Deutscher Bundestag – 17. Wahlperiode
199 ––
–– 199
arbeitung Verantwortliche stellt durch die Umsetzung geeigneter Strategien und Maßnahmen sicher, dass personenbezogene Daten in Übereinstimmung mit dieser
Verordnung verarbeitet werden und er den Nachweis dafür erbringen kann.“
Art. 22 (3) sollte dahingehend ergänzt werden, dass die
Entscheidung über Konsequenzen aus der Überprüfung
der in den Absätzen 1 und 2 genannten Maßnahmen nicht
dem Prüfer, sondern weiterhin dem für die Verarbeitung
Verantwortlichen obliegt.
Zu Art. 23:
In Art. 23 (1) könnte die ausdrückliche Bezugnahme auf
die Berücksichtigung der Implementierungskosten zu einem Einfallstor für das Unterlassen von Maßnahmen zur
datenschutzfreundlichen Technikgestaltung werden. Zumindest müssen – wie in Art. 30 (1) – die Implementierungskosten technisch-organisatorischer Maßnahmen in
ein angemessenes Verhältnis zum konkreten Gefahrenpotential der Datenverarbeitung gesetzt werden, um eine
Relation zwischen Kosten und Eingriffstiefe in das Recht
auf informationelle Selbstbestimmung herzustellen.
Art. 23 (2) sollte präzisiert und um Kriterien und Anforderungen in Bezug auf die zu treffenden Maßnahmen und
Verfahren ergänzt werden. Hierbei sind insbesondere Anonymisierung und Pseudonymisierung nach dem Stand
der Technik zu fordern, sofern dies nicht bereits in Art. 5
geregelt wird.
Es sollte klargestellt werden, dass Datenschutz durch
Technik auch die Auswahl und Gestaltung von Datenverarbeitungssystemen betrifft.
Die Grundeinstellungen von Produkten und Diensten sind
so zu gestalten, dass so wenig personenbezogene Daten
wie möglich erhoben oder verarbeitet werden und bereits
ohne Zutun der Nutzer eine datenschutzfreundliche Nutzung sichergestellt wird.
Die Regelung sollte ausdrücklich auch für Verhaltensbeobachtungen („Tracking“) im Internet durch den für die
Verarbeitung Verantwortlichen oder durch Dritte gelten.
Satz 2 des Art. 23 (2) sollte wie folgt lauten: „Die Verfahren müssen insbesondere sicherstellen, dass personenbezogene Daten grundsätzlich nur den von der betroffenen Person zu bestimmenden Personen zugänglich
gemacht werden.“ Damit soll erreicht werden, dass die
betroffene Person den Personenkreis selbst bestimmt,
dem ihre personenbezogenen Daten zugänglich gemacht
werden dürfen, und der für die Verarbeitung Verantwortliche hierfür die entsprechenden Vorkehrungen zu treffen
hat.
Zu Art. 24:
In Art. 24 sollte im Text ausdrücklich ergänzt werden,
dass sich die betroffene Person zur Wahrnehmung ihrer
Rechte an jeden der für die gemeinsame Verarbeitung
Verantwortlichen wenden kann.
Drucksache 17/13000
Zu Art. 25:
Die Konferenz schlägt vor, auch in den Fällen des Art. 25
(2) lit. a) einen Vertreter zu bestellen. Art. 25 (2) lit. a)
sollte daher gestrichen werden.
Der in Art. 25 (2) lit. b) geplante Verzicht bei Unternehmen mit weniger als 250 Mitarbeitern auf die Benennung
eines Vertreters, der umfassend in die Rechtsstellung des
Verantwortlichen und dessen Pflichten eintreten sollte,
stellt eine Ausnahme dar, die nicht nachvollziehbar ist.
Die Konferenz schlägt daher vor, diese Ausnahmeregelung ebenfalls zu streichen. Diese Klausel eröffnet weitgehende Umgehungsmöglichkeiten, da nicht geprüft werden kann, wie viele Beschäftigte bei einem nicht in der
Union niedergelassenen Unternehmen tatsächlich tätig
sind.
Zu Art. 26:
Der in Art. 26 (2) geregelte Mindestinhalt eines Vertrages
oder Rechtsaktes zur Auftragsdatenverarbeitung sollte die
wesentlichen Aspekte enthalten und daher um die Angabe
von Gegenstand und Dauer des Auftrags sowie Umfang,
Art und Zweck der vorgesehenen Verarbeitung, der Art
der Daten und den Kreis der Betroffenen ergänzt werden.
In lit. a) sollte durch Streichung des 2. Halbsatzes sichergestellt werden, dass der Auftragsverarbeiter in jedem
Fall ausschließlich auf Weisung des für die Verarbeitung
Verantwortlichen tätig wird und nicht nur in besonderen
Fällen, in denen die Übermittlung der Daten nicht zulässig ist.
Der Schutz der betroffenen Person erfordert die Klarstellung, dass sie sich bei gemeinsam für die Verarbeitung
Verantwortlichen gemäß Art. 24 sowohl an den für die
Verarbeitung Verantwortlichen als auch an den Auftragsverarbeiter wenden kann.
Eine wirksame Kontrolle des Auftragsverarbeiters kann
nur umfassend erfolgen, wenn dem für die Verarbeitung
Verantwortlichen in Art. 26 (2) auch ein Kontrollrecht,
beispielsweise durch einen Treuhänder, eingeräumt wird
und den Auftragsverarbeiter entsprechende Mitwirkungspflichten treffen. Dies gilt auch für etwaige Unterauftragsverhältnisse.
Die Kriterien und Anforderungen für die Verantwortlichkeiten, Pflichten und Aufgaben des Auftragsverarbeiters
sind wesentliche Fragen, die letztlich auch die Zulässigkeit der Auftragsdatenverarbeitung insgesamt berühren.
Insbesondere wäre etwa die Einführung und nähere Ausgestaltung eines Konzernprivilegs eine wesentliche
Frage, die im Sinne von Art. 290 AEUV – soweit in den
Absätzen 1 bis 4 nicht ohnehin bereits geschehen – in der
Verordnung selbst geregelt werden sollte. Die Konferenz
sieht daher die in Art. 26 (5) vorgesehene Ermächtigung
zu delegierten Rechtsakten kritisch.
Zu Art. 28:
In Art. 28 sollte geregelt werden, dass die Dokumentation
grundsätzlich vor Aufnahme der Verarbeitung personenbezogener Daten zu erstellen ist. Zudem sollte der für die
BfDI 24. Tätigkeitsbericht 2011-2012