Menü

31. Oktober 2016

DGQ hat neue Weiterbildung zur Position des Datenschutzbeauftragten im Programm

Der Umgang mit personenbezogenen Daten ist seit jeher eine heikle Angelegenheit – erst recht, seit die Entwicklung moderner Technik deren massenhafte Verarbeitung ermöglicht. Der Schutz solcher Daten ist für Privatpersonen ein verbrieftes Grundrecht und wird in Deutschland durch das Bundesdatenschutzgesetz geregelt. Dieses trat in seiner ersten Fassung 1978 in Kraft und hat bis zuletzt (Anfang 2016) eine Vielzahl von Anpassungen erfahren; es setzt bis heute die 1995 veröffentlichte EU-Richtlinie  95/46/EG in nationales Recht um.

EU-weit einheitliches Datenschutzrecht mit Hintertürchen

Die neue EU-Datenschutz-Grundverordnung, die nach fünfjähriger Entwicklungsarbeit am 25. Mai 2016 in Kraft trat und nach einer Übergangszeit von zwei Jahren Anwendung finden wird, ist nun nicht mehr als EU-Richtlinie ausgelegt, die noch von den Mitgliedsstaaten an das jeweilige nationale Recht angepasst werden muss. Die Verordnung ist in ihrem Wortlaut für alle Mitgliedssaaten verbindlich und wird insofern das aktuelle deutsche Bundesdatenschutzgesetz dadurch in weiten Teilen auch ersetzen.

Allerdings enthält die Verordnung eine Fülle so genannter Öffnungsklauseln, die es den Mitgliedsstaaten letztlich doch erlauben werden, an der einen oder anderen Stelle nationale Lösungen umzusetzen. Gleichwohl kann nun von einem europaweit einheitlichen Datenschutzrecht gesprochen werden, das auch Angebote an EU-Bürger aus Drittländern betrifft und bisher bestehende Wettbewerbsverzerrungen beseitigt.

Bewährte Datenschutz-Standards bleiben erhalten

Für Unternehmen und öffentliche Stellen in Deutschland haben sich mit der Novelle eine Reihe von Änderungen ergeben. Diese können jedoch in Summe nicht als eklatant bezeichnet werden, da sich die neue EU-Verordnung zu einem Gutteil an das bestehende, durchaus umfassende deutsche Datenschutzrecht anlehnt. Nach wie vor gilt beispielsweise das so genannte „Verbot mit Erlaubnisvorbehalt“, eine Regelung, die sicherstellt, dass der Umgang mit persönlichen Daten solange verboten ist, bis er entweder gesetzlich genehmigt oder von der betreffenden Person erlaubt wurde. Auch die Grundsäulen des Datenschutzes – Zweckbindung, Datensparsamkeit und Transparenz – sind weiterhin erhalten, teils sogar verschärft, was den allgemeinen Trend zu Big Data vorerst ein wenig ausbremsen könnte.

Und der Datenschutzbeauftragte?

Eine auf den ersten Blick nicht unerhebliche Änderung betrifft die Position des Datenschutzbeauftragten. Zwar wird nun EU-weit in Organisationen unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für die Einhaltung der einschlägigen Vorschriften sorgen, allerdings nach etwas anderen Kriterien, als es das bislang gültige Bundesdatenschutzgesetz vorsieht. Dort ist die Position des Datenschutzbeauftragten mit der Art der Datenverarbeitung und der Anzahl der damit betrauten Mitarbeiter verknüpft – für öffentliche Stellen ab 20 Mitarbeiter, für nichtöffentliche ab zehn Mitarbeiter.

Aus Artikel 37 Abs. 1 der neuen Verordnung geht hervor, wann wegen des Bedarfs einer entsprechenden Kontrolle die Pflicht zur Bestellung eines (behördlichen oder betrieblichen) Datenschutzbeauftragten besteht:

  • „Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.“
  • „Wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangsreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Die Bindung an die Anzahl der mit der Datenverarbeitung betrauten Mitarbeiter ist weggefallen. Auch hier gibt es allerdings eine Öffnungsklausel, die modifizierte Kriterien zulässt. Es kann davon ausgegangen werden, dass Deutschland diese Möglichkeit wahrnimmt und hinsichtlich der Bestellung des Datenschutzbeauftragten eine Lösung wie im bisherigen Bundesdatenschutzgesetz anstrebt.

Unabhängig davon kann und sollte die Position des Datenschutzbeauftragten unbedingt auch unter Qualitätsaspekten gesehen werden. Die freiwillige Beibehaltung oder Neueinrichtung der Position – auch vor dem Hintergrund eines daraus möglicherweise entstehenden Wettbewerbsvorteils – erscheint damit zusätzlich als sinnvoll.

DGQ bietet Datenschutz-Schulungen an

Die DGQ geht davon aus, dass in vielen Organisationen im Zusammenhang mit der Anwendung der neuen EU-Datenschutz-Grundverordnung ab Sommer 2018 bereits im Vorfeld ein erhöhter Schulungsbedarf entstehen wird:

  • für bereits benannte Datenschutzbeauftragte, die die neue Verordnung kennenlernen möchten,
  • für Mitarbeiter von Unternehmen, die mit der neuen Verordnung erstmals zur Bestellung eines Datenschutzbeauftragten verpflichtet sind
  • oder für Mitarbeiter von Organisationen, die sich freiwillig zur Einrichtung der Position entscheiden.

Um die dadurch entstehende Nachfrage nach professioneller Schulung zu decken, hat die DGQ ein Veranstaltungsprogramm entwickelt, das ab März 2017 mit einer Reihe viertägiger Lehrgänge zum Datenschutzbeauftragten beginnen wird. Weitere Informationen zu den Datenschutz-Trainings

Besuchen Sie unsere Themenseite: Finden Sie hier Downloads, Blogbeiträge, Veranstaltungshinweise und Aktuelles zu unseren Themen Datenschutz und Compliance.