Jusletter IT

Der Datenschutzbeauftragte aus der europäischen Perspektive

  • Author: Markus Schröder
  • Category: Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Tagungsband-IRIS-2013
  • Citation: Markus Schröder, Der Datenschutzbeauftragte aus der europäischen Perspektive, in: Jusletter IT 20 February 2013
Die EU-Datenschutzgrundverordnung schickt sich an, einheitliche Regelungen für den Datenschutz innerhalb der EU zu etablieren. Dabei soll auch auf verschiedene neue Instrumentarien gesetzt werden. Ein solches soll die europaweite Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten sein. Die entsprechenden Regelungen finden sich in den Art. 35 ff. Demnach soll eine Bestellpflicht ab einer Unternehmensgröße von 250 Mitarbeitern bestehen. In der Literatur wird seither die Praktikabilität dieser Grenze, die an die KMU-Definition der EU anknüpft, diskutiert. So wird eine Herabsetzung dieser Grenze sowie eine stärkere Anknüpfung an die jeweils tatsächlich erfolgende Datenverarbeitung diskutiert. Von Seiten der Staaten, die bislang das Institut eines Datenschutzbeauftragten nicht kannten, wie UK, wird befürchtet, dass den Unternehmen unnötigerweise zusätzliche Pflichten aufgebürdet würden. Interessant ist es dabei, auf die Erfahrungen zurückzugreifen, die in Rechtsordnungen gemacht wurden, die schon bislang die Pflicht zur Bestellung eines Datenschutzbeauftragten kannten. So ist in Deutschland die Pflicht zur Bestellung eines Datenschutzbeauftragten in § 4f BDSG geregelt. Demgegenüber wurde in Österreich die Einführung einer solchen Bestellpflicht zwar im Zuge der DSG-Novelle 2008 erwogen, jedoch nicht umgesetzt. Im Rahmen der DSG-Novelle 2012 soll nun eine fakultative Bestellung normiert werden. Der vorliegende Beitrag soll diese unterschiedlichen Erfahrungen und Diskussionen vergleichen und davon ausgehend die künftige europäische Perspektive für die Bestellung von Datenschutzbeauftragten skizzieren. So dürfte es die Akzeptanz des Datenschutzbeauftragten durch die Unternehmen erhöhen, wenn – wie dies auch das BDSG vorsieht – durch die Bestellung eines Datenschutzbeauftragten Meldepflichten entfallen. Zudem sollte die Bestellung eines Datenschutzbeauftragten als ein Element der Selbstregulierung verstanden werden, welche ebenfalls durch die EU-Datenschutzgrundverordnung gefördert werden sollen (vgl. Art. 38 f.). Derart verstanden bietet die Bestellung eines Datenschutzbeauftragten eine Möglichkeit für die Unternehmen, flexible und unternehmensgerechte Datenschutzkonzepte zu entwickeln.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Der Datenschutzbeauftragte in Österreich
  • 2.1. DSG-Novelle 2008
  • 2.2. DSG-Novelle 2012
  • 3. Der Datenschutzbeauftragte in Deutschland
  • 4. Der Datenschutzbeauftragte in Europa
  • 4.1. EU - Datenschutzgrundverordnung
  • 4.2. Europarat - Konvention 108
  • 5. Schlussfolgerungen
  • 6. Literatur

1.

Einleitung ^

[1]
Die europäische Datenschutzrichtlinie von 19951 sieht in Art. 18 Abs. 2 die Etablierung eines betrieblichen Datenschutzbeauftragten2 als eine Möglichkeiten für Unternehmen vor, ihren datenschutzrechtlichen Meldepflichten zu entsprechen. In Deutschland wurde daraufhin eine Bestellpflicht normiert. In Österreich besteht demgegenüber lediglich die Option zur Bestellung eines betrieblichen Datenschutzbeauftragten. Nunmehr sieht die EU-Datenschutzgrundverordnung (DS-GVO)3 in Art. 35 Abs. 1 vor, dass Unternehmen regelmäßig bei einer Betriebsgröße von mindesten 250 Mitarbeitern verpflichtet sein sollen, einen Datenschutzbeauftragten zu bestellen. Anlässlich dieser Situation bietet es sich an, die Rechtslage in Österreich mit derjenigen in Deutschland zu vergleichen.4 Davon ausgehend kann eine europäische Perspektive vor dem Hintergrund der DS-GVO aufgezeigt werden.

2.

Der Datenschutzbeauftragte in Österreich ^

[2]
Das österreichische Datenschutzgesetz (DSG) normiert de lege lata die Bestellung eines betrieblichen Datenschutzbeauftragten nicht.5

2.1.

DSG-Novelle 2008 ^

[3]
Mit der DSG-Novelle 2008 sollte ein § 15a in das DSG aufgenommen werden, wonach Betriebe mit mehr als 20 Mitarbeitern einen betrieblichen Datenschutzbeauftragten bestellen müssten. Dieser Schwellenwert findet sich auch in § 4f Abs. 1 des deutschen Bundesdatenschutzgesetzes (BDSG). Dort knüpft dieser Wert allerdings an die mit der Datenverarbeitung beschäftigten Mitarbeiter und nicht an die abstrakte Betriebsgröße an. Jedoch wurde diese Norm im Laufe des Gesetzgebungsverfahrens fallengelassen. Auch die DSG-Novelle 2010 vermochte es nicht, das Institut eines betrieblichen Datenschutzbeauftragten zu normieren.

2.2.

DSG-Novelle 2012 ^

[4]
Mit der DSG-Novelle 2012 ist nun ein neuer Versuch gestartet worden, die Bestellung eines betrieblichen Datenschutzbeauftragten zu normieren (§17a DSG-Nov 2012). Allerdings soll im Gegensatz zum Entwurf der DSG-Novelle 2008 die Bestellung nur fakultativ sein (§ 17a Abs. 1 DSG-Nov 2012). Der Datenschutzbeauftragte soll für einen Zeitraum von mindestens drei Jahren bestellt werden müssen und unkündbar sein. Gemäß § 17a Abs. 2 DSG-Nov 2012 muss der Datenschutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. Seine Aufgaben sollen insbesondere in der Überwachung der Einhaltung der Vorschriften des DSG und der Führung eines Verfahrensverzeichnisses bestehen (§ 17a Abs. 4 DSG-Nov 2012). Bei der Ausübung seiner Tätigkeit soll der Datenschutzbeauftragte weisungsfrei sein (§17a Abs. 7 DSG-Nov 2012).

3.

Der Datenschutzbeauftragte in Deutschland ^

[5]
Die Vorschriften über den betrieblichen Datenschutzbeauftragten finden sich in den §§ 4f f. BDSG.6 Hierin finden sich einige Regelungen, die den Regelungen des § 17a DSG-Nov 2012 vergleichbar sind. Es besteht jedoch ein grundsätzlicher Unterschied. Gemäß § 4f Abs. 1 BDSG ist die Bestellung eines Datenschutzbeauftragten für Unternehmen verpflichtend, in denen mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder mindestens 20 Personen auf andere Weise solche Daten verarbeiten. Diese Regelung ist derjenigen vergleichbar, die in § 15a DSG-Nov 2008 vorgesehen war. § 4f Abs. 2 BDSG sieht vor, dass der Datenschutzbeauftragte die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen muss. Diese Regelung entspricht der Regelung des § 17a Abs. 2 DSG-Nov 2012. Die Weisungsfreiheit des Datenschutzbeauftragten ist in § 4f Abs. 3 BDSG normiert und entspricht damit § 17a Abs. 7 DSG-Novelle 2012. Die Aufgaben des Datenschutzbeauftragten finden sich in § 4g BDSG. Entsprechend § 17a Abs. 4 DSG-Novelle 2012 zählen zu diesen Aufgaben insbesondere die Einwirkung auf die Einhaltung des BDSG sowie die Führung des Verfahrensverzeichnisses. Die Regelungen zum Datenschutzbeauftragten in der DSG-Novelle 2012 sind somit im Detail durchaus mit denjenigen des BDSG vergleichbar. Sie unterscheiden sich dennoch in der grundsätzlichen Entscheidung, ob die Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtend oder fakultativ ist. Vor dem Hintergrund der Datenschutzrichtlinie ist aus juristischer Sicht keine der beiden Lösungen vorzugswürdig, da die Richtlinie eben diese Entscheidung dem nationalen Gesetzgeber anheimstellt. In praxi jedoch ist die verpflichtende Bestellung vorzugswürdig. Voraussetzung hierfür ist allerdings, dass im Gegenzug für die verpflichtende Bestellung die gesetzlichen Meldepflichten entfallen, wie dies § 4e i.V.m. § 4g Abs. 2 BDSG vorsieht.7 Auf diese Weise ist die für die Unternehmen erforderliche Rechtssicherheit gewährleistet, innerhalb der der betriebliche Datenschutzbeauftragte als Element eines selbstregulatorischen Datenschutzes tätig sein kann.8

4.

Der Datenschutzbeauftragte in Europa ^

[6]
Geht man nun von den vorgenannten exemplarischen nationalen Regelungen zum Datenschutzbeauftragen aus, so werden auf europäischer Ebene künftig zwei Regimes einschlägig sein. Dies sind zum einen die EU-Datenschutzgrundverordnung und zum anderen die Konvention 108 des Europarates.

4.1.

EU - Datenschutzgrundverordnung ^

[7]
Die vieldiskutierte Datenschutzgrundverordnung enthält auch eine Regelung zu einer verpflichtenden Bestellung eines Datenschutzbeauftragten für Unternehmen, die 250 oder mehr Mitarbeiter beschäftigen (Art. 35 Abs 1 lit. b DS-GVO). Der Ansatz, abstrakt auf die Unternehmensgröße gemäß der KMU-Definition der EU abzustellen, ist in der Lehre kritisiert worden.9 Diese Kritik greift nunmehr der von Jan Philipp Albrecht verfasste Bericht des Europäischen Parlamentes auf.10 Der Bericht ist in einer ersten Stellungnahme begrüßt worden.11 In dem Bericht wird zwar die verpflichtende Bestellung zutreffend nicht in Frage gestellt. Jedoch wird hinsichtlich des Schwellenwertes ein gänzlich anderer Ansatz verfolgt als dies die DS-GVO bislang vorsieht. So regt Albrecht eine Bestellpflicht für juristische Personen an, deren Datenverarbeitung mehr als 500 betroffene Personen pro Jahr umfasst. Die Begründung für diesen Ansatz ist, dass im Zeitalter des Cloud Computing selbst sehr kleine für die Verarbeitung Verantwortliche große Mengen von Daten durch Online-Dienste verarbeiten könnten. Daher solle die Schwelle für die obligatorische Benennung eines Datenschutzbeauftragten nicht auf der Größe des Unternehmens beruhen, sondern auf der Relevanz der Datenverarbeitung. Dieser Ansatz ist hochinteressant, da er davon geprägt ist, ein zeitgemäßes Datenschutzrecht entwickeln zu wollen. In praxi dürfte sich jedoch die Frage ergeben, wie die Anzahl der Datenverarbeitungsvorgänge erfasst und kontrolliert werden sollte. Sollte dies durch eine betriebliche Stelle geschehen, käme dies einer präventiven Bestellung eines Datenschutzbeauftragten gleich. Sollte dies durch eine öffentliche Stelle geschehen, würden sogar eher noch verschärfte Meldepflichten für die Unternehmen entstehen. Daher besteht bei der Frage der praktischen Durchführung dieses Ansatzes noch diskussions- und präzisierungsbedarf. Problematisch ist auch der Bezug auf eine juristische Person statt auf ein Unternehmen, wie dies im Kommissionsentwurf vorgesehen ist, da hierdurch zahlreiche Unternehmen ohne sachlichen Grund von der Bestellpflicht ausgenommen würden.

4.2.

Europarat - Konvention 108 ^

[8]
Weiterhin ist für die europäische Ebene des Datenschutzes die Konvention 108 des Europarates bedeutsam. Diese wurde kürzlich überarbeitet und liegt seit dem 17.9.2012 in der modernisierten Fassung vor.12 Leider wurde es versäumt, in das Dokument eine explizite Regelung zur Bestellung eines Datenschutzbeauftragten aufzunehmen. So rügte auch die Confederation of European Data Protection Organisations (CEDPO), dass lediglich in einem Kommentar zu Art. 8, der die Pflichten von Daten verarbeitenden Stellen betrifft, angekündigt werde, in einem die neue Konvention erläuternden Bericht klarzustellen, dass eine mögliche Datenschutzmaßnahme in der Bestellung von internen oder externen Datenschutzbeauftragten bestehen kann.13 Es bleibt zu wünschen, dass bei einer erneuten Überarbeitung der Konvention 108 auch Regelungen zur Bestellung von Datenschutzbeauftragten aufgenommen werden. Bis dahin sollte darauf hingewirkt werden, den die Konvention erläuternden Bericht in diesem Punkt möglichst detailliert zu verfassen. So sollten Erläuterungen insbesondere zur Bestellpflicht und zur Weisungsfreiheit formuliert werden. Eine Regelung auf Ebene der Konvention 108 böte insbesondere auch die Möglichkeit, betriebliche Datenschutzbeauftragte in außereuropäischen Staaten zu etablieren, da der Beitritt zur Konvention auch Nicht-Mitgliedern des Europarates offensteht. Bislang hat zwar lediglich Uruguay von dieser Möglichkeit Gebrauch gemacht. Jedoch zeigt die Akzeptanz der Convention on Cybercrime das Potenzial, das Konventionen des Europarates innewohnt.14 Auf diese Weise ließe sich zu einer Harmonisierung des internationalen Datenschutzrechtes beitragen.15

5.

Schlussfolgerungen ^

[9]
Künftig wird das Institut des betrieblichen Datenschutzbeauftragten auf europäischer Ebene an Bedeutung gewinnen. Die DS-GVO hat dabei die Weichen in Richtung einer Bestellpflicht gestellt. Dabei wird die weitere Diskussion zeigen, wie genau diese Bestellpflicht ausgestaltet werden wird. Insbesondere wird noch über den Schwellenwert und etwaige Ausnahmeregelungen, wie nationale Öffnungsklauseln für Länder mit bewährten Regelungen zu Datenschutzbeauftragten, zu diskutieren sein. Die europaweite Etablierung von betrieblichen Datenschutzbeauftragten ist eine begrüßenswerte Initiative. Es gilt nun diesen Ansatz weiter auszuformulieren und zu präzisieren.

6.

Literatur ^

Andréewitsch, Markus/ Steiner, Gerald, Das österreichische Datenschutzgesetz – Besonderheiten gegenüber der DS-RL und Ausblick auf die DS-GVO, ZD 2012, S 204-206.

Brink, Stefan, Der betriebliche Datenschutzbeauftragte – eine Annäherung, ZD 2012, S 55-59.

Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/ Weichert, Thilo (Hrsg.), Bundesdatenschutzgesetz, Bund-Verlag, Frankfurt am Main (2010).

Gola, Peter/Schomerus, Rudolf, Bundesdatenschutzgesetz, C.H.Beck, München (2012).

Graf, Wolfgang, Datenschutzrecht im Überblick, Facultas, Wien (2010).

Gürtler, Paul, Baustelle Datenschutz – internationale Entwicklungen, RDV 2012, S 126-135.

Hoeren, Thomas, Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DS-GVO, ZD 2012, S 355-358.

Kinast, Karsten/Schröder, Markus, Audit & Rating: Vorsprung durch Selbstregulierung – Datenschutz als Chance für den Wettbewerb, ZD 2012, S 207-210.

Knyrim, Rainer, Datenschutzrecht – Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben u.v.m., Manz, Wien (2012).

Lachmayer, Konrad, Zur Reform des europäischen Datenschutzes, ÖJZ 2012, S 841-844.

Plath, Kai-Uwe (Hrsg.), Kommentar zum BDSG, Verlag Dr. Otto Schmidt, Köln (2013).

Schröder, Markus, Selbstregulierung im Datenschutzrecht – Notwehr oder Konzept?, ZD 2012, S 418-421.

Schulze, Reiner, Vergleichende Gesetzesauslegung und Rechtsangleichung, ZfRV 1996, S 183-197.

Simitis, Spiros (Hrsg.), Bundesdatenschutzgesetz, Nomos Verlagsgesellschaft, Baden-Baden (2011).

Taeger, Jürgen/Gabel, Detlev (Hrsg.), Kommentar zum BDSG, Frankfurt am Main (2010).

Tinnefeld, Marie-Theres/Buchner, Benedikt/Petri, Thomas, Einführung in das Datenschutzrecht – Datenschutz und Informationsfreiheit, Oldenburg Verlag, München (2012).

 


 

Markus Schröder, Rechtsanwalt, Datenschutzbeauftragter (TÜV), Kinast & Partner Rechtsanwälte, Externe Datenschutzbeauftragte.

 


 

  1. 1 Richtlinie 95/46/EG.
  2. 2 Zum betrieblichen Datenschutzbeauftragten im Allgemeinen s: Brink, Der betriebliche Datenschutzbeauftragte – eine Annäherung, ZD 2012, Seite 55-59.
  3. 3 Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation).
  4. 4 Zur Rechtsvergleichung als Auslegungsmethode s: Schulze, Vergleichende Gesetzauslegung und Rechtsangleichung, ZfRV 1996, Seite183-197.
  5. 5 Zur Funktion betrieblicher Datenschutzbeauftragter in Österreich s: Knyrim, Datenschutzrecht – Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben uvm, Manz, Wien (2012), Seite 303-318.
  6. 6 Vgl. zum Ganzen: Gola/Schomerus, §§ 4f, 4g. In: Gola/Schomerus, Bundesdatenschutzgesetz, C.H.Beck, München (2012); von dem Bussche, §§ 4f, 4g. In: Plath (Hrsg.), Kommentar zum BDSG, Verlag Dr. Otto Schmidt, Köln (2013); Simitis, §§ 4f, 4g. In: Simitis (Hrsg.), Bundesdatenschutzgesetz, Nomos Verlagsgesellschaft, Baden-Baden (2011); Scheja, §§ 4f, 4g. In: Taeger/Gabel, Kommentar zum BDSG, Frankfurt am Main (2010); Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht – Datenschutz und Informationsfreiheit in europäischer Sicht, Oldenburg Verlag, München (2012), Seite 279-284.
  7. 7 Zu den Meldepflichten s: Graf, Datenschutzrecht im Überblick, Facultas, Wien (2010), Seite 105-113.
  8. 8 Zur Selbstregulierung im Datenschutz s.: Kinast/Schröder, Audit & Rating: Vorsprung durch Selbstregulierung – Datenschutz als Chance für den Wettbewerb, ZD 2012, Seite 207-210; Schröder, Selbstregulierung im Datenschutzrecht – Notwehr oder Konzept?, ZD 2012, Seite 418-421.
  9. 9 Hoeren, Der betriebliche Datenschutzbeauftragte – Neuerungen durch die geplante DS-GVO, ZD 2012, S 355, 356; zur Auswirkungen der DS-GVO auf das DSG s Andréewitsch/Steiner, Das österreichische Datenschutzgesetz – Besonderheiten gegenüber der DS-RL und Ausblick auf die DS-GVO, ZD 2012, S 204-206; Lachmayer, Zur Reform des europäischen Datenschutzes, ÖJZ 2012, Seite 841-844.
  10. 10 http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387de.pdf, aufgerufen: 10.1.2013.
  11. 11 GDD begrüßt Änderungsvorschläge zur Stärkung der betrieblichen Selbstkontrolle in der EU-Datenschutz-Grundverordnung, https://www.gdd.de/nachrichten/news/gdd-begrust-anderungsvorschlage-zur-starkung-der-betrieblichen-selbstkontrolle-in-der-eu-datenschutz-grundverordnung, aufgerufen: 11.1.2013.
  12. 12 Consultative Committee of the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data.
  13. 13 http://www.novosite.nl/editor/assets/cedpo/CEDPO_Convention%20108.pdf aufgerufen: 27.1.2013; s. hierzu auch: GDD-Mitteilugen 3-4/2012, Seite 1 f.
  14. 14 Der Convention on Cybercrime sind bislang die Nicht-Europarat-Mitglieder USA, Kanada, Japan und Südafrika beigetreten.
  15. 15 Zu aktuellen Entwicklungen im internationalen Datenschutz s Gürtler, P., Baustelle Datenschutz – internationale Entwicklungen, RDV 2012, Seite 126-135.