Datenschutzbeauftragter – Neue Regelungen in der Datenschutzverordnung

Am vergangenen Montag hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments (LIBE) über den von den EU-Parlamentariern ausverhandelten Kompromissvorschlag zum EU-Datenschutzpaket abgestimmt und diesen mehrheitlich angenommen.

In dem Kompromissvorschlag finden sich auch einige Änderungen hinsichtlich der Benennung eines betrieblichen Datenschutzbeauftragten.

Betrieblicher Datenschutzbeauftragter – Neue Regelungen

War im ursprünglichen Entwurf die Bestellung eines betrieblichen Datenschutzbeauftragen für ein Unternehmen, das 250 oder mehr Mitarbeiter beschäftigt, als verpflichtend vorgesehen, stimmt die neue Regelung auf die Anzahl der von der Datenverwendung betroffenen Personen ab. Nach der neuen Regelung haben Auftraggeber und Dienstleister einen betrieblichen Datenschutzbeauftragten zu bestimmen, wenn die Datenverwendung sich innerhalb von 12 Monaten auf mehr als 5.000 betroffene Personen bezieht.

Neu ist auch die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Auftraggebers oder Dienstleisters in der Verarbeitung von speziellen Datenkategorien wie sensible Daten, Standortdaten oder Daten von Kindern oder Beschäftigten in groß angelegten Dateisystemen besteht.

Bestehen bleibt die Verpflichtung zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Auftraggebers oder Dienstleisters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.

Ebenfalls unverändert bleibt die Regelung für Behörden und öffentliche Stellen. Diese haben bei der von ihnen durchgeführten Datenverwendung einen Datenschutzbeauftragen zu bestimmen.

Stellung des Datenschutzbeauftragten

In Bezug auf die Stellung von Datenschutzbeauftragten sieht der Kompromissvorschlag vor, dass diese als Beschäftigte des Auftraggebers oder als externe Dienstleister fungieren und ihre  Pflichten und Aufgaben unabhängig durchführen können. Zur Stärkung ihrer Position sollen Datenschutzbeauftragte einen speziellen Kündigungsschutz genießen. Die Letztverantwortung für die Datenverwendung verbleibt bei der Unternehmensleitung.

EU-Datenschutzpaket – Wie geht´s weiter?

Nicht nur die Verordnung, sondern auch der Kompromiss bei der Richtlinie für den Bereich der Strafverfolgung wurden am Montag beschlossen. Noch ist nichts endgültig entschieden. Als nächstes werden nun die Berichterstatter für das EU-Datenschutzpaket (bestehend aus Verordnung und Richtlinie) mit dem EU-Rat und der EU-Kommission verhandeln.

Links

• Inoffizielle Version des Textes zur Datenschutz-Grundverordnung: http://www.janalbrecht.eu/fileadmin/material/Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf
• Vorschlag zur Datenschutz-Grundverordnung: http://www.europarl.europa.eu/meetdocs/2009_2014/documents/com/com_com%282012%290011_/com_com%282012%290011_de.pdf

Anmerkung

Oben angeführte Informationen stammen überwiegend aus einer von Jan Phillip Albrecht veröffentlichten, inoffiziellen, englischen Version des Verordnungstextes. Ich habe mich bemüht, die deutsche Übersetzung möglichst im Sinne des englischen Wortlauts und in Abstimmung mit den Begrifflichkeiten des DSG 2000 durchzuführen. Sollten sich daraus etwaige Unklarheiten oder Missverständinsse ergeben, bitte ich Sie diese zu entschuldigen bzw mich zu informieren.

Autor: Horst Greifeneder, Datenschutzbeauftragter & Computer Forensiker