EU-Datenschutzreform

Die künftige Rolle des Datenschutzbeauftragten

Eric Tierling, Master in Information Systems Security Management (Professional), blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück. Neben Hunderten an Fachbeiträgen hat er über 50 Bücher veröffentlicht. Er ist Spezialist für Themen rund um die Informationssicherheit sowie einer der bekanntesten Experten Deutschland für Windows Server und Microsoft-basierte Infrastrukturen.
Die kommende Datenschutzgesetzgebung der EU wird die Bedeutung des Datenschutzbeauftragten verändern.

Eines der umfangreichsten europäischen Gesetzgebungsvorhaben ist die EU-Datenschutzgrundverordnung, die das geltende Datenschutzrecht in Europa reformieren und vereinheitlichen soll. Von der Europäischen Kommission im Januar 2012 vorgestellt, hat das Europäische Parlament den Entwurf im März 2014 angenommen. Auch wenn die Verhandlungen darüber mit den 28 Mitgliedsländern der Europäischen Union noch immer nicht abgeschlossen sind und Änderungen erfolgen sind, so kristallisieren sich bestimmte Eckpunkte bereits jetzt deutlich heraus.

Ein zentraler Aspekt ist die Notwendigkeit zur Ernennung eines Datenschutzbeauftragten (im Englischen Data Protection Officer oder kurz DPO genannt), der gemäß Artikel 36 im angenommenen Gesetzesentwurf "...seinen Pflichten und Aufgaben unabhängig nachkommen kann und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält." Von entscheidender Bedeutung dürfte sein: Wie unabhängig darf oder muss der Datenschutzbeauftragte künftig sein?

Berater und Vermittler

Mit dieser Frage beschäftigten sich auch die Teilnehmer des fünften europäischen Datenschutzkongresses der IAPP (International Association of Privacy Professionals), der vor wenigen Tagen in Brüssel stattfand. Für Stephan Geering, EMEA Data Protection Officer bei der Citigroup, birgt die gesetzlich geforderte Unabhängigkeit dieser Funktion einiges an Konfliktpotenzial: "Auf der einen Seite ist mehr Unabhängigkeit zu begrüßen, um weniger Druck aus dem Tagesgeschäfts zu erhalten, bestimmte Operationen freizugeben." Wenn der Datenschutzbeauftragte allerdings komplett unabhängig sein muss, kann das leider auch bewirken, dass die internen Kollegen ihm mit Argwohn begegnen, obwohl sie weiterhin offen ihm umzugehen haben. Dies geschehe schlicht aus der Befürchtung heraus, dass ihre Projekte künftig stärker reglementiert und sie dadurch in ihrer Arbeit behindert werden.

Seiner Ansicht nach steigert eine strikte Unabhängigkeit dieser Rolle das Risiko, dass der Datenschutzbeauftragte seine gleichermaßen wichtige Rolle als interner Berater und Vermittler verliert oder zumindest in Teilen einbüßt. Geering: "Dabei ist es doch sehr wichtig, den Datenschutzbeauftragten so früh wie möglich einzubeziehen, beispielsweise im Kontext von Privacy-by-design und Privacy-by-default."

Für Stephan Geering von der Citigroup gibt es auf die Frage, ob ein Datenschutzbeauftragter organisatorisch eher bei der Rechtsabteilung, bei der Revision oder in der IT beheimatet sein sollte, keine allgemein gültige Antwort, da dies von der Struktur des konkreten Unternehmens abhängt.
Für Stephan Geering von der Citigroup gibt es auf die Frage, ob ein Datenschutzbeauftragter organisatorisch eher bei der Rechtsabteilung, bei der Revision oder in der IT beheimatet sein sollte, keine allgemein gültige Antwort, da dies von der Struktur des konkreten Unternehmens abhängt.
Foto: IAPP

Manager oder nicht?

Für Philippe Renaudière, Data Protection Officer bei der Europäischen Kommission, ist es hingegen relativ eindeutig, welche Rolle der Datenschutzbeauftragte gemäß der geplanten europäischen Gesetzesnovelle künftig nicht bekleiden darf. "Wenn Sie derjenige sind, der Entscheidungen fällt, gehören Sie zum Management, und besitzen von daher nicht länger eine Unabhängigkeit".

Kritiker mögen an dieser Stelle einwerfen, dass Datenschutzverantwortlichkeiten in öffentlichen Behörden ohnehin etwas anders als in der privaten Wirtschaft geregelt sind - was sich allein schon am Amt des Europäischen Datenschutzbeauftragten zeigt (seine Aufgabe besteht darin, in den Organen und Einrichtungen der EU den Schutz personenbezogener Daten und der Privatsphäre zu gewährleisten). Nichtsdestotrotz macht Renaudières deutlich, dass durch die gesetzliche Unabhängigkeitsforderung gerade für kleinere und mittelständische Unternehmen Schwierigkeiten entstehen können. Denn in vielen dieser Firmen ist der Datenschutzbeauftrage dem Management zuzurechnen, was je nach Unternehmen zwangsläufig zu einer mehr oder minder ausgeprägten Weisungsgebundenheit führt.

Das gilt vor allem dann, wenn die betreffende Person zur selben Zeit noch mit anderen Aufgaben im Unternehmen betraut ist. Renaudière dazu: "Es wird künftig nur funktionieren, wenn Sie keine operative Verantwortung mehr haben. Außerdem sollten Sie das Ganze in Vollzeit machen und nicht nur in Teilzeit."

Die Budget-Frage

Sicherheit kostet Geld. Nur allzu gerne würden daher so manche Firmenchefs auf damit verbundene und nicht nur ihrer Ansicht nach unnütze, sondern zudem auch lästige und teure Schutzmaßnahmen verzichten. Die geplante EU-Datenschutzgrundverordnung aber sieht empfindliche Strafen für Unternehmen vor, die sich nicht um angemessenen Schutz bei der Verarbeitung personenbezogener Daten kümmern. In so manchen Firmen wird daher dem Datenschutzbeauftragten künftig eine neue zuteilwerden, schließlich obliegt es maßgeblich seiner Verantwortung, das Unternehmen vor solchen Folgen zu bewahren.

Luca De Matteis, Vertreter der derzeitigen italienischen EU-Ratspräsidentschaft, im Hinblick darauf, dass die EU-Verantwortlichen beim Datenschutzgrundverordnung-Gesetzesvorhaben auf die Bremse treten: „Das ist von der Wahrheit weit entfernt.“
Luca De Matteis, Vertreter der derzeitigen italienischen EU-Ratspräsidentschaft, im Hinblick darauf, dass die EU-Verantwortlichen beim Datenschutzgrundverordnung-Gesetzesvorhaben auf die Bremse treten: „Das ist von der Wahrheit weit entfernt.“
Foto: IAPP

Im Hinblick auf den Datenschutzbeauftragten und dessen geforderte Unabhängigkeit spielen Kosten jedoch weiterhin eine Rolle. Denn zur Durchführung von Schulungen beispielsweise, die das Bewusstsein der Mitarbeiter für die erforderliche Sicherheit beim Umgang mit personenbezogenen Daten stärken (um nur ein Beispiel zu nennen), wird Geld benötigt. Doch wie unabhängig kann der Datenschutzbeauftragte sein, wenn er bei der Geschäftsleitung Budget für solche Schutzmaßnahmen beantragen und über dessen Verwendung Rede und Antwort stehen muss? Auch dies zeigt, dass längst noch nicht alle Fragen geklärt sind, wenn es um die Ausgestaltung der künftigen Datenschutzgesetze in Europa geht.

Rechtzeitige Vorbereitung

Der Posten des Datenschutzbeauftragten kann in Zukunft also deutlich anders als heutzutage üblich aussehen. Für deutsche Verhältnisse ist das Konzept eines Datenschutzbeauftragten indes nichts grundlegend Neues. Denn im Paragraph 4f regelt bereits das derzeitige Bundesdatenschutzgesetz (BDSG), in Verbindung mit den Datenschutzgesetzen der 16 bundesdeutschen Länder sowie bereichsspezifischen Datenschutzregelungen von Bund und Land, den Umgang mit personenbezogenen Daten. In seinen Grundzügen orientiert sich der im EU-Gesetzentwurf skizzierte Datenschutzbeauftragte am deutschen Modell, doch sind Abweichungen vorhanden - etwa, ab welcher Schwelle (Verarbeitung der Daten von mehr als 5.000 Personen binnen eines Jahres) Unternehmen einen Datenschutzbeauftragten bestellen müssen. Aus diesem Grunde reicht es auch nicht aus, mit Verweis auf den vermeintlich schon vorhandenen respektive hohen Datenschutz in Deutschland sich nicht weiter mit der künftig durch übergreifendes EU-Recht geregelten Rolle des Datenschutzbeauftragten zu beschäftigen. (sh)