Datenschutzbehörden müssen aufrüsten

Die Datenschutz-Grundverordnung bringt einen deutlichen Mehraufwand für die deutschen Datenschutzbehörden mit sich. Diese benötigen deutlich mehr Manpower, um der neuen Auftragslage gerecht zu werden.

Mit der Datenschutz-Grundverordnung kommen auf die deutschen Datenschutzbehörden neue Aufgaben zu. Ein von den deutschen Datenschutzbehörden in Auftrag gegebenes Gutachten kam nun zu dem Ergebnis, dass jede Behörde 24 bis 33 Stellen mehr benötige. Andernfalls sei es den Behörden nicht möglich, die DSGVO praktisch umzusetzen. Als mögliche Folge käme deshalb ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland in Betracht.

Aufwand der Datenschutzbehörden steigt

Die DSGVO bringe neue unbestimmte Rechtsbegriffe und teils widersprüchliche Regelungen mit sich, so die Position der Behörden. In der Folge würde der Aufwand für die Interpretation und rechtliche Bewertung von datenschutzrechtlichen Fragestellungen zunehmen. Zudem erhalten Betroffene die Möglichkeit eine schnelle Bearbeitung ihrer Anliegen gerichtlich zu erzwingen.

Die DSGVO sieht zudem die Möglichkeit vor, dass Datenschutzbehörden erstmalig auch bei anderen Behörden eingreifen können, wenn diese gegen das Datenschutzrecht verstoßen. Bisher konnten andere Behörden nur öffentlich abgemahnt werden. Damit kommt in der öffentlichen Verwaltung ein kompletter neuer Aufgabenbereich hinzu, der personell bislang nicht gedeckt werden musste.

Nach Ansicht des Gutachters Prof. Dr. Alexander Roßnagel erhöht sich zudem der Mehraufwand im Bereich der Präventionsarbeit, bspw. bei der Beratung von Unternehmen. Anders als die aktuelle Rechtslage überträgt die DSGVO den Datenschutzbehörden ferner einen expliziten Bildungs- und Sensibilisierungsauftrag und eine erweiterte Öffentlichkeitsarbeit.

Zahl der gerichtlichen Bußgeldverfahren soll steigen

Das Gutachten nimmt an, dass durch die DS-GVO auch die Zahl der Bußgeldverfahren vor den Gerichten steigen wird. Zwar steht den Behörden bei der Verhängung von Bußgeldern ein gewisser Ermessensspielraum zu. Allerdings konkretisiert die DSGVO die Anforderungen an dieses. So müssen Bußgelder gemäß Art. 83 Abs. 1 DSGVO im „Interesse einer konsequenteren Durchsetzung der Vorschriften“ eingesetzt werden und wirksam, verhältnismäßig und abschreckend ein. Die neuen Obergrenzen für Bußgelder sind um ca. das 100-fache gestiegen. In besonders gravierenden Fällen ist eine Strafe von 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes vorgesehen, Art. 83 Abs. 5 DSGVO.

Nachdem die Landesbehörden nach dem aktuellen Stand teilweise noch überhaupt keine Aufstockung erhalten und andere Bundesländer bisher neue Stellen im einstelligen Bereich geschaffen haben, ist eine Entspannung der Situation momentan nicht zu erwarten.

Neue White Paper zur DS-GVO

Die neuen White Paper der Artikel 29-Datenschutzgruppe sind amtliche Leitlinien zur kommenden Datenschutz-Grundverordnung (DS-GVO). Diese Leitlinien sind nicht bindend, dienen aber oftmals der Orientierung.

Die White Paper im Überblick

Hinsichtlich der neuen DS-GVO und ihrer Umsetzung kommen immer wieder Fragen auf. Aus diesem Grund hat die Artikel 29-Gruppe mehrere White Paper veröffentlicht, die Betroffenen und Datenverarbeitern Orientierung geben sollen. Die White Paper sind

Diese Leitlinien haben zwar keine rechtsverbindliche Wirkung. Die Artikel 29-Gruppe ist aber ein offizielles und unabhängiges Beratungsgremium der EU-Kommission für Fragen des Datenschutzes, ihre Einschätzungen und Richtlinien entbehren nicht eines gewissen Einflusses. Schließlich dienen die White Paper den Aufsichtsbehörden bei der Bewertung kritischer Sachverhalte häufig als Auslegungshilfe.

Der Fahrplan für die DS-GVO

Nach den neuesten Fortschritten in der Verhandlung um die geplante europäische Datenschutz-Grundverordnung (DS-GVO) steht nun auch der offizielle Fahrplan. Noch in diesem Jahr soll die DS-GVO verabschiedet werden.

Bereits am 24. Juni fand das erste Treffen im Rahmen des Trilogs statt. Die dort besprochenen Themen waren u.a. die Position des Rates zur Verordnung und die Abstimmung des weiteren Fahrplans zu den Trilog-Verhandlungen.

Der Fahrplan steht

Bei seinem ersten Treffen verständigten sich die drei Institutionen auf den weiteren Fahrplan zur DS-GVO.

Zweites Treffen im Rahmen des Trilogs am 14. Juli

Die Tagesordnung sieht vor, dass im Rahmen des zweiten Treffens der Räumliche Anwendungsbereich (Artikel 3) und der internationale Datentransfer (Kapitel V) erarbeitet werden.

Weitere Termine

Kommen alle Beteiligten überein, werden folgende Punkte im Laufe dieses Jahres besprochen:

September: Datenschutzprinzipien (Kapitel III), Rechte des Betroffenen (Kapitel III) sowie der Verantwortliche und der Auftragsdatenverarbeiter (Kapitel IV).

Oktober: Datenschutzbehörden (Kapitel VI), Kooperationsmechanismen (VII) und die Fragen der Rechtsmittel, der Verantwortlichkeit der Behörden und Strafen (VIII).

November: Zielsetzungen, materieller Anwendungsbereich und Flexibilität im öffentlichen Sektor (Kapitel I) sowie besondere Vorschriften (IX).

Dezember: Delegierte Rechtsakte (Kapitel X), die Schlussbestimmungen (Kapitel XI) und letztlich noch Themen, die offen geblieben sind.

Wenn die Beteiligten es schaffen, diesen Fahrplan einzuhalten, könnte die DS-GVO Ende dieses Jahres verabschiedet werden. Tritt die DS-GVO zum 1. Januar 2016 in Kraft, wird ihr Recht jedoch erst zum 1. Januar 2018 wirksam. Solange gilt das alte Recht fort und die Unternehmen haben Zeit, ihre Prozesse anzupassen.