INFORMATIONEN DER ORGANE, EINRICHTUNGEN UND SONSTIGEN STELLEN DER EUROPÄISCHEN UNION

30.6.2012

Amtsblatt der Europäischen Union

C 192/7

Zusammenfassung der Stellungnahme des EDSB vom 7. März 2012 zum Datenschutzreformpaket

(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter http://www.edps.europa.eu.erhältlich)

2012/C 192/05

Am 25. Januar 2012 nahm die Kommission ein Paket zur Reform des europäischen Datenschutzrahmens an. Das Paket umfasst unter Anderem einen Vorschlag für eine Verordnung, die die allgemeinen Regeln für den Datenschutz enthält, und einen Vorschlag für eine Richtlinie über den Datenschutz im Bereich der Strafverfolgung.

Am 7. März 2012 nahm der Europäische Datenschutzbeauftragte (EDSB) eine Stellungnahme an, die detaillierte Kommentare zu beiden Gesetzgebungsvorschlägen gibt. Der komplette Text der Stellungnahme ist auf der Webseite des EDSB erhältlich: http://www.edps.europa.eu

In der Stellungnahme erläutert der EDSB kurz das Umfeld der Vorschläge und gibt seine allgemeine Bewertung ab.

Der EDSB begrüßt die vorgeschlagene Verordnung, da sie einen gewaltigen Schritt vorwärts für den Datenschutz in Europa darstellt. Die vorgeschlagenen Bestimmungen werden die Rechte von Individuen stärken und für die Verarbeitung Verantwortlichen besser für ihren Umgang mit persönlichen Daten zur Rechenschaft ziehen. Weiterhin werden die Rolle und die Befugnisse nationaler Aufsichtsbehörden (allein und zusammen) wirksam gestärkt.

Der EDSB ist besonders froh darüber, dass für die allgemeinen Regeln die Rechtsform einer Verordnung gewählt wurde. Die vorgeschlagene Verordnung wäre direkt in den Mitgliedsstaaten anwendbar und würde viele Schwierigkeiten und Unstimmigkeiten, die aus den derzeit geltenden verschiedenen Umsetzungsgesetzen der Mitgliedstaaten herrühren, beseitigen.

Von der vorgeschlagenen Richtlinie für den Datenschutz im Strafverfolgungsbereich hingegen ernsthaft enttäuscht. Der EDSB bedauert, dass die Kommission sich dafür entscheiden hat, diese Thematik in einem eigenständigen Rechtsinstrument zu regeln, das nur ein unangemessenes Schutzniveau, welches dem der vorgeschlagenen Verordnung deutlich unterlegen ist, bietet.

Positiv ist bei der vorgeschlagenen Richtlinie zu bewerten, dass sie auch inländische Verarbeitungen abdeckt und damit einen größeren Anwendungsbereich als der derzeitige Rahmenbeschluss hat. Diese Verbesserung hätte jedoch nur einen Mehrwert, wenn die Richtlinie das Datenschutzniveau in diesem Bereich spürbar anhöbe, was aber nicht der Fall ist.

Die Hauptschwäche des Pakets liegt darin, dass es kein allumfassendes Regelwerk für die EU-Datenschutzvorschriften bietet. Viele Datenschutzinstrumente der EU bleiben unberührt, so zum Beispiel die Datenschutzvorschriften für Organe und Einrichtungen der EU, aber auch alle spezifischen Instrumente, die im Bereich der polizeilichen und justiziellen Zusammenarbeit angenommen wurden, wie der Prümer Beschluss und die Vorschriften über Europol und Eurojust. Darüber hinaus tragen die beiden Vorschläge zusammen genommen nicht ganz der Realität in beiden Politikbereichen Rechnung, wie der Verwendung von PNR oder Telekommunikationsdaten zu Strafverfolgungszwecken

Bezüglich der vorgeschlagenen Verordnung ist ein horizontales Thema das Verhältnis zwischen EU- und mitgliedsstaatlichem Recht. Die vorgeschlagene Verordnung trägt viel zu einem einzigen anwendbaren Datenschutzrecht in der EU bei; es gibt allerdings weiterhin mehr Raum für eine Koexistenz von und Wechselwirkungen zwischen EU- und mitgliedstaatlichem Recht, als auf den ersten Blick anzunehmen ist. Der EDSB ist der Ansicht, dass der Gesetzgeber dies besser anerkennen sollte.

Ein zweites wichtiges horizontales Thema erwächst aus den zahlreichen Bestimmungen, die die Kommission ermächtigen, delegierte und Durchführungsrechtsakte anzunehmen. Der EDSB begrüßt diesen Ansatz in dem Maße, wie er zu einer einheitlichen Anwendung der Verordnung führt, hat aber Vorbehalte bezüglich des Ausmaßes, in dem wesentliche rechtliche Bestimmungen delegierten Rechtsakten überlassen werden. Mehrere dieser Ermächtigungen sollten erneut überprüft werden.

Im Einzelnen weist der EDSB auf die folgenden wesentlichen positiven Elemente der vorgeschlagenen Verordnung hin:

—	die Klarstellung des Anwendungsbereichs der vorgeschlagenen Verordnung;

—	die verstärkten Anforderungen bezüglich der Transparenz gegenüber der betroffenen Person und die Stärkung des Widerspruchsrechts;

—	die allgemeine Pflicht der für die Verarbeitung Verantwortlichen, die Einhaltung der Bestimmungen der Verordnung zu gewährleisten und nachzuweisen;

—	die Stärkung der Stellung und Rolle der nationalen Aufsichtsbehörden;

—	die Hauptelemente des Kohärenzverfahrens.

Die wesentlichen negativen Elemente der vorgeschlagenen Verordnung sind die folgenden:

—	der neue Grund für Ausnahmen vom Grundsatz der Zweckbindung;

—	die Möglichkeiten zur Einschränkung grundlegender Prinzipien und Rechte;

—	die Pflicht des für die Verarbeitung Verantwortlichen, zu allen Verarbeitungen Unterlagen aufzubewahren;

—	die nach Ausnahmeregelungen erfolgende Übermittlung von Daten in Drittländer;

—	die Rolle der Kommission im Kohärenzverfahren;

—	die Pflicht zur Verhängung verwaltungsrechtlicher Sanktionen.

Bezüglich der Richtlinie ist der EDSB der Ansicht, dass der Vorschlag in vielerlei Hinsicht dem Erfordernis eines kohärenten und hohen Datenschutzniveaus nicht gerecht wird. Er lässt alle bestehenden in diesem Bereich unangetastet, und in vielen Fällen gibt es keine wie auch immer geartete Rechtfertigung dafür, von den Bestimmungen der vorgeschlagenen Verordnung abzuweichen.

Der EDSB unterstreicht, dass der Bereich der Strafverfolgung zwar einige Sondervorschriften erfordert, doch sollte jedes Abweichen von den allgemeinen Datenschutzvorschriften, ausgehend von einem ausgewogenen Verhältnis zwischen dem öffentlichen Interesse an der Strafverfolgung und den Grundrechten der Bürger, angemessen begründet werden.

Der EDSB hegt Bedenken insbesondere wegen:

—	der fehlenden Klarheit der Formulierung des Grundsatzes der Zweckbindung;

—	des Fehlens jeglicher Pflicht für die zuständigen Behörden, die Einhaltung der Richtlinie nachweisen zu können;

—	der schwachen Bedingungen für Übermittlungen in Drittländer;

—	der unangemessen beschränkten Befugnisse von Aufsichtsbehörden.

Die folgenden Empfehlungen werden ausgesprochen:

Zum Reformprozess insgesamt (Teil I.2)

—	Öffentliche Ankündigung eines Zeitplans für die zweite Phase des Reformprozesses so bald wie möglich.

—	Aufnahme der Vorschriften für Organe und Einrichtungen der EU in die vorgeschlagene Verordnung oder zumindest Annahme entsprechender Vorschriften, die zum Zeitpunkt des Inkrafttretens der vorgeschlagenen Verordnung bereits gelten.

—	So bald wie möglich Vorlage eines Vorschlags für gemeinsame Vorschriften für die Gemeinsame Außen- und Sicherheitspolitik, gestützt auf Artikel 39 EUV.

Empfehlungen zur vorgeschlagenen Verordnung

Horizontale Fragen (Teil II.2)

—	Hinzufügung einer Bestimmung, mit der der räumliche Anwendungsbereich mitgliedstaatlichen Rechts gemäß der Verordnung klargestellt wird.

—	Erneute Prüfung der Übertragung von Befugnissen in Artikel 31 Absatz 5 und 6, Artikel 32 Absatz 5 und 6, Artikel 33 Absatz 6 und 7, Artikel 34 Absatz 2 Buchstabe a und Artikel 44 Absatz 1 Buchstabe d und Absatz 7.

—	Annahme geeigneter und konkreter Maßnahmen für KKMU nur in ausgewählten Durchführungsrechtsakten und nicht in den in Artikel 8 Absatz 3, Artikel 14 Absatz 7, Artikel 22 Absatz 4 und Artikel 33 Absatz vorgesehenen delegierten Rechtsakten.

—

Genauere Bestimmung des Begriffs „öffentliches Interesse“ in jeder Bestimmung, in der er verwendet wird. Konkrete öffentliche Interessen sollten vor dem Hintergrund der beabsichtigten Verarbeitung in betreffenden Bestimmung des Vorschlags jeweils ausdrücklich benannt werden (siehe insbesondere Erwägungsgrund 87, Artikel 17 Absatz 5, Artikel 44 Absatz 1 Buchstabe d und Artikel 81 Absatz 1 Buchstabe b und c). So könnte zum Beispiel gefordert werden, dass der Grund nur unter besonders dringenden Umständen oder aus gesetzlich geregelten zwingenden Gründen geltend gemacht werden kann.

Kapitel I — Allgemeine Bestimmungen (Teil II.3)

—	Artikel 2 Absatz 2 Buchstabe d: Einfügung eines Kriteriums zur Differenzierung zwischen öffentlichen und familiären Tätigkeiten, das sich auf die unbegrenzte Zahl von Personen stützt, die auf die Informationen zugreifen können.

—	Artikel 2 Absatz 2 Buchstabe e: Deutlich machen, dass die Ausnahme für zuständige öffentliche Behörden gilt. Erwägungsgrund 16 sollte an Artikel 2 Absatz 2 Buchstabe e angepasst werden.

—	Artikel 4 Absatz 1: Einfügung einer klareren Erläuterung in einem Erwägungsgrund, die unterstreicht, dass die Anwendung der Datenschutzgrundsätze ausgelöst wird, sobald eine enge Verbindung zwischen einer Kennnummer und einer Person besteht.

—

Artikel 4 Absatz 13: Präzisere Fassung der Kriterien für die Bestimmung der Hauptniederlassung des betreffenden für die Verarbeitung Verantwortlichen, wobei der „beherrschende Einfluss“ einer Niederlassung auf andere in enger Verbindung mit der Befugnis, Vorschriften zum Schutz personenbezogener Daten oder für den Datenschutz relevante Vorschriften umzusetzen, zu berücksichtigen ist. Alternativ könnte sich die Begriffsbestimmung auf die Hauptniederlassung der Gruppe insgesamt konzentrieren.

—	Hinzufügung neuer Begriffsbestimmungen von „Übermittlung“ und „Einschränkung der Verarbeitung“.

Kapitel II — Hauptgrundsätze (Teil II.4)

—	Artikel 6: Hinzufügung eines Erwägungsgrundes zur Erläuterung dessen, was unter der Wahrnehmung einer Aufgabe zu verstehen ist, die „im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt“ (Artikel 6 Absatz 1 Buchstabe e).

—	Artikel 6 Absatz 4: Streichung der Bestimmung oder zumindest ihre Beschränkung auf die Weiterverarbeitung von Daten zu Zwecken, die mit den in Artikel 6 Absatz 1 Buchstabe a und d genannten Gründen unvereinbar sind. Dies würde auch eine Änderung von Erwägungsgrund 40 erforderlich machen.

—	Hinzufügung einer neuen Bestimmung über die Vertretung von Personen, die nicht geschäftsfähig oder anders nicht handlungsfähig sind.

—	Artikel 9: Einbeziehung von Straftaten und Sachen, die nicht zu einer Verurteilung geführt haben, in die besonderen Datenkategorien. Ausdehnung der Anforderung einer Kontrolle durch eine Behörde auf alle in Artikel 9 Absatz 2 Buchstabe j angegebenen Gründe.

—

Artikel 10: Klarstellung in Erwägungsgrund 45 der Tatsache, dass der für die Verarbeitung Verantwortliche sich nicht auf möglicherweise fehlende Informationen berufen können sollte, um ein Auskunftsersuchen abzulehnen, wenn diese Informationen von der betroffenen Person bereitgestellt werden können, um eine solche Auskunft zu ermöglichen.

Kapitel III — Rechte der betroffenen Person (Teil II.5)

—	Artikel 14: Aufnahme von Informationen über bestimmte Verarbeitungsvorgänge, die sich besonders stark auf betroffene Personen auswirken, sowie über die Konsequenzen solcher Verarbeitungsvorgänge für betroffene Personen.

—	Artikel 17: Nähere Ausführung der Bestimmung, damit sie in der Realität auch wirksam ist. Streichung von Artikel 17 Absatz 3 Buchstabe d.

—

Artikel 18: Klarstellung, dass die Ausübung des Rechts unbeschadet der Pflicht in Artikel 5 Buchstabe e erfolgt, Daten zu löschen, wenn sie nicht länger benötigt werden. Sicherstellung, dass Artikel 18 Absatz 2 nicht auf Daten beschränkt ist, die von der betroffenen Person per Einwilligung oder aufgrund eines Vertrags bereitgestellt wurden.

—

Artikel 19: Klarstellung dessen, was der für die Verarbeitung Verantwortliche tun sollte, falls er mit der betroffenen Person nicht einer Meinung ist, und Anpassung an Artikel 17 Absatz 1 Buchstabe c. Erläuterung in einem Erwägungsgrund dessen, was unter „überwiegenden schutzwürdigen Gründen“ zu verstehen ist.

—	Artikel 20: Aufnahme in Artikel 20 Absatz 2 Buchstabe a des Rechts betroffener Personen, ihren Standpunkt geltend zu machen, wie es auch im derzeitigen Artikel 15 der Richtlinie 95/46/EG vorgesehen ist.

—

Artikel 21: Aufnahme detaillierter Garantien dafür, dass im mitgliedstaatlichen Recht die Ziele der Verarbeitung, die Kategorien der zu verarbeitenden personenbezogenen Daten, die konkreten Zwecke und Mittel der Verarbeitung, der für die Verarbeitung Verantwortliche, die Kategorien der zur Verarbeitung der Daten befugten Personen, das bei der Verarbeitung einzuhaltende Verfahren und die Garantien gegen willkürliches Eingreifen von Behörden festgelegt werden. Aufnahme als weiterer Garantie die Information der betroffenen Person über eine Einschränkung sowie über ihr Recht, sich in der Sache an die Aufsichtsbehörde zu wenden, um mittelbaren Zugang zu erhalten. Hinzufügung in Artikel 21, dass die Möglichkeit der Einschränkung der Verarbeitung durch private für die Verarbeitung Verantwortliche zu Strafverfolgungszwecken diese weder dazu zwingen sollte, Daten aufzubewahren, die über das für das Erreichen des ursprünglichen Zwecks Erforderliche hinausgehen, noch ihre IT-Architektur zu ändern. Streichung des in Artikel 21 Absatz 1 Buchstabe e genannten Grundes.

Kapitel IV — Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (Teil II.6)

—

Artikel 22: Ausdrücklicher Verweis auf den Grundsatz der Rechenschaftspflicht, auf jeden Fall in Erwägungsgrund 60. Zusammenlegung von Artikel 22 Absatz 1 und 3 und ausdrücklicher Hinweis darauf, dass Maßnahmen angemessen und wirksam sein sollten. Aufnahme einer den besonderen Pflichten in Artikel 22 Absatz 2 vorangestellten allgemeinen Bestimmung mit näheren Ausführungen zum Konzept der „Verwaltungskontrolle“ einschließlich der Verteilung von Zuständigkeiten, der Ausbildung der Mitarbeiter sowie angemessener Weisungen, und mit der Anforderung an den für die Verarbeitung Verantwortlichen, zumindest einen Überblick über die in seinem Verantwortungsbereich erfolgenden Verarbeitungen zu haben und hierüber ein allgemeines Verzeichnis zu führen. Hinzufügung eines neuen Absatzes, der besagt, dass für den Fall, dass der für die Verarbeitung Verantwortliche die regelmäßige Veröffentlichung eines Tätigkeitsberichts beschließt oder dazu verpflichtet ist, dieser Bericht auch eine Beschreibung der in Artikel 22 Absatz 1 genannten Strategien und Maßnahmen enthalten sollte.

—	Artikel 23: Hinweis in Artikel 23 Absatz 2 und in Erwägungsgrund 61 darauf, dass betroffenen Personen grundsätzlich die Entscheidung darüber überlassen werden sollte, ob sie eine umfangreichere Nutzung ihrer personenbezogenen Daten zulassen möchten.

—	Artikel 25 Absatz 2 Buchstabe a: Streichung der Ausnahme für Drittländer mit angemessenem Schutz.

—	Artikel 26: Aufnahme in die Liste der Spezifikationen in Artikel 26 Absatz 2 der Pflicht des Auftragsverarbeiters, dem Grundsatz des Datenschutzes durch Technik Rechnung zu tragen.

—	Artikel 28: Erneute Prüfung oder Streichung der Ausnahmen in Artikel 28 Absatz 4.

—

Artikel 30: Klarstellung von Artikel 30 dahingehend, dass die Gesamtverantwortung des für die Verarbeitung Verantwortlichen sichergestellt ist, und Hinzufügung der Pflicht des für die Verarbeitung Verantwortlichen zur Annahme einer Informationssicherheits-Managementstrategie innerhalb der Organisation, zu der gegebenenfalls auch die Umsetzung einer auf die vorgenommenen Datenverarbeitungen abgestimmten Informationssicherheitsstrategie gehört. Ausdrückliche Erwähnung der Datenschutz-Folgenabschätzung in Artikel 30.

—	Artikel 31 und 32: Festlegung der Kriterien und Anforderungen für die Feststellung eines Verstoßes gegen die Datenschutzvorschriften und der Umstände, unter denen er zu melden ist. In Artikel 31 Änderung der Frist von 24 Stunden in höchstens 72 Stunden.

—

Artikel 33: Die Auflistung von Verarbeitungsvorgängen in Artikel 33 Absatz 2 Buchstabe b, c und d sollte nicht auf Verarbeitungen in großem Umfang beschränkt sein. Anpassung von Artikel 33 Absatz 5 an Erwägungsgrund 73. Begrenzung von Artikel 33 Absatz 6 auf nicht wesentliche Elemente. Klarstellung dahingehend, dass die Größe eines Unternehmens niemals eine Befreiung von der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen bedeuten kann, die mit konkreten Risiken behaftet sind.

—	Artikel 34: Verschieben von Artikel 34 Absatz 1 in Kapitel V der vorgeschlagenen Verordnung.

—

Artikel 35 bis 37: Senkung der Schwelle von 250 Beschäftigten in Artikel 35 Absatz 1 und Klärung des Anwendungsbereichs von Artikel 35 Absatz 1 Buchstabe c. Hinzufügung von Garantien, insbesondere strengere Bedingungen für die Entlassung des Datenschutzbeauftragten, und Sicherstellung in Artikel 36 Absatz 1, dass der Datenschutzbeauftragte Zugang zu allen Informationen und Räumlichkeiten erhält, die für die Wahrnehmung seiner Aufgaben relevant und erforderlich sind. Erwähnung in Artikel 37 Absatz 1 Buchstabe a der Rolle des Datenschutzbeauftragten bei der Aufklärung.

Kapitel V — Übermittlungen in Drittländer (Teil II.7)

—	Hinweis in Erwägungsgrund 79, dass die Nichtanwendbarkeit der Verordnung auf internationale Abkommen zeitlich nur auf bereits bestehende internationale Abkommen beschränkt ist.

—	Einfügung einer Übergangsklausel, die die Überprüfung dieser internationalen Abkommen zum Zweck ihrer Anpassung an die Verordnung innerhalb einer bestimmten Frist vorsieht.

—	Artikel 41 (und Erwägungsgrund 82): Klarstellung dahingehend, dass ohne einen Angemessenheitsbeschluss Datenübermittlungen nur mit geeigneten Garantien zulässig sind, oder wenn sie unter die Ausnahmeregelungen in Artikel 44 fallen.

—	Artikel 42: Sicherstellung, dass die Möglichkeit der Verwendung nicht rechtsverbindlicher Instrumente eindeutig begründet und streng auf Fälle begrenzt wird, in denen die Notwendigkeit des Rückgriffs auf diese Art von Instrumenten nachgewiesen ist.

—

Artikel 44 (und Erwägungsgrund 87): Hinweis darauf, dass die Möglichkeit der Datenübermittlung nur für gelegentliche Übermittlungen gelten und sich auf eine fallweise sorgfältige Beurteilung aller Umstände der Übermittlung stützen sollte. Ersetzen oder Klarstellung des Begriffs „geeignete Garantien“ in Artikel 44 Absatz 1 Buchstabe h und Artikel 44 Absatz 3.

—	Erwägungsgrund 90: Umwandlung des Erwägungsgrunds in einen Artikel. Schaffung geeigneter Garantien für diese Fälle, zu denen auch gerichtliche Garantien sowie Datenschutzgarantien gehören.

Kapitel VI und VII — Unabhängige Aufsichtsbehörden, Zusammenarbeit und Kohärenz (Teil II.8 und II.9)

—	Artikel 48: Vorsehen einer Rolle für die nationalen Parlamente im Verfahren zur Benennung der Mitglieder von Aufsichtsbehörden.

—	Artikel 52 Absatz 1: Einführung der Pflicht zur Ausarbeitung von Leitlinien über die Nutzung der verschiedenen Durchsetzungsbefugnisse, die bei Bedarf auf EU-Ebene im Ausschuss koordiniert werden können. Möglicherweise könnte sie auch in Artikel 66 aufgenommen werden.

—	Artikel 58: In Artikel 58 Absatz 6 Ersatz des Wortes „unverzüglich“ durch „ohne Verzögerung“ und in Artikel 58 Absatz 7 Verlängerung der Frist von einem Monat auf mindestens zwei Monate bzw. acht Wochen.

—	Artikel 58: Größeres Gewicht für die Mehrheitsregel dadurch, dass über das Ersuchen einer Behörde abgestimmt werden kann, sofern die fragliche Sache nicht mit einer der in Artikel 58 Absatz 2 beschriebenen Hauptmaßnahmen in Verbindung steht.

—

Artikel 59 und 60: Einschränkung der Kommissionsbefugnisse durch Streichung der Möglichkeit, sich in einer konkreten Sache über die Entscheidung einer nationalen Aufsichtsbehörde mit einem Durchführungsrechtsakt hinwegzusetzen. Sicherstellung, dass die Rolle der Kommission darin besteht, in einer ersten Phase, wie in Artikel 58 Absatz 4 bestimmt, die Befassung des Ausschusses auszulösen, und in einer weiten Phase zur Annahme einer Stellungnahme ermächtigt zu sein. Hinweis auf ein weiteres Verfahren vor dem Gerichtshof, im Rahmen eines Vertragsverletzungsverfahrens oder eines Antrags auf einstweilige Maßnahmen wie einer Aussetzungsanordnung.

—	Artikel 66: Hinzufügung, dass der Ausschuss im Zusammenhang mit Angemessenheitsbeurteilungen anzuhören ist.

—	Erneute Prüfung der derzeitigen Beurteilung der Auswirkungen des Sekretariats des Europäischen Datenschutzausschusses im Bereich Finanzen und Humanressourcen (siehe den Anhang zu dieser Stellungnahme, abrufbar von der Website des EDSB).

Kapitel VIII — Rechtsbehelfe, Haftung und Sanktionen (Teil II.10)

—	Artikel 73 und 76: Klarstellung des Mandats, das die Organisation von betroffenen Personen erhalten muss, und wie formal dieses Mandat sein muss. Einführung einer umfassenderen Bestimmung über Sammelklagen.

—	Artikel 74 Absatz 4: Eingrenzung der Art von „Betroffensein“ der betroffenen Person. die ein Verfahren auslösen könnte, und Beschränkung dieses „Betroffenseins“ auf ein genau bezeichnetes Risiko von Auswirkungen auf die Rechte betroffener Personen.

—	Artikel 75 Absatz 2: Hinweis, dass die Ausnahmeregelung nicht für Behörden in Drittländern gilt.

—	Artikel 76 Absatz 3 und 4: Einfügung eines systematischeren Informationsverfahrens auf Ebene der Gerichte.

—	Klarstellung der Wechselwirkung mit der Brüssel I-Verordnung.

—	Klarstellung der Vereinbarkeit der Verwendung von Informationen, die von einem für die Verarbeitung Verantwortlichen stammen (auf der Grundlage von Artikel 53), mit dem allgemeinen Recht, sich nicht selber belasten zu müssen.

—

Artikel 77: Hinzufügung eines Hinweises, dass eine betroffene Person sich stets unabhängig davon, wo und wie der Schaden entstand, wegen der Schadensregulierung an den für die Verarbeitung Verantwortlichen wenden kann. Einfügung der Schadensregulierung zwischen für die Verarbeitung Verantwortlichem und Auftragverarbeiter im Anschluss an die Klärung der Haftungsfrage zwischen ihnen. Hinweis darauf, dass dies auch für den Ersatz immateriellen Schadens oder Kummers gilt.

—	Aufnahme einer Bestimmung, in der das Konzept „wirtschaftliche Einheit“ oder „Unternehmen“ verwendet wird, damit der Konzern für den von einer Tochtergesellschaft begangenen Verstoß haftbar gemacht werden kann.

—

Artikel 79: Einführung eines Ermessensspielraums für Aufsichtsbehörden bei verwaltungsrechtlichen Sanktionen. Hinzufügung näherer Angaben zu den Umständen, unter denen eine verwaltungsrechtliche Sanktion zu verhängen ist. Sicherstellung, dass die Nichtbefolgung einer konkreten Anordnung einer Aufsichtsbehörde üblicherweise zu einer schärferen verwaltungsrechtlichen Sanktion führt als ein einziger Verstoß gegen die gleiche allgemeine Bestimmung.

Kapitel IX — Besondere Datenverarbeitungssituationen (Teil II.11)

—

Artikel 80: Umformulierung von Artikel 80 dahingehend, dass die Mitgliedstaaten Befreiungen oder Ausnahmen von den genannten Bestimmungen der Verordnung vorsehen können, wenn dies notwendig ist, um das Recht auf Datenschutz mit dem Recht auf freie Meinungsäußerung in Einklang zu bringen. Hinweis in der Bestimmung oder in einem Erwägungsgrund darauf, dass dabei die beiden Grundrechte in ihrem Wesensgehalt nicht angetastet werden sollen.

—

Aufnahme einer Bestimmung über den Zugang der Öffentlichkeit zu Dokumenten, der zufolge personenbezogene Daten in Dokumenten, die im Besitz von Behörden und öffentlichen Einrichtungen sind, öffentlich zugänglich gemacht werden dürfen, wenn dies 1) im Unionsrecht oder im mitgliedstaatlichen Recht vorgesehen ist, 2) notwendig ist, um das Recht auf Datenschutz mit dem Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten in Einklang zu bringen, und 3) den unterschiedlichen Interessen, die hier beteiligt sind, in ausgewogener Weise Rechnung trägt.

—	In Artikel 81, 82, 83 und 84 Ersatz der Formulierung „in den Grenzen dieser Verordnung“ durch „unbeschadet der Verordnung“.

—	Artikel 81: Angleichung von Artikel 81 Absatz 1 und Artikel 9 Absatz 3 und Klärung des Anwendungsbereichs und des Charakters von Artikel 81. Es sollte nähere Erläuterungen zum Erfordernis der Einwilligung, zur Festlegung von Verantwortlichkeiten und den Sicherheitsanforderungen geben.

—

Artikel 83: Aufnahme weiterer Garantien für die Verarbeitung besonderer Datenkategorien. Klarstellung in Artikel 83 Absatz 1 dahingehend, dass eine Verarbeitung zum Zwecke der wissenschaftlichen Forschung nur mit anonymisierten Daten erfolgen darf. Klarstellung dessen, was unter dem Wort „getrennt“ zu verstehen ist, und Sicherstellung, dass diese getrennte Aufbewahrung tatsächlich dem Schutz der betroffenen Personen dient. In Artikel 83 Absatz 1 Buchstabe b sollte es nicht heißen „Daten, die die Zuordnung von Informationen zu einer bestimmten oder bestimmbaren betroffenen Person ermöglichen“, sondern „Daten, die eine Verknüpfung bestimmter Informationen mit einer betroffenen Person ermöglichen“. Streichung der Einschränkung der Rechte betroffener Personen im Wege delegierter Rechtsakte.

Empfehlungen zur vorgeschlagenen Richtlinie

Horizontale Fragen (Teil III.2)

—	Artikel 59: Spezifische Rechtsakte im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen sollten spätesten bei Inkrafttreten der Richtlinie geändert werden.

—

Hinzufügung einer neuen Bestimmung über die Einführung eines Bewertungsmechanismus für regelmäßige nachweisgestützte Beurteilungen der Frage, ob Datenverarbeitungsaktivitäten eines gewissen Umfangs tatsächlich eine notwendige und verhältnismäßige Maßnahme für die Zwecke der Verhütung, Aufdeckung, Aufklärung und Verfolgung von Straftaten darstellen.

—	Hinzufügung einer neuen Bestimmung darüber, dass Übermittlungen personenbezogener Daten von einer Strafverfolgungsbehörde an andere öffentliche Einrichtungen oder private Stellen nur unter besonderen und strengen Bedingungen zulässig sind.

—	Hinzufügung einer neuen Bestimmung über besondere Garantien für die Verarbeitung von Daten von Kindern.

Kapitel I und II — Allgemeine Bestimmungen und Grundsätze (Teil III.3 und III.4)

—	Artikel 3 Absatz 4: Weitere Konkretisierung in Anlehnung an Artikel 17 Absatz 5 der vorgeschlagenen Verordnung.

—	Artikel 4 Buchstabe b: Klarstellung in einem Erwägungsgrund dahingehend, dass der Begriff „Vereinbarkeit der Nutzung“ restriktiv auszulegen ist.

—	Artikel 4 Buchstabe f: Anpassung an Artikel 5 Buchstabe f der vorgeschlagenen Verordnung und entsprechende Änderung der Artikel 18 und 23.

—	Artikel 5: Einfügung einer eigenen Kategorie „nicht verdächtige Personen“. Streichung von „so weit wie möglich“ und nähere Beschreibung der Folgen der Einteilung in Kategorien.

—	Artikel 6: In Absatz 1 und 2 Streichung von „so weit wie möglich“.

—	Artikel 7 Buchstabe a: Umwandlung in eine eigenständige Bestimmung, mit der generell sichergestellt wird, dass alle Datenverarbeitungsvorgänge gesetzlich vorgesehen sind und damit den Anforderungen der EU-Charta der Grundrechte und der EMRK entsprechen.

—	Artikel 7 Buchstabe b bis d: Ersetzung durch eine weitere, eigenständige Bestimmung, in der erschöpfend die Gründe öffentlichen Interesses aufgeführt werden, bei denen ein Abrücken vom Grundsatz der Zweckbindung zugelassen werden kann.

—	Hinzufügung einer neuen Bestimmung über die Verarbeitung personenbezogener Daten zu historischen und statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung.

—

Hinzufügung einer Pflicht für die zuständigen Behörden, Mechanismen einzurichten, mit denen gewährleistet wird, dass für die Löschung personenbezogener Daten und eine regelmäßige Überprüfung der Notwendigkeit der Aufbewahrung von Daten sowie für die Festlegung von Aufbewahrungszeiträumen der verschiedenen Kategorien personenbezogener Daten und regelmäßige Überprüfungen ihrer Qualität Fristen gesetzt werden.

—	Artikel 8: Übernahme der restriktiven Formulierung von Erwägungsgrund 26 in Artikel 8. Erläuterung dessen, was unter geeigneten Maßnahmen zu verstehen ist, die über die normalen Garantien hinausgehen.

Kapitel III — Rechte der betroffenen Person (Teil III.5)

—

Artikel 10: Streichung von „alle vertretbaren Schritte“ in Artikel 10 Absatz 1 und 2. Aufnahme einer ausdrücklichen Frist in Artikel 10 Absatz 4 und Hinweis darauf, dass die betroffene Person spätestens einen Monat nach Eingang des Antrags unterrichtet werden muss. In Artikel 10 Absatz 5 sollte „missbräuchlich“ durch „offenkundig unverhältnismäßig“ ersetzt werden, und in einem Erwägungsgrund sollte dieser Begriff näher erläutert werden.

—

Hinzufügung einer neuen Bestimmung, die von dem für die Verarbeitung Verantwortlichen verlangt, allen Empfängern, an die Daten weitergegeben wurden, jede Berichtigung, Löschung oder Änderung der Daten, die aufgrund von Artikel 16 bzw. 17 vorgenommen wird, mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

—

Artikel 11 und 13: Hinzufügung eines Satzes in Artikel 11 Absatz 4 und in Artikel 13 Absatz 1, in dem von dem für die Verarbeitung Verantwortlichen gefordert wird, in jedem Einzelfall konkret und auf den Fall abgestimmt zu prüfen, ob aus einem der Gründe eine teilweise oder vollständige Einschränkung angewandt werden kann. Sicherstellung einer engen Auslegung des Anwendungsbereichs von Artikel 11 Absatz 5 und Artikel 13 Absatz 2. Streichung des Wortes „unterbinden“ in Artikel 11 Absatz 4 und Erwägungsgrund 33.

—	Artikel 15 und 16: Hinzufügung von Gründen und Bedingungen für eine Einschränkung des Rechts auf Berichtigung und auf Löschung.

—	Artikel 16: In Artikel 16 Absatz 3 Verwendung der Formulierung „schränkt die Verarbeitung ein“ anstelle von „markiert“. Aufnahme in Artikel 16 der Pflicht des für die Verarbeitung Verantwortlichen, die betroffene Person vor der Aufhebung einer Beschränkung der Verarbeitung zu unterrichten.

Kapitel IV — Für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (Teil III.6)

—

Artikel 18: Hinweis, ebenfalls in Artikel 4 Buchstabe f, darauf, dass die Dokumentationsanforderung auf die allgemeine Pflicht zurückgeht, die Einhaltung der Richtlinie nachweisen zu können. Aufnahme der Anforderung, die Rechtsgrundlage zu dokumentieren, auf der die Daten übermittelt werden, sowie eine ausführliche Erläuterung vor allem in Fällen, in denen sich eine Übermittlung auf Artikel 35 oder 36 stützt.

—	Artikel 19: Nähere Erläuterung des Begriffs Datenschutz „durch datenschutzfreundliche Voreinstellungen“.

—	Artikel 23 Absatz 2: Angleichung an Artikel 28 Absatz 2 der vorgeschlagenen Verordnung.

—	Artikel 24: Aufnahme der Identität der Datenempfänger.

—	Einfügung einer neuen Bestimmung mit der Pflicht für die zuständigen Behörden, eine Datenschutz-Folgenabschätzung durchzuführen, sofern nicht eine der Datenschutz-Folgenabschätzung gleichwertige spezifische Beurteilung bereits während des Gesetzgebungsverfahrens vorgenommen wurde.

—	Artikel 26: Engere Anlehnung an die in Artikel 34 Absatz 2 der vorgeschlagenen Verordnung dargestellten Verfahren.

—	Artikel 30: Eingehen auf die Problematik von Interessenkonflikten und Festlegung einer Mindestamtszeit von zwei Jahren.

—

Artikel 31: Angemessene verwaltungsmäßige Zuordnung des Datenschutzbeauftragten unter angemessener Berücksichtigung seiner Unabhängigkeit und im Hinblick insbesondere auf die Vermeidung möglicherweise ungleicher Beziehungen oder der Einflussnahme durch hochrangige für die Verarbeitung Verantwortliche.

Kapitel V — Übermittlungen in Drittländer (Teil III.7)

—	Artikel 33: Hinzufügung der Anforderung, der zufolge die Übermittlung nur zulässig ist, wenn der für die Verarbeitung Verantwortliche in dem Drittland bzw. der internationalen Organisation eine im Sinne der vorgeschlagenen Richtlinie zuständige Behörde ist.

—	Artikel 35: Streichung von Artikel 35 Absatz 1 Buchstabe b oder zumindest Aufnahme des Erfordernisses einer vorherigen Genehmigung durch die Aufsichtsbehörde.

—

Artikel 36: Klarstellung in einem Erwägungsgrund, dass alle Ausnahmeregelungen für die Begründung einer Übermittlung restriktiv auszulegen sind und keine häufigen, massiven und strukturierten Übermittlungen personenbezogener Daten erlauben dürfen; selbst in Einzelfällen dürfen Daten nicht en masse übermittelt werden und hat sich die Übermittlung auf die unbedingt erforderlichen Daten zu beschränken. Hinzufügung weiterer Garantien wie die Pflicht, die Übermittlungen besonders zu dokumentieren.

—

Artikel 35 und 36: Hinzufügung dahingehend, dass bei einem negativen Angemessenheitsbeschluss Übermittlungen fußen sollten i) auf Artikel 35 Absatz 1 Buchstabe a, sofern es ein rechtsverbindliches Instrument gibt, das die Übermittlung unter besonderen Bedingungen erlaubt und einen angemessenen Schutz bietet, oder ii) auf den Ausnahmeregelungen von Artikel 36 Buchstabe a oder c.

Kapitel VI und VII — Aufsichtsmechanismen (Teil III.8)

—	Artikel 44: In einem Erwägungsgrund nähere Erläuterungen dazu, was unter „gerichtlicher Tätigkeit“ zu verstehen sein soll.

—

Artikel 46: Angleichung der Befugnisse der Aufsichtsbehörden gegenüber nationalen Polizeibehörden an die in der vorgeschlagenen Verordnung vorgesehenen Befugnisse. Angleichung von Artikel 46 Buchstabe a an Artikel 53 der vorgeschlagenen Verordnung und Ersetzen des Ausdrucks „wie beispielsweise“ durch „einschließlich“ in Artikel 46 Buchstabe a und b.

—	Artikel 47: Aufnahme der Anforderung, den jährlichen Tätigkeitsbericht der Aufsichtsbehörden dem nationalen Parlament vorzulegen und der Öffentlichkeit zugänglich zu machen.

—	Artikel 48: Übernahme der Bestimmungen von Artikel 55 Absatz 2 bis 7 der vorgeschlagenen Verordnung in Artikel 48.

—	Prüfung der Notwendigkeit eines Verfahrens der intensiven Zusammenarbeit auch im Anwendungsbereich der vorgeschlagenen Richtlinie

(Gekürzte Fassung. Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter http://www.edps.europa.eu.erhältlich)

Geschehen zu Brüssel am 7. März 2012.

Peter HUSTINX

Europäischer Datenschutzbeauftragter

		ISSN 1977-088X doi:10.3000/1977088X.C_2012.192.deu
Amtsblatt der Europäischen Union		C 192

Ausgabe in deutscher Sprache	Mitteilungen und Bekanntmachungen	55. Jahrgang 30. Juni 2012

Informationsnummer	Inhalt	Seite
	IV Informationen
	INFORMATIONEN DER ORGANE, EINRICHTUNGEN UND SONSTIGEN STELLEN DER EUROPÄISCHEN UNION
	Rat
2012/C 192/01	Beschluss des Rates vom 18. Juni 2012 zur Ernennung der Hälfte der Mitglieder des Verwaltungsrats der Europäischen Behörde für Lebensmittelsicherheit und zur Änderung des Beschlusses vom 24. Juni 2010	1

2012/C 192/02	Erklärung des Rates	3

	Europäische Kommission
2012/C 192/03	Euro-Wechselkurs	4

2012/C 192/04	Mitteilung der Kommission über die Behörde, die zur Ausstellung von Echtheitsbescheinigungen im Rahmen der Durchführungsverordnung (EU) Nr. 481/2012 befugt ist	5

	Der Europäische Datenschutzbeauftragte
2012/C 192/05	Zusammenfassung der Stellungnahme des EDSB vom 7. März 2012 zum Datenschutzreformpaket	7

	V Bekanntmachungen
	VERFAHREN BEZÜGLICH DER DURCHFÜHRUNG DER WETTBEWERBSPOLITIK
	Europäische Kommission
2012/C 192/06	Vorherige Anmeldung eines Zusammenschlusses (Sache COMP/M.6659 — Bain/Sumitomo/Jupiter Shop Channel JV) — Für das vereinfachte Verfahren in Frage kommender Fall ( 1 )	16

2012/C 192/07	Vorherige Anmeldung eines Zusammenschlusses (Sache COMP/M.6621 — CNP Assurances/BNP Paribas/Immeuble Val-de-Marne) ( 1 )	18

	Währung	Kurs
USD	US-Dollar	1,2590
JPY	Japanischer Yen	100,13
DKK	Dänische Krone	7,4334
GBP	Pfund Sterling	0,80680
SEK	Schwedische Krone	8,7728
CHF	Schweizer Franken	1,2030
ISK	Isländische Krone
NOK	Norwegische Krone	7,5330
BGN	Bulgarischer Lew	1,9558
CZK	Tschechische Krone	25,640
HUF	Ungarischer Forint	287,77
LTL	Litauischer Litas	3,4528
LVL	Lettischer Lat	0,6967
PLN	Polnischer Zloty	4,2488
RON	Rumänischer Leu	4,4513
TRY	Türkische Lira	2,2834
AUD	Australischer Dollar	1,2339
CAD	Kanadischer Dollar	1,2871
HKD	Hongkong-Dollar	9,7658
NZD	Neuseeländischer Dollar	1,5746
SGD	Singapur-Dollar	1,5974
KRW	Südkoreanischer Won	1 441,00
ZAR	Südafrikanischer Rand	10,3669
CNY	Chinesischer Renminbi Yuan	8,0011
HRK	Kroatische Kuna	7,5178
IDR	Indonesische Rupiah	11 878,51
MYR	Malaysischer Ringgit	3,9960
PHP	Philippinischer Peso	53,055
RUB	Russischer Rubel	41,3700
THB	Thailändischer Baht	39,873
BRL	Brasilianischer Real	2,5788
MXN	Mexikanischer Peso	16,8755
INR	Indische Rupie	70,1200