zierte Diensteanbieter unterliegen deutlich strengeren Anforderungen, dafür haben ihre Dienste größere Beweiswirkungen und teilweise weitergehende Rechtswirkungen.
Neben Fragen des richtigen Regelungsinstruments enthielt der Verordnungsentwurf auch aus datenschutzrechtlicher Sicht einige problematische Punkte.
Meine wichtigsten Forderungen waren:
-
-
-
Die Vorschriften zur gegenseitigen Anerkennung elektronischer Identifizierungsmittel müssen so gestaltet
sein, dass der neue Personalausweis mit seiner elektronischen Identifizierungsfunktion (eID-Funktion) weiterhin genutzt werden kann.
Beim Einsatz von Identifizierungsmitteln müssen generell datenschutzrechtliche Prinzipien wie die Verwendung von Pseudonymen, Datensparsamkeit, Zweckbindung und Erforderlichkeitsprüfung beachtet werden.
Eine zentrale Datenbank für die Schaffung einer Online-Authentisierung zur Überprüfung elektronischer
Identifizierungsdaten sollte vermieden werden.
Die Verordnung selbst sollte Mindestanforderungen an Datenschutz, Datensicherheit und technische Standards festlegen und dies nicht der Kommission überlassen.
Das hohe deutsche Niveau in Bezug auf Datenschutz und Datensicherheit sollte beibehalten werden.
Es sollte klargestellt werden, welche Befugnisse die Datenschutzbehörden neben den Aufsichtsbehörden
über die Vertrauensdienste-Anbieter im Falle von Rechtsverstößen haben.
Elektronische Siegel sollten auch von natürlichen Personen genutzt werden dürfen.
Die Verordnung ist am 28. August 2014 im Amtsblatt der EU veröffentlicht worden (Verordnung Nr. 910/2014
vom 23.07.2014, Amtsblatt L 257/73). Im Laufe der Verhandlungen konnten datenschutzrechtliche Verbesserungen erreicht werden. Elektronische Siegel bleiben allerdings weiterhin nur juristischen Personen vorbehalten.
Sie können damit elektronische Dokumente „siegeln“ und so zu erkennen geben, dass das Dokument mit diesem
Inhalt aus ihrer Sphäre stammt. Im Gegensatz zur Signatur steht ein Siegel aber nicht für eine Willenserklärung.
Die Stellung und die Befugnisse der Datenschutzaufsichtsbehörden sind in der Verordnung nun detaillierter geregelt als zunächst vorgesehen. Die Anbieter von Vertrauensdiensten sind verpflichtet, jeder zuständigen Stelle,
wie etwa den Datenschutzbehörden, unverzüglich jeden Vorfall zu melden, der sich erheblich auf den Vertrauensdienst oder die darin vorhandenen personenbezogenen Daten auswirkt. Außerdem muss auch die Aufsichtsstelle die Datenschutzbehörden unterrichten, wenn sie bei ihren Überprüfungen eines qualifizierten Vertrauensdienstes feststellt, es könnte gegen Datenschutzvorschriften verstoßen worden sein. Auch meine Forderung nach
Mindestanforderungen für Datenschutz und Datensicherheit in der Verordnung selbst wurde teilweise erfüllt.
Ausdrücklich wird nun an mehreren Stellen die Einhaltung der europäischen Datenschutzrichtlinie 95/46/EG bei
der Verarbeitung personenbezogener Daten festgeschrieben. Allerdings werden die notwendigen Konkretisierungen in die sog. Durchführungsbestimmungen verlagert, die von der Kommission erlassen werden. Solche in
Komitologie-Verfahren erarbeiteten Vorschriften - die Vorschriften werden durch Expertenausschüsse vorbereitet, die Kommission muss deren Vorschlägen allerdings nicht zwingend folgen - schränken leider die Einflussnahme der Mitgliedsstaaten und damit auch der nationalen Datenschutzbehörden auf den Rechtssetzungsprozess
sehr ein. Ich erwarte, dass die Bundesregierung auch hier im Rahmen ihrer Möglichkeiten datenschutzfreundliche Regelungen durchsetzt und mich weiter beteiligt.
8.4
Neue DIN-Norm 66399 zur Vernichtung
Eine neue Orientierungshilfe macht die Anwendung in der Praxis leichter.
Löschen ist gemäß § 3 Absatz 4 Nummer 5 BDSG das Unkenntlichmachen personenbezogener Daten. Personenbezogene Daten sind immer dann zu löschen, wenn ihre Speicherung unzulässig oder ihre Kenntnis für die
Aufgabenerfüllung bzw. zur Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.
BfDI 25. Tätigkeitsbericht 2013-2014
– 143 –