GDD begrüßt Änderungsvorschläge zur Stärkung der betrieblichen Selbstkontrolle in der EU-Datenschutz-Grundverordnung

Der Entwurf für eine Datenschutz-Grundverordnung soll nach Vorstellung des Berichterstatters des EU-Parlaments, Jan Philip Albrecht, mit Blick auf die Aufgaben und Rechtsposition des betrieblichen Datenschutzbeauftragten geändert werden. Entgegen dem Vorschlag der EU-Kommission, der eine Bestellung von betrieblichen Datenschutzbeauftragten erst bei einer Beschäftigung von mehr als 250 Mitarbeitern vorsieht, soll nach Vorstellung des Berichterstatters der Schwellenwert nicht mehr auf der Größe des Unternehmens basieren, sondern auf die Relevanz der Datenverarbeitung. Demnach sollen Unternehmen dann zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet sein, wenn die Datenverarbeitung mehr als 500 betroffene Personen pro Jahr umfasst. Gleichwohl sollen Unternehmen immer zur Bestellung eines Datenschutzbeauftragten verpflichtet werden, wenn deren Kernaktivitäten in der Verarbeitung besonders sensibler personenbezogener Daten, wie Gesundheitsinformationen, besteht.

Die GDD befürwortet einen risikoorientierten Ansatz für die Bestellpflicht eines betrieblichen Datenschutzbeauftragten. Der starre Schwellenwert von 250 Beschäftigten, der dem Entwurf der EU-Kommission zu Grunde liegt, hätte dazu geführt, dass weite Teile des Mittelstandes unabhängig von der Sensitivität der Datenverarbeitung nicht zur Bestellung eines internen Kontrollorgans verpflichtet gewesen wären.

Die GDD begrüßt auch die Vorschläge zur Stärkung der Rechtstellung des Datenschutzbeauftragten. So soll ihm wie im Bundesdatenschutzgesetz ein Verschwiegenheitsrecht hinsichtlich der Identität der betroffenen Personen und der Umständen der Datenverarbeitung zugebilligt werden.

Ein deutlicher Beitrag zur Entlastung der Datenschutzorganisation stellt der Vorschlag des Berichterstatters Albrecht dar, im Rahmen der Datenschutzfolgenabschätzung nicht die Datenschutzaufsichtsbehörde konsultieren zu müssen, sondern diese Aufgabe dem betrieblichen Datenschutzbeauftragten zuzuweisen. Damit werde ein deutliches Incentive für die betriebliche Selbstkontrolle geschaffen, so Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD. Für ein effektives und unbürokratisches Datenschutzmanagement sei es nämlich schädlich, wenn vor Inbetriebnahme eines Datenverwaltungssystems eine Datenschutzfolgenabschätzung erst durch eine staatliche Behörde vorgenommen werden müsse. Im Übrigen hätten die Aufsichtsbehörden für den Datenschutz auch keine ausreichenden Ressourcen, um die gesamte Wirtschaft bei der Planung der Datenverarbeitung im Wege der Datenschutzfolgenabschätzung zu prüfen.

Der Vorschlag des Berichterstatters Albrecht, die Mindestbestellzeit eines Datenschutzbeauftragten von 2 auf 4 Jahren zu erhöhen, trägt nach Auffassung der GDD nur unzureichend zu einer hinreichend starken Rechtstellung des Datenschutzbeauftragten bei. Die unabhängige Tätigkeit des Datenschutzbeauftragten mache einen vollständigen Kündigungsschutz notwendig.