EU-Datenschutzreform

Die künftige Rolle des Datenschutzbeauftragten

Die kommende Datenschutzgesetzgebung der EU wird die Bedeutung des Datenschutzbeauftragten verändern.

Eines der umfangreichsten europäischen Gesetzgebungsvorhaben ist die EU-Datenschutzgrundverordnung, die das geltende Datenschutzrecht in Europa reformieren und vereinheitlichen soll. Von der Europäischen Kommission im Januar 2012 vorgestellt, hat das Europäische Parlament den Entwurf im März 2014 angenommen. Auch wenn die Verhandlungen darüber mit den 28 Mitgliedsländern der Europäischen Union noch immer nicht abgeschlossen sind und Änderungen erfolgen sind, so kristallisieren sich bestimmte Eckpunkte bereits jetzt deutlich heraus.

Ein zentraler Aspekt ist die Notwendigkeit zur Ernennung eines Datenschutzbeauftragten (im Englischen Data Protection Officer oder kurz DPO genannt), der gemäß Artikel 36 im angenommenen Gesetzesentwurf "...seinen Pflichten und Aufgaben unabhängig nachkommen kann und keine Anweisungen bezüglich der Ausübung seiner Tätigkeit erhält." Von entscheidender Bedeutung dürfte sein: Wie unabhängig darf oder muss der Datenschutzbeauftragte künftig sein?

Berater und Vermittler

Mit dieser Frage beschäftigten sich auch die Teilnehmer des fünften europäischen Datenschutzkongresses der IAPP (International Association of Privacy Professionals), der Anfang des Monats in Brüssel stattfand. Für Stephan Geering, EMEA Data Protection Officer bei der Citigroup, birgt die gesetzlich geforderte Unabhängigkeit dieser Funktion einiges an Konfliktpotenzial: "Auf der einen Seite ist mehr Unabhängigkeit zu begrüßen, um weniger Druck aus dem Tagesgeschäfts zu erhalten, bestimmte Operationen freizugeben." Wenn der Datenschutzbeauftragte allerdings komplett unabhängig sein muss, kann das leider auch bewirken, dass die internen Kollegen ihm mit Argwohn begegnen, obwohl sie weiterhin offen ihm umzugehen haben. Dies geschehe schlicht aus der Befürchtung heraus, dass ihre Projekte künftig stärker reglementiert und sie dadurch in ihrer Arbeit behindert werden.

Für Stephan Geering von der Citigroup gibt es auf die Frage, ob ein Datenschutzbeauftragter organisatorisch eher bei der Rechtsabteilung, bei der Revision oder in der IT beheimatet sein sollte, keine allgemein gültige Antwort, da dies von der Struktur des konkreten Unternehmens abhängt.
Für Stephan Geering von der Citigroup gibt es auf die Frage, ob ein Datenschutzbeauftragter organisatorisch eher bei der Rechtsabteilung, bei der Revision oder in der IT beheimatet sein sollte, keine allgemein gültige Antwort, da dies von der Struktur des konkreten Unternehmens abhängt.
Foto: IAPP

Seiner Ansicht nach steigert eine strikte Unabhängigkeit dieser Rolle das Risiko, dass der Datenschutzbeauftragte seine gleichermaßen wichtige Rolle als interner Berater und Vermittler verliert oder zumindest in Teilen einbüßt. Geering: "Dabei ist es doch sehr wichtig, den Datenschutzbeauftragten so früh wie möglich einzubeziehen, beispielsweise im Kontext von Privacy-by-design und Privacy-by-default."