Die Datenschutz-Grundverordnung (DS-GVO), die am 25. Mai 2018 in Kraft treten soll, wird einen modernisierten, auf dem Prinzip der Rechenschaftspflicht beruhenden Handlungsrahmen für die Überprüfung der Einhaltung der Datenschutzvorschriften in Europa bieten. Den Kern dieser neuen Rechtsgrundlage werden für viele Einrichtungen Datenschutzbeauftragte (DSB) bilden, die die Einhaltung der Bestimmungen der DS-GVO erleichtern.
Nach der DS-GVO sind Verantwortliche und Auftragsverarbeiter unter bestimmten Voraussetzungen verpflichtet, einen DSB zu ernennen. Diese Pflicht besteht für alle Behörden und öffentlichen Stellen (unabhängig von der Art der verarbeiteten Daten) wie auch für sonstige Einrichtungen, die – als Kerntätigkeit – systematisch und in großem Umfang Einzelpersonen überwachen oder in großem Umfang besondere Kategorien von personenbezogenen Daten verarbeiten.
In Fällen, in denen die DS-GVO die Bestellung eines DSB nicht ausdrücklich vorschreibt, können Einrichtungen es mitunter für zweckmäßig erachten, einen solchen auf freiwilliger Basis zu ernennen. Die Artikel-29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen.
Das dem DSB zugrundeliegende Konzept ist nicht neu. Wenngleich nach der Richtlinie 95/46/EG keine Einrichtung zur Ernennung eines DSB verpflichtet ist, hat sich die Praxis der Ernennung eines DSB in zahlreichen Mitgliedstaaten im Laufe der Jahre immer mehr verbreitet.
Vor dem Erlass der DS-GVO argumentierte die WP29, dass der DSB ein wichtiger Akteur im Bereich der Rechenschaftspflicht sei und dass die Ernennung eines DSB die Einhaltung der Vorschriften erleichtere und überdies Unternehmen als Wettbewerbsinstrument diene. DSB erleichtern nicht nur die Einhaltung der Bestimmungen, indem sie etwa Instrumente zur Anwendung bringen, die der Einhaltung der Rechenschaftspflicht dienen (wie etwa die Erleichterung oder Durchführung von Datenschutz-Folgenabschätzungen und -Überprüfungen), sondern fungieren darüber hinaus auch als Mittler zwischen den maßgeblichen Interessenträgern (z. B. Aufsichtsbehörden, betroffene Personen und für die Geschäftsführung zuständige Stellen einer Einrichtung).
DSB sind im Falle der Nichteinhaltung der DS-GVO nicht persönlich verantwortlich. Aus der DS-GVO geht klar hervor, dass es Aufgabe des Verantwortlichen oder des Auftragsverarbeiters ist, sicherzustellen und nachweisen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt (Artikel 24 Absatz 1). Für die Einhaltung der datenschutzrechtlichen Bestimmungen ist der Verantwortliche oder der Auftragsverarbeiter verantwortlich.
Dem Verantwortlichen oder dem Auftragsverarbeiter kommt zugleich eine wichtige Rolle dabei zu, die Voraussetzung dafür zu schaffen, dass der DSB seinen Aufgaben wirksam nachgehen kann. Die Ernennung eines DSB stellt hierbei nur einen ersten Schritt dar: Um ihren Aufgaben wirksam nachgehen zu können, müssen DSB auch über hinreichende Eigenständigkeit und genügend Ressourcen verfügen.
In der DS-GVO werden die Bedeutung des DSB als Schlüsselfigur im neuen Data-Governance-System anerkannt und die Bedingungen für seine Ernennung, Stellung und Aufgaben dargelegt. Ziel dieser Leitlinien ist es, die einschlägigen Bestimmungen der DS-GVO klarzustellen, um die Verantwortlichen und Auftragsverarbeiter bei der Erfüllung der gesetzlichen Vorgaben zu unterstützen und den DSB bei ihrer Tätigkeit Hilfestellung zu leisten. Die Leitlinien enthalten zugleich Empfehlungen für bewährte Verfahren, denen die in verschiedenen EU-Mitgliedstaaten gesammelten Erfahrungen zugrunde liegen. Die WP29 wird die Umsetzung dieser Leitlinien beaufsichtigen und erforderlichenfalls im Detail ergänzen.
Nachfolgend finden Sie eine Zusammenfassung der WP29 zu den Anforderungen bezüglich eines Datenschutzbeauftragten, das gesamte Dokument finden Sie hier in allen EU-Sprachen: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048