1 Ausgestaltung des Datenschutzes durch eine Verordnung

Die EU-Kommission verfolgt mit dem Instrument der Verord-nung die Generierung eines einheitlichen Datenschutzrechts auf europäischer Ebene. Für den Bereich der Privatwirtschaft ist dies ein geeignetes Mittel zur Fortentwicklung des gemeinsamen eu-ropäischen Datenschutzrechts. In einer allgegenwärtig vernetzten Welt unterstützt ein EU-weit einheitlicher Datenschutz die Wirt-schaft bei länderübergreifenden Datenverarbeitungen. Wettbe-werbsnachteile werden abgebaut. In Konzernen und Unterneh-mensverbünden kann das Datenschutzmanagement zentral ge-steuert und koordiniert werden. Gleichzeitig werden in der EU Datenschutzstandards insbesondere für die Online-Welt geschaf-fen, welche auch von außerhalb der EU ansässigen Anbietern zu befolgen sind, sofern diese Daten von EU-Bürgern verarbeiten.

1.1 Vorbehalt wesentlicher Regelungen

Der Verordnungsentwurf enthält jedoch mehrere Dutzend Er-mächtigungen zum Erlass von delegierten Rechtsakten und Durchführungsbestimmungen durch die EU-Kommission, die sämtliche Bereiche des Datenschutzes von der Zulässigkeit bis hin zu Transparenz-, Sicherheits- und Organisationsanforderun-gen erfassen. Problematisch ist, dass auch wesentliche Aspekte des Datenschutzes delegierten Rechtsakten überantwortet wer-

den sollen und damit Unsicherheit über evidente Themen des be-trieblichen Datenschutzes verbleiben.1

Exemplarisch kann hier die Interessenabwägung im Rah-men der Zulässigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 Buchstabe f) i.V.m. Abs. 5 des Entwurfs der Datenschutz-Grund-verordnung (DS-GVO-E) genannt werden. Sofern sich Ermächti-gungen auf wesentliche Regelungsinhalte beziehen, ist zu prüfen, ob entweder die Möglichkeit zum Erlass delegierter Rechtsakte gestrichen wird, was z.B. für die Interessenabwägung zu fordern ist, oder aber Leitlinien für die delegierten Rechtsakte in die DS-GVO aufgenommen werden.

1.2 Öffnungsklauseln für den nationalen Gesetzgeber

Die Art. 80 ff. DS-GVO-E sehen Rechtsbereiche vor, in denen mitgliedstaatliche Regelungen zum Datenschutz möglich blei-ben sollen. Insbesondere der Umstand, dass der Umgang mit Be-schäftigtendaten weitgehend durch das jeweilige nationale Ar-beitsrecht bestimmt wird, macht eine diesbezügliche Öffnungs-klausel erforderlich. Aus unternehmerischer Sicht kritisch hinter-fragt werden muss allerdings, ob diese Öffnungsklausel durch die Möglichkeit zum Erlass delegierter Rechtsakte in diesem Bereich nicht wieder konterkariert wird. Die vorgesehene Ermächtigung zum Erlass delegierter Rechtsakte im Bereich des Beschäftigten-datenschutzes ist jedenfalls nicht mit dem Grundsatz zu verein-baren, dass sich delegierte Rechtsakte nicht auf wesentliche As-pekte des Gesetzgebungsakts beziehen dürfen.

2 Neue Organisationsregeln

2.1 Dokumentationspflichten

Art. 28 DS-GVO-E regelt die Dokumentationspflichten von Un-ternehmen über deren Verarbeitungsvorgänge. Genauso wie der

1 So auch Hornung, ZD 2012, 99 (105).

RA Andreas Jaspers

Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn

E-Mail: jaspers@gdd.de

Andreas Jaspers

Die EU-Datenschutz-Grundverordnung

Auswirkungen der EU-Datenschutz-Grundverordnung auf die Datenschutzorganisation des Unternehmens

Der Entwurf der EU-Datenschutz-Grundverordnung unterscheidet sich in seinen Vorgaben zur Organisation des Datenschutzes von denen des BDSG. Erhebliche Auswirkungen auf das Datenschutzmanagement von Unternehmen wären nach deren Inkrafttreten erforderlich. Der Beitrag stellt in Schwerpunkten die wesentlichen Änderungen des Verordnungsentwurfs gegenüber dem BDSG vor und beurteilt die möglichen Auswirkungen auf das Datenschutzmanagement.

DuD Datenschutz und Datensicherheit 8 | 2012 571

SCHWERPUNKT

Begriff des „Verfahrens“ ist der Begriff des „Verarbeitungsvor-gangs“ nicht legal definiert. Diese Regelung ersetzt die melde-pflichtigen Angaben nach § 4 BDSG und verpflichtet die Verar-beitungsverantwortlichen, die Auftragsverarbeiter sowie etwaige Vertreter des für die Verarbeitungsverantwortlichen. Die Rege-lung des Art. 28 Abs. 2 DS-GVO-E umfasst einen umfangreichen Katalog über zu dokumentierende Informationen, entspricht je-doch weitgehend dem Verfahrensverzeichnis nach § 4e BDSG. Diese Dokumentationen sind der Aufsichtsbehörde – wie auch das Verfahrensverzeichnis – auf Verlangen zur Verfügung zu stel-len. Von der Dokumentationspflicht ausgenommen sind Organi-sationen mit weniger als 250 Beschäftigten. Diese Ausnahme von der Dokumentationsverpflichtung für kleine und mittlere Unter-nehmen2 stellt eine bedeutsame Neuerung dar. Sie ist auch inkon-sequent, da in diesem Fall jede Basis für eine Datenschutz-Policy nach Art. 22, ein Datensicherheitskonzept nach Art. 30 und eine Datenschutz-Folgenabschätzung nach Art. 33 f. DS-GVO-E fehlt.

Einer Dokumentation bedürfen gemäß Art. 22 DS-GVO-E auch die „Strategien“, die ein Unternehmen zur Compliance mit dem DS-GVO-E ergreift. Die Mindestangaben sind dabei in Art. 22 Abs. 2 DS-GVO-E geregelt. Eine solche Dokumentations-pflicht kennt das BDSG nicht.

Eine neue Dokumentationspflicht regelt Art. 11 DS-GVO-E, in dem mit Blick auf die den Betroffenen zustehenden Rechte nach-vollziehbare und jedermann leicht zugängliche „Strategien“ ge-fordert werden. Die englische Fassung des DS-GVO-E spricht da-bei von „policies“, was die Intention dieser Regelung besser be-schreibt.

2.2 Datenschutz-Audit

Der Verordnungsgeber unterstreicht die Bedeutung einer Daten-schutzstrategie für Unternehmen, indem er in Art. 22 Abs. 3 DS-GVO-E ein Überprüfungs- und Auditverfahren durch unabhän-gige externe oder interne Prüfer fordert. Diese Pflicht ist unab-hängig von der Unternehmensgröße und nicht auf bestimmte Verfahren oder Prozesse begrenzt, steht jedoch unter dem Vor-behalt der Angemessenheit. Das Auditverfahren ist in der Doku-mentation nach Art. 28 Abs. 2 Buchstabe h) aufzunehmen. Da-mit sollen die Anforderungen an die interne Datenschutzkontrol-le nachvollziehbar und revisionsfähig ausgestaltet werden. Dieses interne Auditverfahren kann durch delegierte Rechtsakte nach Art. 22 Abs. 4 DS-GVO-E für Kleinst-, Klein- und mittlere Un-ternehmen konkretisiert werden.

3 Transparenzpflichten

Art. 14 DS-GVO-E regelt die Informationen der betroffenen Per-sonen bei der Datenerhebung. Eine große Zahl von Informatio-nen sind von der verantwortlichen Stelle den Betroffenen pro-aktiv zu erteilen. Diese Regelung geht weit über die Informati-onspflicht nach § 4 Abs. 3 BDSG hinaus. So muss danach bei-spielsweise auf das Bestehen eines Auskunftsrechts, das Recht auf Benachrichtigung und Löschung hingewiesen werden. Bei der Daten erhebung ist auch auf Beschwerderecht bei der Aufsichts-behörde sowie deren Kontaktdaten hinzuweisen. Zumindest bei

2 Definition der EU-Kommission der KMU hinsichtlich der Beschäftigtenzahl.

standard- oder formularmäßiger Datenerhebung ist hierfür ge-nügend Raum vorzusehen.

Dabei besteht jedoch die Gefahr, dass auf Grund der Länge der zur Verfügung gestellten Informationen diese gar nicht erst ge-lesen werden. Dies gilt insbesondere, wenn, wie dies vielfach der Fall sein wird, gleichzeitig weitere rechtlich erforderliche Infor-mationen, z.B. Allgemeine Geschäftsbedingungen oder Informa-tionen nach Fernabsatzrecht, bereitgestellt werden müssen. Un-abhängig davon sollte nicht der Blick auf das Wesentliche ver-stellt werden. In diesem Sinne kann es sinnvoll sein, auf umfas-sende allgemeine Informationen, z.B. zur Rechtewahrnehmung und zur zuständigen Aufsichtsbehörde, im Vorfeld zu verzich-ten und sich auf die für den Betroffenen interessanten Kernaus-sagen zu beschränken, nämlich von wem und zu welchen Zwe-cken seine Daten verarbeitet werden sowie ob und ggf. wohin eine Weitergabe der personenbezogenen Informationen erfolgt. Bezüglich weitergehender Informationen kann dem Betroffenen ggf. ein Auskunftsrecht eingeräumt werden. Alternativ kann ein Hinweis auf die nach Art. 11 DS-GVO-E ohnedies bereitzustel-lenden Informationen erfolgen.

Hingewiesen ist in diesem Zusammenhang auch darauf, dass die Information des Betroffenen in der Praxis im Rahmen von Standardverfahren erfolgt, bei denen eine Individualisierung nicht möglich ist bzw. einen unverhältnismäßigen Aufwand er-fordern würde. Insoweit käme nur die Bereitstellung generischer Informationen in Betracht. Dies betrifft etwa die Verpflichtung zur Angabe der Kontaktdaten der (zuständigen) Aufsichtsbehör-de (Art. 14 Abs. 1 Buchstabe e) DS-GVO-E). Auch die Dauer der Datenspeicherung (Art. 14 Abs. 1 Buchstabe c) DS-GVO-E) kann im Einzelfall je nach Verlauf der Geschäftsbeziehung variieren.

Auch das Auskunftsrecht ist in Art. 15 DS-GVO-E gemessen am BDSG erweitert worden. So muss die Dauer der Speicherung, das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde mit deren Kontaktdaten sowie die Tragweite oder Auswirkun-gen der Datenverarbeitung zumindest bei der Profilbildung be-auskunftet werden.

Die Tragweite dieser zusätzlichen Transparenzregeln, die auch dem Verbraucherschutz dient, ist branchenspezifisch zu beurtei-len, der Aufwand für die Unternehmen jedoch in jedem Falle nicht zu unterschätzen.

4 Neue Rechte des Betroffenen

4.1 Recht auf Vergessenwerden

Das in Art. 17 Abs. 2 DS-GVO-E normierte neue „Recht auf Ver-gessenwerden“ ist wesentlich durch die Diskussionen um Profi-le bzw. Veröffentlichungen im Rahmen von sozialen Netzwerken beeinflusst und die praktischen Schwierigkeiten, welche damit verbunden sind, wenn ein Betroffener die Preisgabe personenbe-zogener Daten im Internet später wieder rückgängig machen will („digitaler Radiergummi“). Die geplante Regelung ist allerdings nicht auf soziale Netzwerke beschränkt.

Insgesamt fehlt es der geplanten Regelung, vor allem auch vor dem Hintergrund, dass diese bußgeldbewehrt ist (Art. 79 Abs. 5 Buchstabe g) DS-GVO-E), an einer hinreichend klaren Kontu-rierung. Es stellt sich schon die Frage, ob ein Portalbetreiber, der seinen Nutzern das Erstellen und Pflegen von Profilen sowie das

572 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

Versenden von Nachrichten ermöglicht, tatsächlich im Sinne von Art. 17 Abs. 2 Satz 1 DS-GVO-E personenbezogene Daten als für die Verarbeitung Verantwortlicher öffentlich macht. Be-treiber wie z.B. Facebook stellen letztlich nur die Plattform zur Verfügung, die Entscheidung über die Veröffentlichung der In-formationen über das Netzwerk trifft jedoch der Nutzer selbst.

Die zunächst angedachte Pflicht des für die Verarbeitung Ver-antwortlichen, selbst für die Löschung der Links und Kopien be-züglich der in Frage stehenden Daten zu sorgen, wurde durch die Verpflichtung ersetzt, alle vertretbaren Schritte zu unternehmen, die für die Datenspuren unmittelbar Verantwortlichen über das Löschungsbegehren des Betroffenen zu informieren. Angesichts der Vervielfältigungs- und Verknüpfungsmechanismen im Inter-net können sich Inhalte dort in kurzer Zeit auf nahezu unüber-schaubare Weise verbreiten, so dass sich die in die Pflicht genom-menen Unternehmen schnell einer kaum zu bewältigenden Auf-gabe gegenüber sehen dürften. Welche Anstrengungen in diesem Zusammenhang als „vertretbar“ anzusehen sind, ist mit erheb-lichen Unwägbarkeiten behaftet. Die praktische Umsetzbarkeit dieses Rechtsanspruchs ist vor dem Hintergrund der Technik und Funktionsweise des Internets fraglich.3

Die geplante Norm sollte mit dem Ziel überarbeitet werden, ei-ne entsprechend rechtssichere und für die Unternehmen in der Praxis auch umsetzbare Regelung zu schaffen. Jedenfalls bis ers-te Praxiserfahrungen mit der Regelung gesammelt wurden, er-scheint es auch sinnvoll, ihren Anwendungsbereich auf soziale Netzwerke zu beschränken.

4.2 Recht auf Datenübertragbarkeit

Das geplante Recht auf Datenübertragbarkeit stellt ebenso wie das zuvor angesprochene neue Recht auf Vergessenwerden eine subs-tantielle Neuerung dar. Anders als bei dem Recht auf Vergessen-werden handelt es sich allerdings bei dem Recht auf Datenporta-bilität um eine Regelung, die offensichtlich weniger dem Schutz der informationellen Selbstbestimmung als dem Verbraucher-schutz dient.4 Insofern stellt sich bereits die Frage nach der rich-tigen Verortung der Regelung.

Das Recht auf Datenübertragbarkeit ist zudem – anders als Art. 18 Abs. 1 DS-GVO-E dies vorsieht, welcher insoweit ledig-lich auf die elektronische Verarbeitung der betreffenden perso-nenbezogenen Daten in einem strukturierten gängigen elektroni-schen Format abstellt – nicht auf Informationen beschränkt, die der Betroffene selbst zur Verfügung gestellt hat. Die ist aus unter-nehmerischer Sicht problematisch, da es einen übergebührlichen Eingriff in die Unternehmensfreiheit darstellen würde, wenn von der Portabilität auch solche Informationen erfasst würden, die das Unternehmen im Rahmen seiner Geschäftstätigkeit zur Person des Betroffenen speichert, z.B. Informationen zu vorhan-denen Verträgen oder Werbemerkmalen in einer Kundendaten-bank. Diese Informationen bzw. die dahinter stehenden Verarbei-tungsprozesse (z.B. Berechnungsmodelle) unterliegen zum einen dem Geschäftsgeheimnis, das angemessen zu schützen ist. Zum anderen ist zu verhindern, dass ein neuer Anbieter des Betroffe-nen die Früchte der Arbeit des vorherigen Geschäftspartners ern-tet. Art. 18 Abs. 2 DS-GVO-E nimmt zwar eine Beschränkung auf solche personenbezogenen Daten vor, die der Betroffene „zur

3 I.E. auch Lang, K&R 2012, 145 (149).4 So auch Härting, BB 2012, 458 (465).

Verfügung gestellt“ hat, das Verhältnis von Art. 18 Abs. 2 DS-GVO-E und Art. 18 Abs. 1 DS-GVO-E ist jedoch unklar.

Art. 18 Abs. 2 DS-GVO-E geht davon aus, dass die personen-bezogenen Daten dem bisherigen für die Verarbeitung Verant-wortlichen „entzogen werden“. Diese Wortwahl zeigt, dass die Kommission bei der Formulierung des Regelungsvorschlags of-fenbar vor allem Anbieter sozialer Netzwerke vor Augen hatte, obgleich der Anwendungsbereich der geplanten Regelung nicht auf diese beschränkt ist. Außerhalb dieses Bereichs können ei-ner vollständigen „Mitnahme“ der Daten ggf. Aufbewahrungs- und Dokumentationspflichten des bisherigen Geschäftspartners entgegenstehen.

5 Datenschutz Folgenabschätzung

Eine Datenschutz-Folgenabschätzung ist nach Art. 33 DS-GVO-E erforderlich, wenn die Datenverarbeitung „konkrete Risiken“ für die Rechte und Freiheit der Betroffenen begründet. Art. 33 kon-kretisiert, wann eine solche Pflicht besteht. Eine Pflicht zur Ver-öffentlichung der Folgenabschätzung besteht nicht. Eine solche Pflicht ist dem deutschen Datenschutzrecht nicht neu. Im BDSG unterliegen für die Rechte und Freiheiten der Betroffenen kriti-sche Datenverarbeitungen gemäß § 4g Abs. 5 der Vorabkontrol-le, die gemäß § 4g Abs. 6 BDSG dem betrieblichen Datenschutz-beauftragten obliegt. Im Gegensatz zum BDSG ist in dem DS-GVO-E diese Aufgabe nicht dem betrieblichen Datenschutzbe-auftragten zugewiesen. Dieser hat lediglich die Aufgabe, die ord-nungsgemäße Durchführung als solche zu überwachen (Art. 37 Abs. 1 Buchstabe f) DS-GVO-E). Geht aus der Folgenabschätzung hervor, dass geplante Verarbeitungsvorgänge „hohe konkrete Ri-siken“ bergen, ist die Aufsichtsbehörde zu Rate zu ziehen. Glei-ches gilt, wenn die Aufsichtsbehörde selber ihre Beteiligung für erforderlich hält (siehe nachfolgend unter Pkt. 9).

6 Gemeinsam für die Verarbeitung Verantwortliche

Der Entwurf der DS-GVO geht davon aus, dass mehrere Stel-len bzw. Personen gemeinsam für eine Datenverarbeitung ver-antwortlich sein können und dementsprechend auch zusammen gegenüber dem Betroffenen haften (Art. 24 DS-GVO-E). Unter welchen Voraussetzungen eine solche gemeinsame Verantwor-tung entstehen kann bzw. darf, wird, abgesehen von der in Art. 26 Abs. 4 DS-GVO-E enthaltenen Regelung, nicht näher erläutert.

Die Frage nach der Zulässigkeit von gemeinsamen Verfah-ren personenbezogener Datenverarbeitung stellt sich in der Pra-xis insbesondere für Konzerne bzw. Unternehmensverbünde. Zunehmend werden unternehmerische Ziele in nationalen und multinationalen Unternehmensverbünden verfolgt, wobei die Konzerne in wachsendem Maße darauf angewiesen sind, Kun-den- und Mitarbeiterdaten im Rahmen ihrer Geschäftstätigkei-ten an konzernangehörige Unternehmen zu transferieren. Hinzu kommt, dass die Konzernstrukturen einer großen Dynamik un-terworfen sind und konzerninterne Dienstleistungen häufig zen-tralisiert oder arbeitsteilig erbracht werden (z.B. bei Shared-Ser-vice-Centern bzw. Matrixstrukturen).

DuD Datenschutz und Datensicherheit 8 | 2012 573

SCHWERPUNKT

Vor diesem Hintergrund und insbesondere mit Blick auf den bezweckten freien Datenverkehr innerhalb der EU wäre es sinn-voll, den gewandelten Gegebenheiten im Rahmen einer Spezial-regelung zur Zulässigkeit der Datenverarbeitung durch verbun-dene Unternehmen unter Wahrung eines angemessenen Daten-schutzniveaus Rechnung zu tragen.

7 Meldung von Datenschutzverletzungen

Die vorgesehenen Regelungen bzgl. der Meldung von Daten-schutzverletzungen gegenüber der Aufsichtsbehörde bzw. der Be-nachrichtigung des Betroffenen gehen weit über die Vorgaben des § 42a BDSG hinaus. Die Melde- bzw. Benachrichtigungspflicht erfasst alle Arten personenbezogener Daten. Die Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 31 DS-GVO-E greift überdies unabhängig davon, ob auf Grund der festgestellten Da-tenschutzverletzung eine Beeinträchtigung der betroffenen Per-son zu besorgen ist. Schließlich stellt die Verpflichtung allein auf das Vorliegen einer „Verletzung des Schutzes personenbezoge-ner Daten“ ab. Nach ihrem Wortlaut würde die geplante Rege-lung damit auch bei unbefugten Zugriffen innerhalb der verant-wortlichen Stelle eingreifen.

Für die Benachrichtigung der Aufsichtsbehörde räumt der DS-GVO-E in Art. 31 Abs. 1 eine feste Frist („nach Möglichkeit binnen 24 Stunden nach Feststellung der Verletzung“) ein. Die-ses wird insbesondere dann Schwierigkeiten bereiten, wenn die Datenschutzpanne bei einem Auftragsverarbeiter geschieht, der dann zunächst den – für die Information nach Art. 31 und Art. 32 DS-GVO-E zuständigen – für die Verarbeitung Verantwortlichen zu informieren hat.

Für die Benachrichtigung der Aufsichtsbehörde sollte deshalb festgelegt werden, dass diese „ohne schuldhaftes Zögern“ zu er-folgen hat.

8 Auftragsdatenverarbeitung

Im Rahmen des IT-Outsourcings kommt der Auftragsdaten-verarbeitung in der Praxis eine hohe Bedeutung zu. Während das deutsche Recht die Verantwortlichkeiten und Aufgaben der verantwortlichen Stelle und des Auftragsdatenverarbeiters (§ 11 BDSG) klar differenziert, kennt der DS-GVO-E eine derart saube-re Trennung nicht. So gilt etwa gemäß Art. 26 Abs. 4 DS-GVO-E der Auftragsverarbeiter, der personenbezogene Daten auf eine an-dere als die vom für die Verarbeitung Verantwortlichen bezeich-nete Weise verarbeitet, für diese Verarbeitung als Verantwortli-cher und unterliegt den Bestimmungen des Art. 24 DS-GVO-E, der die gemeinsame Verantwortung für die Datenverarbeitung regelt.

Bereits aus haftungsrechtlichen Gründen wäre es insbeson-dere sinnvoll, eine klare Aufgabentrennung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbei-ter vorzunehmen. So soll etwa die Datenschutz-Folgenabschät-zung (Art. 33 DS-GVO-E) „der für die Verarbeitung Verantwort-liche oder der in seinem Auftrag handelnde Auftragsverarbei-ter“ durchführen. Die Durchführung einer Datenschutz-Folgen-abschätzung kann aber richtigerweise, schon weil dies die haften-de Stelle ist, letztlich nur Aufgabe des für die Verarbeitung Ver-antwortlichen sein.

Sinnvoll wäre schließlich eine Klarstellung, dass die Einschal-tung eines Auftragsverarbeiters bzw. die damit verbundene Wei-tergabe personenbezogener Daten an diesen keines besonderen Erlaubnistatbestandes bedarf, sofern die Vorgaben des Art. 26 DS-GVO-E eingehalten werden.

9 Geschwächte betriebliche Selbstkontrolle

Obwohl vom Grundsatz das Prinzip der betrieblichen Selbstkon-trolle durch Datenschutzbeauftragte in den DS-GDV-E im Sin-ne einer europarechtlichen Bestellpflicht Einzug gehalten hat, ist dieses Prinzip jedoch gemessen an der Rechtslage des BDSG ge-schwächt.5 Zu dieser Schwächung führt zunächst der Umstand, dass gemäß Art. 35 Abs. 1 Buchstabe b) DS-GVO-E eine Bestell-pflicht grundsätzlich erst ab einer Unternehmensgröße von 250 Mitarbeitern bestehen soll. Damit würde insbesondere im Mit-telstand eine unabhängige interne Compliance-Instanz zum Da-tenschutz fehlen bzw. eine Person, die im Hinblick auf die per-sonenbezogene Datenverarbeitung als Anwalt der Betroffenen agiert. Der Bundesbeauftragte für den Datenschutz und die In-formationsfreiheit geht davon aus, dass nur noch 0,3% der deut-schen Unternehmen zur Bestellung eines Datenschutzbeauftrag-ten verpflichtet wären.6

Aus Sicht des betrieblichen Datenschutzes ist der geplante hohe Schwellenwert von 250 Mitarbeitern für die Grundrechtsposition des von der Verarbeitung Betroffenen äußerst kontraproduktiv.7 Zum einen ist zu befürchten, dass viele Unternehmen unterhalb des Schwellenwertes in Ermangelung einer internen Complian-ce-Instanz zum Thema „Datenschutz“ nur unzureichend die da-tenschutzrechtlichen Anforderungen bei der Verarbeitung von Kunden- und Mitarbeiterdaten beachten. Zum anderen ist der Wegfall des betrieblichen Datenschutzbeauftragten auch unter Wirtschaftlichkeitsgesichtspunkten wenig sinnvoll. So müssten sich zur Befolgung der geplanten EU-Verordnung die Fachabtei-lungen im Unternehmen die notwendigen datenschutzrechtli-chen Kenntnisse selber aneignen, die bisher beim Datenschutz-beauftragten gebündelt waren, mit der Folge, dass erhebliche Sy-nergieeffekte verloren gingen.

Die Betroffenen, vor allen Dingen Kunden und Mitarbeiter, wären gehalten, sich mit ihren Datenschutzfragen und -beschwer-den unmittelbar an die staatliche Datenschutzaufsichtsbehörde zu wenden, die ihrerseits Ermittlungen im Unternehmen anstel-len müsste. Diese Aufgabe wird zurzeit weitgehend von den be-trieblichen Datenschutzbeauftragten wahrgenommen, die die in Rede stehenden Sachverhalte sach- und zeitnah aufklären kön-nen. Auch im Verhältnis der Unternehmensleitung zur Mitarbei-tervertretung fehlt die Kompetenz des betrieblichen Datenschutz-beauftragten bei der Beurteilung von Prozessen der Mitarbeiter-datenverarbeitung mit der Folge, dass die jeweiligen Interessen ohne mögliche Moderation durch den Datenschutzbeauftragten aufeinander prallen.

Nach Art. 35 Abs. 7 DS-GVO-E soll die Bestellung des Daten-schutzbeauftragten zudem auf zwei Jahre begrenzt werden kön-nen. Diese Befristungsmöglichkeit steht einer unabhängigen Auf-gabenwahrnehmung entgegen. Nicht zuletzt auf Grund der Da-

5 Zu Aufgaben und Rechtstellung des betrieblichen Datenschutzbeauftrag-ten nach dem DS-GVO-E, Jaspers/Reif, RDV 2012, 78 ff.

6 Pressemeldung vom 25.01.2012 veröffentlicht unter www.bfdi.de.7 So im Ergebnis auch Hornung, a.a.O, 104.

574 DuD Datenschutz und Datensicherheit 8 | 2012

SCHWERPUNKT

tenschutzskandale im Umgang mit Mitarbeiter- und Kundenda-ten ist mit der Novellierung des Bundesdatenschutzgesetzes im Jahr 2009 dem betrieblichen Datenschutzbeauftragten auf nati-onaler Ebene ein Kündigungsschutz eingeräumt worden. Dieser soll ihm die notwendige Unabhängigkeit bei der Prüfung und Be-handlung von datenschutzrelevanten Sachverhalten ermöglichen.

10 Verstärkte Einflussnahme der Aufsichtsbehörden

Der DS-GVO-E schafft die Meldepflichtigkeit von Verfahren per-sonenbezogener Datenverarbeitung bei den staatlichen Aufsichts-behörden, wie sie bisher im Grundsatz in der Datenschutz-Richt-linie (95/46/EG) geregelt ist, ab. Allerdings wird bei der Daten-schutz-Folgenabschätzung eine Zurateziehung der Aufsichtsbe-hörde erforderlich, sofern sich „hohe konkrete Risiken“ für den Betroffenen ergeben (Art. 33, 34 Abs. 2 Buchstabe a) DS-GVO-E). Die EU-Kommission wird ermächtigt, delegierte Rechtsakte zu erlassen, um die Kriterien und Anforderungen für die Bestim-mung der in Bezug genommenen hohen konkreten Risiken fest-zulegen (Art. 34 Abs. 8 DS-GVO-E). Zusätzlich wird die nationa-le Aufsichtsbehörde ermächtigt, eine Liste von Verarbeitungsvor-gängen festzulegen, bei denen eine vorherige Konsultation zu er-folgen hat (Art. 34 Abs. 2 Buchstabe b) i.V.m. Abs. 4 DS-GVO-E). Im Ergebnis sind damit die Fälle der Einschaltung der staatlichen Fremdkontrolle in die Geschäftsprozesse der Datenverarbeitung von Unternehmen unabsehbar. Hier enthält der Entwurf Poten-ziale zum Bürokratieabbau. So könnte die Datenschutz-Folgenab-schätzung auf den betrieblichen Datenschutzbeauftragten über-tragen werden, der sich in Zweifelsfällen mit der Aufsichtsbehör-de ins Benehmen setzt. Durch diese Stärkung der betrieblichen Selbstkontrolle könnten zeitaufwendige Konsultationen auf ein notwendiges Minimum beschränkt werden. Zugleich ließen sich die Stellung des Datenschutzbeauftragten und damit seine Ak-zeptanz im Unternehmen stärken.

Bei der Entwicklung von „Standardvorlagen“ der EU-Kommissi-on zur Dokumentation der Verarbeitungsprozesse (Art. 28 Abs. 6 DS-GVO-E) bzw. „Standardvorlagen und Verfahrensvorschrif-ten“ für das Verfahren der vorherigen Genehmigung bzw. Zura-teziehung der Aufsichtsbehörden gemäß Art. 34 Abs. 1 und 2 DS-GVO-E sollte auch die fachliche Expertise der Vertreter der Da-tenschutzpraxis, insbesondere der betrieblichen Datenschutzbe-auftragten eingeholt werden, um überflüssige Bürokratie auf der operativen Ebene der Datenschutzorganisation zu verhindern.

Fazit

Die Datenschutz-Grundverordnung steht unter dem Vorbehalt einer Vielzahl von delegierten Rechtsakten und Durchführungs-bestimmungen. Damit ist eine Bewertung des Verordnungsvor-schlages auch mit Blick auf Auswirkungen auf die betriebliche Datenschutzorganisation zum jetzigen Zeitpunkt nur bedingt möglich. Jedoch ist bereits erkennbar, dass die Anforderungen an den Nachweis angemessener Prozesse zur Sicherstellung der Ein-haltung der Vorgaben (Accountability) deutlich wachsen werden.

Durch die unmittelbare Geltung wird auf Konzernebene aber der Aufbau eines einheitlichen Datenschutzmanagements er-leichtert. Zugleich wird eine zentrale Steuerung und Koordinie-rung begünstigt. Jedoch ist ein erhöhter Ressourcenbedarf zur Datenschutzorganisation er kennbar, der auch dezentral bereit-gestellt werden muss.

Die Beziehung der Unternehmen mit den Aufsichtsbehörden wird nicht zuletzt durch die Beteiligungsverfahren bei der Daten-schutz-Folgeabschätzung in tensiver. Ob allerdings die umfäng-lichen Anforderungen der DS-GVO-E in kleinen und mittelgro-ßen Unternehmen umfänglich befolgt werden, ist zu bezweifeln, da in Ermangelung einer Bestellpflicht eines betrieblichen Daten-schutzbeauftragten der Motivator für die Umsetzung der Vorga-ben der Verordnung und das Compliance-Organ fehlt.

DuD Datenschutz und Datensicherheit 8 | 2012 575

SCHWERPUNKT