Drucksache 17/13000
136 –
–
–– 136
PCAOB unterzeichnet, die – basierend auf der niederländischen Lösung – einzelne weitere datenschutzrechtliche
Modifikationen berücksichtigt. Die bisher von dem
PCAOB abgeschlossenen bilateralen Vereinbarungen
(einschließlich die Vereinbarung mit der APAK) sind bis
zum 31. Juli 2013 befristet, weil zu diesem Zeitpunkt die
Adäquanzentscheidung ausläuft.
Ich habe in der Unterarbeitsgruppe Finanzen der Artikel-29Gruppe das Verfahren begleitet. Die Kommission hat zugesagt, zu prüfen, ob für den Zeitraum nach dem 1. August 2013 eine einheitliche europäische Lösung umsetzbar ist, und die Artikel-29-Gruppe über das Ergebnis zu
unterrichten.
10.6
Kontrollbesuch beim Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz
Der behördliche Datenschutzbeauftragte ist Motor bei
der Umsetzung von Datenschutz und Datensicherheit in
der Praxis. Dies verdeutlichte ein Kontrollbesuch beim
Bundesministerium für Ernährung, Landwirtschaft und
Verbraucherschutz (BMELV).
Zum Zeitpunkt meiner Kontrolle war die Datenschutzbeauftragte des BMELV seit etwa neun Monaten im Amt.
Die vorherige Vakanz auf diesem Posten hatte zu einem
entsprechenden „Modernisierungsstau“ geführt, der erst
nach Wiederbesetzung der Position des Datenschutzbeauftragten durch die heutige Amtsinhaberin sukzessive
aufgelöst werden konnte. Dabei habe ich das BMELV
während und nach meinem Kontrollbesuch unterstützt.
Das BMELV teilte mir mit, dass die Position des Datenschutzbeauftragten künftig stets besetzt sein würde.
Einen Schwerpunkt bei der Aufarbeitung der Rückstände
bildete die Aktualisierung des IT-Sicherheitskonzepts.
Meine diesbezüglichen Hinweise wurden vom BMELV
aufgegriffen.
Darüber hinaus hat das BMELV mit der Erstellung eines
aktualisierten Datenschutzkonzepts begonnen und wird
sich in Kürze mit der Überarbeitung einer Dienstvereinbarung mit seinem Personalrat bezüglich der elektronischen Verarbeitung von Personaldaten beschäftigen.
Außerdem wird das BMELV zeitnah eine Hausanordnung
zur Sicherstellung des Datenschutzes im BMELV in Kraft
setzen und die Präsidenten seiner Geschäftsbereichsbehörden bitten, entsprechende Hausanordnungen zu erlassen.
Die Mitarbeiterinnen und Mitarbeiter des BMELV werden auf dieser Basis in Fragen des Datenschutzes und der
Datensicherheit im Rahmen von Inhouse-Schulungen
fortgebildet.
Die vielfältigen Aktivitäten des BMELV zur Optimierung
des Datenschutzes begrüße ich nachdrücklich. Ich bin davon überzeugt, dass sich damit die Situation im Bereich
von Datenschutz und Datensicherheit beim BMELV
nachhaltig verbessern wird, und hoffe, dass das BMELV
Beispiel auch für andere Bundesressorts ist.
BfDI 24. Tätigkeitsbericht 2011-2012
10.7
Deutscher Bundestag – 17. Wahlperiode
Kontrollbesuch beim KraftfahrtBundesamt – ZEVIS-Protokolldaten
Beim Kraftfahrt-Bundesamt (KBA) habe ich mich über
den Umgang mit den Protokolldaten im Bereich des Zentralen Verkehrsinformationssystems (ZEVIS) informiert.
Aufgrund meiner Empfehlungen wurde die Arbeitsanweisung zur Bearbeitung von Anfragen auf Datennutzung
überarbeitet.
Nach § 36 Absatz 6 Satz 1 Straßenverkehrsgesetz (StVG)
hat das KBA die im automatisierten Verfahren mittels
ZEVIS erfolgten Abrufe aus dem Zentralen Fahrzeugregister zu protokollieren. Die Protokolldaten müssen die
zum Abruf verwendeten Daten, den Tag, die Uhrzeit, die
Kennung der abrufenden Stelle und die abgerufenen Daten enthalten. Zusätzlich müssen nach § 36 Absatz 7
StVG Informationen protokolliert werden, aus denen sich
der Anlass des Abrufs und die für den Abruf verantwortliche Person ergeben.
Die protokollierten Daten dürfen für Zwecke der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs der Datenverarbeitungsanlage verwendet werden (§ 36 Absatz 6 Satz 2
StVG). Liegen Anhaltspunkte vor, dass ohne die entsprechenden Daten die Verhinderung oder Verfolgung einer
schwerwiegenden Straftat gegen Leib, Leben oder Freiheit einer Person wesentlich erschwert wäre, dürfen die
Daten auch für diesen Zweck verwendet werden (§ 36
Absatz 6 Satz 3 StVG).
Die Mitarbeiter des KBA müssen bei jeder Anfrage auf
Nutzung der Protokolldaten das Vorliegen dieser Voraussetzungen prüfen. Als Grundlage hierfür dient eine interne Arbeitsanweisung. Während der Kontrolle habe ich
dem KBA diverse Empfehlungen zur Überarbeitung der
Arbeitsanweisung gegeben. Insbesondere forderte ich, die
Bearbeitung der Anfragen lückenlos zu dokumentieren.
Es muss hieraus insbesondere das Ergebnis der Prüfung
hervorgehen, ob der Anfragende gemäß § 36 Absatz 6
StVG hierzu berechtigt war und der schriftlichen Anfrage
eine stichhaltige Begründung beigefügt ist. Aus ihr muss
weiterhin hervorgehen, dass die Nutzung der Protokolldaten des KBA zwingend für einen der in § 36 Absatz 6
Sätze 2 und 3 StVG genannten Zwecke erforderlich ist.
Das KBA ist meinen Empfehlungen bezüglich der Arbeitsanweisung gefolgt. Sie bietet nun auch eine gute
Grundlage für die Dokumentation bei der Bearbeitung der
Anfragen.
10.8
Kontrollbesuch beim Kraftfahrt-Bundesamt – Zentrales Kontrollgerätkartenregister
Das Kraftfahrt-Bundesamt (KBA) führt das zentrale Kontrollgerätkartenregister (ZKR) und personalisiert die zum
Betrieb der Kontrollgeräte erforderlichen Chipkarten.
Bei einer Kontrolle beim KBA habe ich keine Datenschutzmängel festgestellt.