Oberster EU-Datenschützer fordert neue Datenschutzkultur
Organisationen sollen mehr Verantwortlichkeit für den Datenschutz übernehmen, fordert EU-Datenschützer Giovanni Buttarelli. Diese müssten den Datenschützern ihre Compliance belegen, nicht umgekehrt.
Giovanni Buttarelli
(Bild: EDPS)
Nicht weniger als eine neue Kultur des Datenschutzes will der oberste Datenschützer der EU (European Data Protection Supervisor), Giovanni Buttarelli, mit seiner jüngsten "Accountability Initiative" etablieren. Er beruft sich dabei auf die neue EU-Datenschutz-Regulierung (General Data Protection Regulation; GDPR), die nach seiner Einschätzung eine der größten Errungenschaften der EU in den vergangenen Jahren ist. Sie enthält den ausdrücklichen Hinweis auf die Rechenschaftspflicht von Organisationen als Prinzip und die Pflicht zu geeigneten technischen und organisatorischen Maßnahmen für den Nachweis. Das bedeutet konkret, die Organisationen müssen nachweisen, dass sie compliant sind, nicht die Datenschützer oder Datenschutzbehörden.
Diese Rechenschaftspflicht geht über das bloße Einhalten von Regeln hinaus. Sie beinhaltet eine tragfähige Datenverarbeitung und soll sicherstellen, dass die Organisationen, nicht das Individuum für die Rechtmäßigkeit und Fairness der Verarbeitung verantwortlich sind. Mit seinem Besuch des Europäischen Rechnungshofes am 1. Juni 2016 leitete Buttarelli eine Reihe von Besuchen zum Thema Rechenschaftspflicht in kleinen, mittleren und großen EU-Organen und -Einrichtungen ein. Er will dabei auf die neuen Verpflichtungen des überarbeiteten Rechtsrahmens hinweisen.
Anregung für andere Organisationen
Die Verantwortlichkeitsinitiative zielt zwar in erster Linie auf EU-Organe und -Einrichtungen, kann aber anderen Datenschutzbehörden und -verantwortlichen als Anregung dienen. Der oberste EU-Datenschützer geht mit gutem Beispiel voran und hat die Vorlage für einen internen Rechenschaftsbericht erarbeitet, die zu einem späteren Zeitpunkt zu einem Erfahrungsaustausch oder zum Entwickeln von Hilfswerkzeugen führen kann.
Neu ist dieses Verantwortlichkeitsprinizip im Grundsatz nicht. Die Europäische Datenschutzverordnung hat in dieser Hinsicht jedoch einen Quantensprung gemacht, indem sie die Organisationen und ihre Leitung stärker in die Pflicht nimmt und die Verantwortlichkeit nicht mehr allein den Datenschützern und Datenschutzbehörden überlässt. Neue Erkenntnisse, die sich aus den Besuchen der Verantwortlichkeitsinitiative ergeben, sollen nach und nach in das Dokument einfließen. (ur)
