EU-Datenschutz-Grundverordnung: Stand 2015

Die Datenschutz-Grundverordnung ist eine geplante Verordnung der EU, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden sollen. Die Datenschutzreform wird seit drei Jahren diskutiert, nun scheinen sich die Justizminister der EU-Staaten geeinigt zu haben. Damit kann nun der Trilog beginnen, in dem die endgültige Fassung zwischen Ministerrat, Kommission und EU-Parlament abgestimmt wird. Die EU-Datenschutz-Grundverordnung steht damit vor dem Erlass. Der folgende Beitrag soll die Datenschutz-Grundverordnung vorstellen und einen Überblick über den Werdegang und derzeitigen Stand geben.

Intention der Datenschutz-Grundverordnung

Durch Schaffung der Datenschutz-Grundverordnung soll einerseits der Schutz von personenbezogenen Daten innerhalb der EU sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Datenschutz-Grundverordnung ist Teil der beabsichtigten Datenschutzreform der EU, welche von der Europäischen Kommission am 25. Januar 2012 angestoßen wurde.

Die Datenschutz-Grundverordnung soll als europäisches Normenwerk die europäische Richtlinie und die nationalen Gesetze ablösen. Bisher sind 28 unterschiedliche Datenschutz-Systeme mit unterschiedlicher Schutzintensität in den Mitgliedsstaaten vorzufinden. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten gelten. Den Mitgliedsstaaten wird es daher nicht mehr möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken.

Die Datenschutz-Grundverordnung würde sich nicht nur an europäische Unternehmen wenden, sondern müsste auch von solchen beachtet werden, die ihren Sitz bspw. in den USA haben. Sie soll nämlich auch für Unternehmen gelten, die ihren Sitz außerhalb der Europäischen Union haben, sich mit ihren Angeboten aber an EU-Bürger wenden. Betroffen davon wären unter anderem amerikanische Unternehmen wie Facebook und Google, die derzeit dem Safe Harbor-Abkommen unterfallen.

Mit der Verordnung sollen unter anderem das Recht auf Vergessenwerden und das Recht auf Datenportabilität eingeführt werden.

Das Recht auf Vergessenwerden

Das Recht auf Vergessenwerden soll verhindern, dass digitale Informationen mit einem Personenbezug dauerhaft im Internet aufzufinden sind. Nach dem Modell des Rechts- und Politikwissenschaftler Viktor Mayer-Schönberger sollen elektronisch gespeicherte Informationen mit einem Ablaufdatum versehen werden, nach dessen Ablauf die Information automatisch gelöscht wird. Somit würde sicher gestellt werden, dass ohne weiteres Zutun einer Person Daten und Informationen nur für eine bestimmte Zeit auffindbar sind.

Das Recht auf Vergessenwerden ist momentan zwar nicht ausdrücklich gesetzlich geregelt, es gibt jedoch Normen in einzelnen Datenschutzgesetzen – in Deutschland bspw. im BDSG, dem Bundesdatenschutzgesetz – die in die gleiche Richtung zielen. Hierzu gehören festgelegte Voraussetzungen, bei deren Vorliegen personenbezogene Daten zu löschen sind. Auch die Datenschutzprinzipien der Datensparsamkeit und Datenvermeidung gehen auf die gleichen Ansätze zurück und sind gesetzlich geregelt. Sie gehen in erster Linie allerdings auf die grundsätzliche Minderung von überhaupt erst gesammelten Informationen und stellen nur Grundsätze dar. In die gleiche Richtung wie das Recht auf Vergessenwerden zielen zwar auch gesetzliche Regelungen zur Speicherdauer von Straftaten und Aufbewahrungsfristen für Informationen, diese sorgen aber grade nicht dafür, dass Daten automatisch nach dem Ablauf gelöscht werden. Es ist eine Kontrolle und in der Regel das Tätigwerden einzelner Personen vonnöten.

Im ersten Entwurf der EU-Datenschutz-Grundverordnung war das Recht auf Vergessenwerden eingeführt worden mit der Begründung, dass jede Person ein Recht auf Vergessenwerden besitzen solle, wenn die Speicherung ihrer Daten unter Verstoß gegen die Verordnung erfolgt ist. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht weiter verarbeitet werden, wenn sich die Zwecke, für welche die Daten erhoben wurden, erübrigt haben, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen unter Verstoß gegen die Verordnung erfolgt ist. Dieses Recht sei besonders wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die Daten – besonders die im Internet gespeicherten – später löschen möchte.

Nach dem Entwurf der Europäischen Kommission sollen Daten allerdings anders als im grundsätzlichen Modell nicht mit einem Verfallsdatum ausgestattet werden, sondern nur die Zweckbindung und die Speicherfristen sollen besser überwacht und kontrolliert werden. Das Recht auf Vergessenwerden bleibt somit unter der grundsätzlich denkbaren Intensität zurück.

Das Recht wurde für die Abstimmung am 21. Oktober 2013 aus dem Entwurf entfernt und auf das Recht auf Löschung beschränkt, wird nun aber wieder als Teil der Datenschutz-Grundverordnung begriffen. Mittlerweile hat der EuGH ohnehin in einem Grundsatzurteil entschieden, dass jeder das Recht hat, Links zu unliebsamen Informationen über sich aus Suchmaschinen löschen zu lassen. Die Verordnung würde sich zumindest in diesem Punkt also letztlich nur noch an die schon geltende Entscheidungspraxis angleichen.

Bisheriger Verlauf (Stand Mitte 2015)

Die Reformbemühungen begannen Anfang 2012 mit dem ersten Entwurf der EU-Kommission und ziehen sich bis zum heutigen Tage. Erst nach Inkrafttreten der Verordnung wird das deutsche BDSG abgelöst. Nachfolgend soll der bisherige Verlauf dargestellt werden.

Am 25.1.2012  wurde von der Europäischen Kommission der erste Vorschlag für die Datenschutz-Grundverordnung vorgelegt. Der Vorschlag bestand aus zwei Teilen: Einem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie einem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Durch die Verordnung strebte die Europäische Kommission dabei richtungsweisende Änderungen an. Dazu gehörte die strikte Reglementierung von Profilbildungen, ein effektiverer Schutz von Minderjährigen, insbesondere durch eine Anhebung der Altersgrenzen, die Förderung des Selbstdatenschutzes, ein vereinfachter Zugriff auf eigene personenbezogene Daten bei Dienstleistern, ein pauschalierter Schadensersatzanspruch bei Datenschutzverstößen sowie praxistaugliche Regelungen zum technisch-organisatorischen Datenschutz, hierbei in erster Linie die Grundsätze der Vertraulichkeit, der Integrität, der Verfügbarkeit, der Nichtverletzbarkeit und der Transparenz anerkennen und ausgestalten. Auch eine grundsätzliche Pflicht zur Löschung von Nutzerdaten nach der Beendigung von  Nutzungsvorgängen wurde vorgeschlagen.

Fast 10 Monate später, am 6. 11. 2012 hat der Deutsche Bundestag zum Vorschlag der Europäischen Kommission Stellung genommen. In den ersten Monaten ergingen dabei so viele Änderungsvorschläge, dass die Verordnung vor dem Scheitern stand.

 Der für die Verordnung zuständige Parlamentarier musste in der Folge 4.000 Änderungsanträge abarbeiten. Ein hieraus gefertigter, abstimmungsfähiger Entwurf wurde am 21.10.2013 vom LIBE-Ausschuss des Europäischen Parlaments in einer außerordentlichen Sitzung den Entwurf zur Änderung der durch die EU-Kommission vorgelegten Datenschutz-Grundverordnung angenommen und die Aufnahme von Verhandlungen mit dem Rat der Europäischen Union beschlossen. Zum ursprünglichen Entwurf ergaben sich dabei mannigfaltige Änderungen. Hierzu gehörte, dass Stellen, welche sensible Daten verarbeiten, einen gesonderten Betriebsdatenschutzbeauftragten ernennen, eine Risikoanalyse und eine Folgenabschätzung durchführen und die Einhaltung der Regeln alle zwei Jahre durch einen externen Experten überprüfen lassen müssen. Datenschutzpannen müssten weiterhin ohne ungerechtfertigte Verzögerung den Betroffenen mitgeteilt werden, wobei 72 Stunden als angemessen angesehen sein sollen. Im Entwurf war auf eine „unverzügliche” Information und damit in der Regel auf eine 24-Stunden-Frist abgestellt. Die Nutzung persönlicher Daten soll prinzipiell eine frei abgegebene, spezifische und informierte Einwilligung des Betroffenen benötigen. Schweigen oder Inaktivität dürfe nicht als Hinweis darauf verstanden werden. Für das Erstellen von Nutzerprofilen gelten ähnliche Anforderungen, Ausnahmen sind für statistische und Forschungszwecke vorgesehen sowie beim Verwenden pseudonymisierter oder anonymer Daten. Die ursprünglich gesonderte Regelung zur Portabilität persönlicher Informationen in einem eigenen Artikel wurde aufgegeben, entsprechende Bestimmungen finden sich nun eingebaut in Artikel 15. Eingang gefunden haben auch die Rechte auf Löschung sowie zur Korrektur und Einsichtnahme in Datenbestände.

Grundlegende Einigung Mitte 2015

Am 15.06.2015 hat der Rat der Europäischen Union eine Einigung über die Datenschutz-Grundverordnung erzielt. Der Rat veröffentlichte sowohl das beschlossene Dokument als auch die Positionen der Mitgliedsstaaten. Ein Teil der Reform besteht in dem sog. Recht auf Vergessenwerden, mit dem Internetnutzer von Suchmaschinen verlangen können, nicht mehr auf bestimme Inhalte zu verweisen, die das Recht auf Privatsphäre und Datenschutz verletzen. Die Normierung würde insoweit die schon geltende Rechtsprechung des EuGH zum Recht auf Vergessenwerden aufgreifen und in die Verordnung mit aufnehmen.

Verbessern soll sich außerdem weiterhin die Datenportabilität, zum Beispiel zwischen sozialen Netzwerken, um einen Anbieterwechsel zu erleichtern und so die Konkurrenz zwischen den Diensten anzufachen. Zudem soll es klarerer Grenzen geben für automatisiertes Erstellen von Nutzerprofilen, die persönlichen Eigenschaften wie Arbeitsleistung, wirtschaftlicher Situation, Gesundheit, Vorlieben und ähnlichem nachspüren.

Betroffene sollen sich weiterhin an ihre nationalstaatlichen Gerichte wenden können, unabhängig vom Ort der Niederlassung des Onlinedienstes, der die Daten nutzt. Einem zuwiderhandelnden Unternehmen drohen hierdurch Bußgelder bis zu 1 Million Euro oder 2% ihres weltweiten Jahresumsatzes.

Bezogen auf den Datentransfer in Drittstaaten und zu internationalen Organisationen  soll mit Beteiligung der Mitgliedsstaaten und dem Europäischen Parlament die Europäische Kommission die Entscheidungskompetenz erhalten zu entscheiden, ob ein bestimmter Drittstaat bzw. eine internationale Organisation einen ausreichendenden Grad an Datenschutz bietet. Ergeht eine solche Entscheidung nicht, ist ein Datentransfer nur denkbar, wenn angemessene Schutzmechanismen greifen. Hierzu gehören Standarddatenschutzklauseln, binding corporate rules, erarbeitet von der Artikel-29-Datenschutzgruppe oder Vertragsklauseln.

Erster Trilog und Fristen

Wohl auch aufgrund der Snowden-Affäre wurde der politische Druck so groß, dass man sich bereits Mitte Juni zum ersten Trilog zusammenfand. Der Trilog ist eine Verhandlung zwischen EU-Kommission, EU-Parlament und Ministerrat und fand zunächst am 24.06.2015 statt. Ziel des Triloges ist es, eine fertige Version der Datenschutz-Grundverordnung vorzuweisen.

Mit der Übermittlung der Position des Rates an das Europäische Parlament hat die 3-Monats-Frist gemäß Art. 249 VII des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) begonnen. Innerhalb dieser muss das Parlament den Standpunkt des Rates billigen bzw. eine Äußerung unterlassen. Stimmt es mit der Sichtweise des Rates nicht überein, kann das Parlament mit qualifizierter Mehrheit Abänderungen verlangen. Im letzteren Fall käme es ab Eingang der Abänderungen zu einer weiteren 3-Monats-Frist gemäß Art. 294 VIII AEUV, in welcher der Rat wiederum diese Abänderungen billigen oder nicht billigen könnte. Käme eine solche Billigung nicht zustande, müsste ein Vermittlungsausschusses einberufen werden.

Am 06.07.2015 ist ein weiterer Leak öffentlich geworden, in welchem ein auf den 02.07.2015 datiertes Dokument offenbart wurde, das die bisherigen Ergebnisse des Trilogs festgehalten wurden und insbesondere von den Parteien vorgebrachte Einigungsvorschläge enthält.

Aus dem Leak geht die angestrebte Definition eines “Repräsentaten” oder treffender Vertreters im Sinne von Artikel 4 der Datenschutz-Grundverordnung hervor: Dies sei eine in der EU niedergelassene natürliche oder juristische Person, die von einem Aufseher im Sinne des Artikel 25 Datenschutz-Grundverordnung schriftlich bestimmt sei, diesen Aufseher in seinen Pflichten gemäß dieser Verordnung zu vertreten. Der Verweis auf Artikel 25 Datenschutz-Grundverordnung bezieht sich auf Aufseher, die nicht in der EU niedergelassen werden, zu denen ein Datentransfer bislang also nicht ohne weiteres nach den EU-Vorschriften sicher ablief.

Ausblick auf 2015 und die Zukunft

Die letzte Feinabstimmung erfolgt nun weiterhin im bereits begonnenen Trilog zwischen Europäischer Kommission, Europäischem Parlament und dem Rat der EU. Das derzeit erklärte politische Ziel der Trilog-Verhandlungen ist es, die Verhandlungen im Laufe des Jahres 2015 abzuschließen. Die EU-Datenschutzgrundverordnung könnte dann 2018 in Kraft treten. Nicht nur angesichts der in der Vergangenheit umstrittenen und unterschiedlichen Positionen erscheint die Einhaltung dieses zeitlichen Ziels jedoch als äußerst anspruchsvoll. Man wird mit Spannung verfolgen können, ob das vor allem zeitlich ambitionierte Ziel vom trilog eingehalten werden kann.

Für die nicht-öffentlichen Sitzungen des Trilogs ist folgender Ablauf geplant:

  • September 2015: Grundprinzipien, Betroffenenrechte und ADV
  • Oktober 2015: Aufsichtsbehörden, deren Kooperation sowie Rechtsmittel, Haftung und Sanktionen
  • November 2015: Ziele, sachlicher Anwendungsbereich, Spezialvorschriften
  • Dezember 2015: Deligierte Rechtsakte, Schlussvorschriften, Sonstiges

Hierbei ist erfahrungsgemäß jedoch mit Verzögerungen zu rechnen. Damit ist festzuhalten, dass die Datenschutz-Grundverordnung der EU frühestens 2018 in Kraft treten wird.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*