Deutscher Bundestag – 17. Wahlperiode
37 –
–
–– 37
Drucksache 17/13000
Die Resolutionen und Erklärungen sind abrufbar unter
http://www.datenschutz.bund.de.
terarbeitsgruppen, insbesondere der „Technology Subgroup“ (vgl. Nr. 2.4.1.3).
Die 33. Internationale Konferenz hatte im Herbst 2011
eine Arbeitsgruppe eingesetzt, die Konzepte zur Vertiefung der internationalen Zusammenarbeit der Aufsichtsbehörden erarbeiten soll. Ich beteilige mich für Deutschland an den Beratungen. Der Vorsitz der Gruppe liegt bei
Kanada (Privacy Commissioner of Canada – PCC) und
Großbritannien (The Information Commissioner's Office –
ICO). In einem nächsten Schritt wird Kanada in der Arbeitsgruppe ein Konzept für die Intensivierung der Zusammenarbeit zum Datenaustausch und zu Durchsetzung
des Datenschutzes gegenüber Behörden vorlegen. Hintergrund der kanadischen Initiative dürfte sein, dass es bisher entsprechende Abkommen und abgestimmte Vorgehensweisen im Wesentlichen nur bilateral zwischen
EWR/Artikel-29-Gruppe und USA/FTC gegeben hat. Jedoch bereits in der Madrid-Erklärung der 31. Internationalen Datenschutzkonferenz im Jahr 2009 wurde eine
stärkere internationale Kooperation auch im öffentlichen
Bereich gefordert (vgl. 23. TB Nr. 13.14).
Als Beispiel für die fruchtbare Kooperation der Datenschutzbehörden im Rahmen dieser Unterarbeitsgruppe
möchte ich die im Verlauf des Jahres 2012 erfolgte Bewertung der neuen Datenschutzrichtlinie des Unternehmens Google hervorheben (vgl. Nr. 5.9). Die Bewertung
wurde federführend durch die CNIL, die französische Datenschutzbehörde, vorgenommen. Die Unterarbeitsgruppe wurde dabei zu jedem Zeitpunkt in die technische
Analyse einbezogen. Auch die Kommunikation zwischen
Google und der CNIL, welche im gesamten Prozess stellvertretend für die Artikel-29-Datenschutzgruppe agierte,
wurde innerhalb der Technology Subgroup abgestimmt
und koordiniert. Als Ergebnis dieser Kooperation wurde
am 16. Oktober 2012 seitens der Artikel-29-Gruppe ein
Schreiben an Google versandt, das von den Datenschutzbeauftragten aller 27 Mitgliedstaaten unterzeichnet
wurde.
Außerhalb der Internationalen Datenschutzkonferenz war
im Frühjahr 2010 das Global Privacy Enforcement Network (GPEN) als informeller Zusammenschluss nationaler Datenschutzbehörden errichtet worden mit dem Ziel,
die internationale Zusammenarbeit im Bereich der Durchsetzung des Datenschutzes im nichtöffentlichen Bereich
zu verbessern. Das Netzwerk, das Anfang 2010 auf Initiative der FTC errichtet wurde, ist inzwischen auf 31 Mitglieder angewachsen. Im Mittelpunkt seiner Arbeiten stehen ein verbesserter gegenseitiger Erfahrungsaustausch,
die Durchführung von Fortbildungsmaßnahmen gemeinsam mit Vertretern von Wirtschaft, Wissenschaft oder internationalen Organisationen sowie die Zusammenarbeit
mit vergleichbaren Einrichtungen vor. Auch können ggf.
Maßnahmen bilateraler Unterstützung und Kooperation
vereinbart werden.
2.4.4
Verbesserte Zusammenarbeit der
europäischen Datenschutzbehörden
Die Datenverarbeitung macht heute nicht mehr Halt an
nationalen Grenzen. Datenschutzrechtliche Sachverhalte
betreffen immer häufiger Personen in mehreren Mitgliedstaaten oder der gesamten EU. Für die Datenschutzbehörden ergibt sich hieraus die Notwendigkeit einer verstärkten grenzüberschreitenden Zusammenarbeit.
Bereits nach der EG-Datenschutzrichtlinie 95/46/EG bestehen die Möglichkeit und Notwendigkeit der Kooperation der nationalen Datenschutzbehörden in Sachverhalten mit grenzüberschreitender Dimension. So sieht
Artikel 28 Absatz 6 vor, dass die Aufsichtsbehörden „für
die zur Erfüllung ihrer Kontrollaufgaben notwendige gegenseitige Zusammenarbeit, insbesondere durch den Austausch sachdienlicher Informationen“ sorgen. Die praktische Zusammenarbeit erfolgt gegenwärtig vor allem im
Rahmen der Artikel-29-Datenschutzgruppe und ihrer Un-
Als weiteres Beispiel für gelungene Kooperation möchte
ich die Zusammenarbeit der Datenschutzbehörden mit der
ENISA, der Europäischen Agentur für Netz- und Informationssicherheit, zum Thema „Meldung von Datenschutzverstößen“ erwähnen. In enger Kooperation erarbeiten die Technology Subgroup und die ENISA hier eine
Methodik zur Analyse des Schweregrades von Datenschutzverstößen.
Schließlich möchte ich auf die datenschutzrechtliche Bewertung des sozialen Netzwerkes Facebook hinweisen
(vgl. Nr. 5.8.1). Unter Federführung der irischen Datenschutzbehörde wurde innerhalb der Technology Subgroup
eine ausführliche Bewertung vorgenommen, die zur Erstellung zweier Audit Reports führte.
Die Beispiele „Google“ und „Facebook“ zeigen, wie
wichtig ein einheitliches Vorgehen der Datenschutzbehörden der EU-Mitgliedstaaten in Fällen ist, in denen Personen in mehreren Mitgliedstaaten oder der gesamten EU
betroffen sind.
Die Europäische Kommission hat die Globalisierung des
Datenschutzes aufgriffen und schlägt in dem Entwurf der
EU-Datenschutz-Grundverordnung die Einführung eines
Verfahrens der verstärkten Zusammenarbeit, der Amtshilfe und der Kohärenz in Fällen vor, in denen mehrere
Mitgliedstaaten von Verarbeitungsvorgängen eines Verantwortlichen betroffen sind (vgl. Nr. 2.1.1). Durch einen
Abstimmungsmechanismus innerhalb des Europäischen
Datenschutz-Ausschusses, des Nachfolgegremiums der
Artikel-29-Gruppe, soll in diesen Fällen eine einheitliche
Rechtsauslegung und Anwendungspraxis innerhalb der
EU erreicht werden. Ich unterstütze dieses Ziel nachdrücklich. Hierbei muss allerdings sichergestellt sein,
dass die Unabhängigkeit der Datenschutzaufsicht unangetastet bleibt und die Datenschutzbehörden „Herrinnen des
Verfahrens“ bleiben. Zudem setzt eine effektive Kooperation voraus, dass die Aufsichtsbehörden mit den erforderlichen sächlichen und personellen Ressourcen ausgestattet werden.
BfDI 24. Tätigkeitsbericht 2011-2012