Entwurf einer EU-Verordnung zum Datenschutz: Schwächung des Prinzips der betrieblichen Selbstkontrolle

Die EU-Kommission hat am 25.01.2012 ihr Konzept für eine umfassende Reform des Datenschutzrechts in der EU vorgestellt. Zentrale Regelung für die Wirtschaft ist der Entwurf einer Datenschutz-Verordnung mit unmittelbarer Wirkung ohne Umsetzungsspielräume. Mit der Verordnung soll das Datenschutzrecht in Europa vereinheitlicht und die Datenschutzrechte des Bürgers gestärkt werden.

Die geplante Datenschutz-Verordnung hat weit reichende Auswirkungen auf die Konzeption der Datenschutzkontrolle in Deutschland. Nach Einschätzung der GDD wird durch die geplante Verordnung das Prinzip der betrieblichen Selbstkontrolle geschwächt.

Zu einer Schwächung führt zum einen die in Art. 35 des Entwurfs der VO geregelte grundsätzliche Bestellpflicht für einen betrieblichen Datenschutzbeauftragten bei einer Unternehmensgröße von mehr als 250 Mitarbeitern. Nach geltender Rechtslage muss ein Unternehmen bereits dann einen Datenschutzbeauftragten bestellen, wenn 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt werden. Nach der VO kann die Bestellung zudem auf 2 Jahre begrenzt werden. Damit würden insbesondere im Mittelstand eine unabhängige interne Compliance-Instanz und ein Anwalt der Betroffenen zum Datenschutz fehlen (siehe GDD-Stellungnahme vom 09.12.2011). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit geht davon aus, dass nur noch 0,3% der deutschen Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet würden. Auch er tritt für eine deutlich niedrigere Grenze ein.

Zu einer Schwächung der betrieblichen Selbstkontrolle kommt es zudem durch die obligatorische Mitwirkung der Datenschutzaufsichtsbehörde bei der Technikfolgenabschätzung nach Art. 33 und 34 der VO. Danach bedarf eine risikobehaftete Datenverarbeitung der vorherigen Genehmigung durch die Datenschutzaufsichtsbehörde. Diese soll u.a. dann vorliegen, wenn die EU-Kommission die Notwendigkeit einer Folgenabschätzung festgestellt hat oder die Aufsichtsbehörde eine vorherige Prüfung für „angemessen“ hält. Dies hat zur Folge, dass in Deutschland im Unterschied zur bestehenden Rechtslage die Datenverarbeitung unter Mitwirkung der staatlichen Fremdkontrolle steht. Bisher werden risikobehaftete Datenverarbeitungen in Form der Vorabkontrolle durch den betrieblichen Datenschutzbeauftragten geprüft, wobei ein staatliches Handeln nur bei Zweifeln des Datenschutzbeauftragten notwendig wird. Damit wird das in Deutschland bewährte Prinzip der betrieblichen Selbstkontrolle in Richtung Fremdkontrolle mit zu erwartenden Effektivitätsverlusten verlagert.

Die GDD wird sich im Zuge der weiteren Verhandlungen dafür einsetzen, dass die Rechtsposition des Datenschutzbeauftragten in der Verordnung gestärkt wird, um die Rechte der Betroffenen effektiv und vor Ort zu gewährleisten.