Deutlich weitreichender ist zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung die Datenschutzrichtlinie DS-RICHTLINIE (EU) 2016/680 vom 27.4.2016 (Datenschutz-Grundverordnung oder DSGVO), die nach Art. 56 bei einem Verstoß Schadenersatz wegen materieller und immaterieller Schäden für die Betroffenen statuiert. Die Umsetzungsfrist läuft bis zum 25.5.2018.
Die Zielrichtung ist, natürliche Personen über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten zu informieren und zu klären, wie sie ihre diesbezüglichen Rechte geltend machen können. Dabei soll die Eindeutigkeit des Zwecks zum Zeitpunkt der Erhebung feststehen. Die personenbezogenen Daten sollen für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sein. Es soll insbesondere sichergestellt werden, dass nicht übermäßige personenbezogene Daten erhoben und sie nicht länger aufbewahrt werden, als dies für den Zweck, zu dem sie verarbeitet werden, erforderlich ist. Personenbezogene Daten sollen nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden, soll der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung festlegen.
Personenbezogene – auch pseudonyme – Daten werden bei der Verkehrsüberwachung verarbeitet, auch wenn der Personenbezug nicht ausschließbar ist (Negativbeweis!). Nach Art. 4 DSGVO handelt es sich bei "personenbezogenen Daten" um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Festzuhalten bleibt daher, dass das materielle Datenschutzrecht eingreift.
Die in Art. 19 und 20 DSGVO geregelten Pflichten des Verantwortlichen bestehen darin, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherstellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung in Übereinstimmung mit dieser Richtlinie erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert und müssen gemäß Abs. 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. Dies beinhaltet Vorkehrungen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie die Vorgabe, für die Verarbeitung und deren Zeitpunkt angemessene technische und organisatorische Maßnahmen – wie z.B. Pseudonymisierung – zu treffen, die dafür ausgelegt sind, Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen.
Dieser Pflichten kann sich der Staat auch nicht durch "Delegation" an Private entledigen, weil ihn nach Art. 22 Abs. 1 DSGVO als Auftragsverarbeiter die Verantwortung trifft, dass im Falle einer Verarbeitung im Auftrag eines Verantwortlichen dieser "nur mit Auftragsverarbeitern arbeitet, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Richtlinie erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“. Diese Verpflichtung stellt sich dann in Abs. 3 folgendermaßen dar, dass der durch Vertrag oder ein anderes Rechtsinstrument bevollmächtigte nunmehrige Auftragsverarbeiter"
a) nur auf Weisung des Verantwortlichen handelt,
b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen,
c) den Verantwortlichen mit geeigneten Mitteln dabei unterstützt, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten,
d) alle personenbezogenen Daten nach Abschluss der Erbringung der Verarbeitungsleistungen – nach Wahl des Verantwortlichen – zurückgibt bzw. löscht und bestehende Kopien vernichtet, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht,
e) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt,
f) die in den Absätzen 2 und 3 aufgeführten Bedingungen für die Inanspruchnahme der Dienste ein...