Deutscher Bundestag – 17. Wahlperiode
195 ––
–– 195
Freiheiten des Einzelnen orientieren. Auch von sehr kleinen Unternehmen können erhebliche Gefährdungen für
den Datenschutz ausgehen.
Der Entwurf der Verordnung führt in erheblichem Umfang zu Abgrenzungsschwierigkeiten mit der RL 2002/
58/EG. Art. 89 (1) ist insoweit zu abstrakt und unklar formuliert. Welche besonderen Pflichten gibt es konkret, die
in der Richtlinie 2002/58/EG festgelegt sind? Weder Art.
89 noch die einschlägige Erwägung 135 geben hierüber
Aufschluss.
Die Konferenz schlägt vor, eine Regelung „Erziehung
und Bildung“ aufzunehmen. Der Datenschutz dient in einer demokratischen Gesellschaft auch dem Gemeinwohl
und ist zunächst Aufgabe jeglicher Staatsgewalt. Darüber
hinaus ist er eine gesamtgesellschaftliche Aufgabe.
Schließlich ist jede Bürgerin und jeder Bürger auch zur
Eigenverantwortung aufgerufen. Hilfen zum informationellen Selbstschutz müssen zur Verfügung gestellt werden, die es den Betroffenen ermöglichen, eine Erfassung
ihres Verhaltens zu vermeiden und selbst darüber zu entscheiden, ob und wem gegenüber sie Daten offenbaren.
Von zunehmender Bedeutung sind auch Projekte, die das
Datenschutzbewusstsein fördern, um vor allem jüngere
Menschen von einem fahrlässigen Umgang mit ihren persönlichen Daten abzuhalten.
„Art. Xx – Erziehung und Bildung
Um sich in der Informationsgesellschaft behaupten zu
können, ist den Bürgerinnen und Bürgern durch geeignete
Maßnahmen Datenschutzkompetenz zu vermitteln. Sie ist
Teil der übergreifenden Medienkompetenz; ihre Vermittlung ist eine gesamtgesellschaftliche Aufgabe in den Mitgliedstaaten, die hierbei von der Union unterstützt werden.“
Zu den einzelnen Regelungen nimmt die Konferenz
wie folgt Stellung:
Kapitel I – Allgemeine Bestimmungen
Zu Art. 2:
Die Konferenz spricht sich dafür aus, dass auch die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union entweder in den Geltungsbereich der Verordnung einbezogen werden (Art. 2 (2) lit. b)) oder die
Verordnung 45/2001 zeitgleich angepasst wird. Es wäre
nicht vertretbar, wenn sich die EU selbst von der angestrebten Modernisierung des Datenschutzrechts ausnehmen würde. Zudem spricht auch das Ziel der Harmonisierung für eine Einbeziehung der Organe der Union, da
zunehmend auch zwischen diesen und den Mitgliedstaaten ein Austausch personenbezogener Daten stattfindet.
Die Beibehaltung der Ausnahme der Datenverarbeitung
durch natürliche Personen zu ausschließlichen persönlichen oder familiären Zwecken in Art. 2 (2) lit. d) wird
grundsätzlich begrüßt. Allerdings wäre eine Klarstellung
wünschenswert, die in einer differenzierten Regelung die
datenschutzrechtlichen Pflichten von natürlichen Perso-
Drucksache 17/13000
nen angemessen ausgestaltet. Dies könnte beispielsweise
in einer eigenständigen Regelung zur Veröffentlichung
personenbezogener Daten an einen unbestimmten Personenkreis geschehen.
Zu Art. 3:
Die Konferenz begrüßt die Einführung des Marktortprinzips in der Verordnung.
Zum räumlichen Anwendungsbereich für Verarbeitungen
durch einen nicht in der Union niedergelassenen für die
Verarbeitung Verantwortlichen weist sie darauf hin, dass
Ermittlungs- und Rechtsdurchsetzungsbefugnisse im EUAusland nur nach Maßgabe bislang nicht existierender
zwischenstaatlicher Verträge bestehen. In Vorentwürfen
der Verordnung war deshalb bereits vorgesehen, dass der
innerhalb der EU zu bestellende Vertreter (Art. 25) umfassend in die Rechtsstellung des Verantwortlichen und
dessen Pflichten eintreten solle. Dessen zusätzliche Einbeziehung in die Rechte und Pflichten wäre aus Sicht der
Konferenz zu begrüßen.
Der Begriff der „Beobachtung“ sollte konkretisiert werden (Art. 3 (2) lit. b)), weil nicht hinreichend klar ist, welche Anwendungsfälle hierdurch erfasst werden sollen.
Zu Art. 4:
Die Definition der „betroffenen Person“ sollte ohne die
Formulierung „nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde“, die damit eine subjektive
Komponente impliziert, wie folgt gefasst werden: „eine
bestimmte natürliche Person oder eine natürliche Person,
die direkt oder indirekt von der für die Verarbeitung verantwortlichen oder jeder sonstigen natürlichen oder juristischen Person bestimmt werden kann“ (Art. 4 (1)).
Es sollte auch klargestellt werden, dass Kennnummern,
Standortdaten usw. zu den personenbezogenen Daten zählen (siehe Erwägungsgrund 23 der bekannt gewordenen
Entwurfsfassung 56; Art. 4 (1) und (2)).
Es sollte definiert werden, was „automatisiert“ bedeutet
(Art. 4 (3)).
In der Definition der „Datei“ sollte klargestellt werden,
dass die Zugänglichkeit nach mindestens einem bestimmten Kriterium ausreicht (Art. 4 (4)).
Die Definition der „biometrischen Daten“ sollte nicht nur
auf die eindeutige Identifizierbarkeit abstellen, sondern
auch das harmonisierte biometrische Vokabular verwenden: „Daten zu den physischen, physiologischen oder
verhaltenstypischen Charakteristika eines Menschen wie
Gesichtsbilder oder daktyloskopische Daten“ (Art. 4 (11)).
Für Betroffene und Aufsichtsbehörden fehlt es an Transparenz und Verlässlichkeit, wenn die Hauptniederlassung
über unternehmensinterne Regelungen („Ort (...), an dem
die Grundsatzentscheidungen (...) getroffen werden“)
bzw. über den Schwerpunkt der Verarbeitung („Ort, an
dem die Verarbeitungstätigkeiten (...) hauptsächlich stattfinden“) definiert wird. Eine Präzisierung wird dringend
für erforderlich gehalten, insbesondere im Hinblick auf
BfDI 24. Tätigkeitsbericht 2011-2012