Verankerung des betrieblichen DSB in der Grundverordnung gesichert
Ob die EU-Datenschutz-Grundverordnung überhaupt Regelungen zum betrieblichen Datenschutzbeauftragten enthalten würde und wenn ja, welche – das stand bis zur letzten Minute in den Sternen. Doch rechtzeitig zum Fest können sich alle betrieblichen Datenschutzbeauftragten entspannt zurücklehnen. Die Datenschutz-Grundverordnung sichert in allen wichtigen Punkten ihre bisherige Stellung. Zugleich sieht sie erstmals für bestimmte Unternehmen eine europaweit geltende Pflicht vor, einen Datenschutzbeauftragten zu ernennen. Besser hätte die Datenschutz-Bescherung kaum noch ausfallen können!
Schwierige Ausgangslage – gutes Ergebnis
Die Regelung über den betrieblichen Datenschutzbeauftragten gehörte zu den umstrittensten Punkten bei den Beratungen über die Datenschutz-Grundverordnung. Noch bis weit in den Dezember hinein war unklar, ob die Bestellung eines betrieblichen Datenschutzbeauftragten künftig überhaupt noch erlaubt sein würde.
Daran, jedenfalls für bestimmte Arten von Unternehmen eine Pflicht zur Bestellung eines Datenschutzbeauftragten europaweit vorzusehen, wagten viele schon gar nicht mehr zu denken. Umso erfreulicher ist für alle Datenschutzbeauftragten, was in der Woche vor dem 4. Advent in den Trilog-Verhandlungen politisch gebilligt und am 17.12.2015 durch einen Beschluss des Europäischen Parlaments im Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres („LIBE-Ausschuss“) bereits durch ein erstes wichtiges Gremium förmlich abgesichert wurde.
Die Grundverordnung wird einen eigenen Abschnitt über den betrieblichen Datenschutzbeauftragten enthalten. Dieser Abschnitt besteht aus drei Paragraphen zu den Themen „Bestellung“, „Stellung im Unternehmen“ und „Aufgaben“.
Europaweite Pflicht zur Bestellung – aber nicht generell
Europaweit verpflichtend ist demnach die Bestellung eines betrieblichen Datenschutzbeauftragten für folgende Institutionen:
- alle Behörden und öffentliche Einrichtungen
- Unternehmen, zu deren Kerngeschäft in erheblichem Umfang die regelmäßige und systematische Überwachung von Betroffenen gehört
- Unternehmen, zu deren Kerngeschäft in erheblichem Umfang der Umgang mit sensiblen Daten gehört.
Nähere Einzelheiten zur Abgrenzung der verschiedenen Begriffe wie etwa des „erheblichen Umfangs“ wurden nicht geregelt. Sie dürften im Einzelfall erst durch die Rechtsprechung des Europäischen Gerichtshofs geklärt werden.
Entscheidend ist jedoch, dass eine ganze Reihe von Unternehmen in allen Mitgliedstaaten der Europäischen Union einen betrieblichen Datenschutzbeauftragten bestellen muss. Das ist neu und war in der bisher geltenden Datenschutz-Richtlinie von 1995 nicht vorgesehen. Der betriebliche Datenschutzbeauftragte ist damit zu einer Institution geworden, die unter bestimmten Voraussetzungen im Europarecht selbst verankert ist.
Weitergehende nationale Regelung bleibt möglich
Für Unternehmen, die nach den eben geschilderten Vorgaben keinen betrieblichen Datenschutzbeauftragten bestellen müssen, kann der nationale Gesetzgeber trotzdem eine solche Pflicht vorsehen. Mit anderen Worten: Der deutsche Gesetzgeber hat die Freiheit, die bisher im Bundesdatenschutzgesetz (BDSG) enthaltene Verpflichtung für die Bestellung eines betrieblichen Datenschutzbeauftragten beizubehalten. Das Europarecht steht dem nicht entgegen.
BDSG gilt insoweit fort
Besonders wichtig: Da die vorhandenen Regelungen des BDSG für die Bestellung eines Datenschutzbeauftragten mit den Vorgaben der Grundverordnung zu vereinbaren sind, gelten sie auch noch nach Inkrafttreten der Grundverordnung fort. Sollte es der deutsche Gesetzgeber also versäumen, rechtzeitig zum Inkrafttreten der Grundverordnung neue Regelungen zu treffen, bleibt es schlicht beim jetzigen Rechtsstand. Unternehmen müssen dann einen schon vorhandenen betrieblichen Datenschutzbeauftragten weiterhin beibehalten und für den Fall, dass die Stelle vakant wird, einen neuen Beauftragten berufen.
Stellung des DSB ändert sich kaum
Die Stellung des Datenschutzbeauftragten im Unternehmen ändert sich gegenüber dem jetzigen Rechtszustand so gut wie nicht. Insbesondere
- muss er direkt der obersten Unternehmensebene organisatorisch zugeordnet sein,
- ist er gegen Kündigung aufgrund seiner Tätigkeit geschützt und
- ist Ansprechpartner für Betroffene.
Konzern-DSB ausdrücklich erlaubt, ebenso externer Datenschutzbeauftragter
Ein gemeinsamer Datenschutzbeauftragter für mehrere miteinander verbundene Unternehmen ist ausdrücklich zugelassen. Ebenso bleibt es dabei, dass ein Datenschutzbeauftragter auch noch andere Aufgaben im Unternehmen wahrnehmen kann. Externe Datenschutzbeauftragte sind ausdrücklich möglich.
Aufgaben des DSB
Hauptaufgaben des Datenschutzbeauftragten sind die Beratung der Unternehmensspitze und die Überwachung der Einhaltung datenschutzrechtlicher Regelungen.
Weitere Abläufe in Brüssel
Im Augenblick liegt noch keine Fassung der Datenschutz-Grundverordnung auf Deutsch vor. Der Sprachendienst der Europäischen Kommission wird in den nächsten Wochen Fassungen in allen offiziellen Amtssprachen erstellen. Diese Fassungen werden dann vom Rat der Europäischen Union und vom Europäischen Parlament insgesamt (also nicht nur wie jetzt von einem Ausschuss des Parlaments) offiziell beschlossen. Eine offizielle Zustimmung der Europäischen Kommission ist nicht mehr notwendig.
Mit einer Veröffentlichung im Amtsblatt der Europäischen Union dürfte etwa an Ostern oder kurz danach zu rechnen sein. Ab dem Zeitpunkt der Veröffentlichung beginnt die zweijährige Übergangsfrist bis zum Inkrafttreten der Grundverordnung.