Außerdem halte ich insbesondere folgende Regelungen für geboten:
-
Der Betroffene muss ein Recht auf Negativauskunft erhalten.
-
Datenverarbeitende Stellen müssen zum Aufbau eines Datenschutzmanagements verpflichtet werden, um
folgende Ziele zu verfolgen: Datensparsamkeit, Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit.
-
Verantwortliche Stellen sind zu verpflichten, künftig eine Gesamtübersicht über alle laufenden Datenverarbeitungen (sog. Verfahrensverzeichnisse) zu führen, sinnvollerweise zentral beim behördlichen Datenschutzbeauftragten.
-
Bereichsspezifische Anforderungen, nach denen Zweck, Rechtsgrundlage, betroffener Personenkreis, Art
der zu speichernden Daten, Eingabe der Daten, Voraussetzungen der Datenübermittlung, Festlegungen zur
Speicherdauer sowie notwendige technische und organisatorische Maßnahmen in Verwaltungsvorschriften
konkret zu bestimmen sind (z. B. in Errichtungsanordnungen), müssen erhalten bleiben. Das Gleiche gilt für
die vorherige Anhörung der Datenschutzaufsicht bei der Einrichtung neuer Dateien oder Verarbeitungen.
-
Eine Verpflichtung zur Protokollierung sollte neben den Zugriffen der Nutzerinnen und Nutzer auch für
administrative Zugriffe vorgesehen werden.
-
Bei der Datenübermittlung an Drittstaaten sind, soweit die EU-Vorgaben nicht entgegenstehen, die Maßgaben des Bundesverfassungsgerichts aus seiner Entscheidung vom 20. April 2016 - 1 BvR 966/09
(Rn. 329 - 341) zum Bundeskriminalamtgesetz zu berücksichtigen. Danach erfordert die Datenübermittlung
ins Ausland eine Begrenzung auf hinreichend gewichtige Zwecke, die Vergewisserung über einen rechtsstaatlichen Umgang mit diesen Daten im Empfängerland, der Sicherstellung einer wirksamen inländischen
Kontrolle und entsprechende normenklare Grundlagen im deutschen Recht. Eine effektive unabhängige
Kontrolle setzt aus meiner Sicht eine Verpflichtung der übermittelnden Stellen zur zentralen Protokollierung von Auslandsübermittlungen voraus (vgl. hierzu auch unter Nr. 1.3).
Die Umsetzung der JI-Richtlinie auf Bundesebene und die künftige Durchführung der ihrer Umsetzung dienenden Rechtsvorschriften werde ich datenschutzrechtlich eng begleiten.
BfDI 26. Tätigkeitsbericht 2015-2016
– 35 –