Geplante EU-Verordnung zum Datenschutz: Kein Datenschutzbeauftragter - kein Datenschutz

Die EU-Kommission plant einheitlich in der EU, die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten im Regelfall erst ab 250 Mitarbeitern zu regeln. Dies geht aus einem vorzeitig bekannt gewordenen Entwurf für eine Verordnung zum Datenschutz auf europäischer Ebene hervor. Nach dem in Deutschland gültigen Bundesdatenschutzgesetz ist dagegen eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten bereits dann vorgesehen, wenn für ein Unternehmen mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Sofern die EU-Verordnung als unmittelbar in den Mitgliedstaaten geltendes Recht so in Kraft treten würde, wäre der Mittelstand weitgehend nicht mehr zur Bestellung von betrieblichen Datenschutzbeauftragten verpflichtet.

Aus Sicht der GDD ist der geplante hohe Schwellenwert von 250 Mitarbeitern für die Grundrechtsposition des Datenschutzes äußerst kontraproduktiv. Zum einen ist zu befürchten, dass viele Unternehmen unterhalb dieses Schwellenwertes in Ermangelung einer internen Complianceinstanz zum Thema "Datenschutz" nur unzureichend die datenschutzrechtlichen Anforderungen bei der Verarbeitung von Kunden- und Mitarbeiterdaten beachten. Zum anderen ist der Wegfall des betrieblichen Datenschutzbeauftragten auch unter Wirtschaftlichkeitsgesichtspunkten wenig sinnvoll. So müssten sich zur Befolgung der geplanten EU-Verordnung die Fachabteilungen im Unternehmen die notwendigen datenschutzrechtlichen Kenntnisse selber aneignen, die bisher beim Datenschutzbeauftragten gebündelt waren mit der Folge, dass erhebliche Synergieeffekte verloren gingen. Zum anderen wären die Betroffenen, vor allen Dingen Kunden und Mitarbeiter, gehalten, sich mit ihren Datenschutzfragen und -beschwerden unmittelbar an die staatliche Datenschutzaufsichtsbehörde zu wenden, die ihrerseits Ermittlungen im Unternehmen anstellen müssten. Diese Aufgabe wird zur Zeit weitgehend von den betrieblichen Datenschutzbeauftragten wahrgenommen, die die in Rede stehenden Sachverhalte sach- und zeitnah aufklären können. Aber auch im Verhältnis der Unternehmensleitung zur Mitarbeitervertretung fehlt die Kompetenz des betrieblichen Datenschutzbeauftragten bei der Beurteilung datenschutzrelevanter Prozesse der Mitarbeiterdatenverarbeitung mit der Folge, dass die jeweiligen Interessen ohne mögliche Moderation durch den Datenschutzbeauftragten aufeinander prallen.

Von der GDD ebenfalls sehr kritisch gesehen wird die geplante zeitliche Befristung der Bestellung Datenschutzbeauftragter im Unternehmen auf zwei Jahre. Diese zeitliche Befristung steht einer unabhängigen Aufgabenwahrnehmung entgegen. Nicht zuletzt auf Grund der Datenschutzskandale im Umgang mit Mitarbeiter- und Kundendaten in den letzten Jahren ist mit der Novellierung des Bundesdatenschutzgesetzes im Jahr 2009 dem betrieblichen Datenschutzbeauftragten ein Kündigungsschutz eingeräumt worden. Dieser soll ihm die notwendige Unabhängigkeit bei der Prüfung und Behandlung von datenschutzrelevanten Sachverhalten ermöglichen. Dieser datenschutzrechtliche Schutz würde mit Inkrafttreten der Verordnung wegfallen.

Die GDD tritt dafür ein, dass die EU-Kommission noch vor der offiziellen Vorstellung des Entwurfs der Verordnung am 25. Januar 2012 die Regelungen zum betrieblichen Datenschutzbeauftragten überarbeitet und den Schwellenwert für die Bestellung von Datenschutzbeauftragten deutlich nach unten korrigiert und eine nationale Öffnungsklausel vorsieht. Sie gibt dabei zu bedenken, dass der Zeitaufwand für die Bearbeitung von Datenschutzaufgaben abhängig von der Größe und Branche des Unternehmens ist. Der Aufwand für die Tätigkeit des Datenschutzbeauftragten lässt sich folglich dynamisch an die betrieblichen Gegebenheiten anpassen. Entsprechende Benchmarks können im Privacy Panel der GDD hier eruiert werden.