Bericht : Die Europäische Datenschutzreform – eine erste Stellungnahme des LfD Baden-Württemberg zum Trilogergebnis: 32. TB (2014/15) Ziff. 1.2 : aus der RDV 2/2016, Seite 103 bis 105
Am 15. Dezember 2015 hat die Europäische Kommission mitgeteilt, dass eine Einigung im Trilogverfahren erzielt wurde. Voraussichtlich im April 2016 soll dann die Verordnung vom Europäischen Parlament und durch den EU-Ministerrat verabschiedet und anschließend im Amtsblatt der EU veröffentlicht werden. Zwei Jahre darauf wird die EU-DSGVO in Kraft treten.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat im Berichtszeitraum in zwei Entschließungen und in einem umfangreicheren Kernpunktepapier zum Stand des Gesetzgebungsverfahrens Stellung genommen (Entschließungen vom 28. März 2014 und 19. März 2015, vgl. Anhänge 5 und 18, sowie „Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen zur Datenschutz-Grundverordnung“ vom 29. Juli 2015[1]).
Der jetzt gefundene Kompromiss trägt den Forderungen der unabhängigen deutschen Datenschutzbehörden in vielen Punkten Rechnung, begegnet an mancher Stelle aber auch Kritik. Positiv zu bewerten sind die folgenden Kernelemente der Neuregelung:
- Marktortprinzip:
Danach soll das Europäische Datenschutzrecht künftig auch für außereuropäische Unternehmen gelten, wenn diese Waren oder Dienstleistungen für den europäischen Markt anbieten.
- Recht auf Vergessen:
Betroffene solle künftig bei der Durchsetzung ihres Löschungsanspruchs gegenüber Dritten von der verantwortlichen Stelle stärkere Unterstützung erhalten als bisher.
- Recht auf Datenübertragbarkeit:
Die Nutzer sozialer Netzwerke sollen vom jeweiligen Anbieter des Netzwerkes ihre Daten in einem Format herausverlangen dürfen, das es ihnen ermöglicht, diese Daten bei einem anderen Anbieter weiter zu nutzen.
- Privacy-by-Design/Privacy-by-Default:
Wenn bereits Hersteller zu datenschutzfreundlichen Produkten und Voreinstellungen verpflichtet werden, stärkt dies die Datenschutzrechte der Betroffenen.
- Gesetzliche Verpflichtung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter:
Betriebliche und behördliche Datenschutzbeauftragte, deren Bestellung in Deutschland bislang in weitem Umfang gesetzlich vorgeschrieben war, haben sich als wichtiges Element einer effektiven Datenschutzaufsicht bewährt. Deshalb ist zu begrüßen, dass die Datenschutz-Grundverordnung die Bestellung von Datenschutzbeauftragten europaweit zumindest bei allen öffentlichen Stellen und solchen nicht-öffentlichen Stellen, die besonders risikoreiche Datenverarbeitungen vornehmen, verbindlich vorschreibt und dem EU-Gesetzgeber und den Mitgliedstaaten die Möglichkeit eröffnet, eine weitergehende Bestellpflicht einzuführen. Damit wird eine Harmonisierung auf einem gewissen Mindeststandard erreicht.
- Datenschutz-Folgenabschätzungen:
Für Datenverarbeitungen mit bestimmten Risiken ist künftig die Durchführung einer Datenschutzfolgenabschätzung verbindlich vorgeschrieben.
- Selbstregulierung und Zertifizierung:
Die Datenschutz-Grundverordnung sieht einen Rahmen für die Schaffung von Verhaltensregeln und Zertifizierungsverfahren vor.
- Effektive Durchsetzung des Datenschutzrechts:
Im Vergleich zum bisherigen deutschen Datenschutzrecht sieht die Datenschutz-Grundverordnung die Verhängung weit höherer Bußgelder vor, als bislang möglich. Zudem können die Datenschutzaufsichtsbehörden künftig durchsetzbare Anordnungen und Bußgelder nicht nur gegen nicht-öffentliche Stellen, sondern auch gegenüber Behörden erlassen.
- Bessere Kontrolle über Datenübermittlungen aus der EU an Behörden und Gerichte in Drittstaaten:
Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden, insbesondere Sicherheitsdiensten, eines Drittstaates, die einer Stelle in der EU die Übermittlung personenbezogener Daten in den Drittstaat auferlegen, stellen nach europäischem Recht keine hinreichende Rechtsgrundlage für diese Übermittlung dar; vielmehr müssen die allgemeinen Vorgaben für einen Drittstaatentransfer beachtet werden oder es bedarf internationaler Übereinkommen zur Rechts- und Amtshilfe als Grundlage für solche Übermittlungen.
- Bessere Kooperation der Datenschutzaufsichtsbehörden in Europa:
Für grenzüberschreitende Fälle sieht die Datenschutz-Grundverordnung eine stärkere Kooperation der Datenschutzaufsichtsbehörden als bisher vor. Den Unternehmen soll im Wesentlichen die Aufsichtsbehörde an ihrem Hauptsitz als Ansprechpartner zur Verfügung stehen. Bürger können sich bei der Aufsichtsbehörde in ihrem Heimatland beschweren, die den Sachverhalt – sofern er grenzüberschreitend ist – mit den übrigen betroffenen Aufsichtsbehörden unter Federführung der Aufsichtsbehörde am Hauptsitz des Unternehmens klären soll.
- Beibehaltung der Zweckbindung im bisher gültigen Umfang:
Der Grundsatz der Zweckbindung ist eine tragende Säule des gültigen Datenschutzrechts und gilt weiterhin. In einigen Punkten hätte man sich mutigere und datenschutzfreundlichere Lösungen vorstellen können. Das betrifft insbesondere folgende Punkte:
- Datenschutzfreundliche Regelung zur Einwilligung des Betroffenen:
Die Chance, stillschweigende bzw. konkludente Einwilligungen generell auszuschließen, wurde nicht genutzt. Eine ausdrückliche Einwilligung ist (auch) künftig nur für die Verarbeitung besonders sensibler personenbezogener Daten erforderlich.
- Ausdrückliche Regelung des Grundsatzes der Datensparsamkeit:
Die Datenschutzgrundverordnung enthält keine ausdrückliche Regelung des Grundsatzes der Datensparsamkeit. Dies wäre jedoch sinnvoll gewesen, um den Herausforderungen des Einsatzes von Big-Data-Technologien wirksam begegnen zu können.
- Wirksame Begrenzung der Profilbildung:
Die Datenschutzgrundverordnung enthält keine hinreichend detaillierten Regelungen zur Profilbildung. Ein wichtiger Bereich des materiellen Datenschutzrechts wurde damit im Gesetzgebungsverfahren nicht klar und abschließend geregelt.
Die deutschen Datenschutzbehörden haben bereits mit einer Bestandsaufnahme begonnen, welche Aufgaben und Befugnisse durch die EU-Datenschutz-Grundverordnung neu auf sie zukommen werden und wie sie ihre internen Abläufe und die Zusammenarbeit mit anderen Aufsichtsbehörden auf die neuen gesetzlichen Vorgaben ausrichten können. Wichtig dürfte dabei auch die Frage werden, wer in Zukunft in welchen Fällen für Deutschland in Europa sprechen darf. Dies könnte durch ein Bundesgesetz, einen Staatsvertrag oder eine Selbstregulierung der Datenschutzbehörden in Form einer Geschäftsordnung geregelt werden. Die größte Herausforderung für die deutschen Datenschutzaufsichtsbehörden, aber auch für die Rechtsanwender, d.h. die Betroffenen und die verantwortlichen Stellen (Unternehmen und Behörden) in Deutschland, wird jedoch sicherlich sein, dass sie sich mit den anderen Akteuren, insbesondere den Aufsichtsbehörden der übrigen europäischen Mitgliedstaaten auf ein einheitliches Verständnis und einen einheitlichen Vollzug des neuen Rechts werden einigen müssen.
(Redaktion)
[1] Vgl. http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2013/02/Datenschutzrechtliche-Kernpunkte-DSGVO.pdf