Drucksache 17/13000
202 –
–
–– 202
werden, z. B. durch folgenden Satz 2: „In diesem Fall gilt
die Genehmigung in der gesamten EU.“
Die in Art. 43 (3) genannten Kriterien und Anforderungen an BCR sollten nicht von der Kommission, sondern
ausschließlich von dem Europäischen Datenschutzausschuss festgelegt werden.
Zu Art. 44:
Es sollte eine Klausel zum Umgang mit Aufforderungen
zur Datenübermittlung durch Gerichte oder Behörden aus
Drittstaaten eingefügt werden. Eine (interne) Vorversion
des Vorschlags der Kommission beinhaltete eine solche
explizite Klausel. Derartige Aufforderungen sollten hiernach grundsätzlich unbeachtlich sein und unter Genehmigungsvorbehalt durch zuständige nationale Behörden
stehen. Die Konferenz fordert, dass Datentransfers grundsätzlich nur auf der Basis gegenseitiger Rechtshilfeabkommen (Mutual Legal Assistance Treaties, MLATs)
zulässig sind.
In Art. 44 (1) müssen bei sensitiven Daten zusätzlich zur
informierten Einwilligung geeignete Garantien vorgesehen werden, weil sonst zwar die Datenübermittlung nach
Art. 44 (1) lit. a) legitimiert ist, die Datenverarbeitung im
Drittland aber keinen besonderen Anforderungen unterliegt. Das Wort „zugestimmt“ sollte durch „eingewilligt“
(entsprechend Art. 7) ersetzt werden.
Art. 44 (1) lit. d) darf nicht für den Datenaustausch „zwischen für die Verhütung, Aufdeckung, Untersuchung und
Verfolgung von Straftaten zuständigen Behörden“ gelten,
wie Erwägungsgrund 87 es vorsieht. Dies würde im Widerspruch zum sachlichen Anwendungsbereich der Verordnung nach Art. 2 (2) lit. e) stehen. Deshalb sollten
diese Fälle in Erwägungsgrund 87 gestrichen werden.
Der Anwendungsbereich des Art. 44 (1) lit. h) ist unklar.
Insbesondere ist fraglich, ob es sich um einen Auffangtatbestand handeln soll. Die Regelung muss konkretisiert
werden. In jedem Fall muss eine Abwägung der berechtigten Interessen des für die Verarbeitung Verantwortlichen mit den schutzwürdigen Interessen der betroffenen
Person vorgesehen werden.
Die Anwendungsbereiche der Art. 44 (3), (4), (6) und (7)
sind unklar und müssen konkretisiert werden.
Zu Art. 45:
Art. 45 (2) sollte dahingehend ergänzt werden, dass neben
der Kommission auch die Aufsichtsbehörden die Förderung der Beziehungen zu Drittländern betreiben können,
und zwar auch – und gerade – zu Drittländern ohne angemessenen Datenschutz.
Kapitel VI – Unabhängige Aufsichtsbehörden
Zu Art. 47 und 48:
Die Regelung zur völligen Unabhängigkeit der Aufsichtsbehörden in Art. 47 (1) ist grundsätzlich positiv zu werten.
Es sollte allerdings überdacht werden, wie die Unabhän-
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
gigkeit der Aufsichtsbehörden auch bei der Zusammenarbeit mit den anderen Aufsichtsbehörden, insbesondere im
Rahmen des Kohärenzverfahrens, garantiert werden kann
(Art. 46 (1) Satz 2).
Zu Art. 51:
Die Regelung des „One-Stop-Shops“ gemäß Art. 51 (2)
ist nur praktikabel, wenn sie nicht im Sinne einer ausschließlichen Zuständigkeit, sondern im Sinne einer „Federführung“ der Aufsichtsbehörde des Mitgliedstaates der
Hauptniederlassung zu verstehen ist, falls der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter
über mehrere Niederlassungen innerhalb der EU verfügt.
Der One-Stop-Shop-Grundsatz sollte dann nicht gelten,
wenn es sich um einen Sachverhalt handelt, der im
Schwerpunkt die Anwendung nationalen Datenschutzrechts eines Mitgliedstaats im Sinne des Kapitels IX betrifft, so dass es hier bei der allgemeinen Zuständigkeit
nach Art. 51 (1) bleiben sollte.
Mangels eines einheitlichen Verwaltungsverfahrens-, -prozess- und -vollstreckungsrechts kann die Aufsichtsbehörde in anderen Mitgliedsstaaten grundsätzlich nicht
selbst tätig werden. Derartige hoheitliche Maßnahmen
sollten daher nur im Wege der Amtshilfe möglich sein.
Diese Klarstellung ist auch im Hinblick auf Art. 55 (1)
und (2) sowie Art. 63 notwendig.
Es sollte überprüft werden, ob die sich aus Erwägungsgrund 19 ergebende Einbeziehung rechtlich selbständiger
Tochtergesellschaften in die One-Stop-Shop-Regelung
tatsächlich erforderlich ist. Diese könnten aufgrund ihrer
rechtlich selbständigen Handlungsfähigkeit auch getrennt
betrachtet werden. Sofern eine Einbeziehung für erforderlich gehalten wird, sollte dies einschließlich einer Definition des Begriffs Tochtergesellschaft unmittelbar im Verordnungstext und nicht nur in einem Erwägungsgrund
geregelt werden.
Zu Art. 52:
Ausgehend von dem Vorschlag, eine Regelung zu „Erziehung und Bildung“ aufzunehmen (s.o.), sollten auch die
Aufgaben der Aufsichtsbehörden entsprechend erweitert
werden. Die Konferenz schlägt für Art. 52 (2) daher folgenden Wortlaut vor:
„Jede Aufsichtsbehörde fördert die Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und
Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten und über geeignete Maßnahmen
zum eigenen Schutz. Besondere Beachtung finden dabei
spezifische Maßnahmen für Kinder.“
Die in Art. 52 (6) vorgesehene Missbrauchsgebühr sollte
gestrichen werden, da nach den Erfahrungen der deutschen Aufsichtsbehörden derartige Beschwerden äußerst
selten vorkommen, so dass – auch im Hinblick auf den
Verwaltungsaufwand – eine Erhebung von Gebühren unverhältnismäßig wäre.