16.12.2015
Am späten gestrigen Abend wurde im Trilog eine Einigung über den finalen Entwurf der EU-Datenschutz-Grundverordnung erzielt. Die EU-Kommission lobt die Verordnung als Meilenstein des digitalen Zeitalters (http://europa.eu/rapid/press-release_IP-15-6321_de.htm). Nach der Pressemitteilung sollen kleine und mittlere Unternehmen überwiegend keinen Datenschutzbeauftragten mehr zu bestellen haben. Nach einem der GDD vorliegenden Text zur Beschlussfassung ist europaweit eine Bestellpflicht des Datenschutzbeauftragten für öffentliche Stellen und bei Unternehmen vorgesehen, deren Kerntätigkeit aus Verarbeitungsvorgängen besteht, welche auf Grund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen. Ebenso sollen Datenverarbeiter, deren Kerntätigkeit aus der Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und 9a der EU-DS-GVO „in großem Umfang“ besteht, einer Bestellpflicht unterfallen. Des Weiteren sieht die Vorlage eine nationale Öffnungsklausel für die Bestellung eines betrieblichen Datenschutzbeauftragten vor. Vertreter des Bundesinnenministeriums kündigten anlässlich der 39. DAFTA an, in Deutschland die Bestellungsvoraussetzungen für einen betrieblichen Datenschutzbeauftragten in einem Verordnungsergänzungsgesetz gegenüber dem BDSG unverändert zu regeln.
Für Anfang 2016 steht die Annahme der aktuellen Kompromissfassung durch das EU-Parlament und den EU-Ministerrat an. Die Verordnung ist zwei Jahre nach Inkrafttreten des Gesetzes, also voraussichtlich Frühjahr 2018, anzuwenden.