4
4.1
Auswärtiger Ausschuss,
Ausschuss für die Angelegenheiten der Europäischen Union
Auswirkungen der DSGVO auf diesen Themenbereich
Die Zunahme grenzüberschreitender Datenübertragungen im globalen Internetzeitalter erfordert eine effektive
Zusammenarbeit der Datenschutzbehörden innerhalb der EU. Diesem Umstand trägt die EU-DatenschutzGrundverordnung Rechnung, indem sie mit dem sogenannten „One-Stop-Shop“ sowie dem Kooperations- und
Kohärenzverfahren neue Verfahren der Zusammenarbeit und Abstimmung zwischen den Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten einführt. Diese müssen künftig miteinander kooperieren, wenn ein datenverarbeitendes Unternehmen über mehrere Niederlassungen in unterschiedlichen EU-Mitgliedstaaten verfügt oder
durch eine Datenverarbeitung Personen in mehreren Mitgliedstaaten betroffen sind. Für diesen Abstimmungsprozess schafft die Datenschutzgrundverordnung eine neue, mit eigener Rechtspersönlichkeit ausgestattete Einrichtung der EU, den Europäischen Datenschutzausschuss. In diesem Gremium sind - entsprechend bisheriger
Praxis in der sogenannten Artikel-29-Gruppe - die Datenschutzbehörden aller 28 EU-Mitgliedstaaten und der
Europäische Datenschutzbeauftragte vertreten. Der Ausschuss kann in bestimmten Fällen verbindliche Entscheidungen treffen, die von den Aufsichtsbehörden in den Mitgliedstaaten umgesetzt werden müssen.
Die EU-Datenschutz-Grundverordnung übernimmt weitgehend die bereits in der EU-Datenschutzrichtlinie 95/46/EG angelegte Systematik der Datenübermittlungen in Drittstaaten. Übermittlungen sind danach weiterhin auf Grundlage entsprechender Angemessenheitsbeschlüsse der EU-Kommission, Standardvertragsklauseln und Binding Corporate Rules (BCR) möglich. Zusätzlich werden mit der Zertifizierung und genehmigten
Verhaltensregeln neue Rechtsgrundlagen eingeführt. Die europäischen Datenschutzbehörden müssen künftig
dafür sorgen, dass diese neuen Rechtsgrundlagen das gleiche hohe Datenschutzniveau wie die bisherigen Instrumente garantieren.
4.2
Aus Beratung und Kontrolle
Kontrolle des Auswärtigen Amtes
Beratungs- und Kontrollbesuche in der Zentrale des Auswärtigen Amts (AA) und Auslandsvertretungen in den
Vereinigten Arabischen Emiraten deckten erheblichen Verbesserungsbedarf auf, zum Teil auch beim Personaldatenschutz.
Ein Schwerpunkt meiner Kontrolltätigkeit war die Ausstattung der behördlichen Datenschutzbeauftragten (bDSB) mit Personal- und Sachmitteln. Bereits im Vorfeld war mir bekannt, dass die in meinen Leitlinien
empfohlenen „Mindestanforderungen an die Organisation und Aufgabenbeschreibung der behördlichen Datenschutzbeauftragten in der Bundesverwaltung“ vom April 2015 (vgl. o Nr. 1.6) im AA nicht erfüllt waren. Erste
Abhilfe wurde geschaffen, indem anlässlich meines Informationsbesuches in der AA-Zentrale im Juli 2015 der
behördliche Datenschutzbeauftragte vollständig für diese Aufgabe freigestellt wurde. Die von mir als notwendig
erachtete und vom AA angekündigte Bestellung eines teilweise freigestellten Vertreters wurde bis Redaktionsschluss nicht umgesetzt.
Bei den im Mai 2015 kontrollierten Auslandsvertretungen war zudem festzustellen, dass die behördlichen Datenschutzbeauftragten keine Schulung oder Vorbereitung auf ihre Aufgabe erhalten hatten und ihnen daher die
erforderliche Fachkunde nach § 4f Absatz 2 Satz 1 BDSG am Anfang ihrer Tätigkeit fehlte.
Ein weiterer erheblicher Mangel betraf das Verzeichnis der Verfahren automatisierter Datenverarbeitungen, das
nach den Vorschriften des BDSG in jeder öffentlichen Behörde vorhanden sein muss: Weder in der Zentrale
noch in den Auslandsvertretungen wurden Verfahrensverzeichnisse geführt, die den Anforderungen der §§ 4d
und 4e BDSG entsprechen. Angesichts der Schwere des Verstoßes gegen §§ 4d und 4e BDSG war hier eine
BfDI 26. Tätigkeitsbericht 2015-2016
– 75 –