Deutscher Bundestag – 17. Wahlperiode
– 137 –
Drucksache 17/5200
tensicherheitskonzepte. Das BMI hat jedoch zugesagt,
meine datenschutzrechtlichen Empfehlungen bei der weiteren Projektarbeit zu berücksichtigen.
trollen, Asyl und Einwanderung, polizeiliche Zusammenarbeit, justizielle Zusammenarbeit in Zivil- und Strafsachen).
Aus datenschutzrechtlicher Sicht ist in diesem Zusammenhang insbesondere von Bedeutung, ob es sich beim Umgang mit Beschäftigtendaten in den geplanten Dienstleistungszentren jeweils um eine Auftragsdatenverarbeitung
nach § 11 BDSG oder um eine Funktionsübertragung
(Outsourcing) handelt. Davon sind die erforderlichen datenschutzrechtlichen Rahmenbedingungen, deren konkrete
Umsetzungen, aber auch meine weitere Beratung im Detail
abhängig. Sofern es sich beim Umgang mit Beschäftigtendaten um eine Datenverarbeitung im Auftrag nach § 11
BDSG handelt, sind die entsprechenden Vorgaben des novellierten § 11 BDSG bei der Vertragsgestaltung und im
Wirkbetrieb umzusetzen (vgl. Nr. 2.4).
Wichtige Folge der Integration der Justiz- und Innenpolitik
in den AEUV ist, dass das ordentliche Gesetzgebungsverfahren nunmehr weitgehend auch für diesen zentralen Bereich der EU-Politik vorgesehen ist und damit die volle
Mitentscheidungsbefugnis des Europäischen Parlaments
besteht. Für fortbestehende Rechtsakte der Union, die auf
Grundlage des Titels VI des alten EU-Vertrags angenommen wurden, besteht indes eine fünfjährige Übergangsfrist
ab Inkrafttreten des Vertrags von Lissabon, innerhalb derer
das Rechtsschutzsystem der Union weiterhin nur eingeschränkt gilt (Art. 10 Protokoll (Nr. 36) über die Übergangsbestimmungen, ABl. Nr. C 83 vom 30. März 2010,
S. 325 f.).
Im Falle des Outsourcing sind neben der Gewährleistung
der IT-Sicherheit auch Fragen der rechtlichen Zulässigkeit zu klären, da in dieser Konstellation eine Übermittlung personenbezogener Daten stattfindet, die einer entsprechenden Rechtsgrundlage bedarf.
Ich habe zugesagt, das BMI und das BVA nach Klärung
der im Zusammenhang mit dem Umgang mit Personaldaten noch offenen Grundsatzfragen durch das BMI bzw.
BVA – je nach entsprechendem Entwicklungsstand – beim
Auf- und Ausbau der geplanten Dienstleistungszentren
weiterhin zu beraten, um zu einem datenschutzgerechten
Umgang mit personenbezogen Daten der Beschäftigten
beizutragen.
13
Europa und Internationales
13.1
Vertrag von Lissabon bringt Änderungen
für den Datenschutz
Das Inkrafttreten des Vertrags von Lissabon stellt einen
Meilenstein für die europäische Rechtsentwicklung im
Bereich des Datenschutzes dar.
Der Vertrag von Lissabon, den die 27 Staats- und Regierungschefs der Mitgliedstaaten der Europäischen Union
am 13. Dezember 2007 unterzeichneten, trat am 1. Dezember
2009 in Kraft (konsolidierte Fassung im ABl. Nr. C 83
vom 30. März 2010, S. 47 ff.). Mit dem Vertrag wurden
die beiden grundlegenden Verträge der Union geändert,
der Vertrag über die Europäische Union (EU-Vertrag) und
der Vertrag zur Gründung der Europäischen Gemeinschaft
(EG-Vertrag), der jetzt Vertrag über die Arbeitsweise der
Europäischen Union (AEUV) heißt.
Der Vertrag von Lissabon hat tiefgreifende Änderungen
der Systematik des EU-Rechts vorgenommen, indem er
die mit dem Vertrag von Maastricht seinerzeit eingeführte
Säulenstruktur der Politikbereiche der EU wieder aufhebt.
Der bis dahin in Titel VI des EU-Vertrags geregelte Bereich der polizeilichen und justiziellen Zusammenarbeit in
Strafsachen („3. Säule“) wurde in den AUEV überführt.
Der neue Titel V des AEUV („Der Raum der Freiheit, der
Sicherheit und des Rechts“) enthält nun sämtliche Bestimmungen der gemeinschaftlichen Innen- und Justizpolitik
(Terrorismusbekämpfung, Politik im Bereich Grenzkon-
Diese Änderungen, insbesondere der Wegfall der Säulenstruktur, sind auch für den Datenschutz von erheblicher
Bedeutung. Mit der Einfügung des Artikel 16 in den
AEUV besteht nun eine einheitliche Rechtsgrundlage für
den Schutz personenbezogener Daten, die für sämtliche
Politikbereiche der EU, einschließlich der polizeilichen
und justiziellen Zusammenarbeit, gilt. Artikel 16 Absatz 1
AEUV stimmt wortgleich mit dem Grundrecht auf Datenschutz in Artikel 8 Absatz 1 der EU-Grundrechtecharta
(GRCh) überein (vgl. Kasten zu Nr. 13.1). Artikel 16 Absatz 2 AEUV enthält eine Ermächtigungsgrundlage für
den Erlass datenschutzrechtlichen Sekundärrechts betreffend die Verarbeitung personenbezogener Daten durch die
Organe und sonstigen Stellen der Union sowie die Mitgliedstaaten, soweit diese Tätigkeiten ausüben, die in den
Anwendungsbereich des EU-Rechts fallen. Dies hat insbesondere erhebliche Auswirkungen auf den Datenschutz
bei der polizeilichen und justiziellen Zusammenarbeit
(vgl. Nr. 13.5).
Hinzu kommt, dass mit Inkrafttreten des Vertrags von Lissabon die Charta der Grundrechte der Europäischen Union
(GRCh, ABl. Nr. C 83 vom 30. März 2010, S. 389 ff.)
durch einen rechtsverbindlichen Verweis in Artikel 6 Absatz 1 des EU-Vertrags in den Rang des Primärrechts gehoben und verbindlich wurde.
K a s t e n zu Nr. 13.1
Artikel 8 der EU-Grundrechtecharta:
Schutz personenbezogener Daten
Artikel 8 GRCh enthält das Grundrecht auf Schutz personenbezogener Daten. Absatz 1 garantiert jeder Person
das Recht auf Schutz der sie betreffenden Daten. Gemäß
Absatz 2 dürfen diese Daten nur nach Treu und Glauben
für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Das Grundrecht bindet gem. Artikel 51 Absatz 1 GRCh die Organe
und sonstigen Stellen der Union sowie die Mitgliedstaaten bei der Durchführung des Rechts der Union.
BfDI 23. Tätigkeitsbericht 2009-2010