing sectors … Over 900 individuals have joined so far this non profit association. AFCDP promotes discussion and information sharing on the protection of personal data in order to facilitate exchange among its members and to promote best practices. AFCDP maintains relationship with the French National Data Protection Commission (CNIL) and other authorities at French and European level involved in the protection of personal data.

 

Contact: Paul-Olivier Gibert, Président, president@afcdp.net; Bruno Rasle, Délégué Général, Tel: + 33(0) 6. 1234. 0884, charge-mission@afcdp.net, Website: http://www.afcdp.net

 

 

NGFG

Het Nederlands Genootschap van Functionarissen voor de gegevensbescherming (NGFG) is the Dutch association of Data Protection Officers, a position specified in article 62 of the Dutch Personal Data Protection Act, the Wet bescherming persoons gegevens (WBP). WBP has a provision where businesses, branch organisations, governments and institutions are allowed to appoint an internal supervisor for protecting the rights of data subjects, i.e. Data Protection Officers. These individuals supervise the proper implementation, as well as ensuring compliance to applicable laws, regulations and professional codes of conducts, in the field of data protection within their organization. Thanks to the statutory tasks, responsibilities and authorities, Data Protection Officers have the ability to act independently within their organizations. The appointment of Data Protection Officers is how WBP implemented the ‘ Data Protection Officials’ as referred to in article 18, second paragraph of the Directive 95/46/EC.

 

Contact: Dr. Sachiko Scheuing, secretariat@ngfg.nl, Website: http://www.ngfg.nl


 

APEP

The Spanish Association of Privacy Professionals (Asociación Profesional Española de la Privacidad) was created in 2009 by and for different profiles related to data protection and privacy professional interests, of both the private and the public sectors: in-house lawyers and external legal counsels, IT, IS and CTI experts as well as academics. In 2010, it launches the APEP certification for accountable professionals in order to put in value the DP professional roles and thus to contribute creating trust in the dynamic and emerging privacy market. The APEP has established stable links with several DPAs as well as with privacy-related associations and institutions at the domestic, EU and international levels.

 

Contact: Ricard Martinez, presidencia@apep.es; Cecilia Alvarez, administracion@apep.es, Website: http://www.apep.es

 

 

Über den Dachverband CEDPO

CEDPO wurde im September 2011 von nationalen Datenschutzorganisationen als europäischer Dachverband gegründet. Zu den Gründungsmitgliedern zählen AFCDP, APEP, GDD und NGFG.

 

CEDPO hat sich eine zeitgemäße Föderung der Rolle des Datenschutzbeauftragten und allgemein das Eintreten für einen ausgewogenen, praktikablen und effektiven Datenschutz in der EU zum Ziel gesetzt. Gleichzeitig ist CEDPO bestrebt, die Harmonisierung des Datenschutzrechts und der Datenschutzpraktiken in der EU/dem EWR zu fördern.

 

KONTAKT:

info@cedpo.eu