Reform der EU-Datenschutzvorschriften (2)
In der im Beitrag vom 25. Januar zitierten Pressemitteilung der EU zu den Reformplänen in Sachen Datenschutz war eine recht einschneidende Änderung nicht erwähnt: Die Kommission plant, die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten im Regelfall erst ab einer Mitarbeiterzahl von 250 verbindlich zu machen.
Nur noch ein Bruchteil deutscher Unternehmen verpflichtet
Nach den derzeit in Deutschland gültigen Vorschriften des Bundesdatenschutzgesetzes ist die Bestellung eines betrieblichen Datenschutzbeauftragten schon dann verpflichtend, wenn mindestens 10 Personen in einem Unternehmen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Sollte also die EU-Verordnung europaweit in Kraft treten, wäre nur noch ein verschwindend geringer Prozentsatz der deutschen Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen. Im Gegensatz zu einer Richtlinie ist eine Verordnung unmittelbar geltendes Recht und muss nicht in nationale Gesetze umgesetzt werden. In der Wirkung ist sie einem Gesetz vergleichbar; die bei der Richtlinie bestehenden nationalen Spielräume zur Ausfüllung entfallen.
Keine gute Idee
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) nennt diese Pläne „für die Grundrechtsposition des Datenschutzes äußerst kontraproduktiv“. Nach Einschätzung der GDD würden sich in Folge viele Unternehmen unterhalb des Schwellenwertes unzureichend um die Umsetzung Datenschutzvorschriften kümmern. Auch unter wirtschaftlichen Aspekten sei das Vorhaben wenig sinnvoll, denn das in der Person des oder der Datenschutzbeauftragten gebündelte Know-How würde verloren gehen und die Fachabteilungen müssten es sich aufwändig selber aneignen.
Durch praktische Erfahrung bestätigt
Diese Einschätzung wird durch unsere praktische Erfahrung aus rund 12 Jahren Tätigkeit als externe betriebliche Datenschutzbeauftragte bestätigt. Zwar hängt die Tatsache, ob ein Unternehmen sich um die Etablierung und Einhaltung von guten Datenschutzstandards kümmert oder nicht, nicht ausschließlich an der Zahl der Mitarbeiter und damit an der gesetzlichen Verpflichtung. Das Wissen um die gesetzliche Verpflichtung zur Bestellung von Datenschutzbeauftragten ist aber oft ein erster Anstoß, sich überhaupt mit der Thematik zu beschäftigen. Für viele Unternehmen ist darüber hinaus der von Aufraggebern oder Kunden ausgeübte Druck maßgeblich, die Einhaltung von Datenschutz-Mindeststandards nachzuweisen. Diese aufzubauen und für die Einhaltung zu sorgen gelingt in der Regel durch die Beschäftigung von Datenschutzbeauftragten am besten, seien sie intern oder extern tätig.
Nicht nur die formale Pflicht entscheidet
Andererseits sind auch andere Faktoren als nur die formale Pflicht zur Benennung eines Datenschutzbeauftragten ausschlaggebend für den sorgsamen Umgang mit personenbezogenen Daten in Unternehmen. Den Datenschutzbeauftragten muss von Seiten der Unternehmen Zeit und Unterstützung eingeräumt werden, die der Aufbau einer Datenschutzorganisation braucht. Datenschutzbeauftragte müssen ernst genommen werden und sie selbst müssen ihre Funktion nicht nur als ein lästiges Übel unter vielen wichtigeren Aufgaben begreifen. Die gesetzliche Pflicht, Datenschutzbeauftragte zu bestellen, unterstützt diese aber insofern, als sie dem Tun der Datenschutzbeauftragten den formalen Nachdruck verleiht. Die EU-Kommission täte also gut daran, die Grenze von 250 Beschäftigten zu überdenken, wenn sie ernsthaft an besseren Datenschutzstandards in Europa interessiert ist.
Gesetzgebung braucht Zeit
Gut Ding will Weile haben. Die Vorschläge der Europäischen Kommission für eine EU-Datenschutzverordnung müssen vom Europäischen Parlament und vom Rat der Europäischen Union, in welchem die Mitgliedstaaten vertreten sind, verhandelt und im sogenannten ordentlichen Gesetzgebungsverfahren angenommen werden. Das ist nicht mal eben so erledigt und vor allem nicht vor dem Hintergrund der Komplexität der Datenschutzmaterie. Es ist daher mit mehrjährigen Verhandlungen in Brüssel und Straßburg zu rechnen. Bis zum Inkrafttreten des neuen Rechts gilt die EU-Datenschutzrichtlinie 95/46/EG weiter.