Deutscher Bundestag – 17. Wahlperiode
201 ––
–– 201
fung an die „regelmäßige und systematische Beobachtung
von betroffenen Personen“ ist insoweit nicht ausreichend.
Durch die in Art. 35 (7) geregelte Möglichkeit der Befristung der Amtszeit des Datenschutzbeauftragten kann die
Unabhängigkeit beeinträchtigt werden. Die Amtszeit des
internen Datenschutzbeauftragten sollte daher nicht befristet werden und das dem Amt zugrunde liegende Arbeitsverhältnis nur aus wichtigem Grund kündbar sein.
Die Amtszeit von externen Datenschutzbeauftragten
sollte mindestens vier Jahre betragen.
Art. 35 (11) ist zu streichen. Die Fälle, in denen unabhängig von der Mitarbeiterzahl ein Datenschutzbeauftragter
zu bestellen ist, betreffen eine wesentliche Frage und sind
deshalb in der Verordnung selbst zu regeln.
Zu Art. 36:
Der Datenschutzbeauftragte sollte nicht nur ein unmittelbares Vorspracherecht gegenüber der Leitung des für die
Verarbeitung Verantwortlichen oder des Auftragsverarbeiters haben, sondern dieser – als Ausdruck seiner Unabhängigkeit – unmittelbar unterstellt sein. Außerdem sollte
für interne Datenschutzbeauftragte ein wirksamer arbeitsrechtlicher Kündigungsschutz sowie die Aufnahme eines
Benachteiligungsverbots vorgesehen werden, um seine
Unabhängigkeit besser zu sichern.
In Art. 36 (3) ist das Recht des Datenschutzbeauftragten
auf Fort- und Weiterbildung sowie die Kostenübernahme
hierfür zu normieren. Zudem sind Regelungen zur Verschwiegenheit des Datenschutzbeauftragten sowie zum
Zeugnisverweigerungsrecht aufzunehmen.
Zu Art. 37:
Die Aufgaben des Datenschutzbeauftragten sind in der
deutschen Sprachfassung missverständlich formuliert. So
wird sprachlich nicht hinreichend deutlich, ob der Datenschutzbeauftragte beispielsweise selbst die Meldung von
Verletzungen des Schutzes personenbezogener Daten gemäß Art. 31 vornehmen muss oder diese Meldung nur zu
überwachen hat (Art. 37 (1) lit. e).
In diesem Zusammenhang sollte auch klargestellt werden, dass die Aufgaben des Datenschutzbeauftragten den
für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter nicht von seinen Pflichten entbinden bzw., dass
keine Möglichkeit zur Exkulpation bei Nicht- oder
Schlechterfüllung seitens des Datenschutzbeauftragten
besteht.
Zu Art. 38 und Art. 39:
In Art. 39 (2) sollten die wesentlichen Regelungstatbestände einer Zertifizierung und der Vergabe eines Siegels
und Zeichens direkt aufgenommen und nicht an die Kommission delegiert werden. Die Zertifizierungs- und Vergabekriterien sind insbesondere an den Grundsätzen der
Verarbeitung personenbezogener Daten in Art. 5, der
Rechtmäßigkeit der Datenverarbeitung gemäß Art. 6, der
Betroffenenrechte und an den Datenschutzzielen in
Art. 30 nach Maßgabe der Verordnung auszurichten.
Drucksache 17/13000
Zertifizierungs-, Vergabe- und Widerrufsverfahren müssen den Anforderungen des Grundsatzes der Transparenz
hinsichtlich der Kriterien, des Verfahrens und der wesentlichen Evaluierungsergebnisse genügen. Die Unabhängigkeit und Fachkunde der Zertifizierungs- und Vergabestellen und der Evaluatoren sind zu gewährleisten.
Eine datenschutzspezifische Zertifizierung gemäß Art. 39 (1)
beinhaltet stets auch eine Bewertung der IT-Sicherheit.
Diese sollte sich an europäischen und internationalen
Standards orientieren und die Datenschutzziele Nichtverkettbarkeit, Transparenz und Intervenierbarkeit aus
Betroffenensicht einbeziehen. Ein entsprechender Zusatz
– unter Einbeziehung des Ergänzungsvorschlags der Konferenz zu Kapitel IV (elementare Datenschutzziele) – ist
daher vorzusehen.
Zertifizierungen sind zeitlich zu befristen. Eine Rücknahme eines Zertifikates bei gravierenden Mängeln muss
auch vor Fristablauf möglich sein.
Bei der Ausgestaltung der Verhaltensregeln und Zertifizierungsverfahren ist der Europäische Datenschutzausschuss zu beteiligen.
Kapitel V – Übermittlung personenbezogener
Daten in Drittländer oder an internationale
Organisationen
Zu Art. 41:
Die Kommission sollte bei der Angemessenheitsprüfung
nach Art. 41 (2) stets auch die Stellungnahme des Europäischen Datenschutzausschusses einholen und berücksichtigen müssen. Im Zusammenhang mit Art. 41 (6)
muss klargestellt werden, dass in den Fällen, in denen die
Kommission durch Beschluss feststellt, dass kein angemessenes Datenschutz-Niveau gegeben ist, die Datenübermittlung automatisch verboten ist, so dass es keines
weiteren Umsetzungsaktes durch die Aufsichtsbehörde
bedarf.
Ferner muss klargestellt werden, ob die Formulierung
„unbeschadet der Art. 42 - 44“ bedeutet, dass bei einem
Negativ-Beschluss gleichwohl Datenübermittlungen nach
allen diesen Vorschriften vorgenommen werden können.
Insbesondere die Vorschriften des Art. 41 (6) und des
Art. 42 (1) erscheinen in dieser Frage widersprüchlich.
Zu Art. 42:
Da die Genehmigungsfähigkeit der Datenflüsse von vornherein fraglich ist, wenn keine geeigneten Garantien vorliegen, ist der Anwendungsbereich der Regelung des
Art. 42 (5) unklar (Auffangtatbestand?). Deshalb sollte
der Absatz 5 (bis auf den letzten Satz) entweder gestrichen oder um die genehmigungspflichtigen Fälle präzisiert werden.
Zu Art. 43:
In Art. 43 (1) sollte die Rechtsfolge der Genehmigung der
BCR durch die Aufsichtsbehörde explizit aufgenommen
BfDI 24. Tätigkeitsbericht 2011-2012