Deutscher Bundestag – 19. Wahlperiode                  – 11 –                               Drucksache 19/3341 Vorabfassung - wird durch die lektorierte Version ersetzt. 14.   Sind Hochzeitsfotografinnen und Hochzeitsfotografen nach Einschätzung der Bundesregierung verpflichtet, alle Personen, die als Gäste zur Hochzeit eingeladen wurden oder als Personal bei der Hochzeit im Auftrag des Braut- paares bzw. der Organisatorin oder des Organisators der Hochzeit tätig sind, nach einer Einwilligung für Datenverarbeitung, -speicherung und -veröffent- lichung zu fragen und über ihre Rechte zu informieren? a) Sind Hochzeitsfotografinnen und Hochzeitsfotografen verpflichtet, Eltern von Kindern, die sie auf einer Hochzeit fotografieren oder aufnehmen, zu kontaktieren und nach einer Einwilligung zu fragen? b) Sind Hochzeitsfotografinnen und Hochzeitsfotografen verpflichtet, alle Personen, die als Gäste zur Hochzeit eingeladen wurden oder als Personal bei der Hochzeit im Auftrag des Brautpaares bzw. der Organisatorin oder des Organisators der Hochzeit tätig sind, zu informieren, an welche Dritt- parteien (Bilderdatenbanken z. B.) ihre Daten weitergeleitet werden? c) Sollen sich Hochzeitsfotografinnen und Hochzeitsfotografen mit allen Personen, die als Gäste zur Hochzeit eingeladen wurden oder als Personal bei der Hochzeit im Auftrag des Brautpaares bzw. der Organisatorin oder des Organisators der Hochzeit tätig sind, auf eine Frist für die Löschung ihrer Daten oder Kriterien, die diese bestimmen, einigen? Die Fragen 12 bis 14 werden aufgrund des Sachzusammenhangs zusammen be- antwortet. Die Anfertigung von Fotografien, die personenbezogene Daten von Lebenden enthalten, unterliegt wie bisher den allgemeinen Regelungen des Datenschutz- rechts. Hierbei unterscheidet die DS-GVO grundsätzlich nicht nach Presse- oder Hochzeitsfotografinnen und -fotografen und nicht danach, ob die Fotografinnen und Fotografen als Medienvertreter tätig werden. Wie bereits bei Beantwortung der Fragen 8 bis 10 ausgeführt, ermöglicht jedoch Artikel 85 DS-GVO den Erlass und den Fortbestand nationaler Regelungen, die dem Interessenausgleich zwi- schen Datenschutzrecht einerseits und dem Recht auf freie Meinungsäußerung und Informationsfreiheit andererseits dienen. Entsprechende Vorschriften, die die Datenverarbeitung zu journalistischen Zwecken regeln (sog. Medienprivileg), finden sich beispielsweise in den Landespressegesetzen. Wie schon bislang gilt, dass Fotografie-Daten nur verarbeitet werden dürfen, wenn die betroffene Person eingewilligt hat oder eine gesetzliche Rechtsgrund- lage dies erlaubt. Ob die jeweilige Verarbeitung von personenbezogenen Daten bei der Anfertigung und Veröffentlichung von Fotografien den datenschutzrecht- lichen Regelungen (einschließlich der Erfüllung von Informations- und Lösch- pflichten) entspricht, ist eine Frage des Einzelfalls, die der Beurteilung der unab- hängigen Aufsichtsbehörden unterfällt (vgl. Vorbemerkung der Bundesregie- rung). Hinzuweisen ist auf folgende Rechtsgrundlagen: Soll die Verarbeitung der Fotografie-Daten auf Grundlage einer Einwilligung er- folgen und handelt es sich bei der abgebildeten Person um einen Minderjährigen, bedarf es – sofern das Kind nicht einwilligungsfähig ist – der Einwilligung der Eltern. Eine Vertretung von verletzten Personen bei der Einwilligung kennt die DS-GVO nicht. Erfolgt die Fotografie-Anfertigung auf der Grundlage einer Ein- willigung der betroffenen Person(en), ist diese – wie schon bisher – für die Zu- kunft widerrufbar.

Drucksache 19/3341                                      – 12 –                  Deutscher Bundestag – 19. Wahlperiode Vorabfassung - wird durch die lektorierte Version ersetzt. Dort wo das Einholen einer Einwilligung sich (beispielsweise mit Blick auf deren Widerruflichkeit oder das Vorliegen einer größeren Menschenmenge) nicht als praktikabel erweist, kommt – in Übereinstimmung mit der bisherigen Rechtslage – als Rechtsgrundlage für die Bildaufnahme insbesondere die Wahrnehmung be- rechtigter Interessen (Artikel 6 Absatz 1 Buchstabe f DS-GVO) in Betracht. Hin- sichtlich Artikel 6 Absatz 1 Buchstabe f DS-GVO wird auf die Ausführungen in der Antwort zu Frage 11 verwiesen. Wie bereits im Rahmen der Beantwortung der Fragen 8 bis 10 ausgeführt, enthält – soweit es den Bundesgesetzgeber betrifft – das KunstUrhG zusätzliche Rege- lungen, die auch unter der DS-GVO fortbestehen. Die §§ 22 ff. KunstUrhG regeln die Verbreitung und Schaustellung von Personenbildnissen. Gemäß § 22 Kun- stUrhG bedarf beides grundsätzlich der Einwilligung des Abgebildeten. Jedoch sieht die Vorschrift des § 23 KunstUrhG erleichterte Bedingungen für die Veröf- fentlichung bestimmter Personenbildnisse vor und normiert Fallgestaltungen, bei denen Verbreitung und Schaustellung von Fotografien auch ohne Einwilligung erfolgen darf. Dies ist gemäß § 23 Absatz 1 KunstUrhG der Fall bei – Bildnissen aus dem Bereich der Zeitgeschichte, – Bildern, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, – Bildern von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben, – Bildnissen, die nicht auf Bestellung angefertigt sind, sofern die Vertreibung oder Schaustellung einem höheren Interesse der Kunst dient. Gemäß § 23 Absatz 2 KunstUrhG greifen diese Ausnahmen nicht, wenn durch die Verbreitung oder öffentliche Schaustellung ausnahmsweise ein berechtigtes Interesse des Abgebildeten oder, falls dieser verstorben ist, seiner Angehörigen verletzt wird. Die bereits ergangene sehr ausdifferenzierte Rechtsprechung zu § 23 KunstUrhG kann hierbei weiterhin herangezogen werden. 15.   In welchen Formen kann nach Einschätzung der Bundesregierung die Ein- willigung für die Verarbeitung und/oder Speicherung von personenbezoge- nen Daten eingereicht werden (vgl. Artikel 7 (1) EU-DSGVO)? a) In welchen Fällen bzw. Bereichen soll die Einwilligung für die Verarbei- tung und/oder Speicherung von personenbezogenen Daten bei nichtöf- fentlichen Stellen ausschließlich in schriftlicher Form bzw. elektronischer Form eingereicht werden? b) In welchen Fällen ist eine Einwilligung der betroffenen Person die einzige Rechtmäßigkeitsvoraussetzung für Datenverarbeitung bei nichtöffentli- chen Stellen (vgl. Artikel 6 Absatz 1 EU-DSGVO)? Soweit eine Verarbeitung von personenbezogenen Daten auf die Einwilligung ge- stützt wird (Artikel 6 Absatz 1 Buchstabe a DS-GVO), muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer perso- nenbezogenen Daten eingewilligt hat (Artikel 7 Absatz 1 DS-GVO). Dies ist eine Frage des Einzelfalls und daher eine Anwendungsfrage, die der Beurteilung der unabhängigen Aufsichtsbehörden unterfällt (vgl. Vorbemerkung der Bundesre- gierung). Hinzuweisen ist auf Artikel 4 Nummer 11 DS-GVO, wonach eine „un- missverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ genügt.

Deutscher Bundestag – 19. Wahlperiode                – 13 –                             Drucksache 19/3341 Vorabfassung - wird durch die lektorierte Version ersetzt. Dies kann nach Erwägungsgrund 32 Satz 1 DS-GVO eine ausdrückliche (schrift- lich, elektronisch oder mündlich) oder konkludente Erklärung. Die Erklärung kann durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Handlung geschehen, mit der die betroffene Person in dem je- weiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personen- bezogenen Daten signalisiert (Erwägungsgrund 32 Satz 2 DS-GVO). Stillschwei- gen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar (Erwägungsgrund 32 Satz 3 DS-GVO). Gemäß der Richt- linie 93/13/EWG des Rates des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21. April 1993, S. 29) sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständli- cher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Ver- fügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten (Erwägungsgrund 42 Satz 3 DS-GVO). Weitere Festlegungen werden in der Ver- ordnung nicht getroffen. Ein Schriftformgebot gilt nach § 26 Absatz 2 Satz 3 BDSG 2018 lediglich für die Einwilligung im Beschäftigungsverhältnis, soweit nicht wegen besonderer Um- stände eine andere als die Schriftform angemessen ist. Mit § 26 Absatz 2 Satz 3 BDSG 2018 hat der Bundesgesetzgeber den Ansatz des BDSG a. F. fortgeführt. Die Einwilligung der betroffenen Person kann dann die einzige Rechtmäßigkeits- voraussetzung für die Datenverarbeitung einer nichtöffentlichen Stelle darstellen, wenn die Datenverarbeitung nicht auf andere Datenverarbeitungsrechtsgrundlagen nach Artikel 6 Absatz 1 Buchstabe b, c, d oder f DS-GVO gestützt werden kann. 16.   In welchen Fällen ist nach Einschätzung der Bundesregierung die Einwilli- gung zur Annahme der Datenschutzerklärung (die sogenannte Checkbox) in Kontaktformularen verpflichtend und in welchen nicht? Dies ist eine Frage des Einzelfalls und daher eine Anwendungsfrage, die der Be- urteilung der unabhängigen Aufsichtsbehörden unterfällt (vgl. Vorbemerkung der Bundesregierung). 17.   Wie definiert die Bundesregierung eine „umfangreiche Datenverarbeitung“ gemäß Artikel 37 Absatz 1 (c) EU-DSGVO? Dies ist eine Frage des Einzelfalls und daher eine Anwendungsfrage, die letztlich der Beurteilung der unabhängigen Aufsichtsbehörden unterfällt (vgl. Vorbemer- kung der Bundesregierung). Hinzuweisen ist auf Erwägungsgrund 91 Satz 1 DS-GVO, der weitere Ausführun- gen zu umfangreichen Verarbeitungsvorgängen enthält, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen und ein hohes Risiko für Rechte und Freiheiten der betroffenen Person mit sich bringen können. Nach Auffassung der Aufsichtsbehörden sind für die Definition des Begriffs „um- fangreich“ die Zahl der Betroffenen, die Dauer der Verarbeitung, die geografische Ausdehnung und die Menge der verarbeiteten Daten zu berücksichtigen (vgl. Ar- tikel 29- Gruppe, „Leitlinien in Bezug auf Datenschutzbeauftragte“ vom 5. April 2017 [WP 243 rev.01], Seite 9; Datenschutzkonferenz, Kurzpapier Nr. 12 „Da- tenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern“, Seite 1;

Drucksache 19/3341                                     – 14 –                 Deutscher Bundestag – 19. Wahlperiode Vorabfassung - wird durch die lektorierte Version ersetzt. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfa- len, „Häufig gestellte Fragen zum Datenschutzbeauftragten (FAQ)“, Stand: Mai 2018, Seite 7; Hessischer Datenschutzbeauftragter, „Der behördliche und be- triebliche Datenschutzbeauftragte nach neuem Recht“, Stand: Juni 2017, Seite 7). 18.   In welchen Fällen sind nach Einschätzung der Bundesregierung die nichtöf- fentlichen Stellen, die in ihrer Arbeit personenbezogene Daten verarbeiten und speichern, aus der Pflicht, sich bei einer Aufsichtsbehörde für Daten- schutz zu melden, ausgenommen? Sollten die Fragesteller auf die Mitteilung über die Bestellung eines Datenschutzbe- auftragten abzielen, so hat der Verantwortliche oder der Auftragsverarbeiter die Kon- taktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen (Artikel 37 Absatz 7 DS-GVO). Eine Ausnahme hierzu ist gesetzlich nicht vorgesehen. Die Da- tenschutzaufsichtsbehörde beabsichtigen hierzu Online-Tools zur Verfügung stellen (vgl. z. B. LDA Bayern, abrufbar unter: www.lda.bayern.de/de/dsb-meldung.html). Sollten die Fragesteller jedoch auf die Meldung von Verletzungen des Schutzes personenbezogener Daten abzielen, so hat der Verantwortliche unverzüglich und möglichst binnen 72 Stunden nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Datenschutzaufsichtsbehörden zu melden. Die Meldepflicht ent- fällt, wenn die Datenverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Artikel 33 Absatz 1 DS-GVO). Wann Letzteres letztlich der Fall ist, ist eine Frage des Einzelfalls und daher eine Anwendungsfrage, die der Beurteilung der unabhängigen Aufsichtsbehörden un- terfällt (vgl. Vorbemerkung der Bundesregierung). Erste Hinweise zur Handhabung der Meldepflicht durch die Datenschutzaufsichts- behörden finden sich beispielsweise auf der Webseite des LDA Bayern (abrufbar unter: www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf). Die Meldung kann über Online-Tools, die die Datenschutzaufsichtsbehörden zur Verfügung stellen, erfolgen (vgl. z. B. LDA Bayern, abrufbar unter www.lda.bayern. de/de/datenpanne.html). 19.   Unter welchen Bedingungen sind nach Einschätzung der Bundesregierung nichtöffentliche Stellen, die in ihrer Arbeit personenbezogene Daten verar- beiten und speichern, verpflichtet, eine oder einen Datenschutzbeauftragten zu benennen? a) Welche Unternehmen können unter welchen Bedingungen aus der Pflicht, eine oder einen Datenschutzbeauftragten zu benennen, ausgenommen werden? b) Fallen insbesondere Einrichtungen zur Ausübung „freier Berufe“ (Arzt- praxen, Apotheken, Steuerberaterbüros etc.) unter die Verpflichtung zur Bestellung einer oder eines Datenschutzbeauftragten? c) Unter welchen Bedingungen fallen die Betreiberinnen und Betreiber von nicht kommerziellen Websites, Blogs etc. und Betreiberinnen und Betrei- ber von Onlineshops unter die Verpflichtung, eine oder einen Daten- schutzbeauftragten zu benennen? Wann ein Datenschutzbeauftragter bei nichtöffentlichen Stellen zu benennen ist, richtet sich nach Artikel 37 DS-GVO sowie ergänzend nach § 38 BDSG 2018. Nach Arti- kel 37 Absatz 1 Buchstabe b und c DS-GVO haben Verantwortliche und Auftragsver- arbeiter nichtöffentlicher Stellen einen Datenschutzbeauftragten zu benennen, wenn

Deutscher Bundestag – 19. Wahlperiode             – 15 –                            Drucksache 19/3341 Vorabfassung - wird durch die lektorierte Version ersetzt.  die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfang- reiche, regelmäßige und systematische Überwachung von betroffenen Perso- nen erforderlich machen oder  die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DS-GVO be- steht. Nach § 38 BDSG 2018, der die bislang geltenden Voraussetzungen nach dem BDSG a. F. zur Benennung eines betrieblicher Datenschutzbeauftragte fortführt, ist eine Benennung eines Datenschutzbeauftragten auch in folgenden Fällen er- forderlich:  es werden in der Regel mindestens zehn Personen ständig mit der automatisier- ten Verarbeitung personenbezogener Daten beschäftigt oder  es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenab- schätzung nach Artikel 35 DS-GVO unterliegen oder  es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermitt- lung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Mei- nungsforschung verarbeitet. Ausnahmen zu den vorgenannten Pflichten zur Benennung eines Datenschutzbe- auftragten sind gesetzlich nicht vorgesehen. Weder Artikel 37 DS-GVO noch § 38 BDSG 2018 stellen gesonderte Regelungen für Betreiber von kommerziellen Websites, Blogs etc. und Online-Shops auf, sodass die vorgestellten Verpflich- tungen auch für diese Sachverhalte gelten. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Län- der (DSK) hat weitere Hinweise zur Benennung von Datenschutzbeauftragten veröffentlicht (abrufbar unter: www.bfdi.bund.de/DE/Home/Kurzmeldungen/ DSGVO_Kurzpapiere1-3.html). In Erwägungsgrund 91 Satz 4 DS-GVO wird ausgeführt, dass die Verarbeitung personenbezogener Daten von Patienten oder von Mandanten, die durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechtsan- walt erfolgt, nicht als umfangreich gelten soll, was eine der Voraussetzungen für die Verpflichtung zur Benennung eines Datenschutzbeauftragten ist. Nach Auf- fassung der Aufsichtsbehörden gilt dies auch für den Zusammenschluss von An- gehörigen eines Gesundheitsberufs in Gemeinschaftspraxen (Beschluss der Da- tenschutzkonferenz „Datenschutzbeauftragten-Bestellpflicht nach Artikel 37 Ab- satz 1 Buchstabe c, Datenschutz-Grundverordnung bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs„ vom 26. April 2018; vgl. auch Artikel 29-Gruppe, „Leitlinien in Bezug auf Datenschutzbeauftragte“ vom 5. April 2017 [WP 243 rev.01], Seite 10; Datenschutzkonferenz, Kurzpapier Nr. 12 „Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern“, Seite 1; Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein- Westfalen, „Häufig gestellte Fragen zum Datenschutzbeauftragten (FAQ)“, Stand: Mai 2018, Seite 7f.).

Drucksache 19/3341                                   – 16 –                Deutscher Bundestag – 19. Wahlperiode Vorabfassung - wird durch die lektorierte Version ersetzt. Eine Pflicht zur Benennung betrieblicher Datenschutzbeauftragter besteht unter- halb des durch § 38 Absatz 1 Satz 1 BDSG festgelegten Schwellenwertes von zehn Mitarbeitern danach nur bei atypischen Fallgestaltungen (z. B. erheblich über einer entsprechenden Praxis liegendes Datenverarbeitungsvolumen, um- fangreiche Teilnahme an Forschungsprojekten und Studien, Verwendung nicht marktüblicher Praxis-Software, Speicherung der Patientendaten in einer Cloud außerhalb der EU, vgl. Beispiele der LDI NRW, abrufbar unter: www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Datenschutzbeauftragte-fuer- Arztpraxen-und-sonstige-Angehoerige-eines-Gesundheitsberufs-_-ergaenzende- Informationen/Datenschutzbeauftragte-fuer-Arztpraxen-und-sonstige-Angehoerige- eines-Gesundheitsberufs-_-ergaenzende-Informationen.html). 20.   Inwieweit stärken die EU-DSGVO und das BDSG-neu das Löschungsrecht bzw. das sogenannte Recht auf Vergessenwerden für betroffene Personen? Das „Recht auf Löschung“ bzw. das „Recht auf Vergessenwerden“ ist in Artikel 17 DS-GVO niedergelegt. Der Verantwortliche muss allen Empfängern, denen perso- nenbezogene Daten offengelegt wurden, jede Löschung der personenbezogenen Daten grundsätzlich mitteilen und der Verantwortliche muss die betroffene Person über diese Empfänger auf Verlangen unterrichten (Artikel 19 DS-GVO). Das Lö- schungsrecht stellt ein klassisches Instrument des Selbstdatenschutzes für die be- troffene Person dar. Die Entscheidung des Europäischen Gerichtshofs in Sachen „Google-Spain“ (EuGH Urteil vom 13. Mai 2014, C-131/12 – Google Spain SL u. Google lnc./Agencia Espanola de Protección de Datos [AEPD] u. Marie Costeja Conzalez; NJW 2014, 2257 ff.), in der erstmals ein Anspruch auf das „Recht auf Vergessenwerden“ tituliert worden ist, ist in Artikel 17 Absatz 2 DS-GVO einge- flossen und vom Gesetzgeber kodifiziert worden. Das Löschungsrecht ist somit im Zusammenhang mit Internetveröffentlichungen verbessert worden. Ein spezieller Löschungsgrund wurde darüber hinaus in Artikel 17 Absatz 1 Buchstabe f DS-GVO geregelt, nämlich wenn Daten über Kinder durch Inter- netanbieter erhoben worden sind, die sich direkt an Kinder wenden. 21.   Wie wird nach dem Inkrafttreten der EU-DSGVO das sogenannte Recht auf Vergessenwerden mit dem Recht auf Informationsfreiheit (Artikel 5 Ab- satz 1 GG) in Einklang gebracht? a) Welche Studien oder Berichte zur Umsetzung vom sogenannten Recht auf Vergessenwerden in EU-Mitgliedstaaten bzw. in Drittländern liegen der Bundesregierung vor, und welche Konsequenzen zieht sie daraus? b) Wie schätzt die Bundesregierung die Gefahr ein, dass das sogenannte Recht auf Vergessenwerden öffentliche Interessen schädigen kann? c) Unter welchen Bedingungen kann der betroffenen Person die Löschung von personenbezogenen Daten bei öffentlichen Stellen verweigert werden? d) Unter welchen Bedingungen kann der betroffenen Person die Löschung von personenbezogenen Daten bei nichtöffentlichen Stellen verweigert werden? Die Fragen 21 bis 21d werden gemeinsam beantwortet. Nach Artikel 17 Absatz 3 DS-GVO besteht kein Löschungsanspruch, soweit die Verarbeitung aus einer der in dieser Vorschrift genannten Gründe erforderlich ist. Als Gründe werden in Ar- tikel 17 Absatz 3 DS-GVO ohne eine wörtliche Trennung nach öffentlichen und nichtöffentlichen Stellen benannt:

Deutscher Bundestag – 19. Wahlperiode                – 17 –                              Drucksache 19/3341 Vorabfassung - wird durch die lektorierte Version ersetzt. a) die Ausübung des Rechts auf freie Meinungsäußerung und Information; b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öf- fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Ge- sundheit gemäß Artikel 9 Absatz 2 Buchstabe h und i sowie Artikel 9 Absatz 3 DS-GVO; d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Zwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Artikel 17 Absatz 1 DS-GVO genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung un- möglich macht oder ernsthaft beeinträchtigt, oder e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprü- chen. Über den Begriff der Erforderlichkeit können die entsprechenden Abwägungs- entscheidungen im Einzelfall zwischen den kollidierenden Interessen der be- troffenen Person und den Interessen des Verantwortlichen bzw. öffentlichen In- teressen getroffen werden, sodass in Artikel 17 DS-GVO selbst ausgleichende Regelungen angelegt worden sind. Ergänzend regelt § 35 BDSG 2018 weitere Einschränkungen des Löschungsrechts. Diese Regelung gilt sowohl für öffentli- che als auch für nichtöffentliche Stellen. Der Bundesregierung liegen keine Studien oder Berichte zur Umsetzung zum Recht auf Vergessenwerden in EU-Mitgliedstaaten bzw. in Drittländern vor. 22.   Wie wird nach dem Inkrafttreten der EU-DSGVO und des BDSG-neu der Schutz der sensiblen Daten in Deutschland gestärkt (vgl. die Antwort des Parlamentarischen Staatssekretärs Stephan Mayer auf die Schriftliche Frage 15 des Abgeordneten Sven Lehmann auf Bundestagsdrucksache 19/1908)? a) Welche Maßnahmen wurden für den Schutz der sensiblen Daten getrof- fen? b) Welche Maßnahmen wurden für den Schutz der Gesundheitsdaten getrof- fen? c) Inwiefern wird die Umsetzung der EU-DSGVO und des BDSG-neu die Datensicherheit bei Anwendung der elektronischen Gesundheitskarte (eGK) stärken (vgl. die Antwort der Bundesregierung auf die Kleine An- frage der Fraktion DIE LINKE. „Mögliche Datenschutzprobleme und technische Unsicherheiten bei der Einführung der elektronischen Gesund- heitskarte“ auf Bundestagsdrucksache 18/3235)? Die Fragen 22 bis 22c werden gemeinsam beantwortet. Der Artikel 9 DS-GVO sieht für die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Über- zeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verar- beitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizie- rung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person gegenüber Artikel 6 DS- GVO erhöht Rechtmäßigkeitsanforderungen vor.

Drucksache 19/3341                                – 18 –                Deutscher Bundestag – 19. Wahlperiode Vorabfassung - wird durch die lektorierte Version ersetzt. Grundsätzlich ist die Verarbeitung solcher Daten verboten (Artikel 9 Absatz 1 DS-GVO) und wird nur ausnahmsweise unter detaillierten und strengen Voraus- setzungen gestattet (Artikel 9 Absatz 2 bis 4 DS-GVO). Der Katalog in Artikel 9 Absatz 2 DS-GVO ist abschließend. Danach zugelassene legislative Maßnahmen werden an konkrete Anforderungen, wie „geeignete Garantien für die Grund- rechte und die Interessen der betroffenen Person“ (Artikel 9 Absatz 2 Buchstabe b DS-GVO) oder „angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person“ (Artikel 9 Absatz 2 Buchstabe i DS-GVO) geknüpft. Soweit Artikel 9 Absatz 2 Buchstabe b, g, h, i und j DS-GVO mitgliedstaatliche Regelungen voraussetzen, hat der deutsche Gesetz- geber von der Möglichkeit der nationalen Regelung mit § 22 BDSG 2018 Ge- brauch gemacht. § 22 Absatz 2 BDSG 2018 sieht Sicherungen vor, um die Erfor- dernisse aus Artikel 9 Absatz 2 Buchstaben b, g, i und j DS-GVO, geeignete Ga- rantien und angemessene spezifische Schutzmaßnahmen umzusetzen. Zu mögli- chen Sicherungsmaßnahmen bei der Verarbeitung sensibler Daten gehören unter anderem technisch-organisatorische Maßnahmen, Sensibilisierung der an Verar- beitungsvorgängen Beteiligten, Benennung eines Datenschutzbeauftragten, Be- schränkung des Zugangs zu den Daten, Pseudonymisierung und Verschlüsselung. Die §§ 26, 27 BDSG 2018 sehen im nationalen Recht für die Verarbeitung be- sonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungs- verhältnisses bzw. zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken weitere Rechtsgrundlagen vor. Auch bei diesen Vorschriften finden die spezifischen Sicherungen gemäß § 22 Absatz 2 Satz 2 BDSG 2018 Anwendung (§§ 26 Absatz 3 Satz 3, 27 Absatz 1 Satz 2 BDSG 2018). Gegenüber der früheren Regelung in Artikel 8 der Richtlinie 95/46/EG des Euro- päischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Warenver- kehr hat der EU-Gesetzgeber in Artikel 9 DS-GVO genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person sowie Daten zur sexuellen Orientierung als besondere Kategorien personenbezogenen Daten neu aufgenommen und der Begriff „philosophische Überzeugungen“ durch „weltan- schauliche Überzeugungen“ ersetzt. Wie die Bundesregierung bereits in der Antwort auf die in Buchstabe c der Frage angesprochene Kleine Anfrage der Fraktion DIE LINKE. auf Bundestagsdruck- sache 18/3235 vom 18. November 2014 ausgeführt hat, hat der Datenschutz bei der Einführung der Telematikinfrastruktur und der elektronischen Gesundheits- karte höchste Priorität und wird durch rechtliche und technische Maßnahmen si- chergestellt. Der Sicherstellung von Datenschutz und Datensicherheit kommt in den bereichsspezifischen gesetzlichen Vorgaben für den Aufbau und die Nutzung der Telematikinfrastruktur bereits eine hohe Bedeutung zu. Das neue – durch die DS-GVO und die nationalen Anpassungsgesetze geprägte – Datenschutzrecht schreibt im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort. Die bekannten Grundsätze für die Rechtmäßigkeit der Ver- arbeitung personenbezogener Daten bleiben bestehen. Die DS-GVO hat insofern keine spezifischen Auswirkungen auf die Regelungen des Fünften Buches Sozi- algesetzbuch (SGB V) im Zusammenhang mit dem Aufbau der Telematikin- frastruktur und den Anwendungen der elektronischen Gesundheitskarte. Vorge- sehene Änderungen in den §§ 291 ff SGB V betreffen Anpassungen an die Be- grifflichkeiten der DS-GVO.

Deutscher Bundestag – 19. Wahlperiode                 – 19 –                               Drucksache 19/3341 Vorabfassung - wird durch die lektorierte Version ersetzt. 23.   Wie ändert die EU-DSGVO nach Einschätzung der Bundesregierung die Re- geln für den Versand von Werbesendungen per Post? a) Sind die Versender von Werbesendungen per Post verpflichtet, auch ohne Nachfrage Empfänger ihrer Werbepost zu informieren, bei welcher Quelle sie die personenbezogenen Daten erhoben haben? b) Sind die Versender von Werbesendungen per Post verpflichtet, wenn per- sonenbezogene Daten nicht bei der betroffenen Person erhoben wurden, auch ohne Nachfrage Empfängern den Namen und die Kontaktdaten des Verantwortlichen mitzuteilen? c) Sind bei Versand von Werbesendungen per Post andere Rechtmäßigkeits- voraussetzungen für die Datenverarbeitung außer der Einwilligung der betroffenen Person gültig, und wenn ja, welche (vgl. Artikel 6 (1) EU- DSGVO)? 24.   Wie ändert die EU-DSGVO nach Einschätzung der Bundesregierung die Re- geln für den Versand von Werbesendungen per E-Mail oder per SMS? a) Sind die Versender von Werbesendungen per E-Mail oder per SMS ver- pflichtet, auch ohne Nachfrage Empfänger ihrer Werbepost zu informie- ren, bei welcher Quelle sie die personenbezogenen Daten erhoben haben? b) Sind die Versender von Werbesendungen per E-Mail oder per SMS ver- pflichtet, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, auch ohne Nachfrage Empfängern den Namen und die Kontaktdaten des Verantwortlichen mitzuteilen? c) Sind die Versender von Werbesendungen per E-Mail oder per SMS ver- pflichtet, auch ohne Nachfrage Empfänger zu informieren, welche tech- nischen Maßnahmen für den Datenschutz getroffen werden? d) Sind bei Versand von Werbesendungen per E-Mail oder per SMS andere Rechtmäßigkeitsvoraussetzungen für die Datenverarbeitung außer der Einwilligung der betroffenen Person gültig, und wenn ja, welche (vgl. Ar- tikel 6 (1) EU-DSGVO)? 25.   Fallen nach Einschätzung der Bundesregierung die Newsletter per Post, per E-Mail oder per SMS unter dieselbe Regelung wie die Werbung per Post, per E-Mail oder per SMS? Wenn nicht, welche Abweichungen gibt es? 26.   Wie ändert die EU-DSGVO nach Einschätzung der Bundesregierung die Re- geln für Werbung per Telefon? a) Sind die Werber per Telefon verpflichtet, auch ohne Nachfrage Nutzer zu informieren, bei welcher Quelle sie die personenbezogenen Daten erho- ben haben? b) Sind die Werber per Telefon verpflichtet, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, auch ohne Nachfrage Emp- fängern den Namen und die Kontaktdaten des Verantwortlichen mitzuteilen? c) Sind bei Werbung per Telefon andere Rechtmäßigkeitsvoraussetzungen für die Datenverarbeitung außer der Einwilligung der betroffenen Person gültig, und wenn ja, welche (vgl. Artikel 6 (1) EU-DSGVO)? Die Fragen 23 bis 26 werden aufgrund des Sachzusammenhangs zusammen be- antwortet.

Drucksache 19/3341                                   – 20 –                 Deutscher Bundestag – 19. Wahlperiode Vorabfassung - wird durch die lektorierte Version ersetzt. Die DS-GVO hat die bis zum 24. Mai 2018 anwendbaren Regelungen des BDSG a. F. betreffend die Datenverarbeitung zu Werbezwecken (insbes. §§ 28, 29 BDSG a. F.) abgelöst. Als Rechtsgrundlagen für Datenverarbeitungen zum Zwe- cke der Werbung kommen insbesondere Artikel 6 Absatz 1 Buchstabe a und f DS-GVO in Betracht. Nach Erwägungsgrund 47 der DS-GVO kann die Verarbei- tung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung im Sinne von Artikel 6 Absatz 1 Buchstabe f DS-GVO betrachtet werden. Daneben müssen für die Verarbeitung von personenbezogenen Daten zum Zwecke der Direktwerbung auf Grundlage des Artikel 6 Absatz 1 Buchstabe f DS-GVO aber noch dessen weitere Voraus- setzungen (Erforderlichkeit der Datenverarbeitung für die Wahrung der berech- tigten Interessen des Werbetreibenden und kein Überwiegen der Interessen oder Grundrechte der betroffenen Person, insbesondere dann, wenn es sich bei der be- troffenen Person um ein Kind handelt) erfüllt sein. Werden personenbezogene Daten zum Zwecke der Direktwerbung verarbeitet, hat die betroffene Person nach der DS-GVO das Recht, jederzeit Widerspruch gegen diese Datenverarbeitung einzulegen (Artikel 21 Absatz 2 DS-GVO). Hat die betroffene Person in die Da- tenverarbeitung zu Zwecken der Werbung gemäß Artikel 6 Absatz 1 Buchstabe a DS-GVO eingewilligt, kann diese Einwilligung jederzeit widerrufen werden (Ar- tikel 7 Absatz 3 DS-GVO). Der für die Datenverarbeitung Verantwortliche hat die in Artikel 13 und 14 sowie Artikel 7 Absatz 3 Satz 2 und Artikel 21 Absatz 4 DS-GVO normierten Informationspflichten zu beachten. Bei Newslettern handelt es sich in der Regel um Werbung. Darüber hinaus sind auch wettbewerbsrechtliche Regelungen zu beachten. Wer- bung ist nach § 7 Absatz 2 Nummer 1 des Gesetzes gegen den unlauteren Wett- bewerb (UWG) unzulässig, wenn durch sie ein Verbraucher hartnäckig angespro- chen wird, obwohl er dies erkennbar nicht wünscht. Nach § 7 Absatz 2 Nummer 3 UWG ist für E-Mail Werbung eine vorherige ausdrückliche Einwilligung des Ad- ressaten erforderlich. Ohne eine solche Einwilligung ist Werbung per E-Mail nach § 7 Absatz 3 UWG erlaubt, wenn 1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienst- leistung von dem Kunden dessen elektronische Postadresse erhalten hat, 2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet, 3. der Kunde der Verwendung nicht widersprochen hat und 4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deut- lich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basista- rifen entstehen. Nach § 7 Absatz 2 Nummer 2 UWG ist Werbung mit einem Telefonanruf gegen- über einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßli- che Einwilligung unzulässig. 27.   Welche Berichte bezüglich der Einhaltung der neuen Regelung, durch die Be- treiber von Werbesendungen per Post, per E-Mail bzw. Werbung per Telefon liegen der Bundesregierung vor, und welche Konsequenzen zieht sie daraus? Der Bundesregierung liegen keine Berichte vor, die sich mit der Einhaltung durch die Betreiber von Werbesendungen per Post, per E-Mail bzw. Werbung per Tele- fon an die neue Regelung befassen.