Nr. 4.7.1) der Europäischen Kommission fallen. Datenübermittlungen aus der EU in Drittstaaten auf der Grundlage geeigneter Garantien sollen künftig neben den „klassischen“ Instrumenten wie BCR und Standardverträgen
zudem auf der Grundlage genehmigter Zertifizierungsmechanismen und - nach Ansicht des Rates - genehmigter
Verhaltenskodizes sowie „rechtsverbindlicher Instrumente“ zwischen staatlichen Behörden zulässig sein.
Anders als Kommission und Rat hat sich das Europäische Parlament dagegen ausgesprochen, Drittstaatsüber mittlungen, die nicht häufig oder massiv sind, auch auf Basis des berechtigten Interesses des für die Verarbeitung Verantwortlichen oder Auftragsdatenverarbeiters zu ermöglichen. Diese Position teile ich. Diese neue Ausnahme des „berechtigten Interesses“ darf künftig keinesfalls zur Regel für Drittstaatentransfers werden. Andernfalls würden die datenschutzrechtlich spezifischeren Instrumente wie Standardverträge und -vertragsklauseln,
die Einwilligung oder vertragliche Grundlagen unterlaufen. Auch die Artikel-29-Gruppe hat in einer Stellungnahme vom September 2014 betont, dass Datenübermittlungen in Drittstaaten auf Basis des „berechtigten Interesses“ Ausnahmecharakter haben sollten (vgl. WP 222 vom 17.09.2014).
Die Debatte über den Schutz der personenbezogenen Daten von europäischen Bürgerinnen und Bürgern gegenüber Behörden und Stellen aus Drittstaaten wurde im Jahre 2013 insbesondere durch die Erkenntnisse über das
„PRISM-Programm“ der National Security Agency (NSA) angefeuert (vgl. Nr. 2.1). Sie hat das Europäische
Parlament dazu bewogen, die Aufnahme eines spezifischen Artikels in der DSGVO zu Datenübermittlungen an
Behörden und Gerichte in Drittstaaten zu fordern. Der entsprechende Änderungsvorschlag des Parlaments zu
Artikel 43a DSGVO stellt klar, dass Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines
Drittstaats, die von einem für die Verarbeitung Verantwortlichen die Weitergabe personenbezogener Daten verlangen, in der EU grundsätzlich weder anerkannt werden noch vollstreckbar sind, wenn dies nicht in internationalen Übereinkommen zur Amts- oder Rechtshilfe festgelegt ist. Sie stehen dann im Einzelfall unter dem Genehmigungsvorbehalt der Datenschutzbehörden sowie sonstiger zuständiger Stellen der EU-Mitgliedstaaten.
Diese von mir im Grundsatz unterstützte Forderung wurde zuvor bereits von der Artikel-29-Gruppe in ihrer
Stellungnahme zum Entwurf der DSGVO vom März 2012 (WP 191 vom 23.03.2012) erhoben und in einer weiteren Stellungnahme vom September 2014 (WP 222 vom 17.09.2014) wiederholt. Mit der Schaffung einer entsprechenden Regelung wird die Tätigkeit ausländischer Nachrichtendienste in Europa zwar nicht unterbunden.
Sie könnte jedoch in einem gewissen Umfang Transparenz über das Ausmaß der Überwachung herstellen, zur
Wahrung der Verhältnismäßigkeit beitragen und vor allem Anreize zur Verabschiedung internationaler Übereinkommen schaffen.
Zu meinem Bedauern ist der Rat einer entsprechenden Initiative der Bundesregierung im September 2013 zur
Aufnahme einer ähnlichen Regelung (hier unter der Bezeichnung Artikel 42a) in Kapitel V der DSGVO nicht
gefolgt. Die Frage, unter welchen Voraussetzungen staatliche Stellen aus Drittstaaten Zugriff auf personenbezo gene Daten europäischer Bürgerinnen und Bürgern erlangen können, muss in den bevorstehenden Verhandlungen zwischen Kommission, Parlament und Rat erneut intensiv erörtert werden.
1.2.7 Internettauglichkeit, Big Data, Profiling
Die gelegentlich geäußerte Kritik an der Internettauglichkeit der Datenschutz-Grundverordnung teile ich nicht.
Die Diskussion darüber darf nicht zur Absenkung der datenschutzrechtlichen Standards durch die DatenschutzGrundverordnung führen. Das Bestreben der Bundesregierung, bereits die Bildung von Profilen zu reglementieren, unterstütze ich.
Neben der Harmonisierung bildet die Modernisierung ein erklärtes Ziel der Novellierung des europäischen Datenschutzrechts. Mit der DSGVO sollen die seit Inkrafttreten der Europäischen Datenschutzrichtlinie von 1995
unverändert gebliebenen Datenschutzprinzipien an das digitale Zeitalter und die Anforderungen des globalen
Datenverkehrs angepasst werden.
– 32 –
BfDI 25. Tätigkeitsbericht 2013-2014