Deutscher Bundestag – 17. Wahlperiode
209 ––
–– 209
Drucksache 17/13000
Kapitel IV – Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter
auch eine Folgenabschätzung („privacy impact assessment“) durch die jeweilige Stelle vorgesehen werden.
Vorschriften über die Verarbeitung Verantwortlicher
und Auftragsverarbeiter (Art. 18 – 32)
Bei den Anforderungen an den Datenschutzbeauftragten
ist der Begriff der „Zuverlässigkeit“ aufzunehmen
(Art. 30 (2). Darüber hinaus sollte eine Verschwiegenheitspflicht des Datenschutzbeauftragten festgelegt werden sowie die Aufnahme eines Benachteiligungsverbots,
eines Kündigungsschutzes und die Möglichkeit der Teilnahme an Fort- und Weiterbildungsveranstaltungen.
Die Konferenz bedauert, dass die Vorschrift zu „Datenschutz durch Technik“ („privacy by design“) in Art. 19
keine konkreten Vorgaben macht und so zu einem reinen
Programmsatz ohne praktische Auswirkungen werden
könnte. Zudem könnte die ausdrückliche Bezugnahme
auf die Berücksichtigung der entstehenden Kosten in der
vorliegenden Formulierung zu einem Einfallstor für das
Unterlassen von Maßnahmen zur datenschutzfreundlichen Technikgestaltung werden.
Bei verschiedenen Vorschriften des Kapitels IV sieht die
Konferenz einen weiteren Klarstellungsbedarf. Dazu
gehört das Verhältnis der „unabhängigen internen oder
externen Prüfer“ zum Datenschutzbeauftragten und zu
den Aufsichtsbehörden nach Art. 18 (3). Dazu gehören
ebenso die Regelungsgehalte der Art. 20 und 22 (z. B.
hinsichtlich der Kontrollpflichten des Auftragnehmers)
und das Verhältnis der Art. 20 und 21 zueinander.
Die in Art. 23 (2) formulierten Dokumentationspflichten
sollten ergänzt werden durch eine Beschreibung der betroffenen Personengruppen, der diesbezüglichen Daten
oder Datenkategorien und durch eine Festlegung von Regelfristen zur Datenlöschung.
Die Vorschriften über die Datensicherheit (Art. 27 – 29)
sollten um Datenschutzzielbestimmungen ergänzt werden.
Die nach Art. 27 (2) erforderliche Risikobewertung ist
nur als angemessene Sicherheitsmaßnahme zu bewerten,
wenn eine kontinuierlich durchgeführte Risikobewertung
bzw. Risikoanalyse gewährleistet ist. IT-Sicherheit erfordert in diesem Sinne ein konzeptionelles Herangehen sowie die Etablierung von IT-Sicherheits- und Datenschutzmanagementsystemen. Artikel 27 sollte daher durch die
Forderung nach einem Sicherheitskonzept, welches Teil
der Verfahrens-dokumentation gemäß Art. 23 (2) werden
muss, ergänzt werden.
Die in Art. 28 (5) enthaltene Delegation an die Kommission bedarf der Überprüfung. Die Kriterien und Anforderungen für die Feststellung einer Verletzung des Schutzes
personenbezogener Daten sind so wesentlich, dass sie im
Rechtsakt selbst bestimmt werden sollten.
Die in Art. 29 (3) geregelte Pflicht zur Benachrichtigung
der betroffenen Person von einer Verletzung des Schutzes
personenbezogener Daten sollte nicht davon abhängig gemacht werden, ob die verantwortliche Stelle ausreichende
technische Schutzmaßnahmen getroffen hat.
Bei den Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters sollten in der Richtlinie entsprechend den Vorgaben der Datenschutz-Grundverordnung nicht nur die „vorherige Zurateziehung“
(„prior consultation“) der Datenschutzbehörden, sondern
In Art. 32 der Richtlinie sollte zudem klargestellt werden,
dass die Aufgaben des Datenschutzbeauftragten die verantwortliche Stelle nicht von ihren eigenen Pflichten entbindet, d. h., dass sie sich nicht unter Verweis auf die
Nicht- oder Schlechterfüllung durch den Datenschutzbeauftragten exkulpieren kann. Insbesondere Art. 32 lit. a),
lit. d) und lit. h) sind insoweit missverständlich.
Kapitel V – Übermittlung personenbezogener
Daten in Drittländer oder an internationale
Organisationen
Die Vorschriften zu den Übermittlungen von personenbezogenen Daten in Drittstaaten sind in einem wichtigen
Punkt widersprüchlich und sind insgesamt zu weit gefasst.
Im Hinblick auf die Übermittlung von personenbezogenen Daten an internationale Organisation sollte in Art. 33
klargestellt werden, dass nur solche internationale Organisationen gemeint sind, die einen Bezug zu Fragen der
inneren Sicherheit aufweisen. Dies gilt ebenso für die
sog. Weiterübermittlungen („onward transfers“), die in einer spezifischen Vorschrift geregelt werden sollten.
Es fehlt eine Klarstellung, dass bestehende Angemessenheitsbeschlüsse, die auf der Grundlage der RL 95/46/EG
ergangen sind, für den JI-Bereich nicht gelten.
Entsprechend den bisherigen Regelungen in der Richtlinie 95/46/EG enthält der Vorschlag die Einführung von
Angemessenheitsbeschlüssen zum Datenschutzniveau
von Drittstaaten. Sofern die Kommission einen solchen
Beschluss gefasst hat, ist die Angemessenheit des Datenschutzniveaus verbindlich festgestellt. Es bedarf allerdings der Klarstellung, dass bei Negativbeschlüssen der
Kommission nach Art. 34 (5) Datenübermittlungen nur
auf der Grundlage der Ausnahmen nach Art. 36, nicht
aber auf der Grundlage des Art. 35 (1) vorgenommen werden dürfen. Die Vorschriften des Art. 34 (5) und Art. 35 (1)
sind in dieser Frage widersprüchlich.
Die Möglichkeit der Mitgliedstaaten, personenbezogene
Daten auf der Grundlage einer eigenen Einschätzung in
Drittstaaten zu übermitteln, ist im Hinblick auf Art. 35 (1)
lit. b) zu unbestimmt gefasst. Jedenfalls ist eine Bezugnahme auf Art. 34 (2) lit. a) vorzunehmen, der die bei der
Angemessenheitsentscheidung zu berücksichtigenden
Faktoren aufführt. Darüber hinaus sollte die Einbeziehung des Auftragsverarbeiters in Art. 35 gestrichen werden.
BfDI 24. Tätigkeitsbericht 2011-2012