gung von Erwägungsgrund 14 der DSGVO zulässig, denn
dort wird lediglich klargestellt, dass sich die unmittel‑
bare Geltung der DSGVO nicht auf juristische Personen
erstreckt. Daraus ergibt sich für den nationalen Ge‑
setzgeber, dass er außerhalb des Anwendungsbereichs
der DSGVO Regelungen erlassen kann, die auch darin
bestehen können, die DSGVO-Normen für juristische
Personen anwendbar zu erklären.
Es sollten daher die Vorgaben der DSGVO, des BDSG
und des geänderten PostG auf die dem Postgeheimnis
unterliegenden Einzelangaben über juristische Personen
entsprechend Anwendung finden.
Befugnisse und Erfüllungsaufwände
Mit der DSGVO und insbesondere der Anpassung des
PostG an die DSGVO verschieben sich die datenschutz‑
rechtlichen Zuständigkeiten von der Bundesnetzagentur
(BNetzA) zu mir. Künftig bin ich alleinige Aufsichtsbe‑
hörde für den Datenschutz im Postbereich. Dies umfasst
dann aber nicht mehr (nur) die Kontrolle der ca. 1.100
in Deutschland lizensierten Postdienstleister. Zusätzlich
obliegt mir die datenschutzrechtliche Aufsicht und Kon‑
trolle von ca. 60.000 nicht lizenz-, sondern nur anzeige‑
pflichtigen Postdienstleistern, die bislang ausschließlich
durch die BNetzA kontrolliert wurden. Und auch die
zahlreichen Beschwerden zum Themenkomplex Daten‑
schutz im Postbereich werden künftig alle bei mir zu
bearbeiten sein – eine Herausforderung für die Kapazi‑
täten meines Hauses. Nach Artikel 52 Absatz 4 DSGVO
hat jeder Mitgliedsstaat der EU sicherzustellen, dass
die Datenschutzaufsichtsbehörden mit den personellen
Ressourcen ausgestattet werden, die sie für die effektive
Wahrnehmung ihrer Aufgaben und Befugnisse benötigt.
Im Hinblick auf die Datenschutzaufsicht über die nur
anzeigepflichtigen Postdienstleister bin ich mit dem
BMWi und der BNetzA im Gespräch, die hierfür bislang
bei der BNetzA vorgehaltenen Planstellen zu erhalten.
Leider ist die Umsetzung der entsprechenden Stellen
noch nicht erfolgt.
15.1.5 Schaffung des rechtlichen Fundaments für ein
Bewacherregister
Bei der Errichtung eines Bewacherregisters ist das Gebot der Verhältnismäßigkeit zu beachten. Es galt erneut
zu vermeiden, dass der Gesetzgeber hier über das Ziel
hinaus schießt.
Schon das (erste) Gesetz zur Änderung bewachungs‑
rechtlicher Vorschriften (BGBl. I 2016, S. 2456), das die
Grundentscheidung zur Einführung eines Bewacherre‑
gisters traf, ist von mir kritisch gesehen worden (vgl. 26.
TB Nr. 17.2.2). Ziel dieses Gesetzes war es, in bestimmten
sicherheitsrelevanten Bereichen des Bewachungsgewer‑
bes sämtliche dort eingesetzten Personen einer erwei‑
terten Zuverlässigkeitsprüfung zu unterziehen, indem
diese in einem Bewacherregister erfasst und regelmäßig
von den Verfassungsschutzbehörden überprüft werden.
Das Zweite Gesetz zur Änderung bewachungsrechtlicher
Vorschriften enthält nunmehr einige Regelungen zur
Ausgestaltung des Bewacherregisters, insbesondere,
wessen Daten dort aus welchen Anlässen, zu welchen
Zwecken, wie lange und durch wen verarbeitet werden
(BGBl. I 2018 S. 2666). Der von der Bundesregierung
vorgelegte Entwurf bedurfte noch der Anpassung, um
die Datenverarbeitungen auf das erforderliche Maß zu
reduzieren. Meine Stellungnahme an den Ausschuss
für Wirtschaft und Energie des Deutschen Bundestages
führte hier noch zu einigen entscheidenden daten‑
schutzrechtlichen Verbesserungen. So wurden beispiels‑
weise Löschfristen aufgenommen, nach denen Nega‑
tiveintragungen im Bewacherregister getilgt werden
müssen. Ergänzende Regelungen zur Ausgestaltung des
Bewacherregisters sind in Form von zwei Rechtsverord‑
nungen zu treffen.
15.2 Einzelthemen
15.2.1 Videoidentifizierung
Im digitalen Zeitalter steigt der Bedarf nach sicheren
Identifizierungsmöglichkeiten, die keine persönliche
Anwesenheit erfordern, sondern online abgewickelt
werden können. Wirtschaftsunternehmen, wie beispielsweise Online-Banken, aber auch Behörden setzen
hier auf Verfahren zur Online-Identifizierung per
Video-Chat. Das ist bequem, aber nicht ohne Risiko.
Zuletzt hat die Bundesnetzagentur die Videoidentifi‑
zierung als zulässige sonstige Identifizierungsmethode
i. S. d. § 11 Absatz 1 Vertrauensdienstegesetz anerkannt.
Dieses Gesetz regelt die nationale Durchführung der
Verordnung (EU) Nr. 910/2014 (eIDAS-Verordnung) über
elektronische Identifizierung und Vertrauensdienste
für elektronische Transaktionen im Binnenmarkt (eI‑
DAS-Verordnung). Die eIDAS-Verordnung gibt einheitli‑
che Rahmenbedingungen für die grenzüberschreitende
Nutzung von elektronischen Identifizierungsmitteln
und Vertrauensdiensten vor. Die elektronische Identi‑
fizierung baut auf einer einmaligen sicheren Erstiden‑
tifizierung auf, die in Deutschland nun teilweise per
Video-Ident möglich ist. Allerdings bleibt das Ausstellen
qualifizierter Zertifikate für die Website-Authentifizie‑
rung hiervon ausgeschlossen. Das Ausstellen qualifizier‑
ter Zertifikate für qualifizierte elektronische Signaturen
bzw. qualifizierter elektronischer Siegel ist auf die
Ausgabe von nur einmalig nutzbaren Zertifikaten (sog.
Ad-Hoc-Zertifikate) beschränkt. Obwohl ich diese Ein‑
schränkungen des Nutzungsbereichs begrüße, wird mit
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
103