Datenschutzmanagement in europäischen Unternehmen - nur sinnvoll mit betrieblichen Datenschutzbeauftragten

Bei den derzeitigen Verhandlungen über den Entwurf der EU-Kommission für eine Datenschutz-Grundverordnung muss die Selbstkontrolle der Wirtschaft durch betriebliche Datenschutzbeauftragte stärker ausgebaut werden. Dies ist der Tenor der 36. Datenschutzfachtagung (DAFTA), die als größte Datenschutzkonferenz von der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) alljährlich ausgerichtet wird.

Der Verordnungsentwurf der EU-Kommission vom Januar diesen Jahres sieht vor, dass ein Datenschutzbeauftragter in der Regel erst von Unternehmen bestellt werden muss, die mehr als 250 Beschäftigte haben, während das Bundesdatenschutzgesetz derzeit eine Bestellpflicht bereits bei 10 mit der personenbezogenen Datenverarbeitung Beschäftigten vorsieht. Der betriebliche Datenschutzbeauftragte ist der Transformationsriemen des BDSG für die Implementierung des Datenschutzes im Unternehmen, so Prof. Dr. Rolf Schwartmann, neu gewählter Vorstandsvorsitzender der GDD. Der Verordnungsentwurf enthalte zu wenig Incentives für die betriebliche Selbstkontrolle. Für ein effektives und unbürokratisches Datenschutzmanagement sei es schädlich, wenn vor Inbetriebnahme eines Datenverarbeitungssystems eine Datenschutzfolgenabschätzung erst durch eine staatliche Behörde vorgenommen werden müsse.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Ulrich Lepper, sieht ebenfalls in der EU-Datenschutz-Grundverordnung einen konzeptionellen Fehler für das Datenschutzmanagement. Die Aufsichtsbehörden für den Datenschutz hätten keine ausreichenden Ressourcen, um die gesamte Wirtschaft bei der Planung der Datenverarbeitung zu prüfen. Hier sei das gegenwärtige Modell der Vorabkontrolle durch den Datenschutzbeauftragten mit Konsultationsrecht der Aufsichtsbehörde deutlich effektiver.

Dr. Rainer Stenzel, Bundeministerium des Innern, Leiter der Projektgruppe Reform des Datenschutzes in Deutschland und Europa, stellt die deutsche Position im europäischen Rat zum Entwurf einer Datenschutz-Grundverordnung dar. Er spricht sich für ein risikoorientiertes und insbesondere hinsichtlich der Verantwortlichkeiten an die Realitäten angepasstes Datenschutzrecht aus. Für die Risikobewertung sei dabei nicht nur die Anzahl der mit der Datenverarbeitung befassten Mitarbeiter relevant. Entscheidend sei vielmehr die Sensibilität der Datenverarbeitung. Dies gelte auch für die Anforderungen an die Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Dieser dürfe nicht an einer Grenze geopfert werden, nach der nur noch ein verschwindend geringer Teil der Unternehmen zur betrieblichen Selbstkontrolle verpflichtet sei. Anbieter von Applikationen müssten verpflichtet werden, diese bereits in datenschutzfreundlichen Grundeinstellungen anzubieten. Die Verantwortung dürfe in diesen Fällen nicht auf die Nutzer der Anwendungen abgewälzt werden.

Frau Gabriela Krader, LL.M., Konzerndatenschutzbeauftragte der Deutsche Post DHL, Bonn, wies darauf hin, dass durch die in dem Entwurf der Datenschutz-Grundverordnung vorgesehene Möglichkeit der Befristung der Bestellung des Datenschutzbeauftragten auf zwei Jahre die Etablierung eines kontinuierlichen und damit effektiven Datenschutzmanagements gefährdet werde.