Datenschutzbeauftragter erst bei 5.000 Betroffenen: Geplante Bestellpflicht in der Datenschutz-Grundverordnung zu starr — GDD e.V.

Die Gesellschaft für Datenschutz und Datensicherheit kritisiert den Entwurf der EU zur neuen Datenschutzrichtlinie.

Die Kritik richtet sich dabei insbesondere auf die Bestellpflicht eines Datenschutzbeauftragten erst ab 5000 personenbezogenen Daten pro Jahr.

DATENSCHUTZBEAUFTRAGTER ERST BEI 5.000 BETROFFENEN: GEPLANTE BESTELLPFLICHT IN DER DATENSCHUTZ-GRUNDVERORDNUNG ZU STARR

Der Innenausschuss des Europäischen Parlaments hat am vergangenen Montag, den 21. Oktober 2013 seine Abstimmung über das Verhandlungsmandat zur Datenschutz-Grundverordnung erfolgreich durchgeführt.Mit dem erteilten Verhandlungsmandat kann das Europäische Parlament nun mit den Mitgliedstaaten über die Einzelheiten einer EU-Datenschutz-Grundverordnung verhandeln. Innerhalb der Verhandlungsposition des Parlaments findet sich u.a. eine Regelung zur verpflichtenden Bestellung des Datenschutzbeauftragten für nicht öffentliche Stellen, sollten diese mehr als 5.000 personenbezogene Daten von Betroffenen innerhalb eines Zwölfmonatszeitraums verarbeiten.Die GDD begrüßt ausdrücklich, dass das Prinzip der betrieblichen Selbstkontrolle durch Datenschutzbeauftragte auch nach dem Dafürhalten des Parlaments europaweit eingeführt werden soll. Allerdings hat sich das Parlament in Abkehr des ursprünglichen Schwellenwerts seines Berichterstatters Jan Phillip Albrecht von 500 Betroffenen auf einen starren Wert von nunmehr 5.000 betroffenen Personen geeinigt.Der seitens des Parlaments weiterhin verfolgte risikobasierte Ansatz weist hinsichtlich dieses Schwellenwerts Schwächen auf. So würde die Regelung bedeuten, dass Unternehmen ohne nennenswerte Endkundenbeziehungen nicht unter eine Bestellpflicht fallen, auch wenn sie im Übrigen personenbezogene Daten von Betroffenen, so beispielsweise von einer großen Zahl eigener Beschäftigter, verarbeiten würden. In diesem Zusammenhang wurden seitens des Parlaments keine Gründe dafür angeführt, warum gerade der gewählte Schwellenwert risikoorientiert sein soll. Vielmehr ist diesbezüglich anzumerken, dass ein derart undifferenziert hoher Schwellenwert dazu führt, dass viele Unternehmen in Ermangelung einer internen Compliance-Instanz zum Thema “Datenschutz” nur unzureichend die datenschutzrechtlichen Anforderungen bei der Verarbeitung von Kunden- und Mitarbeiterdaten beachten.Dementgegen hat sich die bestehende nationale Norm des Bundesdatenschutzgesetzes zur Bestellpflicht des Datenschutzbeauftragten mit dem dort verankerten Wert von mindestens zehn Beschäftigten, die mit der Verarbeitung personenbezogener Daten betraut sind, in der Datenschutzpraxis bewährt und entsprechend dafür gesorgt, dass ein umfassender Schutz personenbezogener Daten ermöglicht wird.Die GDD plädiert daher für die Schaffung einer Öffnungsklausel innerhalb der Datenschutz-Grundverordnung, die den Mitgliedstaaten eine eigene nationale Regelung hinsichtlich der Frage der Bestellpflicht eines Datenschutzbeauftragten ermöglicht.

via Datenschutzbeauftragter erst bei 5.000 Betroffenen: Geplante Bestellpflicht in der Datenschutz-Grundverordnung zu starr — GDD e.V..

Die Kommentarfunktion ist geschlossen.