Daten sind das neue Öl – deshalb braucht es einen starken EU-Datenschutz!

Daten sind das neue Öl – deshalb braucht es einen starken EU-Datenschutz!

Seit am 10.1.2013 der Entwurf für eine Position des Europäischen Parlaments vorgestellt wurde, hat die Debatte über die EU-Datenschutzgrundverordnung (kurz: DS-GVO) eine neue Stufe erreicht. Ein Jahr nach der Vorstellung des Gesetzesentwurfs durch die EU-Kommission liegt mit dem Berichtsentwurf ein neuer Vorschlag auf dem Tisch, der nun die Grundlage für die weitere Entscheidungsfindung im EU-Parlament ist. Die im Kommissionsvorschlag noch vorgesehene Eigenermächtigung zum Verwerfen von Entscheidungen der Aufsichtsbehörden wurde beseitigt, die Möglichkeiten zu Klarstellungen im vereinfachten Gesetzgebungsverfahren (sog. delegierte und implementierende Rechtsakte) wurden entsprechend der Kritik in EU-Parlament und Ministerrat auf rein technische Fragen reduziert. Zudem sorgt der Entwurf des Berichterstatters für eine Reihe von Klarstellungen hinsichtlich der Definitionen und Prinzipien, die dem bisherigen Datenschutzrecht folgen und es präzisieren sollen. Gleiches gilt auch für die insbesondere in Deutschland aufgeworfenen Grundsatzfragen zum Erlaubnisvorbehalt der Datenverarbeitung und der Anwendung des Datenschutzrechts im öffentlichen Bereich. Ein Abweichen vom Konzept der Datenschutzrichtlinie von 1995, die den Erlaubnisvorbehalt als Grundsatz formuliert und die Anwendung der Datenschutzregeln im privaten wie im öffentlichen Bereich gleichermaßen regelt, soll es nicht geben. Vielmehr gibt der vorgestellte Berichtsentwurf nunmehr Raum für die anonymisierte und pseudonymisierte Datenverarbeitung sowie für die mitgliedstaatliche Gestaltung weitergehender Datenschutzregeln im Bereich der behördlichen Datenverarbeitung.

In Bezug auf die vom Anwendungsbereich ausgenommene Datenverarbeitung zum Zwecke der Strafverfolgung durch Polizei und Justiz hält das EU-Parlament daran fest, dass es die dafür geplante Richtlinie gleichzeitig mit der DS-GVO – also noch vor der nächsten Europawahl im Mai 2014 – verabschieden will. Hier wehrt sich der Rat der EU-Innenminister noch immer, was im Gegenzug auf Seiten des Parlaments eine Verabschiedung weiterer Rechtsakte zum Datenaustausch wie das geplante EU-Fluggastdatensystem (sog. EU-PNR), die Europäische Ermittlungsanordnung sowie die Reform Europols mit Sicherheit erschweren wird. Für die im Kommissionsvorschlag zur DS-GVO ausgenommenen EU-Institutionen sieht der Parlamentsbericht eine verpflichtende Reform der VO 45/2001 für die Institutionen, Körperschaften und Agenturen der EU bis zum Inkrafttreten der DS-GVO vor. Auch die relevanten technischen Rechtsakte sollten bis dahin vorgelegt sein, um ausreichend Rechtssicherheit zu garantieren. Letztere ist der große Gewinn für alle Beteiligten: Sowohl Unternehmen und Behörden als auch von Datenverarbeitung Betroffene sollen wissen, welche Regeln für ihre personenbezogenen Daten gelten – jedenfalls solange sie sich in der EU befinden und Waren und Dienstleistungen auf dem Europäischen Markt in Anspruch nehmen. Konsequenterweise unterstützt der Berichtsentwurf den territorialen Geltungsanspruch der DS-GVO. Dies ist insbesondere mit Blick auf das Internet eine wichtige Klarstellung.

Informierte Zustimmung der Betroffenen als zentraler Grundsatz

Inhaltlich hat das EU-Parlament bereits in seinem Plenarbeschluss v. 6.7.2011 seine Linien deutlich gemacht. Der annähernd einstimmig angenommene Bericht des CDU-Abgeordneten Axel Voss hatte die Vereinheitlichung des Datenschutzrechts in der EU in allen Bereichen ebenso gefordert wie eine bessere Durchsetzung des Datenschutzrechts auf höchstmöglichem Standard. Besonders das Festhalten an den Grundprinzipien des Datenschutzes, die Stärkung der Rechte der Einzelnen und mehr Transparenz der Datenverarbeitung wurden in diesem Beschluss gefordert. Das EU-Parlament betonte wörtlich, „dass die Zustimmung [zur Datenverarbeitung] nur dann gültig ist, wenn sie unmissverständlich, in Kenntnis der Sachlage, frei, für den konkreten Fall und ausdrücklich erfolgt“. Diese Linie wird nun auch mit dem vorgelegten Berichtsentwurf verfolgt. Die Zustimmung des Betroffenen soll dabei die Regel sein. Eine unverhältnismäßige Kopplung von Vertragsabschlüssen an die Zustimmung zur Datenverarbeitung soll ausgeschlossen werden. Durch verbindliche technische Standards (wie etwa das sog. „Do-Not-Track“) und standardisierte Symbole soll den Betroffenen die informierte Zustimmung einfacher gemacht werden. Die Datenverarbeitung abseits der Zustimmung und der Vertragsbeziehung soll nur im stark begrenzten Rahmen erlaubt sein. Die Verarbeitung i.R.d. Interessensabwägung (das sog. berechtigte Interesse des Datenverarbeiters) darf nur bei einem absoluten Interessensvorrang erlaubt und muss vom Erwartungshorizont des von der Datenverarbeitung Betroffenen vollständig getragen sein. Hier schlägt der Berichterstatter eine Reihe von präzisierenden Klarstellungen, etwa für den Bereich der Werbung, vor. Gesetzliche Bestimmungen zur Datenverarbeitung müssen die grundlegenden Prinzipien des Datenschutzes beachten.

Das EU-Parlament hatte in seinem Beschluss aus dem Juli 2011 auch das „Recht auf Vergessenwerden“ sowie Regelungen für Datenportabilität eingefordert. Beidem hat die EU-Kommission in ihrem Vorschlag vom Januar 2012 Rechnung getragen. Allerdings fehlt die systematische Anknüpfung an die bestehenden Rechtsansprüche auf Löschung, Korrektur und Auskunft. Zudem bleibt noch zu unklar, welche konkreten Rechtsfolgen sich aus den neuen Bestimmungen ergeben. Dies stellt der Berichtsentwurf nun dar. Er stärkt die Auskunftsrechte und bezieht den Portabilitätsanspruch vor allem auf die durch den Betroffenen zur Verarbeitung eingepflegten Daten. Zudem formuliert er das „Recht auf Vergessenwerden“ vorrangig als Anspruch gegenüber dem Verarbeiter, die Folgen der Weitergabe und Veröffentlichung von personenbezogenen Daten zu beseitigen, wenn sie ohne Zustimmung des Betroffenen zustande gekommen sind. Darüber hinaus wird den berechtigten Bedenken bezüglich der Meinungs- und Informationsfreiheit Rechnung getragen. Die von der EU-Kommission vorgeschlagene Verpflichtung für Unternehmen und Behörden, ihre Angebote und Systeme möglichst datensparsam und mit den datenschutzfreundlichsten Voreinstellungen zu konzipieren, wird vom Berichtsentwurf bestärkt. Beim datenschutzfreundlichen Design will der Berichterstatter das Prinzip der Zweckbindung stärken. Es sollen nur die Daten erhoben werden, die zur Erbringung des Dienstes benötigt werden. Zudem sollen sich künftig nicht nur die Datenverarbeiter, sondern auch die Hersteller von IT-Systemen an datenschutzfreundliches Design halten.

Höchstmaß an Datenschutz bei geringstmöglicher Bürokratie

Doch auch den Interessen der Datenverarbeiter kommt der Berichtsentwurf entgegen. Das EU-Parlament hat den Anspruch, einen hohen Datenschutzstandard ohne zusätzliche Bürokratie zu gewährleisten. Folgerichtig sind im Berichtsentwurf Vereinfachungen enthalten. So sollen die Dokumentationspflichten vor allem das betreffen, was nötig ist, um die Rechte der Betroffenen und die Informationspflichten zu gewährleisten. Der Verarbeiter soll lediglich in der Lage sein, den Aufsichtsbehörden die notwendige Dokumentation zur Verfügung zu stellen.

Dazu dient auch die Aufwertung des nun EU-weit verpflichtenden Datenschutzbeauftragten für Behörden und Unternehmen, die mit personenbezogenen Daten von über 500 Personen im Jahr arbeiten. Anders als im Kommissionsvorschlag vorgesehen, wird dieser Datenschutzbeauftragte die Beratung und Folgenabschätzung im Unternehmen übernehmen und der Aufsichtsbehörde gegenüber ein fester Ansprechpartner sein. Doch auch für die Datenverarbeiter selber soll es nur noch einen Ansprechpartner geben. Der von der Kommission vorgeschlagene „One-Stop-Shop“-Ansatz, mit dem sowohl für den Datenverarbeiter als auch für den Betroffenen die bei ihm ansässige Aufsichtsbehörde zuständig sein soll, wird im Berichtsentwurf weitgehend übernommen. Die Datenschutzbehörde am Hauptsitz des Verarbeiters soll eine Kooperationsverpflichtung gegenüber den anderen betroffenen Datenschutzbehörden haben, die als Federführung zu verstehen ist. Im gemeinsamen Europäischen Datenschutzausschuss (Nachfolge zu Art. 29-Datenschutzgruppe) soll dann eine gemeinsame Linie gefunden werden.

Der geplante Europäische Datenschutzausschuss soll weiter gestärkt werden, um die einheitliche Auslegung und Anwendung der DS-GVO zu garantieren. Dafür soll er nach Ansicht des Berichtsentwurfs im Konfliktfall auch bindende Entscheidungen fällen können, die dann vor Gericht durch Verarbeiter, Betroffene, Datenschutzbehörden und EU-Kommission überprüft werden können. So wird vermieden, dass Unternehmen sich vor allem dort ansiedeln, wo eine schwache Aufsicht besteht. Die Rolle der EU-Kommission in diesem Kohärenzverfahren wird dagegen seitens des Berichtsentwurfs deutlich begrenzt, um die primärrechtlich garantierte Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten. Die Durchsetzungskraft der Behörden wird entlang des Kommissionsentwurfs gestärkt. Die vorgeschlagenen (im Vergleich zu den Möglichkeiten der US-amerikanischen FTC recht moderaten) Sanktionen für Verletzungen des Datenschutzrechts, die sich am EU-Wettbewerbsrecht orientieren, werden vom Berichtsentwurf beibehalten. Danach wird seitens der Behörde eine Strafe von bis zu 2% des jährlichen Weltumsatzes eines Datenverarbeiters verhängt, wenn dieser zumindest fahrlässig die grundlegenden Bestimmungen der DS-GVO verletzt. Der Berichtsentwurf stellt hierbei allerdings klar, dass die Verhältnismäßigkeit dieser Sanktionen oberstes Gebot bleibt und vom Europäischen Datenschutzausschuss Leitlinien für die Sanktionsverhängung erarbeitet werden sollen. Auch in anderen Fragen, wie etwa den Leitlinien für Datenschutzsiegel, werden die Aufsichtsbehörden im Rahmen des Datenschutzausschusses mit der Erarbeitung von Empfehlungen beauftragt. Damit stellt der Berichtsentwurf sicher, dass die DS-GVO gleichermaßen technikneutral wie rechtlich klar bleibt.

Schlussabstimmungen vor Europawahlen 2014 möglich

Auf Grundlage des vorliegenden Berichtsentwurfs findet derzeit die Abstimmung über eine finale Position des EU-Parlaments im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres statt. Gleichzeitig erarbeitet auch der Ministerrat unter Federführung der irischen Ratspräsidentschaft seine Position zur DS-GVO. Geht es nach dem Plan aller Beteiligten, können EU-Parlament, Ministerrat und Kommission bereits ab Mai 2013 mit den Verhandlungen (sog. Trilog) beginnen, an deren Ende bereits in diesem Jahr eine finale Abstimmung im Ministerrat und im EU-Parlament stehen könnte. Angesichts der zahlreichen Herausforderungen für den Datenschutz in einer sich immer schneller vernetzenden globalisierten und digitalisierten Welt wäre es dringend geboten, die gewünschte EU-weite Vereinheitlichung des Datenschutzrechts bis zu den Europawahlen 2014 unter Dach und Fach zu bringen. Schließlich sieht die DS-GVO eine Übergangszeit von zwei Jahren vor, bis sie endlich für Rechtsklarheit in Europa sorgen und einen globalen Standard setzen kann.

Jan Philipp Albrecht, LL.M. (IT-Recht) ist innen- und justizpolitischer Sprecher der Grünen für die EU-DS-GVO sowie Berichterstatter im EU-Parlament.