Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder fordern, dass die Datenschutz-Grundverordnung in wesentlichen Punkten nachgebessert wird. Demnach ist die größte Sorge, dass die Datenschutzverordnung hinter dem derzeit geltenden Rechtsstand zurück bleibt.

Die Sorge ist an die am derzeitigen Trilog zur Beratung über die Datenschutz-Grundverordnung teilnehmenden Parteien (Europäisches Parlament, Rat der Europäischen Union und Europäische Kommission) gerichtet. In einer Stellungnahme und einer entsprechenden Pressemitteilung werden Themen angesprochen, die die Datenschutzbeauftragten für besonders wichtig ansehen und denen sich im Trilog insbesondere gewidmet werden sollte.

Anwendungsbereich

Die Stellungnahme widmet sich zunächst dem Anwendungsbereich der Verordnung und kritisiert den Ratsvorschlag. Dieser nimmt die Verarbeitung personenbezogener Daten durch natürliche Personen zu persönlichen oder familiären Zwecken vom Anwendungsbereich aus. Die Kritik geht insbesondere dahingegen, dass anders als im Kommissionsvorschlag nicht mehr die Rede von „zu ausschließlich persönlichen oder familiären Zwecken“ ist. Die Stellungnahme geht davon aus, dass nach der Formulierung des Rates es bereits genügen würde, wenn die Verarbeitung zu persönlichen oder familiären Zwecken bei einer Gesamtbetrachtung lediglich einen völlig untergeordneten Zweck darstelle. Das halte ich für überzogen. Eine derartige Gesamtbetrachtung würde doch gerade zu der Bewertung führen, dass die Ausnahme nicht greift. Zur Klarstellung und zur Vermeidung von etwaigen Bewertungsschwierigkeiten in Grenzfällen, ist es aber sich sinnvoll, die Formulierung „ausschließlich“ aufzunehmen.

Zudem spricht sich die Stellungnahme für eine Anwendung aus in Fällen der Datenverarbeitung der Ordnungsverwaltung und zur Gefahrenabwehr. Hierbei geht es im Kern darum, inwieweit diese Bereiche einheitlich mit dem Aufgabenbereich der Polizei zur Strafverfolgung und -vollstreckung in der JI-Richtlinie geregelt sein sollte.

Personenbezug

Die Konferenz bekennt sich klar zum Begriff des personenbezogenen Datum als Anknüpfungspunkt für die Anwendbarkeit des Datenschutzrechtes. Der Definition des Personenbezuges komme daher eine außerordentlich hohe Bedeutung zu. In diesem Zusammenhang wird eine klare Definition gefordert und die Formulierung des Parlaments unterstützt, wonach klargestellt sei, dass die Möglichkeit des Herausgreifens einer natürlichen Person aus einer Gruppe ein Mittel zu deren Identifizierung sei. Dagegen würden die anderen Vorschläge zu einer unnötig restriktiven Auslegung führen.

Von einer klaren Definition erscheinen mir allerdings alle drei Vorschläge weit entfernt zu sein.

Datensparsamkeit

Die Konferenz spricht sich für eine ausdrückliche Verankerung des Prinzips der Datensparsamkeit aus. In diesem Zusammenhang wird auf die Gefahren durch Big-Data-Technologien hingewiesen. Die Schwierigkeiten zwischen dem Prinzip der Datensparsamkeit und Big Data liegen auf der Hand. Anstatt jedoch eine Lösung zur Überwindung anzubieten, wird – dem Ziel eines modernen Datenschutzrechtes widersprechend – Big Data als „diffus bedrohliche Situation“ dargestellt.

Zweckbindung

Auch in Sachen Zweckbindung soll alles beim alten bleiben. Der von Kommission und Rat formulierte Versuch, eine Weiterverarbeitung zu anderen Zwecken zuzulassen, wenn bestimmte Anforderungen erfüllt sind, findet bei der Konferenz keinen Zuspruch. Nach der Kommission ist eine Weiterverarbeitung zu anderen Zwecken etwa zulässig, wenn  der Betroffene eingewilligt hat, eine gesetzliche Verpflichtung besteht oder dies nötig ist, um lebenswichtige Interessen der betroffenen Person zu schützen. Das erscheint mir an sich legitim. Über andere Alternativen und Einzelheiten mag man streiten. Eine grundsätzliche Ablehnung erscheint jedoch schwer nachvollziehbar. Eine Weiterverarbeitung zu anderen Zwecken nach entsprechender Zustimmung des Betroffenen ist im Übrigen auch nach geltendem Recht möglich.

Kritisiert wird zudem eine Ausweitung der Verarbeitungsmöglichkeiten im Bereich der historischen oder statistischen Zwecke oder für
wissenschaftliche Forschungszwecke.

Profilbildung

Nach wie vor ist das Thema Profilbildung eines der umstrittensten. Hier gehen alle drei Vorschläge auseinander und die Konferenz kritisiert diese alle. Daher wird eine substanzielle Verbesserung gefordert, die folgende Eckpunkte berücksichtigt:

• Regelung sämtlicher Profilbildungen und nicht nur im Bereich automatisiert Einzelfallentscheidungen
• Restriktive Ausnahmen mit klaren Tatbeständen
• Ausschluss besonderer Kategorien von Daten von der Profilbildung
• Höchstmaß an Transparenz und Informiertheit des Betroffenen
• Frühestmögliche Anonymisierung und Pseudonymisierung

Sonstige Forderungen

Weitere Forderungen sind

• Nur ausdrückliche Einwilligungen
• Kopplungsverbot
• Unentgeltliche Betroffenenrechte
• Keine Einschränkung von Betroffenenrechten
• Keine Relativierung bei der Verantwortlichkeit
• Gewährleistungsziele beim technischen und organisatorischen Datenschutz
• Betriebliche und behördliche Datenschutzbeauftragte
• Mehr Kontrolle über Datenübermittlungen an Behörden und Gerichte in Drittstaaten
• Zusammenarbeit der Datenschutzbehörden in Europa
• Starker Beschäftigtendatenschutz
• Recht auf pseudonyme Internet-Nutzung

Es ist davon auszugehen, dass in den Trilogverhandlungen die Forderungen der Konferenz der Datenschutzbeauftragten beachtet werden. Spannend ist, inwieweit diese auch tatsächlich in einem Entwurf berücksichtigt werden.