nrw-ak-datenschutz AT lists.piratenpartei.de
Betreff: Inhalte zum Thema Datenschutz erarbeiten
Listenarchiv
[NRW-AK-Datenschutz] Versuch einer KURZEN zusammenfassung des Vorschlages zu einer EU-Datenschutz Grundverordnung
Chronologisch Thread
- From: "Markus Wetzler" <markusvonkrella AT piratenpartei-nrw.de>
- To: "AG-Datenschutz" <ag-datenschutz AT lists.piratenpartei.de>, <nrw-ak-datenschutz AT lists.piratenpartei.de>
- Cc: Bundesdatenschutzbeauftragter Piratenpartei <bundesbeauftragter AT piraten-dsb.de>
- Subject: [NRW-AK-Datenschutz] Versuch einer KURZEN zusammenfassung des Vorschlages zu einer EU-Datenschutz Grundverordnung
- Date: Tue, 25 Sep 2012 12:10:55 +0200
- Importance: Normal
- List-archive: <https://service.piratenpartei.de/pipermail/nrw-ak-datenschutz>
- List-id: <nrw-ak-datenschutz.lists.piratenpartei.de>
Liebe
Datenschutzpiraten,
im
letzten Datenschutz-Mumble wurde angeregt, den o.g. Vorschlag zu
diskutieren.
Möchte
hier nun meinen Eindruck des Vorschlages in aller Kürze
zusammenfassen:
Ziel
des Vorschlages soll der “ Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und
zum freien Datenverkehr (Datenschutz-Grundverordnung)” sein.
So weit so gut... allerdings ist es m. E. geplant, den Schutz der
personenbezogenen Daten durch unverhältnismäßig viele Maßnahmen
einzuschränken.
Einige dieser Maßnahmen (siehe unten) sind aus piratiger Sicht nicht
akzeptabel.
Ihr
möchtet mich korrigieren, falls ich die EU-Datenschutz-Grundverordnung,
misverstanden haben sollte...
Kann
am nächsten Datenschutz-Mumble des Bundes leider nicht teilnehmen. Vielleicht
kann ja trotzdem meine Mail als Diskussionsgrundlage dienen.
In
der Anlage habe ich den kompletten, kommentierten Entwurf
beigefügt.
Es
folgen die aus meiner Sicht kritischen, zumindest diskutablen
Vorschäge:
(16) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder Vollstreckung strafrechtlicher Sanktionen durch die zuständigen Behörden dienen, sowie der freie Verkehr solcher Daten sind in einem eigenen EU-Rechtsinstrument geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder strafrechtlichen Verfolgung von Straftaten oder der Vollstreckung von Strafurteilen verwendet werden, dem spezifischeren EU-Instrument (Richtlinie XX/YYYY) unterliegen. (20) Um sicherzugehen, dass Personen nicht des Schutzes beraubt werden, auf den sie nach dieser Verordnung ein Anrecht haben, sollte die Verarbeitung personenbezogener Daten von in der Union ansässigen betroffenen Personen durch einen nicht in der Union niedergelassenen für die Verarbeitung Verantwortlichen dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen Personen Produkte und Dienstleistungen anzubieten oder das Verhalten dieser Personen zu beobachten. (21) Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten mit Hilfe von Datenverarbeitungstechniken nachvollzogen werden, durch die einer Person ein Profil zugeordnet wird, das die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. (24) Bei der Inanspruchnahme von Online-Diensten werden dem Nutzer unter Umständen Online-Kennungen wie IP-Adressen oder Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, zugeordnet. Dies kann Spuren hinterlassen, die zusammen mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der betroffenen Personen zu erstellen und sie zu identifizieren. Hieraus folgt, dass Kennnummern, Standortdaten, Online-Kennungen oder sonstige Elemente als solche nicht zwangsläufig und unter allen Umständen als personenbezogene Daten zu betrachten sind. (25) Die Einwilligung sollte explizit mittels einer geeigneten Methode erfolgen, die eine ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer eindeutigen Handlung ermöglicht, die sicherstellt, dass der betreffenden Person bewusst ist, dass sie ihre Einwilligung in die Verarbeitung personenbezogener Daten gibt, etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite und durch jede sonstige Erklärung oder Verhaltensweise, mit der die betroffene Person in dem jeweiligen Kontext klar und deutlich ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Eine stillschweigende Einwilligung ohne Zutun der betroffenen Person stellt daher keine Einwilligung dar. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommene Verarbeitungsvorgänge beziehen. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, in dessen Bereitstellung eingewilligt wird, erfolgen. (34) Die Einwilligung liefert keine rechtliche Handhabe für die Verarbeitung personenbezogener Daten, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein klares Ungleichgewicht besteht. Dies ist vor allem dann der Fall, wenn sich die betroffene Person in einem Abhängigkeitsverhältnis von dem für die Verarbeitung Verantwortlichen befindet, zum Beispiel dann, wenn personenbezogene Daten von Arbeitnehmern durch den Arbeitgeber im Rahmen von Beschäftigungsverhältnissen verarbeitet werden. Handelt es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde, bestünde ein Ungleichgewicht nur bei Verarbeitungsvorgängen, bei denen die Behörde aufgrund ihrer jeweiligen obrigkeitlichen Befugnisse eine Verpflichtung auferlegen kann und deshalb die Einwilligung nicht als ohne Zwang abgegeben gelten kann, wobei die Interessen der betroffenen Person zu berücksichtigen sind. (37) Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person zu schützen. (38) Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines für die Verarbeitung Verantwortlichen begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Diese Interessen sind besonders sorgfältig abzuwägen, wenn es sich bei der betroffenen Person um ein Kind handelt, da Kinder besonders schutzwürdig sind. Die betroffene Person sollte das Recht haben, aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung zu widersprechen, ohne dass ihr dadurch Kosten entstehen. Aus Transparenzgründen sollte der für die Verarbeitung Verantwortliche verpflichtet werden, seine berechtigten Interessen gegenüber der betroffenen Person ausdrücklich darzulegen und diese außerdem zu dokumentieren und die betroffene Person über ihr Widerspruchsrecht zu belehren. Da es dem Gesetzgeber obliegt, per Gesetz die Rechtsgrundlage für die Verarbeitung von Daten durch Behörden zu schaffen, greift dieser Rechtfertigungsgrund nicht bei Verarbeitungen durch Behörden, die diese in Erfüllung ihrer Aufgaben vornehmen. (39) Die Verarbeitung von Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams – CERT beziehungsweise Computer Security Incident Response Teams - CSIRT), Betreiber von elektronischen Kommunikationsnetzen und –diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen für die Verarbeitung Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig ist, d. h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den unberechtigten Zugang zu elektronischen Kommunikationsnetzen, die Verbreitung schädlicher Programmcodes, die Abwehr von Angriffen in Form der gezielten Überlastung von Servern („Denial of access“-Angriffe) sowie Schädigungen von Computer- und elektronischen Kommunikationssystemen zu verhindern.
(40) Die Verarbeitung personenbezogener Daten für andere Zwecke sollte nur zulässig sein, wenn diese mit den Zwecken, für die sie ursprünglich erhoben wurden, vereinbar sind, beispielsweise dann, wenn die Verarbeitung für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung erforderlich ist. Ist der andere Zweck nicht mit dem ursprünglichen Zweck, für den die Daten erhoben wurden, vereinbar, muss der für die Verarbeitung Verantwortliche hierfür die Einwilligung der betroffenen Person einholen oder die Verarbeitung auf einen anderen Rechtmäßigkeitsgrund stützen, der sich beispielsweise aus dem Unionsrecht oder dem Recht des Mitgliedstaats, dem der für die Verarbeitung Verantwortliche unterliegt, ergibt. In jedem Fall sollte gewährleistet sein, dass die in dieser Verordnung niedergelegten Grundsätze angewandt werden und die betroffene Person über diese anderen Zwecke unterrichtet wird. (42) Ausnahmen vom Verbot der Verarbeitung sensibler Datenkategorien sollten auch dann erlaubt sein, wenn es dafür eine gesetzliche Grundlage gibt, und – vorbehaltlich bestimmter Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte – wenn dies durch ein öffentliches Interesse gerechtfertigt ist, speziell wenn es um gesundheitliche Belange geht, wie die Gewährleistung der öffentlichen Gesundheit oder der sozialen Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, vor allem wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Krankenversicherungsleistungen sichergestellt werden soll, oder wenn die Verarbeitung historischen oder statistischen Zwecke oder wissenschaftliche Forschungszwecken dient. (43) Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen für verfassungsrechtlich oder im internationalen Recht verankerte Ziele von staatlich anerkannten Religionsgemeinschaften erfolgt aus Gründen des öffentlichen Interesses. (44) Wenn es in einem Mitgliedstaat zum Funktionieren des demokratischen Systems gehört, dass die politischen Parteien im Zusammenhang mit Wahlen Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern angemessene Garantien vorgesehen werden. (45) Kann der für die Verarbeitung Verantwortliche anhand der von ihm verarbeiteten Daten eine natürliche Person nicht bestimmen, sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu bestimmen. Macht die betroffene Person von ihrem Auskunftsrecht Gebrauch, sollte der für die Verarbeitung Verantwortliche das Recht haben, bei der betroffenen Person weitere Informationen einzuholen, die ihn in die Lage versetzen, die von der betreffenden Person gesuchten personenbezogenen Daten zu lokalisieren. (50) Diese Pflicht erübrigt sich jedoch, wenn die betroffene Person bereits informiert ist oder wenn die Speicherung oder Weitergabe ausdrücklich gesetzlich geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei Verarbeitungen für historische oder statistische Zwecke oder zum Zwecke der wissenschaftlichen Forschung der Fall sein; als Anhaltspunkt können dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige Ausgleichsmaßnahmen dienen. (51) Jede Person sollte ein Auskunftsrecht hinsichtlich der Daten, die bei ihr erhoben worden sind, besitzen und dieses Recht problemlos wahrnehmen können, um sich von der Rechtmäßigkeit ihrer Verarbeitung überzeugen zu können. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, zu welchen Zwecken die Daten verarbeitet werden, wie lange sie gespeichert werden, wer die Empfänger der Daten sind, nach welcher Logik die Daten verarbeitet werden und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling basiert. Dabei dürfen die Grundrechte und Grundfreiheiten anderer Personen, etwa das Geschäftsgeheimnis oder die Rechte an geistigem Eigentum und insbesondere das Urheberrecht an Software, nicht angetastet werden. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. (52) Der für die Verarbeitung Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Falle von Online-Kennungen. Ein für die Verarbeitung Verantwortlicher sollte personenbezogene Daten nicht nur deshalb speichern, um auf mögliche Ansuchen reagieren zu können. (53) Jede Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein ‚Recht auf Vergessenwerden’, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt ist. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, wenn sich die Zwecke, für die die Daten erhoben wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die Verordnung erfolgt ist. Dieses Recht ist besonders wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die Daten – besonders die im Internet gespeicherten – später löschen möchte. Die weitere Speicherung der Daten sollte jedoch zulässig sein, wenn dies für historische oder statistische Zwecke, zum Zwecke der wissenschaftlichen Forschung, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zur Ausübung des Rechts auf freie Meinungsäußerung erforderlich ist, wenn es hierfür eine gesetzliche Grundlage gibt oder wenn eine beschränkte Verarbeitung der Daten anstatt ihrer Löschung gerechtfertigt ist. (58) Eine natürliche Person braucht sich keiner Maßnahme unterwerfen lassen, die auf Profiling im Wege der automatischen Datenverarbeitung basiert. Eine solche Maßnahme sollte allerdings erlaubt sein, wenn sie ausdrücklich per Gesetz genehmigt wurde, bei Abschluss oder in Erfüllung eines Vertrags durchgeführt wird oder wenn die betroffene Person ihre Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden werden wie der Unterrichtung der betroffenen Person oder dem Anspruch auf direkten persönlichen Kontakt sowie dem generellen Ausschluss von Kindern von einer solchen Maßnahme. (59) Im Unionsrecht oder im Recht der Mitgliedstaaten können Beschränkungen bestimmter Grundsätze sowie des Rechts auf Unterrichtung, Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch, von Maßnahmen, die auf der Erstellung von Profilen beruhen, und von Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person sowie von bestimmten damit zusammenhängenden Pflichten der für die Verarbeitung Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben bei Naturkatastrophen oder vom Menschen verursachten Katastrophen sowie die Verhütung, Aufdeckung und strafrechtliche Verfolgung von Straftaten und von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen gehört, und um sonstige öffentliche Interessen der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen zu schützen. Diese Beschränkungen müssen mit der Charta der Grundrechte der Europäischen Union und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen. (80) Die Kommission kann mit Wirkung für die gesamte Union beschließen, dass bestimmte Drittländer oder bestimmte Gebiete oder Verarbeitungssektoren eines Drittlands oder eine internationale Organisation einen angemessenen Datenschutz bieten, und auf diese Weise in Bezug auf die Drittländer und internationalen Organisationen, die für fähig gehalten werden, einen solchen Schutz zu bieten, in der gesamten Union für Rechtssicherheit und eine einheitliche Rechtsanwendung sorgen. In derartigen Fällen dürfen personenbezogene Daten ohne weitere Genehmigung an diese Länder übermittelt werden. (86) Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre Einwilligung erteilt hat, wenn die Übermittlung im Rahmen eines Vertrags oder Gerichtsverfahrens oder zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaates festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn die Übermittlung aus einem gesetzlich vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In diesem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Antrag dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind. (87) Diese Ausnahmeregelung sollte insbesondere für Datenübermittlungen gelten, die zur Wahrung eines wichtigen öffentlichen Interesses erforderlich sind, beispielsweise für den grenzüberschreitenden Datenaustausch zwischen Wettbewerbs-, Steuer-, Zoll oder Finanzaufsichtsbehörden, zwischen für Angelegenheiten der sozialen Sicherheit zuständigen Diensten oder zwischen für die Verhütung, Aufdeckung, Untersuchung und Verfolgung von Straftaten zuständigen Behörden. (88) Übermittlungen, die weder als häufig noch als massiv gelten können, sollten auch im Falle berechtigter Interessen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters möglich sein, wenn letztere sämtliche Umstände der Datenübermittlung geprüft haben. Bei der Verarbeitung zu historischen oder statistischen Zwecken oder für wissenschaftliche Forschungszwecke sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs berücksichtigt werden. (101) Jede Aufsichtsbehörde sollte Beschwerden von betroffenen Personen entgegennehmen und die Angelegenheit untersuchen. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde vonnöten sein, sollte die betroffene Person auch hierüber informiert werden. (123) Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, personenbezogene Gesundheitsdaten auch ohne Einwilligung der betroffenen Person zu verarbeiten. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von und den allgemeinen Zugang zu Gesundheitsversorgungsleistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche Verarbeitung personenbezogener Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitnehmer, Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen Zwecken verarbeiten. (129) Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, Rechtsakte nach Artikel 290 des Vertrags über die Arbeitsweise der Europäischen Union zu erlassen. Delegierte Rechtsakte sollten insbesondere erlassen werden in Bezug auf die Rechtmäßigkeit der Verarbeitung, zur Festlegung der Kriterien und Bedingungen für die Einwilligung eines Kindes, für die Verarbeitung besonderer Kategorien personenbezogener Daten, zur Beurteilung offensichtlich unverhältnismäßiger Anträge und Gebühren für die Ausübung der Rechte der betroffenen Person, zur Festlegung der Kriterien und Anforderungen im Hinblick auf die Unterrichtung der betroffenen Person sowie in Bezug auf deren Auskunftsrecht, in Bezug auf das Recht auf Vergessenwerden und auf Löschung, betreffend auf Profiling basierende Maßnahmen, zur Festlegung der Kriterien und Anforderungen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, in Bezug auf Auftragsverarbeiter, zur Festlegung der Kriterien und Anforderungen betreffend die Dokumentation und die Sicherheit der Verarbeitung, zur Festlegung der Kriterien und Anforderungen für die Feststellung einer Verletzung des Schutzes personenbezogener Daten und für deren Meldung bei der Aufsichtsbehörde sowie für die Umstände, unter denen anzunehmen ist, dass sich eine solche Verletzung negativ auf die betroffene Person auswirken wird, zur Festlegung der Kriterien und Bedingungen für Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung erforderlich ist, zur Festlegung der Kriterien und Anforderungen für die Bestimmung hoher konkreter Risiken, die eine vorherige Zurateziehung der Aufsichtsbehörde erfordern, für die Bestimmung des Datenschutzbeauftragten und dessen Aufgaben, in Bezug auf Verhaltensregeln, zur Festlegung der Kriterien und Anforderungen für Zertifizierungsverfahren und für die Datenübermittlung auf der Grundlage verbindlicher unternehmensinterner Vorschriften, zur Regelung der Ausnahmen für Datenübermittlungen, zur Festlegung der verwaltungsrechtlichen Sanktionen, in Bezug auf die Datenverarbeitung für Gesundheitszwecke, im Beschäftigungskontext und zu historischen und statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung. Es ist besonders wichtig, dass die Kommission im Rahmen ihrer Vorarbeiten auch auf Sachverständigenebene geeignete Konsultationen durchführt. Die Kommission sollte bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte dafür sorgen, dass das Europäische Parlament und der Rat die entsprechenden Dokumente gleichzeitig, rechtzeitig und in geeigneter Form erhalten. (130) Um einheitliche Bedingungen für die Anwendung dieser Verordnung sicherzustellen, sollten der Kommission Durchführungsbefugnisse übertragen werden zur Festlegung von: Standardvorlagen für die Verarbeitung personenbezogener Daten von Kindern, Standardverfahren und -vorlagen für die Ausübung der Rechte der betroffenen Person, Standardvorlagen für die Unterrichtung der betroffenen Person, Standardverfahren und -vorlagen für das Auskunftsrecht und das Recht auf Datenübertragbarkeit, Standardvorlagen betreffend die Pflichten des für die Verarbeitung Verantwortlichen in Bezug auf Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen sowie in Bezug auf Dokumentation, besonderen Anforderungen für die Sicherheit der Verarbeitung, Standardformat und Verfahren für die Meldung einer Verletzung des Schutzes von personenbezogenen Daten bei der Aufsichtsbehörde und für die Benachrichtigung der betroffenen Person, Standards und Verfahren für Datenschutz- Folgenabschätzungen, Verfahren und Vorlagen für die vorherige Genehmigung und vorherige Zurateziehung der Aufsichtsbehörde, technischen Standards und Verfahren für die Zertifizierung, Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland oder in einem Gebiet oder Verarbeitungssektor dieses Drittlands oder in einer internationalen Organisation, Fällen der Datenweitergabe, die nicht im Einklang mit dem Unionsrecht stehen, Vorschriften für die Amtshilfe, gemeinsamen Maßnahmen und Beschlüssen im Rahmen des Kohärenzverfahrens. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren,45 ausgeübt werden. Die Kommission sollte besondere Maßnahmen für Kleinst-, Klein- und Mittelunternehmen erwägen. Klarmachen zum Ändern! Viele Grüße Markus von Krella aka Markus Wetzler http://wiki.piratenpartei.de/Benutzer:Markus_von_Krella https://www.twitter.com/markusvonkrella http://www.facebook.com/karlesforst http://www.facebook.com/Piratenpartei.Kaarst https://www.twitter.com/Piraten_Kaarst http://ipir.at/kaarst _______________________________________________ Diese eMail ist keine offizielle Aussage der Piratenpartei Deutschland. Sie spiegelt nur die persönliche Meinung des Verfassers wider. Um die versprochene Transparenz zu wahren, werde ich den Inhalt jeder an mich gerichteten Email nach eigenem Ermessen veröffentlichen. |
Attachment:
eudatenschutzgrundverordnung_de.pdf
Description: Adobe PDF document
- [NRW-AK-Datenschutz] Versuch einer KURZEN zusammenfassung des Vorschlages zu einer EU-Datenschutz Grundverordnung, Markus Wetzler, 25.09.2012
Archiv bereitgestellt durch MHonArc 2.6.19.