Beauftragten für Datenschutz und Informationsfreiheit

Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit 2010 erledigen lassen. Dies ist nur mit Zustimmung des Unternehmens in der EU möglich, das die Daten ursprünglich erhoben hat. Die neuen Standardvertragsklauseln gelten seit Mai und ersetzen die bislang für die Auftragsdatenverarbeitung geltenden vom Dezember 2001.

Die Art.29-Datenschutzgruppe, in der wir die Bundesländer vertreten, hat wieder mehrere Papiere verabschiedet. Sie befasste sich speziell mit den -Begriffen "für die Verarbeitung Verantwortlicher" und „Auftragsverarbeiter", mit der Werbung auf Basis von Behavioural Targeting und mit einem Vorschlag für einen Rahmen für Datenschutzfolgenabschätzungen für RFIDAnwendungen.2 AG „ Juni 2010 (WP 171), vgl. Dokumentenband 2010, S. 92

Stellungnahme 5/2010 vom 13. Juli 2010 (WP 175)

Vgl. Fn. 196

Häufig gestellte Fragen zu bestimmten Aspekten im Zusammenhang mit dem Inkrafttreten des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG vom 12. Juli 2010 (WP 176), vgl. Dokumentenband 2010, S. 130

Vgl. Fn. 191

Stellungnahme 7/2010 vom 12. November 2010 (WP 178)

Stellungnahme 8/2010 vom 16.

Daneben hat sich die AG mit komplizierten Einzelfragen zur internationalen Auftragsdatenverarbeitung befasst. Sie hat die von der Wirtschaft häufig gestellte Frage, ob die neuen Standardvertragsklauseln zur Auftragsdatenverarbeitung auch für die innereuropäische Auftragsdatenverarbeitung verwendet werden können, verneint, denn alleiniger Maßstab hierfür ist § 11 Abs. 2 BDSG. Deshalb kann der Standardvertrag nur mit Änderungen in der Terminologie und bei den einzelnen Klauseln für die innereuropäische Auftragsdatenverarbeitung genutzt, jedoch keinesfalls als solcher bezeichnet werden. Anpassungen in diesem Bereich lösen daher grundsätzlich keine Genehmigungspflicht aus, solange dort nicht dem Vertrag selbst widersprechende Regelungen getroffen werden. Auch Präzisierungen durch zusätzliche geschäftliche Klauseln oder in einem separaten Dienstleistungsvertrag mit zugehöriger Leistungsbeschreibung, auf den Bezug genommen wird, sind möglich und lösen keine Genehmigungspflicht aus; denn sie betreffen zum einen die sog. 1. Stufe, und zum anderen geht aus den

Beschluss vom 28./29. April 2010 i. d. F. vom 23. August 2010: Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen, vgl. Dokumentenband 2010, S. 22.

Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit 2010 Standardverträgen selbst hervor, dass ihre Regelungen nicht so konkret sind, dass sie die Pflichten des Auftragnehmers abschließend beinhalten.

Zudem ist die Unterbeauftragung nach dem neuen Standardvertrag genehmigungsfrei. Es wäre sinnwidrig, wenn der Vertrag wegen der Anpassung an § 11 BDSG genehmigungspflichtig würde.

Internationale Datenschutzstandards

Aus der Praxis Internationale Datenschutzstandards können Verarbeiter von personenbezogenen Daten darin unterstützen, datenschutzgerecht zu han-deln.

Wir trugen zur Formulierung eines Datenschutzrahmenstandards der Internationalen Standardisierungsorganisation ISO bei und forderten auf der ersten Internationalen Datenschutz-Konferenz der ISO die Erarbeitung von Standards zum Datenschutzmanagement.

Schon 2004 war im Rahmen der ISO der Versuch unternommen worden, einen nicht-technischen Rahmenstandard für den Datenschutz zu formulieren.

Wir begleiteten diesen Prozess durch die Beteiligung an einem Gremium des Deutschen Instituts für Normung, das für den deutschen Beitrag zur Standardisierung auf den Gebieten des Datenschutzes und des Identitätsmanagements

Arbeitspapier zu einem zukünftigen ISO-Datenschutzstandard, vgl. Dokumentenband 2004, S. 73

Resolution zum Entwurf eines ISO-Rahmenstandards zum Datenschutz, vgl. Dokumentenband 2004, S. 67 ff.