Deutscher Bundestag – 17. Wahlperiode
207 ––
–– 207
vorgesehenen Bestimmung der Anwendungsbereiche von
Datenschutz-Grundverordnung und Richtlinie folgen,
dass sie in ihrem heutigen Aufgabenbereich sowohl die
Datenschutz-Grundverordnung als auch die Richtlinie anzuwenden hätte. Zwar sind Abgrenzungsprobleme für
Behörden mit polizeilichen Aufgaben nicht neu, wie etwa
im Bereich von Zollverwaltung und Zollfahndung schon
heute deutlich wird. Dennoch sollte der daraus folgenden
Schwierigkeit der Abgrenzung nach Auffassung der Konferenz in erster Linie dadurch abgeholfen werden, weitest
gehende Konsistenz zwischen der Datenschutz-Grundverordnung und der Richtlinie herzustellen.
Soweit der vorgeschlagene Rechtsakt Mindestanforderungen auch für die innerstaatliche Datenverarbeitung bei
Polizei- und Strafverfolgungsbehörden umfasst, entspricht dies der schon vor einigen Jahren geäußerten Forderung der Konferenz. Angesichts der zunehmenden Verwirklichung des sog. Grundsatzes der Verfügbarkeit
(Schwedische Initiative, Prümer Vertrag etc), wonach ein
in einem Mitgliedstaat erhobenes und verarbeitetes Datum auch den Polizei- und Strafverfolgungsbehörden eines anderen Mitgliedstaats zur Verfügung stehen soll, ist
die Gewährleistung eines hohen Datenschutzniveaus in
allen Mitgliedsstaaten erforderlich.
In Art. 2 (2) wird der Anwendungsbereich im Hinblick
auf die Umstände der Verarbeitung bestimmt (automatisiert/nicht-automatisiert). Die Konferenz weist insofern
darauf hin, dass der Wortlaut insbesondere auf der Grundlage der deutschen Fassung im Unklaren lässt, ob auch
Akten von dem Anwendungsbereich umfasst sind. Im Ergebnis sollte die Richtlinie auf die Erhebung und die Verarbeitung personenbezogener Daten unabhängig von dem
Verarbeitungsmedium Anwendung finden. Eine Unterscheidung zwischen automatisierter bzw. nicht-automatisierter Verarbeitung einerseits und Verarbeitung in Akten
anderseits ist nicht sachgerecht. Dies sollte klargestellt
werden.
Nach Art. 2 (3) lit. a) soll die Richtlinie keine Anwendung finden, sofern personen-bezogene Daten im Rahmen einer Tätigkeit verarbeitet werden, die nicht in den
Anwendungsbereich des Unionsrechts fällt, etwa im Bereich der „nationalen Sicherheit“. Die Konferenz hält es
für erforderlich, den Begriff der „nationalen Sicherheit“
zu präzisieren.
Der Richtlinienvorschlag nimmt auch die Organe und
Einrichtungen der EU (u. a. Europol) vom Anwendungsbereich aus. Ungeachtet der Frage, durch welches Rechtsinstrument die Einrichtungen der EU erfasst werden sollten, wäre es aus Sicht der Konferenz nicht sachgerecht,
sie von den Reformbemühungen um ein erhöhtes Datenschutzniveau auszunehmen. Wenn das Ziel der Datenschutzreform ist, einen umfassenden Rechtsrahmen auf
einem hohen Datenschutzniveau in Europa zu schaffen,
sollte dieser auch für die Einrichtungen der EU gelten.
Zwar ist nachvollziehbar, dass die komplexen Regelungen der ehemaligen 3. Säule nur schwer in einem einzigen Gesetzespaket überarbeitet werden können. Es muss
jedoch vermieden werden, dass für die Einrichtungen der
EU andere Maßstäbe gelten als für die Polizei- und Justiz-
Drucksache 17/13000
behörden der Mitgliedstaaten. Die Konferenz regt daher
eine zügigere als in Art. 60 vorgesehene Anpassung der
bestehenden Vorschriften an. Es ist zumindest zu prüfen,
ob das mit der Richtlinie zu setzende Mindestniveau für
alle Mitgliedstaaten auch für alle bestehenden Einrichtungen der EU zum Mindestniveau erklärt werden könnte.
Begriffsbestimmungen (Art. 3)
Zu den Begriffsbestimmungen ist im Rahmen der Richtlinie auf folgende Besonderheiten hinzuweisen:
Die Definition eines Kindes in Art. 3 (13) sollte gestrichen werden, da hieran im Entwurf einer Richtlinie keine
spezifischen Verarbeitungsregeln bzw. Schutzgarantien
geknüpft sind.
Im Hinblick auf die Regelung in Art. 7 lit. d) sollte eine
Definition für den Begriff der „Gefahr für die öffentliche
Sicherheit“ aufgenommen werden.
Im Hinblick auf die Regelung in Art. 16 (3) sollte die Definition der „Einschränkung der Verarbeitung“ in Art. 3 (4)
überarbeitet werden.
Kapitel II – Grundsätze
Grundsätze in Bezug auf die Verarbeitung
personenbezogener Daten (Art. 4)
Wesentliche Grundlagen für den effektiven Schutz personenbezogener Daten sind u. a. enge Vorgaben für die Anforderungen an die Erforderlichkeit, die Zweckbindung
und die Datensparsamkeit. Die Prinzipien der Datenverarbeitung gemäß Art. 4 bedürfen nach Auffassung der
Konferenz insgesamt der Ergänzung und Präzisierung.
Sie sollten grundsätzlich mehr Konsistenz zu den Prinzipien aufweisen, die in Art. 5 für die Datenschutz-Grundverordnung vorgeschlagen sind.
Die Regelung zur Zweckbindung in Art. 4 lit. b) enthält
eine sehr offene Formulierung zur zweckändernden Weiterverarbeitung („nicht in einer mit diesen Zwecken nicht
zu vereinbarenden Weise“). Sie sollte nach Auffassung
der Konferenz strikter gefasst werden, insbesondere vor
dem Hintergrund der unklaren und offenen Regelung des
Art. 7 zur Rechtmäßigkeit der Verarbeitung. Es sollte
klargestellt werden, dass Art. 4 und 7 im Zusammenwirken nicht so verstanden werden dürfen, dass ein einmal
im Anwendungsbereich der Richtlinie für einen bestimmten Zweck erhobenes Datum ohne weitere gesetzliche Voraussetzungen für jeden anderen von der Richtlinie erfassten Zweck weiterverarbeitet werden darf.
Es sollte zudem eine engere Bestimmung des Grundsatzes der Erforderlichkeit in Art. 4 lit. c) formuliert werden.
Die Bestimmungen „angemessen, sachlich relevant und
nicht exzessiv“ stellen nach Auffassung der Konferenz
nur eine schwache Begrenzung für die Zulässigkeit der
Datenverarbeitung dar. Dies gilt insbesondere deshalb,
weil eine Beschränkung auf das für die Zwecke der Datenverarbeitung notwendige Mindestmaß, wie sie in
Art. 5 lit. c) der Datenschutz-Grundverordnung vorgesehen ist, in dem Entwurf für die Richtlinie fehlt. Zudem
BfDI 24. Tätigkeitsbericht 2011-2012