Jusletter IT

Die EU-Datenschutzgrundverordnung schickt sich an, einheitliche Regelungen für den Datenschutz innerhalb der EU zu etablieren. Dabei soll auch auf verschiedene neue Instrumentarien gesetzt werden. Ein solches soll die europaweite Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten sein. Die entsprechenden Regelungen finden sich in den Art. 35 ff. Demnach soll eine Bestellpflicht ab einer Unternehmensgröße von 250 Mitarbeitern bestehen. In der Literatur wird seither die Praktikabilität dieser Grenze, die an die KMU-Definition der EU anknüpft, diskutiert. So wird eine Herabsetzung dieser Grenze sowie eine stärkere Anknüpfung an die jeweils tatsächlich erfolgende Datenverarbeitung diskutiert. Von Seiten der Staaten, die bislang das Institut eines Datenschutzbeauftragten nicht kannten, wie UK, wird befürchtet, dass den Unternehmen unnötigerweise zusätzliche Pflichten aufgebürdet würden. Interessant ist es dabei, auf die Erfahrungen zurückzugreifen, die in Rechtsordnungen gemacht wurden, die schon bislang die Pflicht zur Bestellung eines Datenschutzbeauftragten kannten. So ist in Deutschland die Pflicht zur Bestellung eines Datenschutzbeauftragten in § 4f BDSG geregelt. Demgegenüber wurde in Österreich die Einführung einer solchen Bestellpflicht zwar im Zuge der DSG-Novelle 2008 erwogen, jedoch nicht umgesetzt. Im Rahmen der DSG-Novelle 2012 soll nun eine fakultative Bestellung normiert werden. Der vorliegende Beitrag soll diese unterschiedlichen Erfahrungen und Diskussionen vergleichen und davon ausgehend die künftige europäische Perspektive für die Bestellung von Datenschutzbeauftragten skizzieren. So dürfte es die Akzeptanz des Datenschutzbeauftragten durch die Unternehmen erhöhen, wenn – wie dies auch das BDSG vorsieht – durch die Bestellung eines Datenschutzbeauftragten Meldepflichten entfallen. Zudem sollte die Bestellung eines Datenschutzbeauftragten als ein Element der Selbstregulierung verstanden werden, welche ebenfalls durch die EU-Datenschutzgrundverordnung gefördert werden sollen (vgl. Art. 38 f.). Derart verstanden bietet die Bestellung eines Datenschutzbeauftragten eine Möglichkeit für die Unternehmen, flexible und unternehmensgerechte Datenschutzkonzepte zu entwickeln.