[NRW-AK-Datenschutz] Versuch einer KURZEN zusammenfassung des Vorschlages zu einer EU-Datenschutz Grundverordnung

["Markus Wetzler" <markusvonkrella AT piratenpartei-nrw.de>]

Liebe Datenschutzpiraten,

 

im letzten Datenschutz-Mumble wurde angeregt, den o.g. Vorschlag zu diskutieren.

 

Möchte hier nun meinen Eindruck des Vorschlages in aller Kürze zusammenfassen:

 

Ziel des Vorschlages soll der “

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und

zum freien Datenverkehr (Datenschutz-Grundverordnung)” sein.

 

So weit so gut... allerdings ist es m. E. geplant, den Schutz der personenbezogenen Daten durch unverhältnismäßig viele Maßnahmen einzuschränken.

 

Einige dieser Maßnahmen (siehe unten) sind aus piratiger Sicht nicht akzeptabel.

 

Ihr möchtet mich korrigieren, falls ich die EU-Datenschutz-Grundverordnung, misverstanden haben sollte...

 

Kann am nächsten Datenschutz-Mumble des Bundes leider nicht teilnehmen. Vielleicht kann ja trotzdem meine Mail als Diskussionsgrundlage dienen.

 

In der Anlage habe ich den kompletten, kommentierten Entwurf beigefügt.

 

Es folgen die aus meiner Sicht kritischen, zumindest diskutablen Vorschäge:

(16) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die

der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder

Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden dienen,

sowie der freie Verkehr solcher Daten sind in einem eigenen EU-Rechtsinstrument

geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art

keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser

Verordnung verarbeitet werden, sollten jedoch, wenn sie zum Zwecke der Verhütung,

Aufdeckung, Untersuchung oder strafrechtlichen Verfolgung von Straftaten oder der

Vollstreckung von Strafurteilen verwendet werden, dem spezifischeren EU-Instrument

(Richtlinie XX/YYYY) unterliegen.

(20) Um sicherzugehen, dass Personen nicht des Schutzes beraubt werden, auf den sie nach

dieser Verordnung ein Anrecht haben, sollte die Verarbeitung personenbezogener

Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der

Union niedergelassenen für die Verarbeitung Verantwortlichen dieser Verordnung

unterliegen, wenn die Verarbeitung dazu dient, diesen Personen Produkte und

Dienstleistungen anzubieten oder das Verhalten dieser Personen zu beobachten.

(21) Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von Personen gilt,

sollte daran festgemacht werden, ob ihre Internetaktivitäten mit Hilfe von

Datenverarbeitungstechniken nachvollzogen werden, durch die einer Person ein Profil

zugeordnet wird, das die Grundlage für sie betreffende Entscheidungen bildet oder

anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten

analysiert oder vorausgesagt werden sollen.

(24) Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen

Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder

Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann

Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim

Server eingehenden Informationen dazu benutzt werden können, um Profile der

betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass

Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche

nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu

betrachten sind.

(25) Die Einwilligung sollte explizit mittels einer geeigneten Methode erfolgen, die eine

ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene

Willensbekundung der betroffenen Person in Form einer Erklärung oder einer

eindeutigen Handlung ermöglicht, die sicherstellt, dass der betreffenden Person

bewusst ist, dass sie ihre Einwilligung in die Verarbeitung personenbezogener Daten

gibt, etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite und durch

jede sonstige Erklärung oder Verhaltensweise, mit der die betroffene Person in dem

jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten

Verarbeitung ihrer personenbezogenen Daten signalisiert. Eine stillschweigende

Einwilligung ohne Zutun der betroffenen Person stellt daher keine Einwilligung dar.

Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken

vorgenommene Verarbeitungsvorgänge beziehen. Wird die betroffene Person auf

elektronischem Weg zur Einwilligung aufgefordert, muss die Aufforderung in klarer

und knapper Form und ohne unnötige Unterbrechung des Dienstes, in dessen

Bereitstellung eingewilligt wird, erfolgen.

(34) Die Einwilligung liefert keine rechtliche Handhabe für die Verarbeitung

personenbezogener Daten, wenn zwischen der Position der betroffenen Person und des

für die Verarbeitung Verantwortlichen ein klares Ungleichgewicht besteht. Dies ist vor

allem dann der Fall, wenn sich die betroffene Person in einem Abhängigkeitsverhältnis

von dem für die Verarbeitung Verantwortlichen befindet, zum Beispiel dann, wenn

personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von

Beschäftigungsverhältnissen verarbeitet werden. Handelt es sich bei dem für die

Verarbeitung Verantwortlichen um eine Behörde, bestünde ein Ungleichgewicht nur

bei Verarbeitungsvorgängen, bei denen die Behörde aufgrund ihrer jeweiligen

obrigkeitlichen Befugnisse eine Verpflichtung auferlegen kann und deshalb die

Einwilligung nicht als ohne Zwang abgegeben gelten kann, wobei die Interessen der

betroffenen Person zu berücksichtigen sind.

(37) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen

werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen

Person zu schützen.

(38) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines für

die Verarbeitung Verantwortlichen begründet sein, sofern die Interessen oder die

Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Diese

Interessen sind besonders sorgfältig abzuwägen, wenn es sich bei der betroffenen

Person um ein Kind handelt, da Kinder besonders schutzwürdig sind. Die betroffene

Person sollte das Recht haben, aus Gründen, die sich aus ihrer besonderen Situation

ergeben, der Verarbeitung zu widersprechen, ohne dass ihr dadurch Kosten entstehen.

Aus Transparenzgründen sollte der für die Verarbeitung Verantwortliche verpflichtet

werden, seine berechtigten Interessen gegenüber der betroffenen Person ausdrücklich

darzulegen und diese außerdem zu dokumentieren und die betroffene Person über ihr

Widerspruchsrecht zu belehren. Da es dem Gesetzgeber obliegt, per Gesetz die

Rechtsgrundlage für die Verarbeitung von Daten durch Behörden zu schaffen, greift

dieser Rechtfertigungsgrund nicht bei Verarbeitungen durch Behörden, die diese in

Erfüllung ihrer Aufgaben vornehmen.

(39) Die Verarbeitung von Daten durch Behörden, Computer-Notdienste (Computer

Emergency Response Teams – CERT beziehungsweise Computer Security Incident

Response Teams - CSIRT), Betreiber von elektronischen Kommunikationsnetzen und

–diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in

dem Maße ein berechtigtes Interesse des jeweiligen für die Verarbeitung

Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und

Informationssicherheit unbedingt notwendig ist, d. h. soweit dadurch die Fähigkeit

eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen

Grad der Zuverlässigkeit Störungen oder widerrechtliche mutwillige Eingriffe

abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit

von gespeicherten oder übermittelten Daten sowie die Sicherheit damit

zusammenhängender Dienste, die über diese Netze oder Informationssysteme

angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes

Interesse könnte beispielsweise darin bestehen, den unberechtigten Zugang zu

elektronischen Kommunikationsnetzen, die Verbreitung schädlicher Programmcodes,

die Abwehr von Angriffen in Form der gezielten Überlastung von Servern („Denial of

access“-Angriffe) sowie Schädigungen von Computer- und elektronischen

Kommunikationssystemen zu verhindern.

 

(40) Die Verarbeitung personenbezogener Daten für andere Zwecke sollte nur zulässig

sein, wenn diese mit den Zwecken, für die sie ursprünglich erhoben wurden, vereinbar

sind, beispielsweise dann, wenn die Verarbeitung für historische oder statistische

Zwecke oder zum Zwecke der wissenschaftlichen Forschung erforderlich ist. Ist der

andere Zweck nicht mit dem ursprünglichen Zweck, für den die Daten erhoben

wurden, vereinbar, muss der für die Verarbeitung Verantwortliche hierfür die

Einwilligung der betroffenen Person einholen oder die Verarbeitung auf einen anderen

Rechtmäßigkeitsgrund stützen, der sich beispielsweise aus dem Unionsrecht oder dem

Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt,

ergibt. In jedem Fall sollte gewährleistet sein, dass die in dieser Verordnung

niedergelegten Grundsätze angewandt werden und die betroffene Person über diese

anderen Zwecke unterrichtet wird.

(42) Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien sollten auch dann

erlaubt sein, wenn es dafür eine gesetzliche Grundlage gibt, und – vorbehaltlich

bestimmter Garantien zum Schutz der personenbezogenen Daten und anderer

Grundrechte – wenn dies durch ein öffentliches Interesse gerechtfertigt ist, speziell

wenn es um gesundheitliche Belange geht, wie die Gewährleistung der öffentlichen

Gesundheit oder der sozialen Sicherheit oder die Verwaltung von Leistungen der

Gesundheitsfürsorge, vor allem wenn dadurch die Qualität und Wirtschaftlichkeit der

Verfahren zur Abrechnung von Krankenversicherungsleistungen sichergestellt werden

soll, oder wenn die Verarbeitung historischen oder statistischen Zwecke oder

wissenschaftliche Forschungszwecken dient.

(43) Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen für

verfassungsrechtlich oder im internationalen Recht verankerte Ziele von staatlich

anerkannten Religionsgemeinschaften erfolgt aus Gründen des öffentlichen Interesses.

(44) Wenn es in einem Mitgliedstaat zum Funktionieren des demokratischen Systems

gehört, dass die politischen Parteien im Zusammenhang mit Wahlen Daten über die

politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten

aus Gründen des öffentlichen Interesses zugelassen werden, sofern angemessene

Garantien vorgesehen werden.

(45) Kann der für die Verarbeitung Verantwortliche anhand der von ihm verarbeiteten

Daten eine natürliche Person nicht bestimmen, sollte er nicht verpflichtet sein, zur

bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen,

um die betroffene Person zu bestimmen. Macht die betroffene Person von ihrem

Auskunftsrecht Gebrauch, sollte der für die Verarbeitung Verantwortliche das Recht

haben, bei der betroffenen Person weitere Informationen einzuholen, die ihn in die

Lage versetzen, die von der betreffenden Person gesuchten personenbezogenen Daten

zu lokalisieren.

(50) Diese Pflicht erübrigt sich jedoch, wenn die betroffene Person bereits informiert ist

oder wenn die Speicherung oder Weitergabe ausdrücklich gesetzlich geregelt ist oder

wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit

unverhältnismäßig hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei

Verarbeitungen für historische oder statistische Zwecke oder zum Zwecke der

wissenschaftlichen Forschung der Fall sein; als Anhaltspunkt können dabei die Zahl

der betroffenen Personen, das Alter der Daten oder etwaige Ausgleichsmaßnahmen

dienen.

(51) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben

worden sind, besitzen und dieses Recht problemlos wahrnehmen können, um sich von

der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person

sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, zu welchen Zwecken

die Daten verarbeitet werden, wie lange sie gespeichert werden, wer die Empfänger

der Daten sind, nach welcher Logik die Daten verarbeitet werden und welche Folgen

eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung

auf Profiling basiert. Dabei dürfen die Grundrechte und Grundfreiheiten anderer

Personen, etwa das Geschäftsgeheimnis oder die Rechte an geistigem Eigentum und

insbesondere das Urheberrecht an Software, nicht angetastet werden. Dies darf jedoch

nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.

(52) Der für die Verarbeitung Verantwortliche sollte alle vertretbaren Mittel nutzen, um die

Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im

Rahmen von Online-Diensten und im Falle von Online-Kennungen. Ein für die

Verarbeitung Verantwortlicher sollte personenbezogene Daten nicht nur deshalb

speichern, um auf mögliche Ansuchen reagieren zu können.

(53) Jede Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen

Daten besitzen sowie ein ‚Recht auf Vergessenwerden’, wenn die Speicherung ihrer

Daten unter Verstoß gegen die Verordnung erfolgt ist. Insbesondere sollten betroffene

Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und

nicht weiter verarbeitet werden, wenn sich die Zwecke, für die die Daten erhoben

wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die

Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie

betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung

ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die

Verordnung erfolgt ist. Dieses Recht ist besonders wichtig in Fällen, in denen die

betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die

mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte

und die Daten – besonders die im Internet gespeicherten – später löschen möchte. Die

weitere Speicherung der Daten sollte jedoch zulässig sein, wenn dies für historische

oder statistische Zwecke, zum Zwecke der wissenschaftlichen Forschung, aus

Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur

Ausübung des Rechts auf freie Meinungsäußerung erforderlich ist, wenn es hierfür

eine gesetzliche Grundlage gibt oder wenn eine beschränkte Verarbeitung der Daten

anstatt ihrer Löschung gerechtfertigt ist.

(58) Eine natürliche Person braucht sich keiner Maßnahme unterwerfen lassen, die auf

Profiling im Wege der automatischen Datenverarbeitung basiert. Eine solche

Maßnahme sollte allerdings erlaubt sein, wenn sie ausdrücklich per Gesetz genehmigt

wurde, bei Abschluss oder in Erfüllung eines Vertrags durchgeführt wird oder wenn

die betroffene Person ihre Einwilligung hierzu erteilt hat. In jedem Fall sollte eine

solche Verarbeitung mit angemessenen Garantien verbunden werden wie der

Unterrichtung der betroffenen Person oder dem Anspruch auf direkten persönlichen

Kontakt sowie dem generellen Ausschluss von Kindern von einer solchen Maßnahme.

(59) Im Unionsrecht oder im Recht der Mitgliedstaaten können Beschränkungen

bestimmter Grundsätze sowie des Rechts auf Unterrichtung, Auskunft, Berichtigung,

Löschung, Datenübertragbarkeit und Widerspruch, von Maßnahmen, die auf der

Erstellung von Profilen beruhen, und von Mitteilungen über eine Verletzung des

Schutzes personenbezogener Daten an eine betroffene Person sowie von bestimmten

damit zusammenhängenden Pflichten der für die Verarbeitung Verantwortlichen

vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und

verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter

anderem der Schutz von Menschenleben bei Naturkatastrophen oder vom Menschen

verursachten Katastrophen sowie die Verhütung, Aufdeckung und strafrechtliche

Verfolgung von Straftaten und von Verstößen gegen Berufsstandsregeln bei

reglementierten Berufen gehört, und um sonstige öffentliche Interessen der Union oder

eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die

betroffene Person und die Rechte und Freiheiten anderer Personen zu schützen. Diese

Beschränkungen müssen mit der Charta der Grundrechte der Europäischen Union und

mit der Europäischen Konvention zum Schutz der Menschenrechte und

Grundfreiheiten im Einklang stehen.

(80) Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass

bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines

Drittlands oder eine internationale Organisation einen angemessenen Datenschutz

bieten, und auf diese Weise in Bezug auf die Drittländer und internationalen

Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, in der

gesamten Union für Rechtssicherheit und eine einheitliche Rechtsanwendung sorgen.

In derartigen Fällen dürfen personenbezogene Daten ohne weitere Genehmigung an

diese Länder übermittelt werden.

(86) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich

wenn die betroffene Person ihre Einwilligung erteilt hat, wenn die Übermittlung im

Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines im

Unionsrecht oder im Recht eines Mitgliedstaates festgelegten wichtigen öffentlichen

Interesses erforderlich ist oder wenn die Übermittlung aus einem gesetzlich

vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit

berechtigtem Interesse eingesehen werden kann. In diesem Fall sollte sich eine solche

Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register

enthaltenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme

durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf

Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten

der Übermittlung sind.

(87) Diese Ausnahmeregelung sollte insbesondere für Datenübermittlungen gelten, die zur

Wahrung eines wichtigen öffentlichen Interesses erforderlich sind, beispielsweise für

den grenzüberschreitenden Datenaustausch zwischen Wettbewerbs-, Steuer-, Zoll oder Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit

zuständigen Diensten oder zwischen für die Verhütung, Aufdeckung, Untersuchung

und Verfolgung von Straftaten zuständigen Behörden.

(88) Übermittlungen, die weder als häufig noch als massiv gelten können, sollten auch im

Falle berechtigter Interessen des für die Verarbeitung Verantwortlichen oder des

Auftragsverarbeiters möglich sein, wenn letztere sämtliche Umstände der

Datenübermittlung geprüft haben. Bei der Verarbeitung zu historischen oder

statistischen Zwecken oder für wissenschaftliche Forschungszwecke sollten die

legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs

berücksichtigt werden.

(101) Jede Aufsichtsbehörde sollte Beschwerden von betroffenen Personen entgegennehmen

und die Angelegenheit untersuchen. Die auf eine Beschwerde folgende Untersuchung

sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall

angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines

angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde

unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen

Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert

werden.

(123) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit

kann es notwendig sein, personenbezogene Gesundheitsdaten auch ohne Einwilligung

der betroffenen Person zu verarbeiten. In diesem Zusammenhang sollte der Begriff

„öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des

Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu

Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und

Sicherheit am Arbeitsplatz ausgelegt werden und alle Elemente im Zusammenhang

mit der Gesundheit wie Gesundheitszustand einschließlich Morbidität und

Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten,

den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den allgemeinen Zugang zu

Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die

Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche

Verarbeitung personenbezogener Gesundheitsdaten aus Gründen des öffentlichen

Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitnehmer,

Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen

Zwecken verarbeiten.

(129) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und

Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer

personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener

Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis

übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise

der Europäischen Union zu erlassen. Delegierte Rechtsakte sollten insbesondere

erlassen werden in Bezug auf die Rechtmäßigkeit der Verarbeitung, zur Festlegung der

Kriterien und Bedingungen für die Einwilligung eines Kindes, für die Verarbeitung

besonderer Kategorien personenbezogener Daten, zur Beurteilung offensichtlich unverhältnismäßiger Anträge und Gebühren für die Ausübung der Rechte der

betroffenen Person, zur Festlegung der Kriterien und Anforderungen im Hinblick auf

die Unterrichtung der betroffenen Person sowie in Bezug auf deren Auskunftsrecht, in

Bezug auf das Recht auf Vergessenwerden und auf Löschung, betreffend auf Profiling

basierende Maßnahmen, zur Festlegung der Kriterien und Anforderungen betreffend

die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz

durch Technik und datenschutzfreundliche Voreinstellungen, in Bezug auf

Auftragsverarbeiter, zur Festlegung der Kriterien und Anforderungen betreffend die

Dokumentation und die Sicherheit der Verarbeitung, zur Festlegung der Kriterien und

Anforderungen für die Feststellung einer Verletzung des Schutzes personenbezogener

Daten und für deren Meldung bei der Aufsichtsbehörde sowie für die Umstände, unter

denen anzunehmen ist, dass sich eine solche Verletzung negativ auf die betroffene

Person auswirken wird, zur Festlegung der Kriterien und Bedingungen für

Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist,

zur Festlegung der Kriterien und Anforderungen für die Bestimmung hoher konkreter

Risiken, die eine vorherige Zurateziehung der Aufsichtsbehörde erfordern, für die

Bestimmung des Datenschutzbeauftragten und dessen Aufgaben, in Bezug auf

Verhaltensregeln, zur Festlegung der Kriterien und Anforderungen für

Zertifizierungsverfahren und für die Datenübermittlung auf der Grundlage

verbindlicher unternehmensinterner Vorschriften, zur Regelung der Ausnahmen für

Datenübermittlungen, zur Festlegung der verwaltungsrechtlichen Sanktionen, in

Bezug auf die Datenverarbeitung für Gesundheitszwecke, im Beschäftigungskontext

und zu historischen und statistischen Zwecken sowie zum Zwecke der

wissenschaftlichen Forschung. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen

durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter

Rechtsakte dafür sorgen, dass das Europäische Parlament und der Rat die

entsprechenden Dokumente gleichzeitig, rechtzeitig und in geeigneter Form erhalten.

(130) Um einheitliche Bedingungen für die Anwendung dieser Verordnung sicherzustellen,

sollten der Kommission Durchführungsbefugnisse übertragen werden zur Festlegung

von: Standardvorlagen für die Verarbeitung personenbezogener Daten von Kindern,

Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person,

Standardvorlagen für die Unterrichtung der betroffenen Person, Standardverfahren und

-vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit,

Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen

in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

sowie in Bezug auf Dokumentation, besonderen Anforderungen für die Sicherheit der

Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des

Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die

Benachrichtigung der betroffenen Person, Standards und Verfahren für Datenschutz-

Folgenabschätzungen, Verfahren und Vorlagen für die vorherige Genehmigung und

vorherige Zurateziehung der Aufsichtsbehörde, technischen Standards und Verfahren

für die Zertifizierung, Anforderungen an die Angemessenheit des Datenschutzniveaus

in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands

oder in einer internationalen Organisation, Fällen der Datenweitergabe, die nicht im

Einklang mit dem Unionsrecht stehen, Vorschriften für die Amtshilfe, gemeinsamen

Maßnahmen und Beschlüssen im Rahmen des Kohärenzverfahrens. Diese Befugnisse

sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen

Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der

Durchführungsbefugnisse durch die Kommission kontrollieren,45 ausgeübt werden.

Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und

Mittelunternehmen erwägen.

Klarmachen zum Ändern!

Viele Grüße
Markus von Krella aka Markus Wetzler

http://wiki.piratenpartei.de/Benutzer:Markus_von_Krella
https://www.twitter.com/markusvonkrella
http://www.facebook.com/karlesforst

http://www.facebook.com/Piratenpartei.Kaarst
https://www.twitter.com/Piraten_Kaarst
http://ipir.at/kaarst
_______________________________________________

Diese eMail ist keine offizielle Aussage der Piratenpartei Deutschland.

Sie spiegelt nur die persönliche Meinung des Verfassers wider.

Um die versprochene Transparenz zu wahren, werde ich den Inhalt jeder an mich gerichteten Email nach eigenem Ermessen veröffentlichen.

Attachment: eudatenschutzgrundverordnung_de.pdf
Description: Adobe PDF document