Ein einheitliches Datenschutzkonzept in der EU?

Inhaltsverzeichnis

Literaturverzeichnis

A. Einleitung

B. Richtlinie 95/46/EG
I. Schutz der Grundrechte und funktionierender Binnenmarkt
II. Rechte der Personen und „personenbezogene Daten“
III. Überwachungsinstanzen und Sanktionen
IV. Ausnahmen
V. Ergänzungen
VI. Kritische Betrachtung

C. Die Diskussion über ein neues Datenschutzkonzept
I. Mitteilung der Kommission: „Gesamtkonzept für den Datenschutz in der EU“
1. Neue technische Möglichkeiten in einer globalisierten Welt
2. Mehr Transparenz
3. Gleiche Bedingungen und Vereinfachung
4. Bessere Durchsetzung der Rechte und gleiches Schutzniveau
II. Stellungnahmen der WP29 und der Parlamentsausschüsse
1. Brief der WP29 an die Kommission
a) Effektiverer Rechtsschutz der Individuen
b) Mehr Transparenz
c) Vereinfachung der Genehmigungen und Harmonisierung
d) Stärkung der Kontrollbehörden
2. Ausschuss für bürgerliche Freiheiten, Justiz und Inneres
3. Ausschuss für Industrie, Forschung und Energie
4. Ausschuss für Binnenmarkt und Verbraucherschutz
5. Ausschuss für Kultur und Bildung
6. Rechtsausschuss
7. Entschließung zu einem Gesamtkonzept des EU-Parlaments

D. Entwurf einer Allgemeinen Datenschutzverordnung
I. Bestimmungen
1. Umgang mit neuen technologischen Entwicklungen und Globalisierung
2. Harmonisierung
3. Mehr Transparenz
4. Stärkung der Rechte der Betroffenen
5. Stärkung der Datenschutzbehörden
6. Härtere Strafen bei Verstößen
7. Sensible Daten
8. Ausnahmen
II. Bewertung

E. Ausblick

Literaturverzeichnis

Ausschuss für Binnenmarkt und Verbraucherschutz

Ausschuss für für bürgerliche Freiheiten, Justiz und Inneres

Ausschuss für Industrie, Forschung und Energie

Entwurf einer Stellungnahme zu einem Gesamtkonzept für den Datenschutz in der Europäischen Union vom 3.3.2011,

PE458.792v01-00 , abrufbar unter

<http://www.europarl.europa.eu/meetdocs/2009_2014/document s/imco/pa/857/857921/857921de.pdf>..

Rev. 2012-01-20..

(zit.: Binnenmarktausschuss, Entwurf)

Änderungsanträge 1-74 vom 24.3.2011, PE462.540v01-00 , abrufbar unter

<http://www.europarl.europa.eu/meetdocs/2009_2014/document s/imco/am/861/861933/861933de.pdf>.

Rev. 2012-01-20.

(zit.: Binnenmarktausschuss, Änderungsanträge)

Stellungnahme zu einem Gesamtkonzept für den Datenschutz in der Europäischen Union vom 14.4.2011, PE458.792v02-00 ,

abrufbar unter

<http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f %2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-

458.792%2b02%2bDOC%2bPDF%2bV0%2f%2fDE>. Rev. 2012-01-20.

(zit.: Binnenmarktausschuss, Stellungnahme)

Entwurf eines Berichts zum Gesamtkonzept für den Datenschutz in der Europäischen Union vom 29.3.2011, PE460.636v01-00 , abrufbar unter

<http://www.europarl.europa.eu/meetdocs/2009_2014/document s/libe/pr/859/859045/859045de.pdf>.

Rev. 2012-01-20.

(zit.: Innenausschuss, Entwurf eines Berichts)

Stellungnahme zu einem Gesamtkonzept für den Datenschutz in der Europäischen Union vom 11.5.2011, PE460.921v02-00 ,

abrufbar unter

<http://www.europarl.europa.eu/meetdocs/2009_2014/document s/itre/ad/866/866626/866626de.pdf>.

Rev. 2012-01-20.

(zit.: Industrieausschuss, Stellungnahme)

Informal Working Document on "A comprehensive approach on personal data protection in the European Union" vom 10.3.2011, PE460.885v01-00 , abrufbar unter

<http://www.europarl.europa.eu/sides/getDoc.do? pubRef=-//EP//NONSGML+COMPARL+PE-

III

460.885+01+DOC+PDF+V0//EN&language=DE>. Rev. 2012-01-20.

(zit.: Industrieausschuss, Arbeitsdokument)

Ausschuss für Kultur und Bildung

Europäische Kommission

Europäisches Parlament

Fiedler, Kirsten

Stellungnahme zu einem Gesamtkonzept für den Datenschutz in der Europäischen Union vom 14.4.2011, PE458.791v02-00 ,

abrufbar unter

<http://www.europarl.europa.eu/meetdocs/2009_2014/document s/cult/ad/864/864153/864153de.pdf>.

Rev. 2012-01-20.

(zit.: Kulturausschuss, Stellungnahme)

Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen:

Gesamtkonzept für den Datenschutz in der Europäischen Union vom 4.11.2010, KOM(2010) 609 endgültig, abrufbar unter

<http://ec.europa.eu/justice/news/consulting_public/0006/com_2 010_609_de.pdf>.

Rev. 2012-01-20.

(zit.: KOM(2010) 609 endgültig)

Proposal for a Regulation of the European Parliament and the Council on the protection of individuals with regard to the

processing of personal data and on the free movement of such data (General Data Protection Regulation), Draft Version 56, vom 29.11.2011, abrufbar unter

<http://statewatch.org/news/2011/dec/eu-com-draft-dp- reg-inter-service-consultation.pdf>.

Rev. 2012-01-20.

(zit.: EU Kommission, Entwurf einer Allgemeinen Datenschutzverordnung)

Entschließung des Europäischen Parlaments vom 6. Juli 2011 zum Gesamtkonzept für den Datenschutz in der Europäischen Union, 2011/2025(INI), abrufbar unter

<http://www.europarl.europa.eu/sides/getDoc.do? pubRef=-//EP//TEXT+TA+P7-TA-2011-

0323+0+DOC+XML+V0//DE>. Rev. 2012-01-20.

(zit.: EU Parlament, Entschließung)

Brief Overview Of The Leaked EU Data Protection Regulation vom 14.12.2011, abrufbar unter

<http://www.edri.org/edrigram/number9.24/overview-data- protection-regulation>.

Rev. 2012-01-20.

Friedrich, Thomas

Gruppe für den Schutz der Rechte von Personen bei der Verarbeitung

personenbezogener Daten (WP29)

Hamann, Götz und Tatje, Claas

Lüke, Falk

Masing, Johannes

Rechtsauschuss

Schulzki-Haddouti, Christiane

Van Hoboken, Joris

Ich will ein einheitliches Gesetz für ganz Europa, VDI Nachrichten 1/2012 vom 6.1.2012, 8, abrufbar unter

<http://www.vdi-nachrichten.com/artikel/Ich-moechte-ein- einheitliches-Gesetz-fuer-ganz-Europa/56657/2>.

Rev. 2012-01-20.

Letter from the Article 29 Working Party addressed to Vice-President Reding regarding the Article 29 WP's reaction to the Commission Communication "A

comprehensive approach to personal data protection in the EU", vom 14.1.2011, abrufbar unter

<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/ others/2011_01_14_letter_artwp_vp_reding_commission_ communication_approach_dp_en.pdf>.

Rev. 2012-01-20.

(zit.: WP29, Brief an Viviane Reding)

Es wird ein Riesenwerk, DIE ZEIT 40/2011 vom 29.9.2011, 28, abrufbar unter <http://www.zeit.de/2011/40/Interview-Reding>. Rev. 2012-01-20.

EU Datenschutzverordnung: Gegen den unkontrollierten Datenstrom, Heise vom 7.12.2011, abrufbar unter

<http://www.Heise.de/ct/artikel/EU-Datenschutzverordnung- Gegen-den-unkontrollierten-Datenstrom-1391778.html>.

Rev. 2012-01-20.

Ein Abschied von den Grundrechten, Süddeutsche Zeitung vom

9.1.2012, 10

Stellungnahme zu einem Gesamtkonzept für den Datenschutz in der Europäischen Union vom 25.5.2011, abrufbar unter

<http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f %2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-

462.780%2b02%2bDOC%2bPDF%2bV0%2f%2fDE>. Rev. 2012-01-20.

Safe-Harbor-Abkommen: Freibrief für amerikanische Datensünder?, Heise vom 17.2.2010, abrufbar unter

<http://www.Heise.de/newsticker/meldung/Safe-Harbor- Abkommen-Freibrief-fuer-amerikanische-Datenschutz-Suender- 933700.html>.

Rev. 2012-01-20.

9 Reasons Why a 'Right to be Forgotten' is Really Wrong, vom

8.12.2011, abrufbar unter

<http://www.jorisvanhoboken.nl/?p=308>. Rev. 2012-01-20.

A. Einleitung

Der Datenschutz in der Europäischen Union (EU) soll gesetzlich neu geregelt werden, um ihn den technischen Neuerungen der letzten Jahre anzupassen.

Die vorliegende Arbeit präsentiert zunächst die grundlegenden Bestimmungen der Datenschutzrichtlinie von 1995 und stellt die Probleme heraus, die bei ihrer Umsetzung entstanden sind (B). Anschließend dokumentiert sie den Prozess der Erarbeitung eines neuen Konzepts, wobei die neuen Ansatzpunkte im Datenschutz vorgestellt werden (C). In Teil D wird der Vorschlag der Kommission für eine neue Datenschutzverordnung vorgestellt und einer kritischen Betrachtung unterzogen. Abschließend gibt die Arbeit einen Ausblick, welches die nächsten Schritte im Gesetzgebungsprozess sind.

B. Richtlinie 95/46/EG

I. Schutz der Grundrechte und funktionierender Bin- nenmarkt

Ein Ziel der Richtlinie 95/46/EG „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ vom 24.10.1995¹ (im Folgenden RL) ist der Schutz der Grundrechte von Personen, der durch Artikel 8 der EU Konvention zum Schutze der Menschenrechte und Grundfreiheiten garantiert wird, vgl. Erwägungsgründe 2 und 10 RL (Erw.).

Das zweite Ziel ist die Gewährleistung des freien Binnenmarktes, der in Artikel 7a des Vertrags für den freien Verkehr für Waren, Personen, Dienstleistungen und Kapital gefordert wird, vgl. Erw. 3.

Die Verwirklichung dieser Ziele wurde bislang durch unterschiedliche Schutzniveaus in den Einzelstaaten behindert, vgl. Erw. 9, weshalb mit der Richtlinie dazu beigetragen werden sollte, ein gleichwertiges Schutzniveau zu schaffen, vgl. Erw. 8.

II. Rechte der Personen und „personenbezogene Daten“

Art. 2 RL definiert personenbezogene Daten als „alle Informationen über eine bestimmbare natürliche Person“. Als bestimmbar gilt, wer vernünftigerweise mit Mitteln der Datenverarbeiter oder eines Dritten bestimmt werden kann, vgl. Erw. 26.

Um die Grundrechte zu sichern, soll den Personen das Recht garan- tiert werden, Zugang zu Daten zu erhalten, deren Gegenstand sie sind, über diese informiert zu werden und Berichtigung, bzw. unter gewis- sen Voraussetzungen auch Löschung und Sperrung der Daten verlan- gen zu können („right to erasure“), vgl. Art. 12 RL. Art. 7 RL fordert, dass die Person vor Verarbeitung ihrer Daten ohne jeden Zweifel einwilligen muss. Werden Daten verarbeitet, so soll dies nur zweckgebunden geschehen; die Daten müssen sachlich richtig sein und dürfen nicht länger als nötig gespeichert werden, vgl. Art. 2 RL.

Art. 8 RL untersagt grundsätzlich die Verarbeitung von sensiblen Daten wie Informationen über rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheit und Sexualleben. Ebenfalls untersagt ist die Weitergabe an Verarbeiter in Drittländern, die kein ausreichendes Schutzniveau bieten, vgl. Art. 25 RL.

In Art. 22 ff. RL wird den Personen das Recht eingeräumt, sich bei Missachtung ihrer Rechte an die Datenschutzbehörden zu wenden und - unabhängig davon - vor Gericht auf Schadensersatz zu klagen.

III. Überwachungsinstanzen und Sanktionen

Um diese Entwicklung zu überwachen, werden in Art. 28 RL erstmals nationale Datenschutzbehörden, mit Untersuchungs-, Einwirkungs-, Klage- und Anzeigenbefugnissen geschaffen, die sich untereinander austauschen und unterstützen können und ihre Aufgaben in völliger Unabhängigkeit ausüben. Ferner wird in Art. 29 RL eine Arbeitsgruppe (im Folgenden WP29) geschaffen, die sich aus je einem Vertreter der nationalen Datenschutzbehörden, der Organe der EU und der EU Kommission zusammensetzt. Sie ist ebenfalls unabhängig und berät die Kommission. Sie prüft die Umsetzung der Richtlinie und gibt Empfehlungen ab.

Um Transparenz herzustellen, sieht die Richtlinie in Art. 18 ff. RL folgendes Meldeverfahren vor: Der für die Datenverarbeitung Verantwortliche muss der zuständigen Datenschutzbehörde Meldung erstatten, welche die Verarbeitung daraufhin vorab prüft. Bei Verstößen können Sanktionen durch die Mitgliedsstaaten verhängt werden.

IV. Ausnahmen

Nach Art. 8 RL dürfen „sensible Daten“ unter bestimmten Voraussetzungen, z.B. bei lebenswichtigen Interessen des Betroffenen, ausnahmsweise verarbeitet werden.

Um die Redefreiheit, künstlerische und literarische Freiheit nicht zu beeinträchtigen, sieht Art. 9 RL in diesen Bereichen Ausnahmen für die Datenverarbeitung, insbesondere im audiovisuellen Bereich, vor.

Eine Anwendung der Bestimmungen auf die Sektoren Strafrecht, öffentliche Sicherheit und Landesverteidigung wird in Art. 3 II RL ausgeschlossen.

V. Ergänzungen

In den Folgejahren von 1995 wurden einige Präzisierungen und Ergänzungen umgesetzt, um der Richtlinie zu einer besseren Wirksamkeit zu verhelfen.

Von Bedeutung für den Umgang mit Drittstaaten ist dabei das sog. „Safe Harbor“-Abkommen mit den USA vom 26. Juni 2000, das den Datenaustausch zwischen EU und USA regeln sollte.

Außerdem wurde eine Datenschutzverordnung für die EU-Organe (Verordnung Nr. 45/2000) erlassen, welche im Wesentlichen die Einrichtung eines Europäischen Datenschutzbeauftragten zur Folge hatte. Außerdem wurde eine Telekommunikationsrichtlinie (RL 2002/58/EG) beschlossen.

VI. Kritische Betrachtung

Die Regelungen der Richtlinie wurden in den Mitgliedsstaaten zum Teil unterschiedlich umgesetzt; einige von ihnen, darunter auch deutsche Bundesländer, wurden mehrfach erfolgreich vor dem Europäischen Gerichtshof verklagt.²

Diese Fehlentwicklung wurde durch Art. 4 RL, der besagt, dass Unternehmen mit Filialen in mehreren Mitgliedsstaaten sich jeweils an das nationale Recht halten müssen, noch verstärkt und führte zu einem „paneuropäischen Wirrwarr“³ beim Grundrechtsschutz. Außerdem galt die Richtlinie bereits bei ihrer Entstehung in Teilen als veraltet, da sie - trotz der in Art. 2 b RL definierten Technikneutralität⁴ - die Veränderungen der Digitalisierung nicht berücksichtigte.⁵

Neben der Kritik an der Richtlinie gibt es grundsätzliche Kritik am „Safe Harbor“-Abkommen mit den USA. Dessen Wirksamkeit wird von deutschen Datenschutzbehörden in Frage gestellt, u.a. da es bislang nur eine Verurteilung wegen Verstößen ohne jegliches Bußgeld gibt.⁶

C. Die Diskussion über ein neues Datenschutzkonzept

I. Mitteilung der Kommission: „Gesamtkonzept für den Datenschutz in der Europäischen Union“

1. Neue technische Möglichkeiten in einer globalisierten Welt

Am 4. November 2010 gab die Kommission in einer Mitteilung⁷ bekannt, dass ein neues Datenschutzkonzept nötig sei, um die Grundsätze der RL 95/46/EG, die weiterhin Gültigkeit haben sollen, in der globalisierten Welt mit ihren neuen technischen Möglichkeiten zu sichern.⁸ Diese neuen Möglichkeiten werden bislang weder durch die Richtlinie noch durch ihre Ergänzungen erfasst.⁹ Deshalb schlägt die Kommission ein neues Konzept vor, das im Folgenden erläutert wird.

2. Mehr Transparenz

Für eine bessere Durchsetzung der Bestimmungen sollen die Datenschutzbehörden mehr Befugnisse erhalten, aber gleichzeitig auch transparenter arbeiten.¹⁰

Die Kommission erwägt die Einführung eines allgemeinen Transpa- renzgrundsatzes für die Verarbeitung personenbezogener Daten und die Einführung besonderer Pflichten für die Verarbeitung¹¹, z.B. Infor- mation darüber, wie, von wem und aus welchem Grund Daten erfasst werden, die Aufbewahrungsdauer, sowie ob Zugriffs- und Löschbe- rechtigungen bestehen: Diese Pflichten sollen auch im Bezug auf Kin- der gelten.¹² Der Datenzugriff soll durch gebührenfreien Zugang ver- einfacht werden. Betroffene sollen ihre Daten von einem Dienst zu- rückholen und auf einen anderen übertragen können (Daten- portabilität).¹³

Datenschutzverstöße, also versehentliche oder unrechtmäßige Löschung von Daten, Verlust von Daten oder unbefugter Zugriff und Weitergabe sollen durch die Schaffung einer Benachrichtigungspflicht besser geahndet werden können.¹⁴

Daten sollen nur zweckgebunden verarbeitet werden (Prinzip der Da- tensparsamkeit), und der Betroffene soll seine Daten berichtigen, lö- schen und sperren können („right to be forgotten“), falls keine gesetz- lichen Gründe existieren, die dagegen sprechen. Diese Rechte sollen klar formuliert sein, um uneinheitliche Regelungen in den Mitglieds- staaten zu beseitigen. Um Zweckgebundenheit schon bei der Erhe- bung von Daten sicherzustellen, ist die Förderung des neuen techni- schen Prinzips „Privacy by Design“¹⁵ (im Folgenden PbD) vor- gesehen.¹⁶

3. Gleiche Bedingungen und Vereinfachung

Viele Akteure klagen über Probleme wie mangelnde Rechtssicherheit, hohen Verwaltungsaufwand und ungleiche Bedingungen.¹⁷

Die Forderung der RL 95/46/EG nach einer Einwilligung des Betroffenen zur Verarbeitung der Daten „ohne Zwang und in Kenntnis der Sachlage“, vgl. Art. 2 h RL, wurde in den Mitgliedsstaaten sehr unterschiedlich ausgelegt. In einigen muss diese Einwilligung schriftlich erfolgen, in anderen genügt eine stillschweigende Einwilligung oder Einstellung des Browsers. Deshalb soll hier mehr Klarheit geschaffen werden.¹⁸

Die derzeitige Pflicht zur Meldung aller Verarbeitungsvorgänge bei den Datenschutzbehörden stellt vor allem multinationale Unternehmen vor eine relativ hohe Belastung. Die Kommission will daher die Mel- deregelung vereinfachen und harmonisieren.¹⁹ Hier ist ein allgemeiner Rechenschaftsgrundsatz²⁰ der Datenverarbeiter geplant, der an die Stelle der Meldeverfahren treten und die Einhaltung der Daten- schutzbestimmungen erleichtern soll. In diesem Kontext soll die Be- nennung eines betrieblichen Datenschutzbeauftragten verpflichtend werden, allerdings mit Ausnahmen für kleine und kleinste Unterneh- men.²¹

[...]

---

¹ Amtsblatt Nr. L 281 abrufbar unter <http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:de:html>. Rev. 2012-01-20.

² L ü ke, „EU Datenschutzverordnung: Gegen den unkontrollierten Datenstrom“, Heise v. 7.12.2012.

³ ebda.

⁴ Technikneutralität bedeutet ein Gleichbehandeln von manueller und automatischer Datenverarbeitung.

⁵ L ü ke, Heise v. 7.12.2012.

⁶ Schulzki-Haddouti, „Safe-Harbor-Abkommen: Freibrief für die amerikanischen Datenschutz-Sünder“, Heise v. 17.2.2010.

⁷ KOM(2010) 609 endgültig.

⁸ KOM(2010) 609 endgültig, 1.

⁹ ebda, 2.

¹⁰ ebda, 3.

¹¹ ebda, 6.

¹² ebda, 5.

¹³ ebda, 8.

¹⁴ ebda, 7.

¹⁵ Privacy by Design: Das Berücksichtigen von datenschutzfreundlichen Überlegungen schon beider Produktentwicklung: Produkte sollen so konzipiert sein, dass sie nur die Daten erheben, die sie zum Funktionieren tatsächlich brauchen.

¹⁶ KOM(2010) 609 endgültig, 13-14.

¹⁷ ebda, 2.

¹⁸ ebda 9-10.

¹⁹ ebda, 11.

²⁰ Siehe auch WP29-Vorschlag zur Ausgestaltung des Rechenschaftsgrundsatzes (C.II.1.b).

²¹ ebda, 13-14.