Drucksache 17/13000
26 ––
–– 26
Mit deren Abschaffung macht die Kommission unverkennbar Anleihen bei der deutschen Regelung, nach der
Meldepflichten nur in sehr eingeschränktem Umfang bestehen.
Da die neue Verpflichtung aber nur für Unternehmen mit
mindestens 250 Mitarbeitern gelten soll, bleibt sie hinter
der bewährten deutschen Regelung weit zurück. Danach
sind öffentliche Stellen des Bundes generell zur Bestellung eines Datenschutzbeauftragten verpflichtet und für
nicht-öffentliche Stellen gilt eine Benennungspflicht
ab 20 mit der manuellen bzw. ab 10 mit der automatisierten Datenverarbeitung ständig beschäftigten Personen.
Während die Einführung betrieblicher und behördlicher
Datenschutzbeauftragter aus europäischer Sicht also an
sich als Fortschritt anzusehen ist, bleiben die vorgeschlagenen Regelungen hinter den Anforderungen zurück. Nur
noch ca. 0,3 Prozent der deutschen Unternehmen müssten
nach der neuen EU-Regelung einen Datenschutzbeauftragten benennen. Der sachfremde Schwellenwert von
250 Mitarbeitern verstellt zudem den Blick auf risikogeneigte Datenverarbeitungen, bietet Umgehungsmöglichkeiten und könnte in der Konsequenz zu einer
weitgehenden Abschaffung des betrieblichen Datenschutzbeauftragten führen.
Der Schwellenwert von 250 Beschäftigten ist nicht nur
viel zu hoch angesetzt. Die Mitarbeiterzahl ist auch als
Anknüpfungspunkt ungeeignet, weil die Notwendigkeit
einer internen Datenschutzkontrolle nicht von der Größe
des Unternehmens, sondern vom Umfang der Datenverarbeitung und deren Risikopotential abhängt. Zu Recht
haben Unternehmen, deren Datenverarbeitung einer Vorabkontrolle unterliegt oder die, wie etwa Adressmakler
oder Wirtschaftsauskunfteien, personenbezogene Daten
geschäftsmäßig übermitteln, nach deutschem Recht unabhängig von ihrer Größe einen Datenschutzbeauftragten zu
bestellen.
Leider fehlen in der Datenschutz-Grundverordnung auch
wichtige Instrumente, die die Unabhängigkeit des Datenschutzbeauftragten absichern. Dazu zählen die
Verschwiegenheitspflicht und das Zeugnisverweigerungsrecht des Datenschutzbeauftragten, das Benachteiligungsverbot und vor allem der besondere Kündigungsschutz.
Es ist zudem ein Unterschied, ob der Datenschutzbeauftragte der Unternehmensleitung organisatorisch unmittelbar unterstellt ist (so im BDSG) oder ob er, wie vorgeschlagen, lediglich ein unmittelbares Vorspracherecht hat.
Ich werde mich weiterhin dafür einsetzen, dass diese
wichtigen Aspekte in die Reform des europäischen
Rechtsrahmens einfließen und die Position des Datenschutzbeauftragten europaweit gestärkt wird.
Selbstregulierung als Instrument für besseren
Datenschutz
Schon die Europäische Datenschutzrichtlinie von 1995
sieht die Einführung von Selbstregulierungsmechanismen
zur Förderung des Datenschutzes vor. Diese Vorgabe
wurde 2001 in deutsches Recht umgesetzt. Allerdings
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
führt dieses wichtige Instrument jedenfalls in Deutschland seitdem ein Schattendasein (vgl. dazu Nr. 3.4).
Der Entwurf der Datenschutz-Grundverordnung schreibt
die bestehende europarechtliche Vorgabe fort und sieht
weiterhin die Möglichkeit der Schaffung von Verhaltensregeln auf nationaler und europäischer Ebene vor.
Die Vorschläge der Kommission sind allerdings recht allgemein gehalten und bedürfen der Präzisierung. Selbstregulierung kann nur dann erfolgreich sein, wenn folgende
Voraussetzungen erfüllt sind:
– Verhaltensregeln dürfen die materiellen Vorschriften
für bestimmte Sektoren konkretisieren und ergänzen,
dürfen diese aber weder ersetzen noch neue Datenverarbeitungsbefugnisse schaffen.
– Es muss klare rechtliche Vorgaben geben, was Gegenstand von Verhaltensregeln sein kann (regulierte
Selbstregulierung).
– Das Verfahren zur Anerkennung von Verhaltensregeln
muss klar geregelt sein. Sie muss durch unabhängige
vertrauenswürdige Instanzen vorgenommen werden.
– Verhaltensregeln müssen durchgesetzt werden können; Rechte der Aufsichtsbehörden dürfen nicht beschnitten werden.
– Verhaltensregeln müssen den Unternehmen Vorteile
bieten, sonst werden sie nicht akzeptiert. Hauptvorteil
ist eine höhere Rechtssicherheit und eine Bindung der
Aufsichtsbehörden an die von ihnen selbst anerkannten Verhaltensregeln.
Einige der Voraussetzungen sind durch die Vorschläge
der Kommission bereits erfüllt, bei anderen muss noch
nachgebessert werden. Auf Ressortebene werden dazu
vielversprechende Vorschläge diskutiert, die in die Verhandlungen im Rat eingebracht werden könnten.
Europäisches Datenschutzrecht muss europaweit
einheitlich durchgesetzt werden
Die Globalisierung des Datenschutzes als Folge der zunehmend grenzüberschreitenden Verarbeitung personenbezogener Daten vor allem über das Internet durch Unternehmen aber auch Behörden erfordert ein gemeinsames
Vorgehen der Datenschutzbehörden. Die geltende EUDatenschutzrichtlinie 95/46/EG hat zwar zu einer Harmonisierung zentraler datenschutzrechtlicher Grundsätze innerhalb der EU geführt. Sie hat aber nicht in hinreichendem Maß zu einer einheitlichen Rechtsanwendung in der
Praxis der weiterhin national organisierten Datenschutzaufsicht geführt.
Die Europäische Kommission hat diesen Umstand aufgegriffen und schlägt mit dem so genannten „One-StopShop“ (Artikel 51 Absatz 2 des Verordnungsentwurfs)
und dem Kohärenzverfahren (Artikel 58 ff. des Verordnungsentwurfs) Mechanismen vor, die zu einer einheitlichen Datenschutzpraxis in der EU in Fällen beitragen
sollen, in denen ein Verantwortlicher in mehreren Mitgliedstaaten niedergelassen ist oder in denen Personen in
mehreren Mitgliedstaaten von denselben Verarbeitungs-