Entwurf einer EU-Verordnung zum europäischen Datenschutz

EU-Datenschutzverordnung
Wer braucht in Zukunft überhaupt noch einen Datenschutzbeauftragten?

Seitdem die EU-Kommission am 25. Januar 2012 ihren 139 seitigen Entwurf einer Verordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)“ veröffentlich hat, herrscht Ungewissheit bei vielen Datenschutzbeauftragten und Unternehmen.

In den Medien wird eine Schwelle von 250 Mitarbeitern zitiert, ab welcher erst die Bestellung eines betrieblichen Datenschutzbeauftragten notwendig sein soll.

Zu früh gefreut

Schon werden die ersten Fragen gestellt: „Meine Firma hat nur 90 Mitarbeiter und fällt damit unter die 250 Mitarbeiter-Regelung der EU. Brauche ich jetzt keinen Datenschutzbeauftragten mehr bzw. gilt die Verordnung für mich dann nicht mehr?“.
Ein anderer Unternehmer freut sich: „Toll, ich kann nun die Kosten für meinen externen Datenschutzbeauftragten einsparen, da wir keine 250 Mitarbeiter haben!“.

Doch leider ist dis etwas zu kurzfristig gedacht bzw. zu schnell gefreut.

Zeitliche Erwartungshaltung für die Umsetzung

Wer nun davon ausgeht, dass die EU-Verordnung ab nächster Woche auch für deutsche Unternehmen gilt, hat sich leider verrechnet.

In der Tat hat die EU-Kommission zwar einen entsprechenden Entwurf für eine EU-weit gültige Datenschutzverordnung vorgestellt. Allerdings handelt es sich nur um einen ersten Entwurf und selbst in diesem wird eine Einführungsphase für die Jahre 2014 – 2016 erwartet (siehe Seite 122 des EU-Entwurfs). Sollte es noch weitere Änderungen oder Beschwerden geben – wovon auszugehen ist – wird das Verfahren noch länger dauern.

Es gilt also in der Bundesrepublik weiterhin das deutsche Bundesdatenschutzgesetz (BDSG) mit all seinen Anforderungen und Auflagen. Ebenfalls sind auch weiterhin die deutschen Aufsichtsbehörden für die Kontrolle des Datenschutzes und der Einhaltung des Gesetzes zuständig. Was und wie das ab 2014/2016 sein wird, steht somit noch nicht fest.

Der Entwurf der EU-Verordnung zum Datenschutz kann übrigens hier eingesehen werden:
http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_de.pdf

Datenschutzbeauftragter ja oder nein?

Nachdem also feststeht, dass die Einführung und Umsetzung dieser Verordnung noch eine ganze Weile dauern wird, bleibt die Frage was denn aus dem internen oder externen Datenschutzbeauftragten wird, der nach §4f BDSG bestellt wurde.

In der geplanten EU-Verordnung ist die Bestellung eines Datenschutzbeauftragten (DSB) erst ab 250 Mitarbeitern Pflicht – sofern sich das nicht nochmal ändert.

Allerdings müssen die gesetzlichen Anforderungen an den Datenschutz (z.B. technische und organisatorische Maßnahmen) sowohl des BDSG, wie auch die einer später gültigen EU-Verordnung, unabhängig vom DSB eingehalten werden.

Damit kann der DSB in Unternehmen < 21 Mitarbeitern (aktuell) bzw. < 250 Mitarbeitern (evtl. zukünftig) somit zwar offiziell „entbehrlich“ sein. Um die datenschutzkonforme Umsetzung der gesetzlichen Anforderungen aus BDSG, TMG, TKG, etc. muss sich dann aber ein anderer Mitarbeiter kümmern. Denn die Verantwortung und das entsprechende Risiko durch Datenschutzpannen, Imageschäden und Bußgelder trägt die Geschäftsführung (verantwortliche Stelle) alleine.

Da sich die Datenschutzregelungen jedoch nicht nur auf das BDSG oder eine EU-Verordnung sondern auch auf andere Gesetze beziehen (hier auch nationale Gesetze wie z.B. das deutsche Strafgesetz, Telemediengesetz, Sozialgesetz, Arbeitszeitgesetz, Arbeitsschutzgesetz, …), werden weiterhin sehr komplexe Sachverhalte vorliegen, die es einem ungeschulten Mitarbeiter vermutlich sehr schwer machen werden, diese im Sinne der Risikominimierung und „Compliance“ für das Unternehmens korrekt umzusetzen.

Im Zweifelsfall ist dann eben kein „Datenschutzbeauftragter“ sondern ein „Datenschutzberater“ gefragt, der die einzelnen Abteilungen berät und bei der Umsetzung der Anforderungen unterstützt. Alternativ kann auch ein Mitarbeiter durch entsprechende Schulungen und Weiterbildungen an die Aufgaben herangeführt werden. Ob dieser dann „Datenschutzbeauftragter“ wird oder nicht – ist Entscheidung des Unternehmens.

Bußgelder und Unternehmensschutz

Im Rahmen des Risikomanagements betrachten viele Unternehmer gerne auch die bisher geltenden Bußgeldvorschriften des BDSG. Wer gegen die Anforderungen des BDSG verstößt und z.B. keinen Datenschutzbeauftragten bestellt, obwohl er laut Gesetz dazu verpflichtet ist kann im Regelfall mit einem Bußgeld bis 50.000,- EUR, bei schwereren Vergehen bis 300.000 EUR und darüber hinaus rechnen.

In dieser Hinsicht versucht die entworfene EU-Verordnung mehr „Dampf zu machen“ und erhöht die Bußgelder in drei Staffeln auf 250.000 EUR, 500.000 EUR und 1.000.000 EUR bzw. bis zu 2% des weltweiten Umsatzes des betroffenen Unternehmens.

Damit sollten sich auch die Riskikomanager unter den Unternehmern fragen, ob es sich „rechnet“ auf Datenschutz zu verzichten und diese doch schmerzlichen Bußgelder in Kauf zu nehmen. Vom Imageschaden einmal ganz abgesehen.

Durch die Höhe der Bußgelder gilt nach wie vor die alte Regel „Datenschutz ist Unternehmensschutz“ – denn ein Bußgeld kann schnell existenzbedrohend werden, obwohl nur „fahrlässig“ personenbezogene Daten unrechtmäßig verarbeitet wurden und ein unzufriedener Kunde, Mitarbeiter oder Wettbewerber dies bei den Aufsichtsbehörden anzeigt.

Fazit

Als Fazit kann man momentan nur feststellen, dass die Bestellung eines Datenschutzbeauftragten bis min. 2014/2016 auch für Unternehmen zwischen 21 und 250 Mitarbeitern unumgänglich ist.

Sollte die Verordnung wie jetzt vorgestellt umgesetzt werden, wäre die Bestellung ab diesem Zeitpunkt nicht mehr zwingend notwendig, jedoch schon aus Gründen der effektiven Ressourcenverwendung sinnvoll.

Da sich die EU-Verordnung bei den Maßnahmen teilweise an der strengen deutschen Gesetzgebung orientiert – wären Unternehmen, die momentan schon nach dem deutschen Datenschutzrecht verfahren, später auf jeden Fall gut gerüstet und müssten nicht mit großen Aufwänden für eine Anpassung an das EU-Recht kalkulieren.

Unternehmen aus anderen EU-Ländern werden da sicherlich mehr zu tun bekommen.

 

Hinweis in eigener Sache:

Wer sich in den spannenden Fragen rund um die europäische Datenschutzverordnung auf dem Laufenden halten möchte, dem sei der kostenlose und vierteljährlich erscheinende audatis INFO Newsletter zu Datenschutz und Datensicherheit ans Herz gelegt.

http://www.audatis.de/online/newsletter

Carsten Knoop

Über Carsten Knoop

Inhaber von www.audatis.de einem auf Datenschutz + Datensicherheit spezialisierten Beratungshaus, Ex-CISO (Chief Information Security Officer) der Bertelsmann AG; Datenschutzbeauftragter + Datenschutzauditor (TÜV); IT-Security Beauftragter + Manager (TÜV)
Dieser Beitrag wurde unter Datenschutz abgelegt und mit , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar