BVD-NEWS DAS FACHMAGAZIN FÜR DEN DATENSCHUTZ - BERUFSVERBAND DER ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
AUSGABE 1/2016
BvD-NEWS
ISSN: 2194-1025
Das Fachmagazin für den Datenschutz
Nopporn Suntornpasert © 123RF.com
Save e!
the Dat tag
nds
BvD-V21e. rAbprial 2016 im Berufsverband der
am Hotel Datenschutzbeauftragten
ELLINGTON
Berlin Deutschlands (BvD) e.V.
EU-DSGVO
Was sich ändert? Wie es weitergeht? – ab S. 5
Interview mit Jan Philipp Albrecht – ab S. 8
Medizin und Soziales
Datenschutz im vernetzten Gesundheitswesen – ab S. 39
Safe-Harbor
Erkenntnisse auf den zweiten Blick – ab S. 26
Anzeige
Datenschutz im Fokus.
ZD – Zeitschrift für Datenschutz
6. Jahrgang 2016. Erscheint monatlich mit News
letter ZDAktuell als EMail zweimal im Monat.
Jahresabonnement € 225,–
Vorzugspreis für BvD-Mitglieder,
für Abonnenten der Zeitschrift MMR und des
beckonline Moduls IT und Multimediarecht PLUS
sowie für ausgewählte Kooperationspartner € 165,–.
Vorzugspreis für Studenten und Referendare € 109,–
Abbestellung bis 6 Wochen vor Jahresende.
Preise jeweils inkl. MwSt. zzgl. Vertriebs/Direkt
beorderungsgebühren Inland (€ 12,80/€ 2,80)
€ 15,60 jährlich.
Mehr Informationen:
www.beck-shop.de/tsfpb
ZD – Die Fachzeitschrift zum ZD – Die praktischen Seiten des Zusätzlich: Newsdienst ZD-Aktuell
Datenschutz Datenschutzes und ZDDirekt inklusive
Die ZD informiert umfassend über Jedes Heft enthält ein Editorial, fun Profitieren Sie zweimal im Monat
datenschutzrecht liche Aspekte aus dierte Aufsätze mit praxisorientierten von dem EMailDienst mit Nach
allen Rechtsgebieten. Im Mittelpunkt Lösungsvorschlägen, Angaben zur richten und aktuellen Meldungen
stehen Themen aus der Unternehmens Lesedauer, Abstracts durchgehend zum Datenschutz und der ZD online
praxis wie z. B. n EUDatenschutz in Deutsch und Englisch, Leitworte (inkl. Archiv ab 2011) – ohne weitere
Grundverordnung n Konzerndaten und Schlagwortketten zur schnellen Kosten.
schutz n Beschäftigtendatenschutz Einordnung, aktuelle Gerichtsent Die Homepage der ZD mit weiteren
n Datenschutzaudit n Compliance scheidungen mit Anmerkungen und Informationen finden Sie unter
n Einwilligung n Kundendatenschutz aktuelle Meldungen. www.zd-beck.de.
n Adresshandel n Telekommuni kation
n Soziale Netzwerke n Vorratsdaten
3 Hefte gratis
speicherung n Datentransfer in Dritt
Bestellen Sie das kostenlose Schnupper
staaten.
abo unter www.beckshop.de/tsfpb.
Erhältlich im Buchhandel oder bei: beck-shop.de | Verlag C.H.BECK oHG · 80791 München | bestellung@beck.de | Preise inkl. MwSt. | 158812
BvD-NEWS 01/2016
Editorial
BVD STELLT SICH DEN HERAUSFORDERUNGEN
DER EU-DSGVO
»Datenschutz wird in unserer Gesellschaft immer wichtiger. Der BvD
begleitet die Umsetzung der neuen EU-DSGVO in Deutsches Recht aktiv
und angagiert sich für den Datenschutzbeauftragten.«
Liebe Leserinnen und Leser,
viele von Ihnen haben wie wir mit Interesse und Spannung Auf Basis des neuen Berufs-
die Verhandlungen zur EU-Datenschutzgrundverordnung bilds wird der BvD die Ab-
verfolgt. Hohe Erwartungen, aber auch große Befürchtun- stimmung mit dem Berufshaft-
gen bezüglich der Konsequenzen, die sich aus deren Rege- pflichtversicherer zur Anpassung
lungen für das Datenschutzniveau in Deutschland und das dessen Leistungsangebots unter
Berufsbild des Datenschutzbeauftragten ergeben könnten, Berücksichtigung der Konsequenzen
haben uns alle bewegt. aus der gesetzlichen Neuregelung suchen.
Die Überarbeitung der vom BvD herausgegebenen Gesetzes-
Nachdem es im Dezember noch eine heiße Phase gab, in der
sammlung durch ein weiteres Fachgremium ist bereits deut-
plötzlich die Öffnungsklausel für die Bestellpflicht im natio-
lich fortgeschritten.
nalen Recht im Verordnungstext des Trilogs verschwunden
war, liegt der Verordnungstext nun in noch nicht amtlicher Das Titelthema dieser Ausgabe unserer BvD-News beschäf-
Fassung vor. Nach Verabschiedung durch alle Gremien wird tigt sich aus diesem Grund mit verschiedenen Aspekten der
mit der Vorlage einer amtlichen deutschen Übersetzung im zukünftigen Rolle des Datenschutzbeauftragten nach In-
März gerechnet. Der jetzt vorliegende, noch nicht amtliche krafttreten der Datenschutz-Grundverordnung. Doch nicht
Wortlaut definiert einige wenige Aufgaben des Datenschutz- erst dann, sondern bereits heute sowie gerade in der in
beauftragten, hält aber eine Vielzahl von Pflichten für die Kürze beginnenden Übergangszeit bis zum Inkrafttreten ist
Unternehmen bereit. Aus dieser Vielzahl heraus ergibt sich und bleibt der Anspruch »Datenschutz gestalten« der Daten-
ein breites Tätigkeitsspektrum für den Datenschutzbeauf- schutzbeauftragten im BvD ein Anspruch auf hohem Niveau.
tragten.
Das deutlich komplexer gewordene Umfeld mit europaweiten
Viel Spaß bei der Lektüre!
und internationalen Einflüssen bewirkt, dass die fachlichen
Anforderungen an den Datenschutzbeauftragten erheblich
steigen. Darauf reagiert der BvD mit Fortbildungsangeboten
in gewohnt hoher Qualität. Im ersten Schritt bieten wir den
Mitgliedern die Gelegenheit, in einer Tagesveranstaltung ei-
nen entsprechenden Überblick über die Datenschutz-Grund- Thomas Spaeing
verordnung zu erhalten – Informationen hierzu finden Sie BvD-Vorstandsvorsitzender
in dieser Ausgabe. Parallel dazu stellt sich der Verband in
diversen Fachgremien den Herausforderungen der zukünf-
tigen Gesetzgebung im Datenschutz. So hat beispielsweise
das Fachgremium Berufsbild mit der Bearbeitung der offenen
Fragen und der notwendig gewordenen Überarbeitung des
Berufsbilds bereits begonnen.
BvD-NEWS 01/2016 3
Impressum | Inhaltsverzeichnis
EDITORIAL 3
TITELTHEMA EU-DSGVO 5
Der Datenschutzbeauftragte in der EU-DSGVO 5
Interview mit Jan Philipp Albrecht, MdEP 8
Der behördliche und betriebliche Datenschutzbeauftragte nach der
Datenschutz-Grundverordnung 11
BvD-Symposium 2015 – der Datenschutzbeauftragte in der EU-DSGVO 13
»Europäische Datenschutzgrundverordnung – bleibt alles anders?« 14
Die Haftung des Datenschutzbeauftragten unter Berücksichtigung der EU-DSGVO 16
Internationaler Datentransfer unter der Datenschutzgrundverordnung –
IMPRESSUM: Was kommt da auf uns zu? 18
BvD-News Gastbeitrag: Betriebsvereinbarungen und § 32 BDSG: Wie geht es nach der
Das Fachmagazin des Berufsverbandes EU-DSGVO weiter? Handlungsempfehlungen für Unternehmen und Betriebsräte 20
der Datenschutzbeauftragten
Deutschlands (BvD) e.V.
GESETZGEBUNG /RECHTSPRECHUNG 26
Herausgeber:
Berufsverband der Datenschutz Safe-Harbor-Entscheidung des EuGH – Erkenntnisse auf den zweiten Blick 26
beauftragten Deutschlands (BvD) e.V. Umsetzung der Cookie-Richtlinie – Status quo 30
Budapester Straße 31
10787 Berlin DATENSCHUTZPRAXIS 39
Tel: 030 26 36 77 60
Fax: 030 26 36 77 63
Datenschutz im vernetzten Gesundheitswesen 39
E-Mail: bvd-gs@bvdnet.de »Erziehung zur Demokratie« 44
Internet: www.bvdnet.de Europäische Kriminalitätsbekämpfung und Datenschutz 46
www.xing.com/companies/ Datenschutz und Wettbewerbsrecht – Wo sind die Schnittstellen? 49
berufsverbandderdatenschutz
beauftragtendeutschlands
Digitalisierte Wissensarbeit im Enterprise 2.0: Eine Herausforderung für den Datenschutz 52
www.twitter.com/bvd_datenschutz Codename »Black Forest« – das deutsche Microsoft Office 365 55
www.bvdnet.de/blog-rss.xml Selbstdatenschutz in Zeiten massenhafter E-Mail-Überwachung 57
Redaktion:
E-Maildatenschutz auf Nutzerebene – Klick und Weg 60
Thomas Spaeing Bremst der Datenschutz die Digitalisierung? 62
(V. i. S. d. P., bvd-news@bvdnet.de)
Katrin Miske, Rudi Kramer, Jürgen Hartz AUFSICHTSBEHÖRDE 64
Fotos: Datenschutzrechtliche Herausforderungen an die Wirtschaft 64
123rf.com Der Arbeitskreis Datenschutz und Bildung der Datenschutzkonferenz 66
Lektorat:
Frank Spaeing
IT-SICHERHEIT 68
Lücken in der Informationssicherheit 68
Anzeigen:
Claudia Seilert
(bvd-gs@bvdnet.de) GESELLSCHAFT 71
Onlinespiele – Harmlose Spielplätze im virtuellen Raum? 71
Satz und Layout:
Trend Point Marketing GmbH, Change.Org – ohne wirklichen Datenschutz 74
Salzufer 15/16, 10587 Berlin DATEV-Stiftung Zukunft engagiert sich im Bereich Datenschutz 77
www.tpmarketing.de
Druck:
BUCHVORSTELLUNG 79
Trend Point Marketing GmbH, Datenschutz und Marketing 79
Salzufer 15/16, 10587 Berlin
www.tpmarketing.de AUS DEM VERBAND 80
Initiative Datenschutz geht zur Schule (DSgzS) 80
ISSN: 2194-1025
Erscheinungsweise: 2 × jährlich, ca. 2.500 Exemplare Bericht zur Siegelübergabe 81
(Mediadaten anfordern unter bvd-gs@bvdnet.de)
Die Redaktion behält sich vor, Beiträge redaktionell Der Safe-Harbor-Workshop 82
zu überarbeiten und zu kürzen. Namentlich gekenn-
zeichnete Beiträge müssen nicht die Meinung des
Überblick Seminare, Workshops und Veranstaltungen des BvD 84
BvD e.V. wiedergeben.
SERVICE 85
Termine der Regionalgruppen und Arbeitskreise des BvD auf einen Blick 85
Wichtige Kontakte auf einen Blick 86
4 BvD-NEWS 01/2016
Titelthema EU-DSGVO
rawpixel © 123RF.com
DER DATENSCHUTZBEAUFTRAGTE
IN DER EU-DSGVO UND DIE NEUEN
HERAUSFORDERUNGEN FÜR IHN
Der Datenschutzbeauftragte und das Ringen um
seine Aufnahme in die EU-DSGVO
Berücksichtigt man die geleakte Fassung der Anwendung kommt. Für den BvD waren dies 4 Jah-
EU-Kommission der DSGVO vom November 2011, re, die viel Einsatz kosteten: Stellungnahmen, Posi-
so umfasste es fast genau einen Zeitraum von 4 tionspapiere, Hinweise, Gesprächstermine, die alle
Jahren, in denen über eine Neuregelung der euro- immer wieder das Ziel hatten, dass künftige Re-
päischen Datenschutzgrundlagen debattiert, argu- gelungen praxisnahe Vorgaben enthielten, die den
mentiert und auch gestritten wurde. Am Schluss Spagat zwischen dem Einzelnen und der verarbei-
steht ein Kompromiss, mit dem alle beteiligte Ge- teten Stellen ausgewogen abzubilden vermochten.
setzgebungsorgane leben können. Der weitere Ver- Die Veranstaltung des BVD in Brüssel im Europä-
lauf erscheint nur noch Routine: Technische Über- ischen Parlament im November 2012 ebnete den
arbeitung, Übersetzung in die 22 Landessprachen Weg auch bei den Mitgliedern des Europäischen
der 28 Mitgliedsstaaten, Verabschiedung im Euro- Parlaments, Verständnis für die Einführung eines
päischen Parlament und im EU-Ministerrat, Veröf- betrieblichen Datenschutzbeauftragten zu schaf-
fentlichung im Amtsblatt der Europäischen Union. fen, denen diese Position bisher fremd war. Auch
Danach gilt in Europa eine einheitliche rechtliche die persönliche Wahrnehmung durch die Ansprech-
Grundlage, die nach weiteren zwei Jahren auch zur partnerinnen und Ansprechpartner im Bundesin-
BvD-NEWS 01/2016 5
Titelthema EU-DSGVO
nenministerium auf den Veranstaltungen des sichtlich der Befugnisse der Aufsichtsbehörden
BvD wie den Verbandstagen, Informationsver- gegenüber verantwortlichen Stellen, die einer
anstaltungen oder Symposien vermittelten die berufsrechtlichen Verschwiegenheitspflicht un-
Bedeutung einer unabhängigen und fachkundi- terliegen (Art. 84 Abs. 1 EU-DSGVO).
gen Beratung durch betriebliche Datenschutz-
beauftragte in der Praxis. Zudem sollten die
unterstützenden Aussagen der Datenschutzauf- EU-DSGVO als Herausforderung für
sichtsbehörden zum betrieblichen Datenschutz- den Datenschutz: Was wann tun?
beauftragten bei der Meinungsbildung der Ge-
Die EU-DSGVO tritt 2016 in Kraft – aber: Die
setzgebungsorgane nicht unterschätzt werden.
EU-DSGVO wird erst 24 Monate später anzu-
Aber nicht zuletzt dem energischen Beharren wendendes Recht! Das sollte bei der Herange-
der Verhandlungsführer des Europäischen Par- hensweise an die EU-DSGVO und deren Anfor-
laments ist es zu verdanken, dass es nun eine derungen gut berücksichtigt werden.
Regelung gibt, die den Datenschutzbeauftrag-
Denn: Während dieser Dauer von 24 Monaten
ten auf Europäischer Ebene fest installiert. Es
müssen weiterhin die Anforderungen des bishe-
war im Gesetzgebungsverfahren den anderen
rigen Datenschutzrechts beachtet werden. Das
Mitgliedsstaaten der Europäischen Union nicht
Recht der EU-DSGVO gilt noch nicht!
so einfach vermittelbar, welche Vorteile für die
Betroffenen für die Betroffenen und den ver- Das hat Konsequenzen für die tägliche Arbeit
antwortlichen Stellen in einer qualifizierten Un- des Datenschutzbeauftragten: Die Umstellung
terstützung liegt. So war auch in einem geleak- auf die neuen Anforderungen der EU-DSGVO
ten Dokument der EU-Ratspräsidentschaft zur muss neben dem Tagesgeschäft, das sich nach
EU-DSGVO vom 27.11.2015 die Öffnungsklausel dem bisherigen Recht bestimmt, erfolgen.
für die Mitgliedsstaaten zur Bestellpflicht des
Die knappen Ressourcen müssen also zielge-
Datenschutzbeauftragten aus der EU-DSGVO
richtet darauf verwendet werden, die Voraus-
herausgefallen. In einer sehr kurzfristigen, ge-
setzungen zu schaffen, um ab 2018 den neuen
meinsamen Pressemitteilung mit der Gesell-
Anforderungen zu genügen. Zunächst sollte be-
schaft für Datenschutz und Datensicherheit
gonnen werden, die Aspekte umzusetzen, die
(GDD) wurde hierauf und auf die möglichen Aus-
einen langen Vorlauf haben, und erst im zwei-
wirkungen hingewiesen. Erfreulicherweise ha-
ten Schritt eine Einarbeitung in die gesamte
ben sich die Formulierungen aus der geleakten
neue Rechtsordnung.
Fassung nicht gehalten.
Kurzum: Aktuell ist es nicht dringend, zu wis-
Inwieweit es in Deutschland nun künftig tat-
sen, wie beispielsweise die Rechtmäßigkeit ei-
sächlich Änderungen geben wird, hängt von der
ner Datenverarbeitung nach einem in zwei Jah-
Ausgestaltung der Öffnungsklausel aus Art. 35
ren geltenden Recht zu beurteilen ist. Aktuell
Abs. 4 EU-DSGVO ab: Hier wird die Bundesre-
muss es darum gehen, zu identifizieren, welche
gierung ihre Zusagen zur unveränderten Beibe-
Anforderungen wie in der Übergangszeit vorbe-
haltung des Datenschutzbeauftragten einlösen
reitet sein müssen, um beim Inkrafttreten der
können. Auch hier steht der BvD bereit, bei der
EU-DSGVO 2018 nicht zu spät dran zu sein.
Ausgestaltung der Öffnungsklauseln und der
Umsetzung der gesetzlichen Anforderungen in Die Seminarreihe des BvD, die im Zeitraum von
der Übergangszeit zu unterstützen. Der Gesetz- März bis Juni 2016 angeboten wird, zielt zu-
geber muss sich entscheiden, ob er das BDSG in nächst gerade auf die Frage: Was muss in der
Teilen außer Kraft setzt oder ein gänzlich neues Übergangszeit getan werden!
Gesetz für die ihm verbliebenen Regelungsbe-
Die Seminare beginnen erst im März, da der BvD
fugnisse zum Datenschutz schafft. Neben den
davon ausgeht, dass zu diesem Zeitpunkt eine
Regelungen zur Bestellpflicht des Datenschutz-
belastbare deutsche Textfassung der EU-DSGVO
beauftragten umfasst dies beispielsweise auch
vorliegt und der Zeitpunkt des Inkrafttretens
den Beschäftigtendatenschutz (Art. 82 Abs. 1
absehbar ist.
EU-DSGVO) oder die Öffnungsklauseln hin-
6 BvD-NEWS 01/2016
Titelthema EU-DSGVO
Vor dem Hintergrund der Öffnungsklauseln, der
Auslegungsbedürftigkeit und Spielräume, wel-
che die EU-DSGVO birgt, wird es auch noch ei- Seminar Für M
itglie
EU-Datenschutz-
nur der
nige Zeit dauern, bis sich Standpunkte zur zu- 399,--
€
Grundverordnung
zzgl.
MwSt
.
künftigen Handhabung – insbesondere auch der
Datenschutzaufsichtsbehörden – herausgebildet
haben. Auch aus diesem Grund ist das Angebot
von Seminaren hieraus erst später sinnvoll.
Seminarangebot
bundesweit ab
14. März 2016 in Köln
Über die Autoren
Rudi Kramer Empfehlen Sie sich durch gute Vorbereitung des Unternehmens
bei Ihrem Auftraggeber/Arbeitgeber auch für die Zeit nach dem Hinweis
Inkrafttreten der EU-DSGVO!
BvD-Vorstandsmitglied Das Seminar wird im Zeitraum
März-Juli auch an folgenden Orten
angeboten:
Referenten 14.03.16: Köln - ausgebucht
Dr. Jens Eckhardt
06.04.16: Berlin,
Rechtsanwalt und Fachanwalt für Informationstechnologierecht sowie Datenschutzauditor (TÜV).
Dr. Jens Eckhardt ist Rechtsanwalt seit 2001 und seit 2006 in der Kanzlei JUCONOMY Rechtsanwälte,
13.05.16: Dresden,
Düsseldorf. Schwerpunkte IT-, Zivil-, Wettbewerbs- und Datenschutzrecht. Er ist Moderator 23.05.16: Hamburg,
Dr. Jens Eckhardt verschiedener Datenschutzveranstaltungen und Autor von Fachbeiträgen zu den vorgenannten Themen
in Fachzeitschriften sowie verschiedenen juristischer Kommentaren und Fachbüchern.
Rudi Kramer
03.06.16: Frankfurt/M,
06.06.16: Hannover,
BvD-Vorstandsmitglied Rudi Kramer ist Rechtsanwalt und stellv. Vorstandsvorsitzender des Berufsverbands der
Datenschutzbeauftragten Deutschlands (BvD) e.V. Seit 2001 ist er für die DATEV eG tätig.
20.06.16: Nürnberg,
05.07.16: Augsburg
Als Referent ist er bei zahlreichen Datenschutzveranstaltungen aktiv und zudem Autor von
www.bvdnet.de Fachbeiträgen in Datenschutzzeitschriften. Die Termine finden Sie auch
unter www.bvdnet.de.
Flyer über die Seminarangebote zur EU-DSGVO unter
folgendem Link: www.bvdnet.de/fileadmin/BvD_eV/pdf_
und_bilder/fortbildung/2016/BvD_Flyer_EUDSGVO.pdf
Anzeige
SCHULUNGSPAKET DATENSCHUTZ –
Spezifische Schulungspräsentationen für
verschiedene Unternehmensbereiche
it dieser Praxis-CD sensibilisieren Sie Ihre Mitarbeiter im Handumdrehen für das
M Thema Datenschutz! Vorgefertigte Powerpoint-Folien unterstützen Sie dabei, Ihre
Kollegen mit den wichtigsten Aspekten in Sachen Datenschutz vertraut zu machen.
Unser Motto „Aus der Praxis für die Praxis“
Der Verfasser Stefan Purder ist selbst seit vielen Jahren als betrieblicher Datenschutz-
beauftragter tätig und weiß, worauf es bei der Schulung der Beschäftigten ankommt:
S Sie erhalten spezifische Schulungspräsentationen für 6 verschiedene
Unternehmensbereiche
S Notizen des Autors zu jeder Folie führen Sie sicher durch die Präsentation und
att erläutern den Folieninhalt
BvD-Rab
S automatisch generierte Teilnahmezertifikate sowie ein abschließender Wissenstest
nur 89,95 €
€ runden das Schulungspaket ab
,95
statt 129
Das Schulungspaket orientiert sich an diesen 4 Qualitätszielen:
7 leicht nachvollziehbares Hintergrundwissen zu den wichtigsten Themen
7 wenig Theorie, viel Praxis
Bestellen Sie jetzt unter
7 erprobte Tipps und Tricks
bit.ly/Schulungs-DVD 7 sofort einsetzbare Folien
Titelthema EU-DSGVO
INTERVIEW
Fragen an Berichterstatter des EU-Parlaments, Jan Philipp Albrecht, MdEP
Der Abgeordnete des Europäischen Parlaments, der in den letzten 4 Jahren als Berichterstatter die Meinungsbildung
des A usschusses LIBE koordinierte und die Verhandlungen im Trilog für das Europäische Parlament führte, war Jan Philipp
Albrecht. Für den BvD interviewte BvD-Vorstandsmitglied Rudi Kramer Jan Philipp Albrecht im Januar 2016.
BVD Das Gesetzgebungsverfahren zur EU-Daten- BVD Gegen Ende des Trilogs gab es disruptive
schutzgrundverordnung (EU-DSGVO) hat fast Ansätze, die Zweckbindung bei der Datenverarbei-
vier Jahre gedauert. Hatten Sie währenddessen tung in Frage zu stellen. Sehen Sie Ansätze, dass
Zweifel, dass es abgeschlossen werden kann? dieses Thema nochmal auf die Tagesordnung kommt?
JA Zu Beginn des Gesetzgebungsverfahrens, als einige Mitglieds- JA Der Versuch, die Zweckbindung aus dem europäischen Daten-
staaten die Gestaltung über eine Verordnung ablehnten und schutzrecht zu lösen, erscheint aus meiner Sicht für immer
zumindest für den öffentlichen Bereich eine Richtlinie bevorzugten, abgewehrt: Die Zweckbindung bei der Verwendung personenbezoge-
war ich etwas unsicher, ob hier eine Einigung möglich sei. Dazu kam ner Daten ist bereits seit 1995 ein grundlegendes Prinzip des
die Lobbyarbeit durch US-amerikanische Unternehmen, die sehr europäischen Datenschutzrechts und zwischenzeitlich auch in der
heftig argumentierten und beispielsweise über eine Studie der Europäischen Charta der Grundrechte verankert. Für die Forschung
US-Handelskammer Milliarden Kosten für die Wirtschaft bei einem haben wir unter engen Rahmenbedingungen Ausnahmen zugelassen.
»Recht auf Vergessenwerden« prognostizierten. Als dann der EuGH Bei allem, was darüber hinausgeht, muss jede Person davon
das »Recht auf Vergessenwerden« dann aber auch schon für die überzeugt sein, einer Änderung der Zweckbindung bei personen
geltende EU-Richtlinie gegenüber US-Unternehmen begründete, war bezogenen Daten zustimmen zu wollen.
dieses Argument auch vom Tisch. Spätestens mit dem starken
Votum des Europäischen Parlaments zum Entwurf zur EU-DSGVO war BVD Welche Punkte stellen aus Ihrer Sicht
aber klar, dass es eine Einigung geben würde. in der EU-DSVO eine Neuerung im europäischen
Datenschutzrecht dar?
BVD In der Dokumentation »Democracy – im
JA Da gibt es Vieles, was ich hier gar nicht alles aufzählen kann:
Rausch der Daten« wird die Lobbyarbeit im Gesetz
Privacy by design oder Datenschutz in der Grundeinstellung, die
gebungsverfahren durch Unternehmen, Verbände,
Datenportabilität, die Einführung standardisierter Symbole, die
Einrichtungen und Institutionen dargestellt.
Datenschutzfolgenabschätzung; der betriebliche Datenschutzbeauf-
Durch wen haben Sie sich beraten lassen?
tragte in der ganzen EU ist sicherlich auch ein wesentlicher Schritt,
JA Wir haben viele Termine wahrgenommen, aber auch Verbände, das »Recht auf Vergessen«, die Pseudonymisierung für mehr
Unternehmen und Institutionen eingeladen, an Gesprächen mit uns Sicherheit bei der Datenverarbeitung. Insgesamt werden den
teilzunehmen. Gegen Ende des Gesetzgebungsverfahrens haben wir Verbraucherinnen und Verbrauchern mehr Möglichkeiten eingeräumt,
uns vor allem von Rechtswissenschaftlerinnen und -wissenschaftlern ihre Rechte wahrzunehmen.
und anderen erfahrenen Personen unterstützen lassen, die Erfahrung
in der Ausformulierung von gesetzlichen Regelungen hatten und die BVD Im Trilog gab es einige Streichungen aus
gemeinsam mit uns einen Kompromiss gesucht haben, der auch für dem Entwurf des Europäischen Parlaments.
die anderen am Gesetzgebungsverfahren Beteiligten akzeptabel war. Auf welchen Punkt haben Sie in den Verhandlungen
im Trilog am Schwersten verzichten können?
8 BvD-NEWS 01/2016
Titelthema EU-DSGVO
Über die Interviewpartner
Rudi Kramer Jan Philipp Albrecht
stellvertretender Vorstandsvorsitzender des BvD (Foto: Fritz Schumann)
www.bvdnet.de Mitglied des Europäischen Parlaments –
Grüner Abgeordneter für Hamburg und Schleswig Holstein
www.janalbrecht.eu
JA Die Gestaltung, dass Mitgliedsstaaten in etlichen Bereichen BVD Die Europäische Ordnung wurde in den letzten
eine Öffnungsklausel zugestanden bekommen haben, war eine lange Jahren durch die Finanzkrise und in den letzten
Diskussion. Damit meine ich nicht, dass jeder Mitgliedsstaat eigene Monaten durch den Umgang mit Flüchtlingen auf
Schulgesetze erlassen kann, die regeln, welche Daten der Schüler und eine Probe gestellt. Haben wir die gleichen Werte und
Schülerinnen zu welchem Zweck erhoben werden dürfen oder dass es Maßstäbe, um ein gleichwertiges Datenschutzniveau
in bestimmten Bereichen Spielräume gibt. Sondern ich beziehe mich europaweit sicherzustellen?
auf Sachverhalte, bei denen der Umgang mit personenbezogenen
JA Dass wir in diesem Bereich die gleichen Werte haben zeigt sich
Daten - z. B. auch bei Fragen der nationalen Sicherheit – direkt über
nicht nur in der EU-Richtlinie von 1995, sondern auch durch die
die Verordnung hätte geregelt werden können.
expliziten Bestimmungen zum Datenschutz im Vertrag von Lissabon
und der Grundrechtecharta. Auch vorher galt dies bereits, etwa durch
BVD Das Ergebnis im Trilog schafft bei einigen
die Datenschutzkonvention des Europarates. Wir haben hier eine
materiell-rechtlichen Punkten Rechtsunsicherheit bei
breite Grundlage, die unsere Werte trägt.
der Umsetzung. Unter welchen Voraussetzungen
würde sich Brüssel mit der Thematik erneut befassen?
BVD Hatten Sie schon Kontakt zu dem Daten
JA Die Verordnung unterliegt bei Änderungen den Vorgaben des schutzbeauftragten der GRÜNEN hinsichtlich der
europäischen Gesetzgebungsprozesses. Dabei ist ja bereits vorgese- EU-DSGVO?
hen, dass die Kommission regelmäßig eine Evaluation durchführen
JA Wir standen zum Beispiel in sehr engem Austausch zu Malte
soll. Dadurch ist gewährleistet, dass eine Anpassung durchaus im
Spitz (Hinweis der Redaktion: ehemaliges Bundesvorstandsmitglied
Bereich des Möglichen liegt. Durch Einbeziehung der Mitgliedsstaa-
der GRÜNEN; Autor von »Was macht ihr mit meinen Daten?«),
ten, der Aufsichtsbehörden und auch des Europäischen Parlaments
der die Grünen bei der praktischen Anwendung des Datenschutzes
sowie des Ministerrats wird dieser Evaluation eine breite Basis
unterstützt.
zugrunde liegen.
Darüber hinaus können auch die Aufsichtsbehörden und die Gerichte BVD Mit welchen datenschutzrechtlichen Themen
ihre Interpretationsmöglichkeiten ausschöpfen, um in Einzelfällen werden Sie sich in den nächsten Monaten noch
eine sachgerechte Lösung herbeizuführen. beschäftigen?
JA Es gibt viele Themen zum Datenschutz auf europäischer Ebene:
BVD Die Etablierung des betrieblichen und behördli-
die Anpassung der ePrivacy-Richtlinie an die Grundsätze der
chen Datenschutzbeauftragten auf europäischer
EU-DSGVO und die Nachfolgegestaltung zu Safe Harbour mit einem
Ebene ist neu. Glauben Sie, dass die Mitgliedsstaaten
Rahmendatenschutzabkommen sind nur zwei, die unmittelbar
die Chance der Öffnungsklausel nutzen werden?
anstehen.
JA Ich kann mir für Deutschland gut vorstellen, dass dort an der
bewährten Einrichtung des betrieblichen Datenschutzbeauftragten BVD Herr Albrecht, wir danken auch für dieses
und den bisherigen Bestellpflichten festgehalten wird. Darüber Gespräch!
hinaus böte auch das Unionsrecht noch die Möglichkeiten, in diesem
Bereich Vorgaben zu machen.
BvD-NEWS 01/2016 9
Titelthema EU-DSGVO
DER BEHÖRDLICHE UND BETRIEBLICHE
DATENSCHUTZBEAUFTRAGTE NACH DER
DATENSCHUTZGRUNDVERORDNUNG
Fachbeitrag der Bundesbeauftragten für den Datenschutz
und die Informationsfreiheit Andrea Voßhoff
Einleitung DSB verständigen, sondern sahen lediglich eine
Öffnungsklausel für die Mitgliedstaaten vor,
Kurz vor Weihnachten 2015 war es endlich voll-
auf nationaler Ebene eine verpflichtende Be-
bracht: Die Verhandlungsführer des Europäi-
stellung vorzusehen. Der angesichts der sehr
schen Parlaments, des Rates der Europäischen
unterschiedlichen Standpunkte von Parlament
Union sowie der Europäischen Kommission ha-
und Kommission einerseits und Rat andererseits
ben sich auf einen gemeinsamen Text für die
schließlich gefundene Kompromiss ist aus Sicht
neue Europäische Datenschutz-Grundverord-
des Datenschutzes durchaus zu begrüßen.
nung geeinigt.¹ Zwar stehen noch einige wich-
tige formale Schritte bis zur endgültigen Ver-
abschiedung aus. Angesichts der eindeutigen Warum ist das Zwei-Säulen-Modell
Voten im LIBE-Ausschuss des Parlaments² und so wichtig?
im Ausschuss der Ständigen Vertreter von Sei-
Das Zwei-Säulen-Modell ist in Deutschland fast
ten des Rates³ sind jedoch keine Veränderungen
so alt wie der Datenschutz selbst.
mehr zu erwarten. Es ist daher davon auszuge-
hen, dass die Datenschutz-Grundverordnung im Einerseits wurde mit dem Hessischen Daten-
Laufe des 1. Halbjahres 2016 in Kraft treten wird schutzgesetz vom 7. Oktober 1970 – also vor
und zwei Jahre später anzuwenden ist. ziemlich genau 45 Jahren – erstmals ein Lan-
desdatenschutzbeauftragter vorgesehen, mit-
Über das Verhandlungsergebnis ist schon einiges
hin die Geburtsstunde der ersten Säule, nämlich
geschrieben worden; die Komplexität des Ver-
der unabhängigen staatlichen Datenschutzkon-
ordnungswerks wird Behörden, Wirtschaft und
trolle. Deren Grundzüge sind bis heute wenig
Wissenschaft, aber auch die Europäerinnen und
verändert worden und sind nicht nur europa-
Europäer sowie die Aufsichtsbehörden noch lan-
weit, sondern auch in vielen anderen Staaten
ge beschäftigen. Der nachfolgende Beitrag be-
der Welt etabliert.
schränkt sich jedoch auf ein ganz spezifisches,
aber bedeutendes Thema: Buchstäblich bis zur Die zweite Säule – die betrieblichen DSB – wur-
letzten Verhandlungsrunde war offen, wie es de mit dem ersten Bundesdatenschutzgesetz
um die Zukunft des Zwei-Säulen-Modells aus 1977 eingeführt. Bereits damals war in bestimm-
innerbetrieblicher/innerbehördlicher Selbstkont- ten Fällen deren verpflichtende Bestellung vor-
rolle und unabhängiger staatlicher Datenschutz- gesehen. Dies hat in den vergangenen knapp 30
1
aufsicht bestellt ist. Jahren zu einer beispiellosen Erfolgsgeschichte
Siehe den konsolidierten Text unter http://www.
emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/ des innerbetrieblichen und -behördlichen Da-
LIBE%282015%291217_1/sitt-1739884, abgerufen am 29.12.2015 Nachdem die Europäische Kommission und
tenschutzes geführt.
2
Siehe Pressemitteilung des LIBE-Ausschusses vom 17.12.2015, das Europäische Parlament sich ganz klar für
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%-
2fEP%2f%2fTEXT%2bIM-PRESS%2b20151217IPR08112%2b0%2b- die europaweite Etablierung behördlicher und Bedenkt man, dass alle Bundesbehörden und
DOC%2bXML%2bV0%2f%2fDE&language=DE,
abgerufen am 29.12.2015 betrieblicher Datenschutzbeauftragter (DSB) die Mehrzahl der Landesbehörden ebenso ei-
3
Siehe Pressemitteilung des Rates vom 18.12.2015, ausgesprochen haben, konnte sich der im Rat nen DSB bestellen müssen wie alle Unterneh-
http://www.consilium.europa.eu/de/press/press-releases
/2015/12/18-data-protection/, abgerufen am 29.12.2015 nicht auf eine verpflichtende Bestellung von men, bei denen mindestens 10 Personen mit
10 BvD-NEWS 01/2016Titelthema EU-DSGVO
@jorisvo – 123rf.com
der automatisierten Datenverarbeitung beschäftigt sind, dürfte Umfangs eine weiträumige regelmäßige und systematische
eine sechsstellige Zahl von Stellen zusammenkommen, die einen Überwachung von Betroffenen erfordert.
DSB bestellen müssen. Daneben nimmt sich die Zahl der Mitarbei- • Die Kernaktivitäten eines für die Verarbeitung Verantwortli-
terinnen und Mitarbeiter der 18 deutschen Datenschutzbehörden chen oder Auftragsverarbeiters bestehen in einer weiträumigen
– das dürften etwa 500 sein – äußerst bescheiden aus. Verarbeitung der besonders schutzwürdigen Daten nach Art. 9
oder 9a DSGVO.
Angesichts dieser Zahlen kann man erahnen, warum das in
Deutschland gewachsene Datenschutzbewusstsein und die Sen- Für die Verarbeitung personenbezogener Daten durch öffentli-
sibilität für das Thema so ausgeprägt sind. Denn so wird dafür che Behörden wird sich aufgrund der Datenschutz-Grundverord-
gesorgt, dass das Thema Datenschutz in Behörden und Unter- nung die Situation in denjenigen deutschen Ländern verändern,
nehmen im Bewusstsein bleibt – ein entscheidender Faktor, dass in denen bislang nur eine freiwillige Bestellung von DSB vorgese-
sowohl die Bürgerinnen und Bürger, Kundinnen und Kunden als hen ist, wie z. B. in Sachsen. Die Gerichte sind – zum Schutz der
auch die Beschäftigten in Unternehmen und Behörden Vertrauen richterlichen Unabhängigkeit – nur im Zusammenhang mit ihrer
in den datenschutzgerechten Umgang mit ihren personenbezoge- rechtsprechenden Tätigkeit ausgenommen. Für die Verarbeitung
nen Daten aufbauen konnten und können. personenbezogener Daten durch die Gerichte in Verwaltungsan-
gelegenheiten besteht hingegen eine Bestellpflicht.
Der Europäische Gesetzgeber schrieb in der Richtlinie 95/46/EG
zwar keine verpflichtende Bestellung des betrieblichen oder be- Welche Unternehmen unter den zweiten und dritten Tatbestand
hördlichen DSB vor. Die Richtlinie verband jedoch die Verbesse- fallen werden, wird angesichts der zahlreichen unbestimmten
rung des innerbetrieblichen und innerbehördlichen Datenschutzes Rechtsbegriffe (z. B. »weiträumige, regelmäßige und systemati-
mit einer deutlichen Entbürokratisierung – dem Wegfall der Mel- sche Überwachung«) in den kommenden Jahren für viel Diskus-
depflicht nach Art. 18 – und stellte so einen entscheidenden An- sionsstoff sorgen. Sicher ist jedoch, dass die in § 4f BDSG gere-
reiz für die Etablierung der DSB her. Außerhalb Deutschlands hat gelten Bestellpflichten aufgrund ihrer Anknüpfung an die Zahl der
sich das Modell jedoch nie flächendeckend durchgesetzt. mit automatisierter Datenverarbeitung Beschäftigten keinesfalls
deckungsgleich mit den Bestellpflichten nach Art.35 Abs. 1 DSGVO
sein werden. So wird es einzelne Unternehmen geben, die weniger
Das Modell der Datenschutz-Grundverordnung als zehn Beschäftigte haben, aber nach Art. 35 Abs. 1 lit. b) DSGVO
Die Datenschutz-Grundverordnung knüpft nunmehr an die bishe- einen DSB haben müssen. Umgekehrt wird es viele Unternehmen
rigen Vorbilder an und kombiniert in ihrer endgültigen Fassung die geben, die deutlich mehr als zehn Beschäftigte haben, aber nicht
Ansätze von Kommission und Parlament sowie des Rates. Nach unter die Kriterien des Art. 35 Abs. 1 DSGVO fallen.
Art. 35 Abs. 1 DSGVO müssen zunächst in drei verschiedenen Fäl-
len DSB bestellt werden: Bestandteil des Kompromisses ist darüber hinaus eine in Art. 35
Abs. 4 DSGVO geregelte doppelte Öffnungsklausel:
• Die Verarbeitung personenbezogener Daten wird durch öf-
fentliche Behörden durchgeführt. Ausgenommen sind Gerichte • Verantwortliche Stellen oder Auftragsverarbeiter können frei-
im Rahmen ihrer rechtsprechenden Tätigkeit. willig auch dann einen DSB bestellen, auch wenn sie nicht dazu
• Die Kernaktivitäten eines für die Verarbeitung Verantwortli- nach Art.35 Abs. 1 DSGVO verpflichtet sind.
chen oder eines Auftragsverarbeiters bestehen in einer Daten- • Die Mitgliedstaaten können im nationalen Recht für weitere
verarbeitung, die aufgrund ihrer Art, ihrer Zwecke oder ihres Fälle die verbindliche Bestellung von DSB vorschreiben.
BvD-NEWS 01/2016 11Titelthema EU-DSGVO
Deutschland kann damit bei seinem bisherigen sowie den Zugang zu personenbezogenen Daten
Ansatz bleiben und die Bestellpflichten des § 4f und Verarbeitungsvorgängen zur Verfügung stel-
Abs. 1 BDSG unverändert beibehalten. Ob dies so len und sein Fachwissen erhalten.
bleiben wird, hängt vom deutschen Gesetzgeber • Der DSB fungiert als der zentrale Ansprech-
ab. Anders als die Richtlinie 95/46/EG enthält die partner für die Betroffenen und für die Aufsichts-
Datenschutz-Grundverordnung jedoch kaum noch behörden, mit denen er kooperiert.
Anreize zur Bestellung eines DSB. Die bislang be- • Die DSGVO garantiert die Unabhängigkeit des
stehende Meldepflicht wird ohnehin wegfallen und DSB; er untersteht unmittelbar der höchsten
andere Anreize wurden nicht geschaffen. Managementebene.
• Der DSB unterrichtet und berät die verant-
wortliche Stelle als auch die Beschäftigten. Er
Rechtsstellung und Aufgaben des überwacht die Einhaltung der datenschutzrecht-
Datenschutzbeauftragten lichen Vorschriften.
Die in den Art. 35 bis 37 DSGVO festgelegten Vor- Es bleibt zu hoffen, dass das deutsche Erfolgsmo-
gaben zu den Bestellungsvoraussetzungen, zur dell des innerbetrieblichen und -behördlichen Da-
Rechtsstellung und zu den Aufgaben der DSB leh- tenschutzes unter der Datenschutz-Grundverord-
nen sich an den Regelungen der §§ 4f, 4g BDSG nung seine Fortsetzung finden wird.
an. Auf folgende Eckpunkte sei hier hingewiesen:
• Der DSB bedarf einer fachlichen Qualifikation;
anders als im BDSG wird eine Zuverlässigkeit
nicht ausdrücklich vorausgesetzt.
• Eine Mindestamtszeit ist nicht vorgesehen.
Eine Amtsenthebung aufgrund seiner Amtsaus-
Über die Autorin
übung ist nicht erlaubt. Andrea Voßhoff
• Die DSGVO lässt sowohl interne als auch exter- Bundesbeauftragte für den
ne DSB sowie die Zugleichfunktion mit anderen Datenschutz und die Informationsfreiheit
Aufgaben bei Vermeidung von Interessenkonflik-
ten zu.
• Die verantwortliche Stelle muss den DSB un-
terstützen und ihm die notwendigen Ressourcen
Anzeige
12 BvD-NEWS 01/2016Titelthema EU-DSGVO
BVD-SYMPOSIUM 2015 –
DER DATENSCHUTZBEAUFTRAGTE
IN DER EU-DSGVO
Susanne Maack, BNP Paribas S.A., Niederlassung Deutschland
Fast auf den Tag genau 20 Jahre nach der EU staaten vermitteln. Einen Bezug zum aktuellen
Richtlinie 95/46/EG befasste sich der Berufsver- Recht schaffte Rechtsanwalt Stefan Sander, der
band der Datenschutzbeauftragten Deutsch- Haftungsfragen des betrieblichen Datenschutz-
lands (BvD) e. V. auf seinem Symposium am beauftragten unter dem BDSG und im Ausblick
22.10.2015 schwerpunktmäßig mit der Rolle auf die EU-DSGVO erörterte. Seinen Einstand
des Datenschutzbeauftragten in der künftigen beim BvD vollzog Prof. Dr. Dieter Kugelmann,
EU-Datenschutzgrundverordnung (EU-DSGVO). der als frisch ernannter Landesbeauftragter
Mit dem Veranstaltungsort, dem Museum für für den Datenschutz und die Informationsfrei-
Kommunikation in Nürnberg, war bewusst ein heit Rheinland-Pfalz die grundrechtschützende
Ort gewählt worden, der die Bedeutung der Aufgabe des Datenschutzes hervorhob. Andrea
Zweckgerichtetheit und Vielfalt menschlicher Voßhoff, die Bundesbeauftragte für den Daten-
Kommunikation veranschaulichte. schutz und die Informationsfreiheit, bedauer-
te, dass sich das Zwei-Säulen-Modell des BDSG
Aus den Grußworten, die in Stellvertretung von
hinsichtlich der Beratung und Überwachung
Joachim Herrmann (CSU, Staatsminister des In-
durch staatliche Aufsicht und durch das Model
nern, für Bau und Verkehr) vorgetragen wur-
der Selbstregulierung mittels betrieblichen Da-
den, konnte schon entnommen werden, dass
tenschutzbeauftragten nicht in der bewährten
der politische Wille besteht, dieses für Europa
Weise fortsetzen wird. Hier war zu hoffen, dass
und die Datenverarbeitung so wichtige Gesetz-
im Trilog der EU-DSGVO auch Anreize für die
gebungsverfahren noch diesen Winter abzu-
Benennung eines Datenschutzbeauftragten mit
schließen: Rechtssicherheit für die europäische
Erleichterungen für die verantwortlichen Stellen
datenverarbeitende Wirtschaft sei dringend
geschaffen werden, wie bei der vorherigen Zura-
erforderlich – und dies auch unabhängig von
teziehung in Art. 34. Leider hat sich diese Hoff-
Entscheidungen des EuGH zu Datentransfers in
nung, wie wir nun wissen, nicht erfüllt.
die USA. Einen direkten Einblick in die Überle-
gungen des Bundesministeriums des Innern gab Aus Sicht der Bundesländer stellte Ministeri-
Ulrich Weinbrenner als Leiter der Projektgrup- alrat Michael Will vom Bayerischen Staatsmi-
pe Datenschutz der oben genannten Behörde. nisterium des Innern, für Bau und Verkehr die
Für die Umsetzung der durch die EU-DSGVO er- Überlegungen zum Kohärenzverfahren vor: Die
forderlichen Anpassungen im nationalen Recht deutschen Aufsichtsbehörden werden sich so
stünde angesichts des zeitlichen Ablaufs der Le- organisieren müssen, dass sie durch eine Stim-
gislaturperiode nur ein Zeitraum von ca. 15 Mo- me bei grenzüberschreitenden Abstimmungen
naten zur Verfügung. Inhaltlich deutete der da- repräsentiert werden. Zudem ging er davon aus,
malige Stand des Trilogs an, dass man sich bei dass eine Öffnungsklausel für die Mitgliedsstaa-
Fragen der Abwägung und Zweckänderung auf ten für die Datenverarbeitung im Rahmen öf-
eine Kompatibilitätsprüfung einstellen werden fentlicher Aufgaben denkbar sei.
müsse. Inwieweit die Benennungspflicht des
Für den Arbeitskreis Recht und Praxis des BvD
Datenschutzbeauftragten in der EU-DSGVO ge-
informierte Dr. Britta Mester über Aspekte der
regelt oder den Mitgliedsstaaten überlassen blei-
Berufsausübung des Datenschutzbeauftragten
be, war damals noch nicht sicher. Die positiven
und gab eine Prognose hinsichtlich der Verän-
deutschen Erfahrungen ließen sich nach seinen
derungen in der EU-DSGVO: Die Thematik des
Ausführungen nicht an die anderen Mitglieds-
Datenschutzes wird noch beratungsintensiver
BvD-NEWS 01/2016 13Titelthema EU-DSGVO
werden, da gerade in der Übergangszeit gro- Der Tag war gefüllt mit vielen Informationen zu
ße Rechtsunsicherheit herrschen wird. Zum Details der EU-DSGVO, Aspekten bzgl. der Tä-
Abschluss gab es durch Rechtsanwältin Katrin tigkeit von Datenschutzbeauftragten und bot
Schürmann eine umfangreiche Darstellung des vielfältige Gelegenheiten in direktem Kontakt zu
Trendthemas Big Data und welche vielfältigen den Referenten und Teilnehmern diese Themen
Möglichkeiten sich auch außerhalb eines Perso- zu vertiefen, offene Fragen zu klären und sich
nenbezugs ergeben können. Das Aufdecken von fachlich auszutauschen. Er hinterließ sicherlich
ansonsten nicht erkennbaren Abhängigkeiten nicht nur bei den Teilnehmern den Eindruck,
kann in vielen Bereichen zu einem effiziente- dass die betrieblichen Datenschutzbeauftragten
ren und zielgerichteten Arbeiten führen. Jedoch einen wichtigen Beitrag zur Datenschutzkultur
darf dabei der Schutz des Einzelnen nicht außer in Deutschland leisten.
Acht gelassen werden. Den Ausklang gestalte-
te Hans-Georg Schnauffer, Präsident der Gesell-
schaft für Wissensmanagement e. V., der seine Über die Autorin
Erkenntnisse über Lösungen im Bereich der un-
Susanne Maack
ternehmensinternen sozialen Netzwerke, aber
Senior Expert Datenschutz, Consorsbank
auch zu den dabei aufkommenden Fragestel-
lungen mitteilte. Datenschutzfragen entstehen
eben auch durch die Anwendung neuer Tech-
Consorsbank ist eine eingetragene Marke der
niken und nicht nur durch neue Gesetzgebung. BNP Paribas S.A. Niederlassung Deutschland.
»EUROPÄISCHE DATENSCHUTZGRUNDVER-
ORDNUNG – BLEIBT ALLES ANDERS?«
Auftakt zur Veranstaltungsreihe »DatenAbend« der
Stiftung Datenschutz am 05. November 2015
Die Europäische Datenschutzgrundverordnung Anna Sauerbrey vom »Tagesspiegel« diskutierten
steht nach jahrelangen Verhandlungen kurz vor Expertinnen und Experten die Auswirkung der
ihrer Einführung. Voraussichtlich im März oder neuen Verordnung.
April 2016 soll über sie im Plenum des Parlaments
Elisabeth Kotthaus von der Vertretung der
abgestimmt werden; danach kann die Verord-
EU-Kommission in Deutschland gab zunächst ei-
nung in Kraft treten.
nen Überblick über den Verlauf der langwierigen
Kurz bevor die am 15. Dezember 2015 zwischen Verhandlungen. Nach ihrer Einschätzung sei bei
Europäischem Parlament und Europarat informell der Umsetzung der neuen Verordnung – nach In-
erzielte Einigung am 17. Dezember vom Innen- krafttreten haben die Mitgliedsstaaten zwei Jah-
und Rechtsausschuss des Parlaments mit großer re Zeit für die Umsetzung – auch mit Blick auf
Mehrheit angenommen wurde, lud die Stiftung das kürzlich ergangene Safe-Harbour-Urteil eine
Datenschutz unter dem Motto »Europäische Da- besondere Dringlichkeit gegeben. Dabei sieht sie
tenschutzgrundverordnung – bleibt alles anders?« die Stiftung Datenschutz in einer wichtigen Ver-
ins Berliner Quadriga-Forum. Vor rund zweihun- mittlerrolle.
dert Gästen und kenntnisreich moderiert von
14 BvD-NEWS 01/2016Titelthema EU-DSGVO
Im Zentrum der Diskussion standen die erwarte- band die anstehenden Änderungen: »Wir haben
ten Auswirkungen auf Wirtschaft und Verbrau- die berechtigte Sorge, dass die Verordnung hin-
cher. Ole Schröder, Parlamentarischer Staatsse- ter die bestehende Richtlinie zurückfällt. Eine
kretär im Bundesinnenministerium, hält das im starke Rolle der Verbraucher und das Grundrecht
deutschen Datenschutz-Verständnis fest veran- auf informationelle Selbstbestimmung sind für
kerte Prinzip der Datensparsamkeit für überholt uns zentral.«
und für eine Innovationsbremse bei der Ent-
Als Gastgeber des DatenAbends sieht Vorstand
wicklung von Big-Data-Anwendungen in Europa.
Frederick Richter von der Stiftung Datenschutz
Diese Sicht teilt Clemens Gutmann. Für den Ge-
seine Erwartungen erfüllt: Die Diskussion habe
schäftsführer eines Energieunternehmens ist die
gezeigt, dass der Datenschutz ein wichtiges, le-
systematische Auswertung von großen Daten-
bendiges Thema ist, das fast alle gesellschaftli-
mengen längst Teil des Geschäftsmodells. »Ohne
chen Bereiche berührt. Die Stiftung wolle nun die
Big Data werden wir die Energiewende nicht
neue Europäische Datenschutzgrundverordnung
schaffen«, ist Gutmann sicher.
aktiv zwischen Politik, Wirtschaft und Gesell-
Einen Widerspruch zwischen Big Data und Da- schaft vermitteln. In der nächsten Veranstaltung
tensparsamkeit sieht Sven Hemmering nicht. am 09. März 2016 in Frankfurt/Main werden die
Er ist als Leiter der Projektgruppe Datenschutz- unterschiedlichen Kulturen des Datenschutzes
grundverordnung bei der Bundesdatenschutzbe- und der Privatsphäre auf einem Symposium »Cul-
auftragten mit der komplexen Materie vertraut. tures of Privacy and Data Protection in the EU
Er bezeichnete das Ergebnis des Verhandlungen and the US« beleuchtet; die Datenschutzgrund-
als »Weiterführung des Bewährten. Eine Revolu- verordnung ist am 31. März in München erneut
tion war nicht angedacht.«. Tatsächlich haben es Thema, diesmal konkret deren Anforderungen an
wesentliche deutsche Anliegen in den Text ge- die mittelständische Wirtschaft.
schafft, so das Marktort-Prinzip, das Recht auf
Vergessenwerden, das Prinzip der Datenportabi-
lität und das Prinzip der Verhältnismäßigkeit bei
den Dokumentationspflichten der Unternehmen. Über den Autor
Kritisch sieht dagegen Verbraucherschützerin Sebastian Himstedt
Lena Ehrig vom Verbraucherzentrale Bundesver- freier Journalist
Foto: »DatenAbend« – Stiftung Datenschutz
(v. l. n. r.): Clement Gutmann, Lena Ehrig, Sven
Hemmering, Nicolaus Forgó, Anna Sauerbrey,
Frederick Richter, Elisabeth Kotthaus, Ole Schröder)
BvD-NEWS 01/2016 15Titelthema EU-DSGVO
DIE HAFTUNG DES
DATENSCHUTZBEAUFTRAGTEN UNTER
BERÜCKSICHTIGUNG DER EU-DSGVO
Stefan Sander, LL.M., B.Sc.
Die Haftung des betrieblichen Datenschutzbe- ist von den ggf. weitergehenden Aufgaben, die
auftragten ist ein vielschichtiges Thema. Eine der Beauftragte laut seines Vertrags mit der ver-
zivilrechtliche Haftung, insbesondere auf Scha- antwortlichen Stelle dieser als Leistung schuldet)
densersatz, kann zu prüfen sein – sowohl im ändert sich mit dem Inkrafttreten der EU-DSG-
Hinblick auf die verantwortliche Stelle als Ver- VO, bzw. dem Ablauf der Übergangsfrist.
tragspartner des Beauftragten als auch auf den
Die angesprochene strafrechtliche Verantwort-
Betroffenen. Zwischen dem Beauftragten und
lichkeit kann sich im Einzelfall aus einem Un-
dem Betroffenen besteht zwar regelmäßig kein
terlassen des betrieblichen Datenschutzbeauf-
Vertrag, aber es kommt ggf. die Verletzung ei-
tragten ergeben. Nicht nur theoretisch ist eine
nes absoluten Rechts in Betracht, d. h. eines
Strafbarkeit wegen Beihilfe durch Unterlassen
von jedermann zu beachten Rechts. Jede Daten-
zu einer Straftat i. S. v. § 44 BDSG denkbar.
verarbeitung ist stets ein Eingriff in das Recht
Dieses »Konstrukt« entstammt nicht irgendwel-
auf informationelle Selbstbestimmung. Zu klä-
chen in der Literatur vertretenen Ansichten,
ren ist im Einzelfall anhand des Datenschutz-
sondern der letztinstanzlichen Rechtsprechung,
rechts nur, ob es sich um einen rechtmäßigen
insbesondere des Bundesgerichtshofs (BGH).
oder rechtswidrigen Eingriff in den Schutzbe-
Mit Urteil vom 17.07.2009 (Aktenzeichen 5 StR
reich dieses Grundrechts handelt. Das Thema
394/08) hat der BGH diese aus dem allgemeinen
Haftung umfasst aber auch die strafrechtliche
Teil des Strafgesetzbuchs abzuleitende Überle-
Verantwortlichkeit des Datenschutzbeauftrag-
gung bestätigt, die bereits viele Jahre zuvor ei-
ten sowie sonstige (negative) Folgen für ihn auf-
nem strafrechtlichen Revisionsurteil des Ober-
grund öffentlich-rechtlicher Bestimmungen.
landesgerichts Frankfurt a. M. (veröffentlicht in
Als Kern des Vortrags im Rahmen des alljähr- der Neuen Juristischen Wochenschrift, Jahrgang
lichen Symposiums des BvD am 22.10.2015 in 1987, Seite 2753) zugrunde lag.
Nürnberg wurde die strafrechtliche Verantwort-
Die Rechtsprechung geht davon aus, dass aus
lichkeit beleuchtet. Dies liegt weniger daran,
der Übernahme von bestimmten Funktionen
dass in letzter Zeit vermehrt Strafverfahren ge-
durch einzelne Personen eine sog. Garantenstel-
gen Datenschutzbeauftragte bekannt geworden
lung dieser Personen abzuleiten ist. Das bedeu-
wären, sondern daran, dass es eine zivilrecht-
tet, dass diese Personen verpflichtet sind, tätig
liche Haftung auf Schadensersatz gibt (§ 823
zu werden, um den Eintritt eines sog. straf-
Abs. 2 BGB), die unmittelbar an eine strafrechtli-
rechtlichen Erfolgs zu verhindern, der etwa in
che Verantwortlichkeit anknüpft. Diese wieder-
der Begehung einer Straftat i. S. v. § 44 BDSG zu
um schließt sich, wie sogleich näher beschrieben
sehen sein kann. Diese Überlegung greift insbe-
wird, unmittelbar an die gesetzliche Festlegung
sondere dort Platz, wo gesetzlich vorgesehene
der Aufgaben des betrieblichen Datenschutzbe-
Funktionen als Beauftragter an einzelne Perso-
auftragten an. Und dies ist der Grund, warum al-
nen übertragen werden, etwa als Beauftragter
ler Voraussicht nach Bewegung in dieses Thema
für Gewässerschutz, Immissionsschutz, Strah-
kommen wird. Denn der Umfang der gesetzlich
lenschutz – oder eben auch Datenschutz. Der
bestimmten Aufgaben des betrieblichen Daten-
Datenschutzbeauftragte kann also, was sogleich
schutzbeauftragten (welcher zu differenzieren
noch näher zu betrachten ist, unter Umständen
16 BvD-NEWS 01/2016Titelthema EU-DSGVO
verpflichtet sein, die Begehung einer Straftat zumutbaren Mitteln (etwa auch durch Einschal-
i. S. v. § 44 BDSG durch den für die Datenver- ten der Aufsichtsbehörde), kann er sich selbst
arbeitung Verantwortlichen zu verhindern. Un- dem Vorwurf der Beihilfe durch Unterlassen
terlässt er dies, macht er sich unter Umständen aussetzen und damit eine eigene strafrechtli-
selbst einer Beihilfe zu dessen Straftat schuldig. che Verurteilung herbeiführen. Wie jedoch ein-
gangs angesprochen, ist diese Überlegung nicht
Ein strafrechtlich relevantes Unterlassen setzt
nur für etwaig tätige Ermittlungsbehörden rele-
jedoch voraus, dass der potentielle Täter dazu
vant, sondern auch für Betroffene, die aufgrund
verpflichtet war, eine bestimmte Handlung vor-
der rechtswidrigen Datenverarbeitung durch die
zunehmen. Welche Handlungen der betriebliche
verantwortliche Stelle den Datenschutzbeauf-
Datenschutzbeauftragte kraft Gesetzes (also
tragten auf Schadensersatz in Anspruch neh-
aufgrund der Übernahme des Amtes, durch
men wollen.
seine Bestellung) vornehmen muss, ergibt sich
aus den gesetzlich vorgesehenen Aufgaben des Im Rahmen des Vortrags, der vorstehend knapp
Beauftragten. Hier ist die wesentliche Verän- zusammengefast wurde, wurden sodann auch
derung anzusprechen (abgesehen von der ver- Überlegungen vorgestellt, die zu einer straf-
änderten Aufzählung einzelner Aufgaben), die rechtlichen Verantwortlichkeit des betrieblichen
sich durch die EU-DSGVO einstellt. Während Datenschutzbeauftragten (nicht nur als Beihel-
der BGH in oben genanntem Urteil Parallelen zu fer, sondern) als Täter führen, bzw. als Mittäter
den »Aufgaben des Beauftragten« verschiedens- gemeinsam mit dem für die Datenverarbeitung
ter anderer Gesetze und Sachzusammenhän- Verantwortlichen. Diese Erwägungen sind je-
ge zieht, konnte bislang eingewendet werden, doch bislang noch nicht in der Rechtsprechung
dass in allen anderen Gesetzen den jeweils dort zu finden. Weiterhin wurden kurz die öffent-
vorgesehenen Beauftragten eine, so wörtlich, lich-rechtlichen Konsequenzen beleuchtet, die
Pflicht zur Überwachung der Einhaltung von dem betrieblichen Datenschutzbeauftragten
Vorschriften auferlegt wurde. Manche Beauf- aufgrund seines Unterlassens drohen.
tragte unterliegen sogar einem strengeren Re-
gime, welches sich z. B. in Formulierungen wie
»der Beauftragte hat dafür zu sorgen, dass die
Vorschriften eingehalten werden« findet. Dem-
gegenüber war bislang in § 4g Abs. 1 S. 1 BDSG
vorgesehen, dass der Beauftragte für den Da-
tenschutz lediglich auf die Einhaltung der Vor-
schriften hinwirkt. Dieser Einwand entfällt
künftig, da unter der EU-DSGVO auch der Da-
tenschutzbeauftragte die Pflicht zur Überwa-
chung der Einhaltung der Vorschriften über den
Datenschutz hat (Art. 37 Abs. 1 lit. b). Folglich
ist durch die Angleichung des Wortlauts an die
anderen, im deutschen Recht vorgesehenen Be-
auftragten und deren gesetzliche Pflichten, die
Begründung des vorgenannten strafrechtlichen
Urteils des BGH auch für den Bereich des Daten-
Über den Autor
schutzes »1 zu 1« übertragbar.
Stefan Sander, LL.M., B.Sc.
Hat der betriebliche Datenschutzbeauftragte Rechtsanwalt und Fachanwalt für
Kenntnis von Umständen, die auf eine Straftat IT-Recht, Software-Systemingenieur
i. S. v. § 44 BDSG schließen lassen (weiß er z. B., Datenschutzbeauftragter (TÜV)
dass der für die Datenverarbeitung Verantwort- www.sds.ruhr
liche personenbezogene Daten rechtswidrig für
Zwecke der Werbung nutzt) und verhindert er
die Begehung der Straftat nicht mit allen ihm
BvD-NEWS 01/2016 17Sie können auch lesen
