Die Datentreuhand

摘要

1. Eine Datentreuhand ist eine natürliche oder juristische Person oder eine Personengesellschaft, die den Zugang zu von Datentreugebern bereitgestellten oder bereitgehaltenen Daten nach vertraglich vereinbarten oder gesetzlich vorgegebenen Daten-Governance-Regelungen im Fremdinteresse mittelt.2. Für diese Datentreuhand ist ein grundmodellspezifischer sowie ein funktionsabhängiger Rechtsrahmen zu entwickeln, der ermöglichenden Charakter zumindest für solche Datentreuhandmodelle hat, die einem hohen Datenschutzniveau in der Datenökonomie dienen.3. Es existieren vier Grundmodelle, deren Risikogeneigtheit für die Rechte und Rechtsgüter der beteiligten Akteure im Hinblick auf die Regulierungsintensität ausschlaggebend sein sollte. Sie unterscheiden sich wesentlich nach der Zen-tralität bzw. Dezentralität der Datenspeicherung sowie nach fakultativer oder obligatorischer Verwendung.4. Horizontal vorgesehen werden sollten allenfalls gesetzliche Vorgaben für Schnittstellen und Datenstandards.5. Es ist ein anreizbasiertes Zertifizierungsmodell vorzuziehen, das eine freiwillige Zertifizierung von Datentreuhand-modellen nach staatlich vorgegebenen Bedingungen ermöglicht und an die erfolgreiche Zertifizierung datenschutzrechtliche Verarbeitungsbefugnisse knüpft.6. Sowohl eine Übermittlung von Daten an zertifizierte Datentreuhänder als auch bestimmte Datenverarbeitungen durch zertifizierte Datentreuhänder sollten auf Grundlage dieser Verarbeitungsbefugnis gerechtfertigt werden können. Dies sollte in Leitlinien der Datenschutzbeauftragten niedergelegt werden.7. Der Erlass weiterer Erlaubnistatbestände gem. Art. 9 Abs. 1 lit. h-j DS-GVO für die Übermittlung von Daten an und die Datenverarbeitung durch zertifizierte Datentreuhänder sollte geprüft werden.8. Die Zertifizierungsstelle sollte staatlicherseits eingerichtet werden, um die notwendige Aufsichtsstruktur zu ermöglichen.9. Für PIMS sollte eine erfolgreiche Zertifizierung auch und gerade an die Verwendung von Muster-AGB gebunden werden, die entwickelt werden sollten. Der zu befürchtenden schwachen Verhandlungsposition von PIMS gegenüber Da-tenverarbeitern ließe sich für erfolgreich zertifizierte PIMS durch eine Pflicht zur Kooperation für die Datenverarbeiter entgegenwirken.10. Im Datenschutzrecht sollte für PIMS vorgesehen werden, dass sie die Einwilligung in Stellvertretung des Betroffenen erklären und widerrufen sowie sämtliche Betroffenenrechte ausüben können.