Alle Treffer anzeigen
Dieses Fenster schließen

Datenschutzbeauftragte werden auch künftig eine wichtige Funktion bei der Gewährleistung des Datenschutzes in Unternehmen und Behörden haben

Interview aus RDV 5/2015

16.11.2015
foto_nachgefragt_portrait_vosshoff_offiziell_1442304274000.png
foto_nachgefragt_portrait_vosshoff_offiziell_1442304274000.png

… davon ist Andrea Voßhoff, Bundesbeauftragte für den Datenschutz und die Informationsfreiheit überzeugt.

 

Im Interview mit der RDV gibt sie dem, GDD-Vorsitzenden Rolf Schwartmann Auskunft über die Zukunft des Datenschutzbeauftragten, die Rolle der Wirtschaft im modernen Datenschutz, den neuen Zuschnitt ihrer Behörde, die Vorratsdatenspeicherung, den Datenschutz als Verbraucherschutz und ihre Erwartungen an die Neuerungen durch die Datenschutz-Grundverordnung.

 

 

1. Zunächst zum Innerstaatlichen. Sie haben sich seit Ihrer Amtseinführung für die Unabhängigkeit Ihrer Behörde eingesetzt. Nunmehr haben Sie sich durchgesetzt und die BfDI wird ab 2016 oberste Bundesbehörde sein. Was bedeutet das rechtlich? Welche organisatorischen Schritte sind abzuarbeiten und was ändert sich für die Aufsichtspraxis?

 

Die Einrichtung meines Hauses als oberste Bundesbehörde ab 2016 führt rechtlich zu einer vollständigen Unabhängigkeit vom Innenministerium und der Bundesregierung. Sowohl die  Rechtsaufsicht der Bundesregierung als auch die Dienstaufsicht durch das Innenministerium werden aufgehoben, die Dienststelle mit allen Beschäftigten wird komplett aus dem Ministerium herausgelöst. Künftig ist  die BfDI nur noch dem Parlament und dem Gericht verantwortlich.

 

Zurzeit werden  die organisatorischen und personellen Voraussetzungen geschaffen, um am 01.01.2016 als eigenständige Behörde reibungslos starten zu können. Dazu gehört beispielsweise, dass wir die Personalverwaltung, die Planung und den Vollzug des Haushalts und viele weitere organisatorische Aufgaben künftig eigenständig durchführen.

 

An der Aufsichtspraxis wird sich durch die neue Struktur unmittelbar nichts ändern, denn meine Befugnisse sind weitgehend unverändert geblieben. Ich erwarte jedoch eine politische Stärkung der Stellung der BfDI. Zum ersten Mal wird die Behörde mit einem eigenen Einzelplan im Bundeshaushalt vertreten sein. Dies klingt zunächst sehr finanztechnisch, bedeutet aber gleichermaßen auch, dass der Deutsche Bundestag viel direkter über Aufgabe und Ausstattung der BfDI zu entscheiden hat.

 

2. Der Gesetzgeber hat die Vorratsdatenspeicherung geregelt. Der Spielraum zwischen den Vorgaben von EuGH und Bundesverfassungsgericht ist eng. Ist die Regelung zwischen Baum und Borke rechtlich belastbar?

 

Noch ist das Gesetz ja nicht verabschiedet. Ich habe Zweifel, dass eine Vorratsdatenspeicherung, die den Vorgaben der richtungsweisenden Urteile des BVerfG und des EuGH entsprechen muss, überhaupt noch einen Mehrwert für die Sicherheitsbehörden mit sich bringt, der den massiven Grundrechtseingriff rechtfertigt. Ich kann sie daher nicht mehr befürworten.

 

3. Derzeit wird das Unterlassungsklagegesetz geändert. Wesentlicher Inhalt der Neuregelung soll ein Klagerecht für Verbraucherschutzverbände bei Datenschutzverstößen sein. Wie bewerten sie diesen »Flankenschutz« für den Datenschutz durch den Verbraucherschutz?

 

Natürlich befürworte ich jede Initiative, die zu einer Stärkung des Datenschutzes beiträgt. Die durch den Gesetzentwurf vorgesehene Erweiterung der zivilrechtlichen Verbandsklagerechte auf datenschutzrechtliche Verstöße sehe ich allerdings kritisch. Vor allem deshalb, weil das Datenschutzrecht als Grundrecht durch unabhängige Datenschutzbehörden europaweit überwacht wird. Dies ist – anders als im Verbraucherschutz – ausdrücklich in der Europäischen Grundrechtecharta vorgesehen. An die Aufsichtsbehörden kann sich jedermann unentgeltlich wenden und ihnen stehen Untersuchungs- und Durchsetzungsbefugnisse zu, wie sie die Verbraucherschutzverbände nicht haben. Insofern stehen zur Wahrung des Datenschutzes und der Betroffenenrechte bereits effektive Instrumente zur Verfügung. Die Einführung zivilrechtlicher Verbandsklagerechte wird die  Parallelstruktur zivil- und verwaltungsrechtlicher Rechtsdurchsetzung in diesem Bereich weiter verstärken. Inwieweit dies vorteilhaft ist oder - z. B. durch widersprüchliche Entscheidungen – zu  deutlichen Nachteilen und daher eher zu einer Schwächung des Datenschutzes führt, bleibt abzuwarten.

 

4. Das Geschäft mit Daten durchdringt die Wirtschaft. Der Staat kann den verantwortungsbewussten Umgang mit Daten am Ende nicht erzwingen. Welche Aufgabe fällt der Wirtschaft bei mit Blick auf den Datenschutz zu? Welche Rolle spielen aus Ihrer Sicht Zertifizierungsverfahren und wie müssen sie ausgestaltet sein?

 

Die Unternehmen haben hier eine enorme Verantwortung, denn sie sind neben dem Staat die entscheidenden Akteure bei der Verarbeitung personenbezogener Daten und folgerichtig Adressat der datenschutzrechtlichen Bestimmungen. Sie müssen zunächst eigenverantwortlich dafür sorgen, dass die wirtschaftliche Verwertung unserer personenbezogenen Daten unter Beachtung der Grundrechte der Betroffenen organisiert wird. Zertifizierungsverfahren sind ebenso wie Verhaltensregeln (Codes of Conduct) hierfür sehr wichtige Bausteine, um insbesondere die Schaffung datenschutzgerechter und datenschutzfreundlicher Technologien zu fördern.

 

Zertifizierungsverfahren als Instrument zur Verbesserung des Datenschutzes sollten so ausgestaltet werden, dass die Datenschutzaufsichtsbehörden in die fachliche Beratung 

 

Beratung und die Definition der Kriterien eingebunden werden. Sie sollten aber nicht selbst die Zertifizierung durchführen, um ihre unabhängige Aufsichtsfunktion nicht zu beeinträchtigen. Zertifizierungen sollten vielmehr von unabhängigen – von den Aufsichtsbehörden akkreditierten – Zertifizierungsstellen durchgeführt werden.

 

5. Kommen wir zur europäischen Ebene. Kommission, Parlament und Rat haben Entwürfe für die Datenschutz-Grundverordnung vorgelegt. Sie werden gerade im Trilog verhandelt. Bis Ende 2015 soll das neue Recht verabschiedet sein. Welche Meilensteine setzt es aus Ihrer Sicht?
 

Ziel der Reform des Europäischen Datenschutzrechts ist einerseits eine stärkere Harmonisierung der Datenschutzvorschriften in Europa und deren Modernisierung verbunden mit einem hohen Datenschutzniveau. Dies ist notwendig, denn wir brauchen angesichts globaler Datenverarbeitung auch globale Lösungsansätze für den Schutz der Privatsphäre. Hierzu ist die Datenschutz-Grundverordnung ein enorm wichtiger Schritt, denn Europa hat in Sachen Datenschutz seit jeher eine weltweite Vorreiterrolle, die es durch die Datenschutz-Grundverordnung nun einmal mehr wahrnimmt. Einer der wichtigsten Meilensteine ist aus meiner Sicht das Marktortprinzip. Durch die Verpflichtung aller auf dem europäischen Markt tätigen Unternehmen, sich an das europäische Datenschutzrecht zu halten, wird von der Datenschutz-Grundverordnung eine Wirkung weit über Europa hinaus eintreten.

 

Hervorzuheben sind auch andere Neuerungen wie das Recht auf Datenportabilität, die Verankerung von privacy by design und privacy by default, die Meldung von Datenschutzverstößen (data breach notification) oder die verbindliche Einführung von Datenschutz-Folgenabschätzungen. Zudem werden die Durchsetzungsmöglichkeiten der unabhängigen Datenschutzbehörden gestärkt und wirksamere Sanktionen bei Verstößen vorgesehen.

 

6. Was fehlt aus Ihrer Sicht in der Grundverordnung oder was kommt zu kurz? Mit anderen Worten: Wo sehen Sie Entwicklungsbedarf im europäischen Datenschutzrecht.

 

Bei aller Freude über die eben genannten positiven Aspekte der Datenschutz-Grundverordnung gibt es natürlich noch eine Reihe von Punkten, in denen ich mir mehr wünschen würde. Ebenso wie die Artikel-29-Gruppe der europäischen Datenschutzbehörden haben die Datenschutzbeauftragten in Bund und Ländern ein Positionspapier vorgelegt, mit dem wir in den laufenden Trilogverhandlungen für weitere Verbesserungen werben wollen.

 

Dazu gehört etwa die ausdrückliche Verankerung der Datensparsamkeit, die Beibehaltung einer starken Zweckbindung, die Stärkung der Einwilligung und der Betroffenenrechte, aber nicht zuletzt auch die verpflichtende Bestellung betrieblicher und behördlicher Datenschutzbeauftragter.

 

7. Die Datenschutzaufsichtsbehörden der Mitgliedstaaten werden sich unter Geltung des neuen Rechts im Datenschutzausschuss zusammenfinden, um wichtige Auslegungsfragen zu beantworten. Bis es zu einer belastbaren und rechtssicheren Rechtslage durch EuGH-Entscheidungen gekommen ist, werden Jahre vergehen. Dem Datenschutzausschuss kommt bis dahin faktisch eine wichtige Funktion zu. Für die Vertretung Deutschlands in diesem Gremium kommen neben der BfDI auch die Landesdatenschutzbeauftragten in Betracht. Gibt es hier schon eine Abstimmung zwischen Ihnen und den Kolleginnen und Kollegen in den Ländern?

 

Noch ist ja nicht entschieden wie die entsprechenden Vorschriften zur europäischen Kooperation in der Datenschutz-Grundverordnung aussehen werden. Aber natürlich führen meine Kolleginnen und Kollegen in den Ländern und ich erste Gespräche, wie die europäischen Themen zwischen den deutschen Datenschutzbehörden abgestimmt und wie die Vertretung der deutschen Aufsichtsbehörden auf EU-Ebene organisiert werden könnte. Wir stehen hier allerdings noch am Anfang. Zudem gehe ich davon aus, dass sich auch die nationalen Gesetzgeber mit diesen Fragen befassen werden.

 

8. Der betriebliche Datenschutzbeauftragte soll nach dem Entwurf der Grundverordnung nur fakultativ eingeführt werden können. Sein Aufgabenzuschnitt wird sich verändern. Wie sehen Sie die Zukunft des betrieblichen Datenschutzbeauftragten unter Geltung der Grundverordnung?
 

Zunächst gebe ich die Hoffnung nicht auf, dass es doch noch zu einer verpflichtenden Bestellung betrieblicher und behördlicher Datenschutzbeauftragter kommen wird, denn sowohl die Europäische Kommission als auch das Europäische Parlament sehen diese in ihren Entwürfen vor. Dabei müssen wir allerdings auch die Kriterien im Auge behalten, die eine solche Verpflichtung begründen.

 

Aber selbst wenn sich der Rat mit seinem Vorschlag einer Öffnungsklausel für die Mitgliedstaaten durchsetzen sollte, gehe ich davon aus, dass Deutschland hiervon Gebrauch machen und die bewährten Kriterien für die verpflichtende Bestellung beibehalten wird. Das in Deutschland seit langem bestehende Zwei-Säulen-Modell hat sich bewährt; das sieht nach meiner Kenntnis auch die Bundesregierung so.

 

In der Tat wird sich der Aufgabenzuschnitt verändern – auch hier hätte ich mir in einigen Punkten eine stärkere Rolle und ein größeres Aufgabenspektrum für die betrieblichen und behördlichen Datenschutzbeauftragten gewünscht. Ungeachtet dessen bin ich aber davon überzeugt, dass die Datenschutzbeauftragten auch künftig eine wichtige Funktion bei der Gewährleistung des Datenschutzes in Unternehmen und Behörden haben werden.

 

 

 

Interview

Übersicht der Beiträge

 
16.11.2015 - Datenschutzbeauftragte werden auch künftig eine wichtige Funktion bei der Gewährleistung des Datenschutzes in Unternehmen und Behörden haben

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.