Deutscher Bundestag – 17. Wahlperiode
Drucksache 17/5200
– 139 –
Begriffe und eine Abgrenzung zum Begriff der „Auftragsdatenverarbeitung“ notwendig. In ihrer Analyse
gelangt die Gruppe zu dem Ergebnis, dass die Unterscheidung zwischen verantwortlicher Stelle und Auftragnehmern nach wie vor relevant ist und in der Praxis die Verantwortung stets so zugewiesen werden
muss, dass die Einhaltung der Datenschutzbestimmungen hinreichend gewährleistet ist. (zu den Regelungen
über die Auftragsdatenverarbeitung im BDSG vgl.
Nr. 2.4)
– Stellungnahme zum Grundsatz der Rechenschaftspflicht vom 13. Juli 2010 (WP 173). Zu dem auch unter
dem Begriff „Accountability“ bekannten Prinzip der
Rechenschaftspflicht bemerkt die Artikel-29-Gruppe,
dass die datenschutzrechtliche Verantwortung der verarbeitenden Stelle in der Praxis besser verankert und
umgesetzt werden müsse. Diese Notwendigkeit werde
nicht zuletzt aus einer Vielzahl von Datenschutzpannen
deutlich. Daher entwickelt sie in der Stellungnahme
einen konkreten Formulierungsvorschlag für einen
Grundsatz der Rechenschaftspflicht, der in die überarbeitete Datenschutzrichtlinie 95/46/EG Eingang finden
könnte. Dieser Grundsatz der Rechenschaftspflicht
würde die verantwortlichen Stellen dazu verpflichten,
angemessene und wirksame Maßnahmen zu ergreifen,
um die Grundsätze und Verpflichtungen der Datenschutzrichtlinie für ihren jeweiligen Bereich in der Praxis umzusetzen, und dies auf Verlangen gegenüber den
zuständigen Datenschutzaufsichtsbehörden nachzuweisen.
– Stellungnahme zum anwendbaren Recht nach Artikel 4
der europäischen Datenschutzrichtlinie vom 16. Dezember 2010 (WP 179). Die Artikel-29-Gruppe befasst
sich in dieser Stellungnahme mit dem Anwendungsbereich der europäischen Datenschutzrichtlinie und insbesondere mit der Frage, unter welchen Umständen
das jeweilige nationale Recht eines Mitgliedstaates im
Hinblick auf eine Daten verarbeitende, verantwortliche Stelle anwendbar ist. In diesem Zusammenhang
werden die Schlüsselbegriffe des Artikel 4 – „Niederlassung im Hoheitsgebiet des Mitgliedstaates“ und
„Mittel, die im Hoheitsgebiet des betreffenden Mitgliedstaates belegen sind“ – näher erläutert und mit entsprechenden Beispielen verdeutlicht.
Eine EU-weite gemeinsame Kontrollaktion der Artikel-29-Gruppe betraf im Berichtszeitraum die Umsetzung der Vorschriften zur Vorratsdatenspeicherung
gemäß Richtlinie 2006/24/EG in den einzelnen Mitgliedstaaten. Dabei hat die Artikel-29-Gruppe erhebliche Unterschiede und Mängel festgestellt, insbesondere hinsichtlich der Kategorien der zu speichernden
Daten, der notwendigen Sicherheitsmaßnahmen und
der Speicherungsfristen. Um diesen Mängeln zu begegnen, werden im Bericht entsprechende Empfehlungen und Handlungsvorschläge abgegeben (WP 172).
Für meine Dienststelle kann ich berichten, dass ein Mitarbeiter des Referates für technologischen Datenschutz die
Aufgabe des Koordinators der Arbeitsgruppe „Techno-
logy“ der Artikel-29-Gruppe übernommen hat. Daneben
sind Angehörige meiner Dienststelle und auch Vertreter
der Landesdatenschutzbeauftragten in den übrigen Arbeitsgruppen der Artikel-29-Gruppe engagiert, so dass
hier Vorschläge und Erfahrungswissen eingebracht werden können.
Eine chronologisch gegliederte Übersicht der angenommenen Dokumente ist auf der Internet-Seite der Artikel-29Gruppe einsehbar. Die Dokumente können dort auch in
den offiziellen Sprachen der EU elektronisch abgerufen
werden. (http://ec.europa.eu/justice/policies/privacy/wor
kinggroup/wpdocs/2010_en.htm).
13.4
Safe Harbor
Die obersten Aufsichtsbehörden für den Datenschutz im
nicht-öffentlichen Bereich haben auf der Sitzung des Düsseldorfer Kreises am 28./29. April 2010 in Hannover einen wichtigen Beschluss zur Anwendung des Safe-Harbor-Abkommens gefasst.
Leider sind die Erfahrungen mit dem zwischen der EU und
den Vereinigten Staaten von Amerika geschlossenen
Safe-Harbor-Abkommen nicht durchgängig positiv. Kritisch sehe ich es insbesondere, dass einige in Europa aktive
US-Unternehmen, die sich zur Einhaltung der SH-Prinzipien verpflichtet haben, in ihrer Praxis nicht den Anforderungen des europäischen Datenschutzrechts entsprechen
und dass sich die Zusammenarbeit der Datenschutzbehörden mit ihnen teilweise sehr langwierig und kompliziert
gestaltet. Dies betrifft insbesondere einige „big Player“ im
Internet (vgl. etwa Nr. 4.1.2).
Die obersten Aufsichtsbehörden für den Datenschutz im
nicht-öffentlichen Bereich weisen in ihrem Beschluss vom
28./29. April 2010 darauf hin, dass sich Daten exportierende Unternehmen bei Übermittlungen an Stellen in die
USA nicht allein auf die Behauptung einer Safe-Harbor-Zertifizierung des Datenimporteurs verlassen können.
Vielmehr muss das Daten exportierende Unternehmen klären, ob die Zertifizierung noch gültig ist. Außerdem muss
sich das Daten exportierende Unternehmen nachweisen
lassen, wie das importierende Unternehmen seinen Informationspflichten nach Safe Harbor gegenüber den von der
Datenverarbeitung Betroffenen nachkommt. Diese Mindestprüfung müssen die exportierenden Unternehmen dokumentieren und auf Nachfrage der Aufsichtsbehörden
nachweisen können.
Die Aufsichtsbehörden betonen ferner die Bedeutung, die
einer intensivierten Zusammenarbeit zwischen der auf
US-Seite für die Kontrolle des Abkommens zuständigen
Federal Trade Commission (FTC) und den europäischen
Datenschutzbehörden im Hinblick auf eine verbesserte
Einhaltung der Grundsätze zukommt. Die Daten exportierenden Unternehmen werden aus diesem Grund aufgefordert, die zuständige Datenschutzaufsichtsbehörde zu informieren, soweit sie Verstöße gegen Safe-HarborGrundsätze feststellen (vgl. Kasten zu Nr. 13.4).
BfDI 23. Tätigkeitsbericht 2009-2010