nien zu den Themen „federführende Behörde“ und „Datenschutzbeauftragter“, für die ich als
Ko-Berichterstatter in der Subgroup Key Provisions tätig war. Darüber hinaus habe ich ebenfalls in der Funktion des Ko-Berichterstatters an den Entwurfsarbeiten für eine Geschäftsordnung des Europäischen Datenschutzausschusses mitgewirkt, die 2017 fortgesetzt werden. Die Artikel-29-Gruppe hat für das Jahr 2017 einen weiteren Aktionsplan zur Umsetzung der DSGVO und zur Vorbereitung der Tätigkeit des künftigen Europäischen
Datenschutzausschusses beschlossen.
Datenschutz im Bereich der polizeilichen und justiziellen Zusammenarbeit und der Grenzkontrolle
Neben der Umsetzung der EU-Datenschutzreform hat sich die Artikel-29-Gruppe intensiv mit datenschutzrechtlichen Fragen im Sicherheitsbereich befasst. Die Arbeiten der Gruppe standen ganz im Zeichen der Verhandlungen zwischen der EU und den USA zum Privacy Shield (vgl. o. Nr. 2.1). In Wahrnehmung ihrer Beratungsfunktion hat die Border, Travel, Law Enforcement (BTLE)-Subgroup, bei der ein Mitarbeiter meines Hauses die
Funktion eines Koordinators wahrnimmt, die wesentlichen grundrechtlichen und datenschutzrechtlichen Standards bei der Durchführung von Überwachungsmaßnahmen aus der Rechtsprechung des Europäischen Gerichtshofes und des Europäischen Gerichtshofes für Menschenrechte herausgearbeitet und auf dieser Grundlage
die US-amerikanische Rechtspraxis analysiert. Diese Auswertung der europäischen Rechtsprechung ist im Arbeitspapier 1/2016 „European Essential Guarantees“ der Artikel-29-Gruppe zusammengefasst. Die Analyse des
US-Rechts nimmt wesentlichen Raum in den Stellungnahmen der Artikel-29-Gruppe zum EU-US Privacy
Shield ein (Stellungnahme 1/2016 zur EU-US Privacy Shield Adäquanzentscheidung, vgl. o. Nr. 2.1).
Darüber hinaus hat die BTLE-Subgroup eine Vielzahl von Stellungnahmen der Artikel-29-Gruppe zu anderen
Gesetzgebungsvorhaben vorbereitet. Dazu zählen unter anderem die EU-PNR-Richtlinie (vgl. u. Nr. 2.3.2), das
Smart Borders-Programm (vgl. u. Nr. 2.3.1), das Umbrella Agreement (vgl. o. Nr. 2.2) und die Datenschutzrichtlinie für den Bereich von Polizei und Justiz (vgl. o. Nr. 1.1, Nr. 1.2.2.).
Die Artikel-29-Gruppe hat sich im Berichtszeitraum weiter mit der Frage befasst, ob und unter welchen Voraussetzungen Sicherheitsbehörden Zugriff auf Daten nehmen dürfen, die nicht auf inländischen Servern gespeichert
sind. Diese Problematik stellt sich in Zeiten der Globalisierung, des Internets und der Speicherung von Daten in
„Clouds“ in besonderem Maße. Große Beachtung hat in diesem Zusammenhang ein Gerichtsverfahren erlangt,
auf das ich schon in meinem letzten Tätigkeitsbericht hingewiesen hatte (vgl. 25. TB Nr. 4.7.1). Es wurde durch
die Firma Microsoft angestoßen, die in den USA auf Antrag einer US-Sicherheitsbehörde verpflichtet worden
war, Daten zu einem Kunden-E-Mail-Konto herauszugeben, die auf Servern in Irland gespeichert sind. Inzwischen hat ein US-Berufungsgericht hierüber entschieden und die US-Regierung auf den Weg der Rechtshilfe
verwiesen, um auf die in Irland gespeicherten Daten zugreifen zu können. Nach Auffassung des Berufungsgerichts erlaubt das geltende US-Recht keinen unmittelbaren Zugriff. Der endgültige Ausgang dieses Verfahrens
ist noch offen, ebenso wie die grundsätzliche Fragestellung des behördlichen Zugriffs auf im Ausland gespeicherte personenbezogene Daten, die von allen Rechtsordnungen beantwortet werden muss.
Internationaler Steuerdatenaustausch und Geldwäsche
Ein weiteres Themengebiet der Artikel-29-Gruppe betraf den internationalen automatischen Steuerdatenaustausch (vgl. u. Nr. 8.2.4) und die Anpassung der geldwäscherechtlichen Regelungen durch die Vierte und Fünfte
EU-Geldwäscherichtlinie (vgl. u. Nr. 8.2.2). Im Mittelpunkt der geldwäscherechtlichen Diskussion stehen der
transparente Geldfluss und die Frage, wie und in welchem Umfang Bargeldzahlungen beibehalten werden sollen. Hierzu habe ich an einer Konsultation zu einer von der Europäischen Kommission in Auftrag gegebenen
Studie teilgenommen, deren Ergebnisse in die Vorschläge für eine zukünftige EU-Gesetzgebung eingebracht
werden sollen.
Datenschutz beim E-Government
Schließlich prüft die Artikel-29-Gruppe den „Code of Conduct on privacy for mHealth“, der ein System der
freiwilligen Selbstverpflichtung etabliert und vordringlich Entwickler sowie Hersteller mobiler Gesundheitsanwendungen anspricht. Er wurde der Artikel-29-Gruppe im Juni 2016 vorgelegt. Die Subgroup E-Government ist
derzeit mit den Verfassern des Code of Conduct im Gespräch, um auf Verbesserungen des Datenschutzniveaus
hinzuwirken. Anhand dieses Dokumentes werden die wesentlichen datenschutzrechtlichen Vorgaben für mobile
Anwendungen auf europäischer Ebene abgestimmt (vgl. u. Nr. 1.5).
Datenschutz bei neuen Technologien
– 60 –
BfDI 26. Tätigkeitsbericht 2015-2016