Drucksache 17/13000
200 –
–
–– 200
Verarbeitung Verantwortliche verpflichtet werden, die
Dokumentation dem Datenschutzbeauftragten (soweit
vorhanden) zur Verfügung zu stellen.
Die zeitliche Befristung einer Verarbeitung personenbezogener Daten ist im Sinne des Erforderlichkeitsprinzips
ein wesentlicher Grundsatz. Art. 28 (2) lit. g) sollte daher
in „eine konkrete Angabe der Fristen für die Löschung
der verschiedenen Datenkategorien“ geändert werden.
Zu Art. 30 bis 32 allgemein:
Verfahren mit Personenbezug müssen durch technische
und organisatorische Maßnahmen, ausgerichtet an den
Datenschutzzielen, geschützt werden. Dieser Grundsatz
ist in der Verordnung selbst zu verankern. Die Konferenz
verweist in diesem Zusammenhang auf Vorbemerkungen
zu Kapitel IV. Im Übrigen sollten Aufzählungen technischer und organisatorischer Maßnahmen durch entsprechende Verweise ersetzt werden.
Zu Art. 30:
Die in Art. 30 (1) geforderten angemessenen technischen
und organisatorischen Maßnahmen können nur durch
eine vorab und kontinuierlich durchgeführte Risikobewertung bzw. Risikoanalyse gewährleistet werden. ITSicherheit erfordert in diesem Sinne ein konzeptionelles
Herangehen sowie die Etablierung von IT-Sicherheitsund Datenschutzmanagementsystemen. Art. 30 (1) sollte
daher durch die Forderung nach einem Sicherheitskonzept ergänzt werden, welches Teil der Verfahrensdokumentation gemäß Art. 28 (2) lit. h) werden muss.
Wie in Art. 23 (1) sollte auch in Art. 30 (1) die Bezugnahme auf Implementierungskosten gestrichen werden.
Zu Art. 32:
Die in Art. 32 (3) geforderte Verschlüsselung personenbezogener Daten muss dahingehend präzisiert werden, dass
sie durch Verfahren nach dem Stand der Technik erfolgen
muss.
Zu Art. 33:
Eine Regelung der Datenschutz-Folgenabschätzung
(Art. 33), die nachhaltig dem Schutz personenbezogener
Daten dienen soll, muss die elementaren Datenschutzziele der Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit umsetzen, um vollumfänglich Risiken und dafür angemessene
Maßnahmen identifizieren zu können. Die Ergebnisse
sind in einem regelmäßigen Monitoring zu überprüfen.
Die Begriffe der Datenschutz-Folgenabschätzung und der
Vorab-Genehmigung bzw. -Zurateziehung sollten voneinander abgegrenzt werden, da sich diese wechselseitig
nicht ersetzen können.
Da jede der in Art. 33 (2) lit. a) genannten Auswertungen
bereits erhebliche Risiken mit sich bringt, sollten die
Worte „systematische und umfassende“ entfallen.
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
Die Konferenz schlägt vor, in Art. 33 (2) lit. c) das Wort
„weiträumig“ zu streichen, da der Begriff zu unbestimmt
ist und aus Sicht der betroffenen Person kein Unterschied
besteht, ob die Überwachung weiträumig oder kleinräumig stattfindet.
In Art. 33 (2) lit. d) sollte die Durchführung einer Datenschutz-Folgenabschätzung für die Verarbeitung personenbezogener Daten aus Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten, nicht
vom Umfang der Datei abhängen, sondern in jedem Fall
erfolgen. Das Wort „umfangreich“ sollte daher gestrichen
werden.
Für die Datenschutz-Folgenabschätzung muss auch zwingend in Art. 33 (3) eine Dokumentationspflicht aufgenommen werden.
Schließlich sollte Art. 33 um einen zusätzlichen Absatz
ergänzt werden, der das Verbot der Datenverarbeitung bei
unangemessen hohen Eingriffen in die Rechte der Betroffenen fordert. Grundsätzlich sollten Verfahren ausgewählt
werden, die den geringsten Eingriff in das Recht auf informationelle Selbstbestimmung mit sich bringen.
Zu Art. 34:
Die Konferenz hält den Vorschlag, dass der interne Datenschutzbeauftragte die Beantragung einer vorherigen
Genehmigung bzw. Zurateziehung nach Art. 37 (1) lit. f)
nur überwachen soll, für nicht ausreichend. Zur Entlastung der Aufsichtsbehörden und zur Stärkung des betrieblichen Datenschutzes sollte ihm diese Aufgabe komplett
übertragen werden können. Deutschland hat mit der
Durchführung der Vorabkontrolle durch die internen Datenschutzbeauftragten gute Erfahrungen gemacht.
Zu Art. 35:
Die Konferenz erkennt an, dass die Institution der betrieblichen Datenschutzbeauftragten erstmals verbindlich
in Europa eingeführt werden soll. Die Erfahrungen in
Deutschland mit den betrieblichen Datenschutzbeauftragten als unabhängige Kontroll- und Beratungsstellen in
Unternehmen sind ausgesprochen positiv.
Es sollte eine Frist geregelt werden, innerhalb derer der
Datenschutzbeauftragte nach Aufnahme der Daten verarbeitenden Tätigkeit zu bestellen ist. Die Konferenz
schlägt hierfür eine Frist von einem Monat vor.
Die Konferenz bedauert, dass in Art. 35 (1) lit. b) eine
Bestellungspflicht für einen Datenschutzbeauftragten erst
ab 250 Beschäftigten vorgesehen ist. Dieses Vorhaben bedroht eine gewachsene und erfolgreiche Kultur des betrieblichen Datenschutzes in Deutschland.
Art. 35 (1) lit. c) sollte dahingehend geändert werden,
dass bei jeder risikobehafteten Datenverarbeitung (z. B.
Auskunfteien, Detekteien, Callcenter, Lettershops etc.)
unabhängig von der Mitarbeiterzahl eine Bestellungspflicht für einen Datenschutzbeauftragten besteht. Das
Gleiche gilt für Unternehmen, bei denen eine Datenschutzfolgenabschätzung erforderlich ist. Die Anknüp-