Drucksache 17/13000
210 –
–
–– 210
Die Konferenz hält die Ausnahmevorschrift des Art. 36
für zu weit gefasst. Dies gilt insbesondere für lit. d) und
lit. e), nach denen kaum noch eine Übermittlung denkbar
ist, die nicht auf eine der Ausnahmeklauseln gestützt werden könnte. Die Konferenz regt daher im Hinblick auf die
in den lit. a) bis e) enthaltenen Ausnahmevorschriften die
Streichung der lit. d) und e) an. Zudem sollte in Art. 36
eine Dokumentationspflicht entsprechend des Art. 35 (2)
aufgenommen werden.
Artikel 37 bezieht sich auf die Übermittlung von Daten in
Drittstaaten, für die auf nationaler Ebene besondere Verwendungsbeschränkungen gelten. Insofern seien alle „vertretbaren Vorkehrungen“ zu treffen, um diese Beschränkungen einzuhalten. Dies ist nach Auffassung der
Konferenz zu unbestimmt und sollte daher, insbesondere
auch bezüglich der zu ergreifenden technischen und organisatorischen Maßnahmen, konkretisiert werden. Die
Vorschrift sollte zudem um die Verpflichtung ergänzt
werden, den Empfänger der übermittelten Daten über Berichtigungs- und Löschungsansprüche zu informieren.
Artikel 37 ist nicht auf Übermittlungen zwischen den
Mitgliedstaaten anwendbar. Daher muss die Richtlinie an
geeigneter Stelle klarstellen, dass die in den nationalen
Vorschriften der Mitgliedstaaten enthaltenen Verwendungsbeschränkungen und Mitteilungspflichten auch für
Datentransfers innerhalb der Europäischen Union gelten.
Die Richtlinie sollte die Daten empfangenden Mitgliedstaaten verpflichten, die Verwendungsbeschränkungen
des übermittelnden Mitgliedstaates umzusetzen.
Schließlich sollte die Regelung des Art. 38 dahingehend
ergänzt werden, dass neben der Kommission auch die
Aufsichtsbehörden die Förderung der Beziehungen zu
Drittländern betreiben können, und zwar auch – und gerade – zu Drittländern ohne angemessenen Schutz.
Deutscher Bundestag – 17. Wahlperiode
ist und technische Schutzvorkehrungen im Sinne des
Art. 27 zu treffen sind.
Die Konferenz begrüßt, dass Art. 46, insbesondere lit. b),
die bisherige Ausgestaltung der aufsichtsbehördlichen
Befugnisse im deutschen Recht auch weiterhin zulässt,
ohne Änderungen für die Zukunft auszuschließen, wie die
Verleihung von Anordnungskompetenzen. Die Frage der
Ausgestaltung der Befugnisse für die Aufsichtsbehörden
ist von besonderer Bedeutung und steht in engem Zusammenhang mit der Möglichkeit der gerichtlichen Auseinandersetzung zwischen der Aufsichtsbehörde und der
beaufsichtigten Stelle und/oder dem Betroffenen (vgl.
Art. 51).
Zur Vermeidung jeden Zweifels, der aus dem Vergleich
mit der Datenschutz-Grundverordung resultieren könnte,
sollte gleichfalls in der Richtlinie ausdrücklich klargestellt werden, dass Art. 46 auch den anlasslosen Zugang
zu Diensträumen umfasst.
Zuletzt muss sichergestellt sein, dass hinreichende Mittel
bereitstehen, um die praktische Arbeit im Rahmen der
Amtshilfeleistungen zu erleichtern (insbesondere im
Hinblick auf Übersetzungsleistungen, ggf. durch das
Sekretariat des Datenschutzausschusses). Die Amtshilfeverpflichtung nach Art. 48 sollte durch Ausnahmevorschriften, etwa zum Schutz von Geheimhaltungsvorschriften, ergänzt werden.
Kapitel VIII – Rechtsbehelfe, Haftung und
Sanktionen
Die Erweiterung der Vertretungsbefugnis für Einrichtungen, Organisationen und Verbände gemäß Art. 50 (2) ist
grundsätzlich zu begrüßen.
Kapitel VI und VII – Unabhängige Aufsichtsbehörden und Zusammenarbeit
In Art. 51 (1) sollte klargestellt werden, dass gerichtliche
Rechtsbehelfe nur gegen Entscheidungen der Aufsichtsbehörde mit Regelungswirkung gegenüber Bürgern und
anderen Behörden möglich sind.
Die Regelungen zur Unabhängigkeit sind grundsätzlich
positiv zu werten. In Art. 39 (1) Satz 2 sollte allerdings
klargestellt werden, dass die Unabhängigkeit der Aufsichtsbehörden auch bei der Zusammenarbeit mit der
Kommission sowie den anderen Aufsichtsbehörden garantiert sein muss.
In Art. 51 (2) sollte klargestellt werden, dass die vorgesehene Klagemöglichkeit gegen die Aufsichtsbehörde auf
die Untätigkeit der Aufsichtsbehörde begrenzt ist. Die unklare Formulierung „wenn keine zum Schutz ihrer Rechte
notwendige Entscheidung ergangen ist“ sollte gestrichen
werden.
Eine im Bereich von Polizei und Justiz zentrale Frage betrifft die Zuständigkeit von Datenschutzbehörden bei der
Datenverarbeitung durch Gerichte im Rahmen ihrer gerichtlichen Tätigkeiten. Im Text von Art. 44 (2) sollte unmissverständlich klargestellt werden, dass der Ausschluss
der Zuständigkeit der Aufsichtsbehörden sich nicht auf
Akte der Exekutive bezieht, die nach nationalem Recht
unter Beteiligung eines Richters zustande gekommen sind
(in Deutschland etwa im Hinblick auf Maßnahmen der
Strafverfolgungsbehörden, die einem Richtervorbehalt
unterlegen haben).
Die Regelung über gemeinsame Vorschriften zum Gerichtsverfahren (Art. 53) sieht in Absatz 2 vor, dass jede
Aufsichtsbehörde das Recht hat (im Englischen: „shall
have the right“), Klage zur Durchsetzung der in der
Richtlinie enthaltenen Rechte zu erheben. Die Konferenz
spricht sich dafür aus, Art. 53 (2) so zu ändern, dass die
Mitgliedstaaten eine entsprechende Berechtigung der
Aufsichtsbehörden vorsehen können, jedoch nicht hierzu
verpflichtet sind.
In Art. 45 (4) sollte verdeutlicht werden, dass die Nutzung eines Formulars für Beschwerden nicht verbindlich
BfDI 24. Tätigkeitsbericht 2011-2012
Die in Art. 54 (2) der Richtlinie vorgesehene Einführung
einer gesamtschuldnerischen Haftung aller an der Verarbeitung beteiligten Stellen wird von der Konferenz als
sinnvoll angesehen und daher begrüßt.