Drucksache 17/13000
34 ––
–– 34
den Verkäufer erforderlich aber auch ausreichend, wenn
er das Alter des Kunden kennt. Der Name muss hingegen
nicht zwingend genannt werden.
Diese datenschutzfreundliche Funktion, die eine pseudonyme Nutzung möglich macht, wird vom Entwurf der
EU-Verordnung in Frage gestellt, denn sie fordert, dass
die Identifizierungsdaten der natürlichen oder juristischen
Person eindeutig zugeordnet sein müssen. Zudem ist die
gegenseitige Anerkennung nur dem Grundsatz nach geregelt. So fehlen eindeutige und konkrete Regelungen zum
Datenschutz und zur Datensicherheit. Es darf nicht dazu
kommen, dass das bei der deutschen eID-Funktion erreichte hohe Datenschutzniveau durch die Verpflichtung
abgesenkt wird, elektronische Identifizierungssysteme
aus anderen Mitgliedstaaten anzuerkennen, die nicht einmal entfernt dem hier erreichten Datenschutzstandard
entsprechen. Deshalb begrüße ich es, dass sich die Bundesregierung auf europäischer Ebene für datenschutzgerechte Regelungen zur elektronischen Identifizierung einsetzt.
2.4
Europäische und internationale
Datenschutz-Zusammenarbeit
Zu einem gelebten Datenschutz gehört die grenzüberschreitende Zusammenarbeit der Datenschutzbehörden.
Auch im Berichtszeitraum hat sich in Sachen Kooperation einiges getan.
2.4.1
Artikel-29-Gruppe
2.4.1.1 Die Future-of-Privacy-Subgroup
Die Unterarbeitsgruppe (Subgroup) „Future of Privacy“
ist zuständig für Grundsatzfragen des Datenschutzes auf
EU-Ebene. Sie hat sich im Berichtszeitraum insbesondere
mit dem Vorschlag der Europäischen Kommission für
eine EU-Datenschutz-Grundverordnung befasst (vgl.
Nr. 2.1.1) und hierzu zwei Stellungnahmen der Artikel-29Gruppe vorbereitet.
In der Stellungnahme 1/2012 (WP 191) vom 23. März
2012 begrüßt die Artikel-29-Gruppe den Kommissionsvorschlag im Hinblick auf die Stärkung der Position der
betroffenen Person, die Ausweitung der Verpflichtungen
des für die Datenverarbeitung Verantwortlichen sowie die
Verbesserung der Stellung der Aufsichtsbehörden auf nationaler und internationaler Ebene. Trotz ihrer grundsätzlich positiven Haltung gegenüber der Verordnung ist die
Datenschutzgruppe der Ansicht, dass der Vorschlag in
Teilen präzisierungs- und verbesserungsbedürftig ist. In
der Stellungnahme 8/2012 (WP 199) vom 5. Oktober
2012 ergänzt die Artikel-29-Gruppe ihre grundlegende
Position zum Kommissionsvorschlag der DatenschutzGrundverordnung. Die Stellungnahme enthält unter anderem eine Prüfung sämtlicher in dem Verordnungsvorschlag enthaltener Delegationsermächtigungen der Europäischen Kommission.
Zudem hat sich die Unterarbeitsgruppe mit den Themen
„Schutz besonderer Kategorien personenbezogener Daten“,
„Meldepflichten“ sowie „praktische Zusammenarbeit der
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
Datenschutzbehörden“ befasst. Die Beratungsergebnisse
wurden in so genannten „Empfehlungsschreiben“ (Advice Papers) zusammengefasst, die als Beitrag der Artikel-29-Gruppe zur Reformdiskussion an die Europäische
Kommission übersandt wurden.
Eine Liste der im Berichtszeitraum von der Artikel-29Gruppe angenommenen Stellungnahmen und sonstigen
Dokumenten findet sich unter: http://ec.europa.eu/justice/
data-protection/article-29/documentation/opinion-recom
mendation/index_en.htm.
2.4.1.2
Subgroup International Transfers
Die Subgroup International Transfers (Internationaler
Datentransfer) befasste sich schwerpunktmäßig mit verbindlichen Unternehmensregelungen (Binding Corporate Rules, BCR) zur Übermittlung personenbezogener
Daten in Drittstaaten, insb. für Auftragsdatenverarbeiter.
Die Subgroup International Transfers beschäftigte sich
mit einer Vielzahl von Fragestellungen zur Übermittlung
von personenbezogenen Daten in Drittstaaten. Diese ist
nach Artikel 25 Absatz 1 der europäischen Datenschutzrichtlinie 95/46/EG grundsätzlich nur bei Gewährleistung
eines angemessenen Datenschutzniveaus beim Empfänger zulässig, eine vielfach nicht erfüllte Anforderung.
Um dennoch den Datentransfer innerhalb global tätiger
Unternehmensgruppen zu ermöglichen, werden hierfür
verbindliche Unternehmensregelungen erarbeitet, die sich
auf Artikel 26 Absatz 2 der Datenschutzrichtlinie stützen.
Sie spielen angesichts der zunehmend grenzüberschreitenden Datenströme eine immer größere Rolle. Das europäische Verfahren der gegenseitigen Anerkennung von
verbindlichen Unternehmensregelungen (vgl. 23. TB
Nr. 10.1) wird inzwischen erfolgreich in der Praxis angewandt. Europaweit konnten bereits rund 40 solcher Unternehmensregelungen abgestimmt werden, rund 20 befinden sich im Abstimmungsverfahren.
Die Gruppe hat im Berichtszeitraum zudem verbindliche
Unternehmensregelungen für Auftragsdatenverarbeiter
(„BCR for processors“) entwickelt, für die aufgrund der
technischen Entwicklung – insbesondere im Bereich des
Cloud Computing – ein großer Bedarf gesehen wird.
Working Paper (WP) 195 der Artikel-29-Gruppe vom
6. Juni 2012 listet die notwendigen Bestandteile solcher
BCR for processors in Tabellenform auf. Ein entsprechendes Antragsformular wurde ebenfalls verabschiedet.
Die Unterlagen sind unter http://ec.europa.eu/justice/
data-protection/article-29/documentation/opinion-recom
mendation/index_en.htm abrufbar. Das EU-weite Verfahren zur Abstimmung und Anerkennung von verbindlichen
Unternehmensregelungen für Auftragsdatenverarbeiter
steht den Unternehmen ab dem 1. Januar 2013 offen.
Die Teilnehmerstaaten der APEC („Asia-Pacific-Economic Cooperation“) verwenden für internationale Datentransfers ein dem europäischen BCR-System ähnliches
Verfahren, die sog. Cross-Border Privacy Rules (CBPR).
Eine Arbeitsgruppe bestehend aus Vertretern der APEC
und Mitgliedern der Subgroup International Transfers, an
der auch ich mich beteilige, versucht, die beiden Systeme