Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) existiert erstmals eine europaweit verbindliche verpflichtende Regelung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter. Das deutsche Erfolgsmodell der datenschutzrechtlichen Selbstkontrolle hat sich damit auch auf europäischer Ebene durchgesetzt.
Uneinheitliche Bestellpflicht in den Mitgliedstaaten
In Ergänzung zur europarechtlichen (Basis-)Bestellpflicht berechtigt die DSGVO über eine Öffnungsklausel die Mitgliedstaaten, weitergehende Bestellpflichten auf nationaler Ebene vorzusehen. Anders als andere EU-Mitgliedstaaten beschreitet Deutschland auf nationaler Ebene einen schärferen Weg, als dies in der DSGVO vorgeschrieben ist. Nach § 38 Bundesdatenschutzgesetz (BDSG) musste jedes Unternehmen mit mehr als neun Mitarbeitern in der Regel einen betrieblichen Datenschutzbeauftragten benennen. Diese formelle Bestellpflicht geht mit der Plicht einher, den Datenschutzbeauftragten der zuständigen Aufsichtsbehörde zu meldensen. Im Rahmen einer Novelle des BDSG wurde 2019 in die Bestellpflicht (im nicht-öffentlichen Sektor) von zehn auf zwanzig beschäftigte Personen angehoben.
Dies wurde vielfach kritisiert:
- Gesetzliche Voraussetzungen und damit Verpflichtungen jedes Unternehmens bestehen unverändert fort – Lockerung der Bestellpflicht mindert nicht die datenschutzrechtlichen Anforderungen
- Thema findet aufgrund einer fehlenden, kompetenten Ansprechperson weniger Beachtung.
Neues Rollenverständnis
Neben den Regelungen über die Bestellpflicht enthält die DSGVO-Regelungen zur Stellung und zu den Aufgaben des Datenschutzbeauftragten, von denen der nationale Gesetzgeber grundsätzlich nicht abweichen darf. Datenschutzbeauftragte nehmen weiterhin für viele Behörden und Unternehmen eine zentrale Rolle ein: Sie unterstützen die jeweilige Leitung bei der Einhaltung der Regelungen und tragen erheblich dazu bei, ein effizientes Datenschutz-Managementsystem in der Behörde oder im Unternehmen zu implementieren. Darüber hinaus Sie sind sie wichtige Vermittler zwischen den Beteiligten, wie z.B. Aufsichtsbehörden, Betroffenen und Behörden bzw. Unternehmen. Die in der behördlichen / unternehmerischen Wirklichkeit oftmals schwierig zu durchdringende und umzusetzende Querschnittsmaterie des Datenschutzes erfordert viel Fachkunde. Nicht umsonst wird in Art. 37 Abs. 5 DSGVO das zwingend notwendige Fachwissen des Datenschutzbeauftragten vorausgesetzt.
FAQs von der LDI NRW
Mit der Geltung der DSGVO gehen also viele Neuerungen für das Berufsbild der Datenschutzbeauftragten und Verunsicherung der Verantwortlichen einher.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) gibt in Ihren FAQs einen Überblick über die neuen Regelungen zu Datenschutzbeauftragten nach der DSGVO und der JI-Richtlinie. Der Beitrag richtet sich sowohl an behördliche, als auch an betriebliche Datenschutzbeauftragte.
Die Fragen und Antworten lassen sich unter diesem Link herunterladen