Diese verbindlichen Regelungen sorgen konzernintern für ein angemessenes Datenschutzniveau durch Aufstellung von Datenschutzprinzipien, deren Einhaltung geschult und überwacht wird, sowie durch interne wie
externe Beschwerdemechanismen für die von der Datenverarbeitung betroffenen Personen.
BCR werden durch die zuständige Datenschutzaufsichtsbehörde mit dem Konzern abgestimmt und in einem
effizienten Verfahren zur gegenseitigen Anerkennung (Mutual Recognition) mit zwei weiteren europäischen
Datenschutzaufsichtsbehörden auf Übereinstimmung mit den rechtlichen Vorgaben überprüft. Nach Abschluss des Verfahrens gelten die BCR in allen 21 EU-Mitgliedstaaten, die am Mutual-Recognition-Verfahren
teilnehmen, als anerkannte Basis für die Erlaubnis von Datenübermittlungen auf deren Grundlage.
3.1.4 Technology Subgroup - technologischer Datenschutz auch in Brüssel
Die Unterarbeitsgruppe „Technology“ hat im Berichtszeitraum u. a. zu mobilen Anwendungen, zu Anonymisierungstechniken und zum Internet der Dinge Stellung genommen.
Die seit dem Jahr 2010 unter Leitung eines Mitarbeiters meiner Dienststelle tätige Unterarbeitsgruppe „Techno logy“ beschäftigt sich mit den ebenso komplexen wie drängenden Herausforderungen des technologischen Datenschutzes.
Hierzu hat die Unterarbeitsgruppe u. a. folgende Arbeitspapiere verfasst:
Eine Stellungnahme zu mobilen Anwendungen („Apps“) auf intelligenten Endgeräten (WP 202 vom
27.02.2013) analysiert den Rechtsrahmen für die Bereitstellung und Nutzung von Apps, insbesondere die An forderungen an die Einwilligung zur Verarbeitung personenbezogener Daten und die Datenschutzgrundsätze der
Zweckbindung und der Datenminimierung. Ein weiteres Kernelement des Papiers sind Empfehlungen an
App-Entwickler, App-Stores sowie Hersteller von Betriebssystemen und Endgeräten, beispielsweise für die
Umsetzung der technischen und organisatorischen Maßnahmen, um den Schutz personenbezogener Daten zu
gewährleisten.
In ihrem Arbeitspapier zu Anonymisierungstechniken (WP 216 vom 10.04.2014) erläutert die Unterarbeitsgruppe die Anforderungen an die Anonymisierung personenbezogener Daten und benennt Kriterien für wirksame
Anonymisierungsverfahren. Die Gruppe geht auf die Problematiken der Profilbildung und die Gefahren der
Re-Identifizierung von Individuen in anonymisierten Datenbeständen ein. Die Stellungnahme stellt schließlich
einmal mehr klar, dass Pseudonymisierung keine Anonymisierungstechnik ist ( vgl. dazu Nr. 2.2.3).
Das Dokument zum „Internet der Dinge“ (WP 223 vom 16.09.2014, vgl. Nr. 2.2.2) enthält erste Einschätzungen
zu der omnipräsenten, oft unsichtbaren Vernetzung virtueller Komponenten und Dienste. Betroffene laufen Gefahr, hierdurch die Kontrolle über ihre Daten zu verlieren. Die Stellungnahme erläutert die Erfordernisse für
eine rechtswirksame Einwilligung in eine Datenverarbeitung und spricht eine Reihe von Empfehlungen aus, die
sich an die Verantwortlichen für Informationstechnik richten.
Schließlich hat die Unterarbeitsgruppe noch folgende Arbeitspapiere erarbeitet:
-
Stellungnahme zu einer Vorlage der Europäischen Kommission für die Datenschutzfolgenabschätzung intelligenter Netze und Messsysteme (WP 205 vom 22.04.2013 und WP 209 vom 04.12.2013, vgl. 24. TB
Nr. 10.1),
-
Papier zur Einwilligung für die Verwendung von Cookies (WP 208 vom 02.10.2013),
– 56 –
BfDI 25. Tätigkeitsbericht 2013-2014