Working Paper 243 der Art. 29-Gruppe

WP 243 - Einführung

Die Datenschutz-Grundverordnung (DS-GVO)[1], die ab 25. Mai 2018 anzuwenden ist, stellt einen modernisierten, auf Rechenschaftspflicht basierenden Handlungsrahmen für den Datenschutz in Europa dar. Für viele Organisationen stehen die Datenschutzbeauftragten (Data Protection Officers, DPOs) durch deren Unterstützung bei der Einhaltung der Bestimmungen des DS-GVO im Mittelpunkt dieses neuen Rechtsrahmens.

Im Rahmen der DS-GVO ist es für bestimmte Verantwortliche und Auftragsdatenverarbeiter zwingend notwendig, einen Datenschutzbeauftragen zu benennen.[2] Dies wird auf alle Behörden und Gremien (unabhängig davon, welche Daten sie verarbeiten) und für andere Organisationen zutreffen, deren Kerntätigkeit darin besteht, Einzelpersonen systematisch und in großem Maßstab überwachen.

Auch wenn die DS-GVO nicht ausdrücklich die Ernennung eines Datenschutzbeauftragten erfordert, kann es für Unternehmen nützlich sein, einen Datenschutzbeauftragten auf freiwilliger Basis zu benennen. Die Artikel-29-Datenschutzgruppe (“WP29”) unterstützt diese freiwilligen Anstrengungen.

Das Konzept des Datenschutzbeauftragten ist nicht neu. Zwar verlangte die Richtlinie 95/46/EG[3] nicht von jeder Organisation die Einstellung eines Datenschutzbeauftragen, jedoch entwickelte sich die Praxis der Ernennung eines Datenschutzbeauftragten im Laufe der Jahre in mehreren Mitgliedsstaaten.

Vor der Verabschiedung der DS-GVO argumentierte die WP29, dass der Datenschutzbeauftragte ein Eckpfeiler der Rechenschaftspflicht sei, und dass die Ernennung eines Datenschutzbeauftragten die Einhaltung der Vorschriften erleichtern und darüber hinaus für die Unternehmen einen Wettbewerbsvorteil darstellen könne.[4] Neben dem Sicherstellen der Einhaltung der Verordnung durch die Einführung von Rechenschaftswerkzeugen (wie z.B. Ermöglichen einer Datenschutzfolgeabschätzung und Durchführung oder Unterstützung von Audits) sind die Datenschutzbeauftragten als Vermittler zwischen relevanten Interessenvertretern (z.B. Aufsichtsbehörden, betroffenen Personen und Geschäftseinheiten innerhalb einer Organisation) tätig.

Datenschutzbeauftragte sind im Falle der Nichteinhaltung der DS-GVO nicht persönlich verantwortlich. Die DS-GVO verdeutlicht, dass der Verantwortliche oder Auftragsdatenverarbeiter derjenige ist, der dafür verantwortlich ist und der in der Lage sein muss, zu beweisen, dass die Datenverarbeitung gemäß den Vorschriften in der DS-GVO ausgeführt wird (Artikel 24, Absatz 1). Die Einhaltung des Datenschutzes liegt in der Verantwortung des Verantwortlichen oder des Auftragsdatenverarbeiters.

Der Verantwortliche oder der Auftragsdatenverarbeiter hat auch eine entscheidende Rolle bei der Ermöglichung der effektiven Leistungserbringung der Aufgaben des Datenschutzbeauftragten. Die Ernennung eines Datenschutzbeauftragten ist ein erster Schritt, aber den Datenschutzbeauftragten müssen auch genügend Autonomie und Ressourcen gegeben werden, um ihre Aufgaben effektiv wahrnehmen zu können.

Die DS-GVO erkennt den Datenschutzbeauftragten als Schlüsselspieler im neuen Data-Governance-System an und legt die Bedingungen für seine Ernennung, seine Position und seine Aufgaben fest. Ziel dieser Leitlinien ist es, die einschlägigen Bestimmungen der DS-GVO zu klären, um den Verantwortlichen und Auftragsverarbeitern die Einhaltung des Gesetzes zu erleichtern, aber auch um die Datenschutzbeauftragten in ihrer Rolle zu unterstützen. Die Leitlinien enthalten auch Best-Practice-Empfehlungen, die auf den Erfahrungen in einigen EU-Mitgliedstaaten aufbauen. Die Artikel-29-Datenschutzgruppe wird die Umsetzung dieser Leitlinien überwachen und sie gegebenenfalls ergänzen.

Obwohl es ein großer Erfolg gerade auch der deutschen Beteiligten ist, dass die Bestellung betrieblicher Datenschutzbeauftragter verpflichtend in die Datenschutz-Grundverordnung aufgenommen wurde, bleibt diese Verpflichtung deutlich hinter dem bereits seit Jahrzehnten in Deutschland herrschenden Standard zurück. Allerdings hat die Datenschutz-Grundverordnung an dieser Stelle Gestaltungsspielräume offen gelassen, die es dem deutschen Gesetzgeber ermöglicht haben, weitergehende verpflichtende Bestellungen betrieblicher Datenschutzbeauftragter vorzusehen. Angelehnt an die bisherigen Regelungen im Bundesdatenschutzgesetz alter Fassung wird sich mit § 38 im Anpassungsgesetz-Entwurf der Bundesregierung diesbezüglich in Deutschland wenig ändern.


[1] Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), (ABl. L 119 vom 4.5.2016). Die DS-GVO ist für den EWR relevant und wird nach ihrer Aufnahme in das EWR-Abkommen gelten.

[2] Die Ernennung eines Datenschutzbeauftragten ist auch zwingend vorgeschrieben für zuständige Behörden gemäß Artikel 32 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89- 131) und nationalen Durchführungsvorschriften. Während sich diese Leitlinien auf die Datenschutzbeauftragten im Rahmen der DS-GVO konzentrieren, sind sie auch für die Datenschutzbeauftragten gemäß der Richtlinie 2016/680 in Bezug auf ihre ähnlichen Bestimmungen relevant.

[3] Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31).

[4] Siehe: ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150617_appendix_core_issues_plenary_en.pdf

Nachstehend das Working Paper 243 in deutscher Übersetzung (PDF-Format).