Drucksache 17/13000
198 –
–
–– 198
wenn der für die Verarbeitung Verantwortliche zwar einerseits die personenbezogenen Daten umgehend löschen
müsste, andererseits aber für die Benachrichtigung des
Betroffenen über die Löschung einen Monat Zeit hätte.
Die Formulierung in Art. 17 (2) „alle vertretbaren
Schritte“ bedarf insbesondere aus technischer Sicht der
Präzisierung.
Die Beschränkung nach Art. 17 (4) sollte verpflichtend
vorgegeben werden.
Zu Art. 18:
Die Konferenz unterstützt die Einführung eines Rechts
auf Datenportabilität in Art. 18 (1). Dieses Recht sollte
aber nicht davon abhängen, ob der für die Verarbeitung
Verantwortliche seine Verarbeitungen in einem gängigen
Format tätigt. Vielmehr sollte durch die Streichung des
Wortes „gängige“ eine allgemeine Konvertierungspflicht
geregelt werden. Es ist klärungsbedürftig, ob Art. 18 (1)
auch den öffentlichen Bereich erfasst.
Die in Art. 18 (2) verwandten Begriffe des Zur-Verfügung-Stellens und des Entziehens von Daten sollten in
der Verordnung definiert werden, falls auf diese Begriffe
nicht in Gänze verzichtet werden kann.
Zu Art. 19:
In Art. 19 (1) sollte der Begriff „schutzwürdige Gründe“
durch „berechtigte Interessen“ ersetzt werden. Es sollte
zudem geprüft werden, ab wann und wie der Nachweis
für das überwiegende Verarbeitungsinteresse des für die
Verarbeitung Verantwortlichen als erbracht gelten soll.
Kommerzielle Werbung sollte, wie bereits zu Art. 6 angemerkt, grundsätzlich nur mit Einwilligung des Betroffenen gestattet sein. Art. 19 (2) sollte deshalb entsprechend
angepasst werden. Die Konferenz empfiehlt zudem, den
Begriff „unentgeltlich“ in Art. 19 (2) zu streichen, da sich
die Unentgeltlichkeit bereits aus Art. 12 (4) Satz 1 ergibt.
Andernfalls wäre im Einzelnen darzulegen, weshalb welche Maßnahmen nach Kapitel III jeweils entgeltfrei sein
sollen oder nicht.
Unter Hinweis zu den Anmerkungen zu Art. 13 sollte
auch Art. 19 entsprechend angepasst werden.
Zu Art. 20:
Die Konferenz unterstützt grundsätzlich die Aufnahme
einer speziellen Regelung zur Profilbildung. Allerdings
hält sie den Vorschlag für stark ergänzungsbedürftig.
Schon die Profilbildung selbst (z. B. in sozialen Netzwerken, beim Scoring und bei Auskunfteien) greift in erheblicher Weise in das Grundrecht auf Datenschutz ein und
ist deshalb regelungsbedürftig.
Art. 20 (1) sollte zudem auf jede – auch nur teilweise automatisierte – systematische Verarbeitung zur Profilbildung Anwendung finden und daher das Wort „rein“ gestrichen werden.
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
Bei Minderjährigen (Art. 8) sollte die Profilbildung generell verboten sein.
Die Verarbeitung besonderer Kategorien personenbezogener Daten wird wegen ihrer besonderen Sensitivität
äußerst kritisch gesehen. Dort, wo sensitive Daten für
eine Prognose unerlässlich sind, wie z.B. bei der Risikobeurteilung im Krankenversicherungsbereich, müssen
enge, branchenspezifische Ausnahmetatbestände eingeführt werden, die an dem Grundsatz der Erforderlichkeit
auszurichten sind. In Art. 20 (3) ist zudem klarzustellen,
ob die Voraussetzungen des Art. 9 kumulativ gelten sollen. Dies würde sicherstellen, dass die Verwendung besonderer Kategorien personenbezogener Daten materiellrechtlichen Beschränkungen unterliegt und sie nicht beliebig in Profilbildungen einfließen können.
Im Hinblick auf die besonderen Risiken der Bildung von
Profilen, die auf einzelne Personen bezogen werden können, ist die Wiederherstellung eines Personenbezugs bei
unter Pseudonym oder einem technischen Identifikationsmerkmal geführten Profilen grundsätzlich zu untersagen.
Wegen der Erheblichkeit der in Art. 20 (5) zu treffenden
Konkretisierungen und aus Gründen der Bestimmtheit
sollte eine entsprechende Reglung in die Verordnung aufgenommen und die Befugnis der Kommission zu delegierten Rechtsakten gestrichen werden.
Zu Art. 21:
Statt einer Öffnungsklausel für den nationalen Gesetzgeber nur zur Beschränkung der Rechte Betroffener
(Art. 21) sollten weiter reichende Betroffenenrechte gewährt werden dürfen. Dies gilt ungeachtet der bereits zu
Art. 6 geforderten generellen Öffnungsklausel für den öffentlichen Bereich.
Art. 21 (1) lit. c) sollte gestrichen werden. Es ist nicht
nachvollziehbar, weshalb die bisher in der RL 95/46/EG
nicht vorgesehene Beschränkung in Bezug auf den Schutz
sonstiger öffentlicher Interessen geboten sein soll. Zumindest sollten die Anforderungen an die Beschränkung
strikter formuliert werden, damit die Betroffenenrechte
nicht leerlaufen.
Kapitel IV – Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter
Ein zukunftsfähiger Datenschutz umfasst technische und
organisatorische Maßnahmen, die Datenschutz und Datensicherheit angemessen berücksichtigen. Um dies zu
gewährleisten, sind die elementaren Datenschutzziele der
Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz,
Nichtverkettbarkeit und Intervenierbarkeit als Zielvorgaben für technische und organisatorische Maßnahmen in
die Bestimmungen der Art. 23 ff. aufzunehmen.
Zu Art. 22:
Um sicherzustellen, dass eine Verarbeitung personenbezogener Daten erst dann erfolgt, wenn die geeigneten
Strategien und Maßnahmen auch umgesetzt sind, sollte
Art. 22 (1) wie folgt formuliert werden: „Der für die Ver-