Die Datenschutz-Grundverordnung

Am 17.3.2016 hat der EU-Rat einen Entwurf für eine zustimmende Stellungnahme zur DS-GVO veröffentlicht.

Verfahrensstand-Anzeiger

Hinweis: Materialien zu diesem Gesetzgebungsvorhaben können am Ende dieser Seite abgerufen werden.

Am 17.3.2016 hat der EU-Rat einen Entwurf für eine Stellungnahme zur Datenschutz-Grundverordnung herausgegeben. Zuvor hatte der EU-Rat am 12.2.2016 eine politische Einigung über den Entwurf erzielt. Der Entwurf der Stellungnahme weist bereits zum Zeitpunkt dieser Meldung die noch in der Zukunft befindliche Sitzung am 21.4.2016 als erfolgreiche Übereinkunft über den Verordnungstext und die informellen Verhandlungen zwischen Rat und Parlament aus. Nach dem Willen des Rats solle das EU-Parlament der DS-GVO in der ersten Lesung ohne Änderungsvorschläge zustimmen.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Text der Vorversion(en):


Am 24.2.2016 hat Prof. Dr. Alexander Roßnagel als Sachverständiger im Bundestagsausschuss Digitale Agenda beim Fachgespräch zur Datenschutz-Grundverordnung den Entwurf der Datenschutz-GVO umfangreich kritisiert. Die Pressemeldung des Bundestags bezeichnete das "Echo" auf die neuen Vorschriften dennoch als "positiv". Roßnagel veröffentlichte bereits im Vorfeld eine schriftliche Stellungnahme zum öffentlichen Fachgespräch (s. Material).

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 28.1.2016 hat der EU-Rat eine vorläufige deutsche Fassung der Datenschutz-GVO herausgegeben.

Ebenfals im Januar 2016 hat das bayerische Landesamt für Datenschutzaufsicht (BayLDa) eine Trilog-Synopse der Datenschutz-GVO herausgegeben. Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD e. V.) hat am 28.1.2016 eine weitere nichtamtliche Übersetzung ins Deutsche beigesteuert.

Voraussichtlich im März 2016 ist mit einer amtlichen Übersetzung zu rechnen.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 15.12.2015 hat der EU-Trilog eine Einigung auf die endgültige Version einer künftigen EU-Datenschutz-Grundverordnung erzielt (siehe auch CRonline News v. 21.12.2015). Die endgültigen Textfassungen werden von EU-Parlament und -Rat Anfang 2016 noch formal verabschiedet. Die neuen Vorgaben treten 2018 in Kraft.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 27.07.2015 hat der EU-Datenschutzbeauftragte Giovanni Buttarelli eine Empfehlung einschließlich Annex zur DatenschutzGVO veröffentlicht, das die anstehende Gesetzgebung als "Europas große Chance" bezeichnet. Die Texte können auch als App eingesehen und verglichen werden. Der EU-Datenschutzbeauftragte ist eine unabhängige Einrichtung der EU und kein Teil des Trilogs, jedoch mitverantwortlich für die Beratung anderer EU-Einrichtungen gemäß Artikel 41 Abs. 2 der EU-Verordnung 45/2001.

Die DatenschutzGVO werde die Datenschutzrechte aller Menschen und Unternnehmen in der EU und Unternehmen außerhalb der EU, die personenbezogene Daten von EU-Bürgern verarbeiten, für Jahrzehnte prägen. Es sei an der Zeit, die Grundrechte und -freiheiten in der EU zu schützen.

Bei der neuen Veordnung handle es sich wahrscheinlich zukünftig um die längste aller bisheriger EU-Verordnungen, daher müsse die EU sich nun aufs wesentliche konzentrieren und sich nicht in Details verlieren, die in unzulänglicher Weise zukünftige Technologien störend beeinflussen könnten. Es sei erforderlich, den Gesetzestext so verständlich und knapp wie möglich abzufassen.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Im Juli 2015 gab der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. ein Positionspapier zum Trilog zur EU-DatenschutzGVO bezüglich Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen heraus.

Die neue Verordnung verfolge dieselben, im Einzelfall kollidierenden Ziele wie ihr Vorgänger 95/46 EG:

  1. den Schutz der natürlichen Person bei der Verarbeitung personenbezogener Daten und
  2. die Gewährleistung des freien Datenverkehrs.

Der BvD begrüße, daß die bisher bewährten Werkzeuge zur Zulässigkeit des Transfers von personenbezogenen
Daten in Länder außerhalb der EU beziehungsweise des EWR beibehalten würden, welche da sind:

  • Das Instrument des Angemessenheitsbeschlusses durch die Kommission (Art. 41),
  • die Verwendung von Standarddatenschutzklauseln der Kommission (Art. 42 II lit. b),
  • die Genehmigung individueller Vereinbarungen durch die zuständige Aufsichtsbehörde (Art. 42 II lit. d),
  • die Verwendung und Freigabe verbindlicher unternehmensinterner Vorschriften (Art. 43 I - Binding Corporate Rules, kurz auch: BCR) durch die zuständige Aufsichtsbehörde.

Insbesondere die unternehmensinternen Vorschriften müßten geschärft werden, um eine tatsächliche Rechtseinheit zu erzielen. Allerdings finde sich der Gedanke des Europäischen Parlaments, bei den geeigneten Garantien
für die Gewährleistung des angemessenen Datenschutzes auch einen Datenschutzbeauftragten einzufordern (Erwägungsgrund 83), in den Artikeln nicht wieder. Der betriebliche Datenschutzbeauftragte sei jedoch ein praktisch gut geeignetes und auch bewährtes Instrument, um Datenschutzanforderungen sicherzustellen, da er als weisungsfreier Wächter sowohl Interessenswahrer der betroffenen Person sei als auch den Verarbeitungsverantwortlichen und Auftragsverarbeiter berate und unterstütze und somit als Vertrauensanker fungiere.

Der BvD tritt dafür ein, eine Regelung zu korrigieren, die er als "Systembruch" bezeichnet: Werden Daten in ein Drittland übermittelt, bedarf es einer Zertifizierung als Grundlage (Art. 42 II lit. e). Während das Europäische Parlament von einer Zertifizierung ausschließlich durch die Aufsichtsbehörden ausgehe, möchte der Rat auch private Zertifizierer ermöglichen, deren Akkreditierung und Zertifizierungsvorgaben in Art. 39 f geregelt würden. Bei allen sonstigen Zulässigkeitsgrundlagen für eine Übermittlung in ein Drittland treffe eine hoheitliche Einrichtung eine
Entscheidung, bevor personenbezogene Daten außerhalb des Geltungsbereiches der EU-DatenschutzGVO gegeben würden, hier jedoch erfolge die Zulässigkeit durch die Bewertung einer privaten Stelle. In dieser Konstellation werde nur das Zertifizierungsverfahren hoheitlich genehmigt, nicht aber die Zulässigkeit selbst.

Zu begrüßen sei die seitens des Europäischen Parlaments vorgesehene Regelung in Art. 43a, wie im Falle einer der DatenschutzGVO widersprechenden, hoheitlich angeforderten Datenübermittlung aus einem Drittland vorzugehen sei. Nicht sichergestellt sei allerdings bislang, wie diese Regelung bei der Datenanforderung durch eine hoheitliche Stelle an einen im Hoheitsgebiet des Datenanforderers sitzenden Auftragnehmer funktioniere. Im Konflikt zwischen einer nationalen hoheitlichen Anforderung aus dem Drittstaat und Sitzland des Auftragnehmers einerseits und der vertraglichen Vereinbarung mit dem Auftraggeber innerhalb der EU anderseits werde der Auftraggeber der hoheitlichen Anforderung seines Landes folgen bzw. folgen müssen. Aus diesem Grund benötigten die EU-Behörden ausreichende Kompetenzen, um unmittelbar und eilig reagieren zu können, damit ein Schadenseintritt tatsächlich auch verhindert werden kann.

Des weiteren erfordere die neue Regelung rechtssicher formulierte Ausnahmen, um eine Riegel vor die Umgehung der Anforderungen in der Praxis zu schieben. Der Entwurf enthalte noch eine Reihe unbestimmter Rechtsbegriffe wie "nicht häufig" , "nicht massiv", "ausreichende Garantien" und "berechtigtes Interesse", die auch durch die Ratsvorschläge nicht verbessert worden seien. Es drohe eine individuelle Interpretation der Zulässigkeitsvoraussetzungen.

Grundsätzlich seien Erleichterungen für bestimmte Fälle allerdings notwendig und praxisgerecht. Rechtssicherheit
könne durch weitere geeignete Garantien wie Regelungen zur Zweckbindung, Löschpflichten etc. hergestellt werden, die dann den Rahmen für die Ausnahme nach Art. 44 I lit. h schüfen.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 06.07.2015 hat statewatch.org ein Dokument geleakt, das die bislang im EU-Trilog vorgebrachten Einigungsvorschläge enthält. Es ist auf den 02.07.2015 datiert.

Aus der Gegenüberstellung des Trilogs geht nun die angestrebte Definition eines "Repräsentaten" oder treffender Vertreters im Sinne von Artikel 4 hervor: Dies sei eine in der EU niedergelassene natürliche oder juristische Person, die von einem Aufseher im Sinne des Artikel 25 schriftlich bestimmt sei, diesen Aufseher in seinen Pflichten gemäß dieser Verordnung zu vertreten. Der Verweis auf Artikel 25 bezieht sich auf Aufseher, die nicht in der EU niedergelassen werden, zu denen ein Datentransfer bislang also nicht ohne weiteres gesichertermaßen nach den EU-Vorschriften ablief.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 02.07.2015 hat statewatch.org das vorbereitende Dokument für die nächste Runde des Trilogs am 14.07.2015 geleakt. Das Dokument ist auf den 26.06.2015 datiert. Demnach wird sich das nächste Treffen auf den territorialen Anwendungsbereich, Repräsentanten von Aufsehern außerhalb der EU sowie den Datentransfern zu Drittstaaten oder internationalen Organisation beziehen, einschließlich relevanter Definitionen, insbesondere des Begriffs des Repräsentanten.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 24.06.2015 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Synopse der drei Fassungen der Datenschutz-GVO herausgegeben. Das umfassende Dokument kontrastriert der Vorschlag der EU-Kommission mit den jeweiligen Beschlüssen des EU-Parlaments und des EU-Rats.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 17.06.2015 hat die Art.-29-Datenschutzgruppe im Hinblick auf den Trilog Stellungnahmen zu den drei unterschiedlichen Entwürfen sowie einen ausführlichen Annex herausgegeben. Die Briefe richten sich an Ilze Juhansone, die außerordentliche und bevollmächtigte Botschafterin und ständige Vertretung Lettlands in der EU, Jan Philipp Albrecht, den stellvertretenden Vorsitzender des Innen- und Justizausschusses und Věra Jourová, die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung.

Die EU mache Fortschritte bei der Modernisierung des Datenschutzes. Die neuen rechtlichen Rahmenvorschriften sollten das jetzige Schutzniveau, das die Datenschutzrichtlinie 95/46/EG biete, nicht senken oder ihre Kernprinizipen und Rechte untergraben. Man müsse bei der Datenschutz-GVO hervorheben, daß die vorgeschlagenen Regeln sich ausschließlich auf den Bereich der Strafverfolgung bezögen, nicht aber auf das allgemeine Ziel der Sicherung der öffentlichen Ordnung. Nicht nur senke dies das aktuelle Datenschutzniveau, sondern erhöhe auch die Anzahl an Organisationen, die beide Regularien anwenden müßten, was Verwirrung stiften werde. Die Datenschutzrichtlinie und die neue Datenschutz-GVO sollten in Sachen Definitionen, Prinzipien, Individualrechte und Befugnisse der Aufsichtsbehörden in Einklang gebracht werden.

Insbesondere solle der Begriff der personenbezogenen Daten weit definiert werden, um mit technologischen Weiterentwicklungen Schritt zu halten. Ein besonderes Augenmerk solle darauf gelegt werden, inwieweit es über bestimmte Identifikationsmerkmale möglich ist, Einzelpersonen herauszufiltern. Ebenso möge die Definition im Lichte des Urteils des EuGH klären, ob und inwieweit IP-Adressen als personenbezogenen Daten einzubeziehen wären. Die Art.-29-Datenschutzgruppe wirbt für Pseudonymierung, Datenverarbeitungsminimierung und Risikenreduktion. Pseudonymierte Daten sollten hierbei keine neue Datenkategorie bilden, um erneute Abweichungen von den EU-Datenschutzvorschriften zu vermeiden.

Die Datenschutz-GVO sei eine gute Gelegenheit, Individualrechte im Datenschutz zu bekräftigen und zu stärken. Ein begrüßenswerter Schritt hierbei sei bessere Datenportabilität.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 15.06.2015 hat der Rat der Europäischen Union eine Einigung über die Datenschutz-GVO erzielt. Der Rat veröffentlichte im selben Zuge das beschlossene Dokument, datiert auf den 11.06.2015, sowie die Positionen der Mitgliedsstaaten. Die beiden Hauptziele der Reform sei gestärkter Datenschutz für Einzelpersonen und verbesserte Arbeitschancen auf dem digitalen EU-Binnenmarkt.

Ein Teil der Reform besteht in dem sog. Recht auf Vergessen, so daß Internetnutzer von Suchmaschinen verlangen können, nicht mehr auf bestimme Inhalte zu verweisen, die das Recht auf Privatsphäre und Datenschutz verletzen.

Verbessern soll sich außerdem die Datenportabilität, zum Beispiel zwischen sozialen Netzwerken, um einen Anbieterwechsel zu erleichtern und so die Konkurrenz zwischen den Diensten anzufachen. Zudem soll es klarerer Grenzen geben für automatisiertes Erstellen von Nutzerprofilen, die persönlichen Eigenschaften wie Arbeitsleistung, wirtschaftlicher Situation, Gesundheit, Vorlieben und ähnlichem nachspüren.

Betroffene sollen sich in Zukunft in datenschutzrechtlichen Angelegenheiten stets an ihre nationalstaatlichen Gerichte wenden können, unabhängig vom Ort der Niederlassung des Onlinedienstes, der ihre Daten nutzt. Bestätigt sich vor Gericht ein Beschwerdefall, drohen den zuwiderhandelnden Unternehmen Bußgelder bis zu 1 Million Euro oder 2% ihres weltweiten Jahresumsatzes.

Adäquanzentscheidungen sollen den Datentransfer in Drittstaaten und zu internationalen Organisationen  sicherstellen. Unter Beteiligung der Mitgliedsstaaten und dem Europäischen Parlament erhalte zukünftig die Kommission die Kompetenz, zu entscheiden, ob ein bestimmte Drittstaat bzw. eine internationale Organisation einen ausreichendenden Grad an Datenschutz biete. Wo es an einer solchen Entscheidung fehlt, dürfe der Datentransfer nur stattfinden, sofern angemessene Schutzmechanismen greifen wie Standarddatenschutzklauseln, verbindliche unternehmensinterne Datenschutzregelungen (auch: binding corporate rules, erarbeitet von der Artikel-29-Datenschutzgruppe) sowie ensprechender Vertragsklauseln.

Der erste Trilog mit dem Europäischen Parlament soll am 24.06.2015 stattfinden, um die Verhandlungen für ein vollständige Übereinkunft zu erzielen. Die Reform könnte frühestens bis zum Ende des Jahres beschlossen sei und ab 2018 in Kraft treten.

Mit Festlegung und Übermittlung des Position des Rates an das Europäische Parlament hat die 3-Monats-Frist gemäß Art. 249 VII Vertrag über die Arbeitsweise der Europäischen Union begonnen, innerhalb der das Parlament Standpunkt des Rates billigen bzw. eine Äußerung unterlassen oder alternativ mit qualifizierter Mehrheit Abänderungen verlangen kann. Im letzteren Fall käme es ab Eingang der Abänderungen zu einer weiteren 3-Monats-Frist gemäß Art. 294 VIII des Vertrags über die Arbeitsweise in der EU, wiederum seitens des Rates diese Abänderungen zu billigen oder nicht zu billigen. Fehlende Billigung hätte die Einberufung eines Vermittlungsausschusses zur Folge.

Demnach ist bis zum 15.09.2015 eine parlamentarische Billigung oder die Vorlage einer Abänderung zu erwarten.
Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 10.06.2015 hat die Europäische Kommission eine Studie zur Transposition, Effektivität und Kompatibilität der "ePrivacy"-Richtlinie mit dem Entwurfs der Datenschutz-GVO veröffentlicht.

Demnach weiche der Schutzzweck nationaler Vorschriften über Themen wie Cookies, Traffic, Ortsdaten und unerwünschte Werbung, die aufgrund der Richtlinie erlassen wurden, oftmals von dem intendierten gemäß Art. 3 der "ePrivacy"-Richtlinie ab. Letztere beschränke sich eigentlich auf öffentlich verfügbare elektronische Kommunikationsdienste (wie traditionelle Telefonanschlußanbieter). Anscheinend sei die Beschränkung in der Richtlinie uneindeutig und könne zu ungleicher Behandlung führen, wenn Dienstleister von den Vorschriften ausgeschlossen würden, die Kommunikationdienste über das Internet anbieten. Die Studie schlägt vor, solche Anbieter explizit in die Richtlinie einzuschließen.

Zudem sieht die Studie Nachbesserungsbedarf bei Cookies und ähnlichen Verfahren. Nutzer erhielten zu viele Warnungen, die sie nicht richtig zur Kenntis nähmen. Das derzeitige Vorgehen, in dem der Nutzern aktiv zustimmen muß (sog. opt-in), solle beibehalten werden, aber auf Situationen eingeschränkt werden, die eine Gefährdung für die Privatsphäre des Nutzers darstellen (einschließlich Webseiten mit Cookies von Drittanbietern, um Werbung auf das Nutzerverhalten anzupassen, aber ausschließlich Web-Analytics-Cookies). Dies könne zu erweiterte Ausnahmen zur Zustimmungsregel bei Cookies erzielt werden.

Die Studie ist jetzt im Volltext plus Anhang einzusehen, datiert auf den 31.01.2015 bzw. 29.08.2014 (siehe unten).

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 08.06.2015 hat der Rat der Europäischen Union die neuste konsolidierte Fassung seiner Position zur Datenschutz-GVO zusammengestellt, geleakt durch statewatch.org.

Eine Analyse des Dokuments deutet auf Streichung des Artikels 6.4 (Grundsatz der Zweckbindung) hin, da viele EU-Staaten dagegenhalten. Auch der "One stop shop"-Mechanismus zieht Kritik auf sich. Den geleakten Informationen sei zu entnehmen, daß seine Einführung mehrere zusätzliche Bürokratieebenen entstehen lassen würden. Bei einer grenzenüberschreitenden Beschwerde müßten mindestens zwei Datenschutzbehörden hinzugezogen werden, die zu einem Konsens kommen müßten, um den Fall zu lösen.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

März 2015 hat der Europäische Rat eine Synopse der konsolidierten Fassung der EU-DatenschutzGVO herausgegeben. Das Dokument zeigt die drei bisherigen Überarbeitungsstufen Satz für Satz auf, einschließlich eventueller Kommentare und Kompromißvorschläge.

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

Am 21.01.2015 hat der Präsident des Rates der Europäischen Union eine Mitteilung an den Arbeitskreis Informationsaustausch und Datenschutz (DAPIX) zur Datenschutz-Grundverordnung ausgegeben. Am 04.12.2014 diskutierten die Minister in einer Ratssitzung, inwieweit ein One-Stop-Shop-Mechanismus möglich werden könne. Ziel sei, einen Prozeß zu entwickeln, der die nationalen Datenschutzbehörden und den europäischen Datenschutzausschuß ermöglicht, gemeinsam bindende Entscheidungen zu fällen, unter welchen Umständen ein Fall an den europäischen Datenschutzausschuß zu übergeben sei.

Als mögliche Problematik eines One-Stop-Shop-Mechanismus wurde aufgeworfen, daß der europäischen Datenschutzausschuß überfordert werden könnte, daher schlug der Präsident zusätzliche "Hürden" vor, bevor ein Fall an den Ausschuß weitergereicht werden solle.

 

Autorin: Dipl.-Psych. Alica Mohnert, LL.M. (CUPL/中国政法大学)

       ___________

621 der Stimmberechtigten votierten für den Entwurf. Dem stehen 10 Gegenstimmen bei 22 Enthaltungen gegenüber.

Der Entwurf sieht unter anderem gegenüber der derzeitigen Rechtslage weitergehende Sanktionsmöglichkeiten bei Datenschutzverstößen vor. So kann das Bußgeld bis zu fünf Prozent des jährlichen Umsatzes von Unternehmen oder 100 Millionen Euro betragen. Weiter sieht der Entwurf vor, dass Daten von EU-Bürgern nur unter ausdrücklicher und zweckbezogener Einwilligung der Betroffenen erhoben und verwendet werden dürfen. Das Erstellen von Nutzerprofilen soll künftig höheren Anforderungen unterliegen. Gelockert werden diese lediglich zu Zwecken der statistischen oder forschungsbezogenen Datenerfassung sowie für den Fall der Nutzung pseudonymisierter oder anonymer Daten. Gleichzeitig soll künftig das "Recht, vergessen zu werden" mit effektiven Ansprüchen durch den Einzelnen durchgesetzt werden können. Die Voraussetzungen für die Erstellung von Sammlungen personenbezogener Daten sollen auch im Hinblick auf Datenerhebungen gelten, die außerhalb der EU vorgenommen werden. Daneben wird der betriebliche Datenschutz gestärkt. Schließlich ist in Reaktion auf die "NSA-Affäre" eine Regelung enthalten, die besagt, dass Telekommunikations- und Internetdienste-Anbieter Daten nur auf Grundlage europäischen Rechts oder vergleichbarer Abkommen an Behörden in Drittstaaten übermitteln dürfen (vgl. zu allem bereits unten den Report-Artikel vom 21.10.2013).

Das laufende Verfahren zielt auf eine Gesamtharmonisierung ab, sodass die einzelnen Mitgliedsstaaten künftig auch keine strengeren Regeln mehr aufstellen dürfen.

Auf Basis des nun verabschiedeten Entwurfes werden die Vertreter des Europäischen Parlaments nach der Wahl zum Europäischen Parlament in weitere Verhandlungen mit dem Ministerrat eintreten. Dieser hat allerdings zu den strittigen Punkten bislang keine klaren Positionen entwickeln können.

Vgl. für weitere Einzelheiten auch die CR Online News vom 13.3.2014 sowie die Pressemitteilung des Europäischen Parlaments.

Autor: Dipl.-Jur. Phillip Hofmann, Institut für Rechtsinformatik, Leibniz Universität Hannover

       ___________

Auf dem  informellen Treffen der EU Innen- und Justizminister am 23./24.1.2014 in Athen konnte kein Durchbruch im Hinblick auf die strittigen Fragen der Datenschutz-Grundverordnung erzielt werden.

Seitens der Bundesregierung wird  darunter weiterhin als kritisch angesehen, den öffentlichen Sektor der Datenschutz-Grundverordnung umfassend zu unterwerfen und damit insbesondere auch verfahrensbezogene Regeln wie Bußgelder bei Datenschutzverstößen durch öffentliche Stellen vorzusehen.

Allerdings konnten die Europäische Kommission, die beiden Berichterstatter des Europäischen Parlaments und der derzeitige griechische und der künftige italienische Ratspräsident auf dem Treffen eine "Road Map" erarbeiten, die eine Verabschiedung der Datenschutz-Grundverordnung bis Ende des Jahres 2014 möglich erscheinen lassen soll. Ziel ist es, dass nach dem Europäischen Parlament nun auch der EU-Ministerrat seinen Standpunkt für gemeinsame Verhandlungen über die Datenschutz-Grundverordnung festlegt, sodass ab Juli 2014 im Rahmen der italienischen Ratspräsidentschaft die beiden maßgeblichen Gesetzgebungsorgane mit dem Ziel einer Einigung in erster Lesung verhandeln können. Der Zeitplan kalkuliert bereits ein, dass das Europäische Parlament im Mai neu gewählt wird und erstmals im Juli zusammen trifft.

Autor: Dipl.-Jur. Phillip Hofmann, Institut für Rechtsinformatik, Leibniz Universität Hannover

       ___________

Auf einem Treffen des EU-Ministerrats am 6.12.2013 konnte keine Einigung über wesentliche Streitfragen hinsichtlich der EU-Datenschutz-Grundverordnung erzielt werden.

Darunter sorgen vor allem verfahrensbezogene Fragen im Hinblick auf die aufsichtsbehördliche Zuständigkeit zwecks Überwachung der Einhaltung des Datenschutzrechts für derzeit anscheinend unüberbrückbare Differenzen (S. 12 des Links).

Zurzeit sieht der Entwurf vor, dass für ein Unternehmen, das in mehreren Staaten tätig ist, lediglich eine Datenschutzbehörde zentral zuständig sein soll; und zwar die in dem Land, in der das Unternehmen seine Hauptniederlassung hat ( sog. "one-stop-shop-mechanism", vgl. hierzu auch die kritische Würdigung im CR-Online-Blog). Im Grundsatz herrscht  unter den EU-Justiz- und Innenministern hierüber Einigkeit.

Zwar sollen die nationalen Datenschutzbehörden als Beschwerdestelle fungieren können. Die Entscheidung über die Datenschutzkonformität des dort von Bürgern angezeigten Handelns soll schließlich jedoch die zentrale Aufsichtsbehörde treffen. Bemängelt wird hieran die fehlende Unmittelbarkeit in der Kommunikation zwischen Betroffenen und der maßgeblich entscheidenden Behörde. Auf Ebene der Rechtsdurchsetzung ist zudem unklar, inwieweit diese Entscheidungen dann vor den nationalen Gerichten justiziabel sind.

Deshalb wird derzeit erwogen, inwieweit die nationalen Datenschutzbehörden zumindest bei Entscheidungen, die Datenverarbeitungen in ihrem jeweiligen Mitgliedsstaat betreffen, adäquat in die Entscheidungsfindung eingebunden werden können.

Ein das Entscheidungsniveau noch eher standardisierender und der Rechtssicherheit langfristig dienlicher, aber wohl auch gerade im Hinblick auf die Entscheidungsfindung im Einzelfall aufwendiger Weg, könnte auch über den einzurichtenden Europäischen Datenschutzausschuss gehen, in dem alle nationale Datenschutzbehörden sowie der Europäische Datenschutzbeauftragte zusammengeschlossen sind und der mehrheitsgetragene oder gar konsensuelle Stellungnahmen abgeben könnte. Gerade die angestrebte Schnelligkeit der Entscheidungsfindung zur Erlangung kurzfristiger Rechtssicherheit in konkreten Angelegenheiten, dürfte hierüber jedoch nicht eben befördert werden.

In den weiteren Beratungen der Expertengruppen wird es nun darum gehen, die Balance zu finden zwischen dem Interesse von in verschiedenen Mitgliedsstaaten tätigen Unternehmen, unter geringem administrativen Aufwand und hoher datenschutzrechtlicher Verlässlichkeit lediglich mit einer zuständigen Datenschutzbehörde kommunizieren zu müssen, und dem Interesse der von der Datenverarbeitung in verschiedenen Mitgliedsstaaten betroffenen Bürger, möglichst mit einer zuständigen und bürgernahen Stelle "am Platz" kommunizieren zu können. Dies alles unter der Grundvoraussetzung, dass durch die sich andeutende Länge und Komplexität dieser Entscheidungswege die Wirkung der Kontrolle und deren öffentliche Wahrnehmung nicht über die Maßen abgeschwächt werden.

Was zunächst nach einer Quadratur des Kreises klingt, führt zumindest dazu, dass eine Verabschiedung der geplanten Datenschutz-Grundverordnung vor den anstehenden Europa-Wahlen im Mai 2014 zunehmend unwahrscheinlich wird. Hierzu der Berichterstatter des federführenden LIBE-Ausschusses Jan Philipp Albrecht (MdEP, Bündnis90/Die Grünen), der im Vorfeld des Treffens der EU Innen- und Justizminister angemahnt hatte, dass das Treffen vielleicht die letzte Chance sei, den notwendigen Durchbruch doch noch zu erzielen: "Wenn die Verordnung nicht vor der Europawahl durchkommt, kann die Silicon-Valley-Lobby Brüssel anderthalb Jahre länger überrollen. Dann wird der Datenschutz hier richtig plattgemacht."

Autor: Dipl.-Jur. Phillip Hofmann, Institut für Rechtsinformatik, Leibniz Universität Hannover

       ___________

Auf der Webseite des europäischen Parlaments findet sich nunmehr eine Synopse zur EU-Datenschutz-Grundverordnung

Sie stellt den mit den Änderungsvorschlägen des Europäischen Parlaments versehenen Verordnungsentwurf dem durch die Kommission vorgeschlagenen Entwurfstext gegenüber.

Autor: Dipl.-Jur. Phillip Hofmann, Institut für Rechtsinformatik, Leibniz Universität Hannover

       ___________

Am 20.11.2013 äußerte der EU-Parlamentarier Dimitrios Droutsas, zweiter Berichterstatter im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments für die Grundverordnung und Berichterstatter für die Polizeirichtlinie, seine Ernüchterung und Zweifel daran, dass die EU-Datenschutz-Grundverordnung jemals Wirklichkeit werde. Zwar habe der aktuelle Geheimdienstskandal um Edward Snowden die Arbeit der Parlamentarier beschleunigt. Doch es fehle der absolute Wille, die Grundverordnung vor der EU-Wahl durchzusetzen.

Droutsas hält es kaum noch für möglich, die Grundverordnung vor der kommenden Wahl des europäischen Parmalents zu verabschieden. Zu beachten sei, dass im Rat diverse Fragen noch nicht mit einheitlichen Positionen beantwortet seien. Dazu gehöre zum Beispiel das Verbot heimlicher Videoüberwachung, das schon im Rahmen der Diskussion zum Beschäftigtendatenschutzrecht in Deutschland höchst umstritten war.  

Autor: Dipl.- Jur. Dennis Heinemeyer, Institut für Rechtsinformatik, Leibniz Universität Hannover

       ___________

Am 21.10.2013 hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) des Europäischen Parlaments in einer außerordentlichen Sitzung, unter dem Tagesordnungspunkt 4 den Entwurf zur Änderung der durch die EU-Kommission vorgelegten Datenschutz-Grundverordnung (KOM (2012)11, DS-GVO) angenommen und die Aufnahme von Verhandlungen mit dem Rat der Europäischen Union gem. Art. 70 GO beschlossen. Die Innenpolitiker haben dem Berichterstatter Albrecht ein Mandat erteilt, ohne 1. Lesung im Plenum in direkte Verhandlungen mit dem EU-Rat und der EU-Kommission einzusteigen. Mithin ergeben sich folgende Neuerungen:

  • Stellen die sensible Daten verarbeiten, oder sich auf 5000 Betroffene pro Jahr beziehen, müssten beim Durchkommen des Vorstoßes einen gesonderten Betriebsdatenschutzbeauftragten ernennen, eine Risikoanalyse und eine Folgenabschätzung durchführen und die Einhaltung der Regeln alle zwei Jahre durch einen externen Experten überprüfen lassen.
  • Datenschutzpannen sind "ohne ungerechtfertigte Verzögerung" und so in der Regel binnen 72 Stunden den Betroffenen mitzuteilen. Die Kommission hatte hier auf eine unverzügliche"Information und eine 24-Stunden-Frist abgestellt´
  •  Eine Nutzung persönlicher Daten wird prinzipiell eine frei abgegebene, spezifische und informierte Einwilligung des Betroffenen benötigen. Schweigen oder Inaktivität dürfe nicht als Hinweis darauf verstanden werden.
  • Eine von Bürgerrechtlern kritisierte Klausel in Artikel 6, wonach eine Datenverarbeitung auch beim Nachweis der Notwendigkeit für das Verfolgen legitimer Interessen erfolgen darf, gilt nur unter der Einschränkung, dass dadurch etwa nicht die Grundrechte des Datensubjekts unterwandert werden.
  • Für das Erstellen von Nutzerprofilen gelten ähnliche Anforderungen, Ausnahmen sind für statistische und Forschungszwecke vorgesehen sowie beim Verwenden pseudonymisierter oder anonymer Daten
  • Einen gesonderten Artikel zur Portabilität persönlicher Informationen, den das Kommissionspapier noch vorgesehen hatte, gibt es nicht mehr. Entsprechende Bestimmungen finden sich nun eingebaut in Artikel 15. Dazu kommen die bereits oft kolportierten Rechte auf Löschung sowie zur Korrektur und Einsichtnahme in Datenbestände.

Autor: Dipl.- Jur. Dennis Heinemeyer, Institut für Rechtsinformatik, Leibniz Universität Hannover

      ___________

Am 6.6.2013 hat der EU Ministerrat zur Europäischen Datenschutz Grundverordnung getagt.

Derzeit liegen dem Ausschuss  Bürgerliche Freiheiten, Justiz und Inneres rund 4000 Änderungsanträge zur Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vor. Eine generelle Einigung über die Datenschutz-Grundverordnung sei laut dem parlamentarischen Staatssekretär im Bundesinnenministerium, Ole Schröder (CDU), der Deutschland bei den Beratungen vertrat, verfrüht.

Kritisiert wird mitunter, dass in der aktuellen Vorlage moderne Techniken wie Apps oder das Cloud Computing nicht geregelt seien, bei dem Anwendungen und Daten nicht mehr auf einem festen Rechner gespeichert, sondern ins Internet ausgelagert werden. Konkrete Bestimmungen für Meinungsäußerungen in sozialen Netzwerken oder den Quellenschutz von Journalisten fehlten ebenso wie die Klarstellung, dass Nutzerprofile nur anonymisiert angelegt werden dürfen. Am 16.1.2013 wurde ein Berichtsentwurf über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) veröffentlicht.

Insoweit  sollen die vorgesehenen Strafen bei Datenschutzverstößen, die schon im Kommissionsentwurf von 5% auf maximal 2% des weltweiten Jahresumsatzes der Firmen gesenkt wurde, nun optional zur Anwendung kommen sollen. Stattdessen solle auf "Warnungen und Verweise" gesetzt werden sowie "mildernde Umstände" in Betracht gezogen werden.

Die am 17.12.2012 vorgeschlagenen Änderungen der Datenschutz-Grundverordnung sollen den Entwurf der Europäischen Kommission zur Reform des europäischen Datenschutzrechts verbessern. Insbesondere sollen hiernach die Zusammenführung personenbezogener Daten aus unterschiedlichen Quellen weiter eingeschränkt und die Rechte der Betroffenen insoweit gestärkt werden. Die Datenschutz-Grundverordnung  unterstütze die allgemeinen Zielsetzungen des Reformpakets, in Übereinstimmung mit Artikel 8 der Grundrechtecharta sowie Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) auf EU-Ebene eine Harmonisierung des Schutzes von Einzelpersonen im Zusammenhang mit der Verarbeitung personenbezogener Daten sicherzustellen.

Es wird ferner darauf hingewiesen, dass das Gesamtpaket aus Datenschutz-Grundverordnung und Richtlinie für den Bereich von Polizei und Justiz bei gleichzeitiger Beibehaltung zahlreicher europäischer und nationaler Datenschutzregelungen gerade im Bereich der Telekommunikation im Konsultationsprozess immer wieder grundlegenden Einwänden hinsichtlich seiner Vereinbarkeit mit dem Prinzip der Subsidiarität und dem Grundsatz der Verhältnismäßigkeit begegnet.

Die vorgetragenen Bedenken betreffen:

  • die Reichweite der Rechtsetzungsbefugnis der Europäischen Union nach Artikel 16 Absatz 2 AEUV, die einer angestrebten Vollharmonisierung gerade im Bereich der Datenverarbeitung durch öffentliche Stellen Grenzen setzt und hinsichtlich des Richtlinienvorschlags für den Bereich von Polizei und Justiz Fragen zur Erstreckung auf rein innerstaatliche Sachverhalte aufwirft;
  • das Abstraktionsniveau der Verordnung, das einer Richtlinie der Europäischen Union vergleichbar ist, aber mangels mitgliedstaatlicher Umsetzungsakte zu wenig Rechtssicherheit vermittelt, und die Befugnis der Europäischen Kommission zum Erlass delegierter Rechtsakte (vgl. Artikel 86), auch zu Fragen, die keine Nebensächlichkeiten sind, was problematisch ist
  • Anwendungsbereichs nationaler Gesetze (Kapitel IX) in jenen Fällen, in denen mehr als ein Mitgliedstaat involviert ist
  • die fehlende Abstimmung zwischen den künftigen Regelungen der Verordnung und weiten Teilen der für die Nutzung des Internet zentralen Richtlinien-Regelungen im Bereich der Telekommunikation (wie die Richtlinie 2002/58/EG); 

  •  Defizite bei der Gewährleistung effektiven Rechtsschutzes bei einer möglichen Verletzung von Grundrechten, da hierfür kein unmittelbar individuellen Rechtsschutz eröffnendes Klageverfahren vor dem Europäischen Gerichtshof zur Verfügung steht; 

  •  die unzureichende Bewältigung von Konflikten zwischen Datenschutzinteressen und anderen grundrechtlich geschützten Interessen wie dem Recht auf Meinungsäußerung und dem Grundsatz des öffentlichen Zugangs zu amtlichen Dokumenten; die unklaren Grenzziehungen zwischen den Anwendungsbereichen des Verordnungs- und des Richtlinienvorschlags

Autor: Dipl.- Jur. Dennis Heinemeyer, Institut für Rechtsinformatik, Leibniz Universität Hannover

      ___________

Am 25.1.2012  hat die Europäische Kommission einen Vorschlag vorgelegt nachdem die europäische Datenschutz-Grundverordnung die bisherige EU-Datenschutz-Richtlinie 95/46/EG ablösen werden soll. Der Vorschlag der Kommission für einen neuen Rechtsrahmen zum Schutz personenbezogener Daten in der EU besteht aus zweit Teilen: Einem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie einem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Kernelement der EU-Vorschriften zum Schutz personenbezogener Daten ist die Richtlinie 95/46/EG3.

Richtungsweisende Änderungen wie folgt:

  • Strikte Reglementierung der Profilbildung

  • Effektiver Schutz von Minderjährigen

  • Anhebung der Altersgrenze

  • Förderung des Selbstdatenschutzes

  • Vereinfachter Zugriff auf eigene Personenbezogene Daten bei Dienstleistern

  • Pauschalierter Schadensersatzanspruch bei Datenschutzverstößen

  • Praxistaugliche Regelungen zum technisch-organisatorischen Datenschutz, welche vor allem die Grundsätze der Vertraulichkeit, der Integrität, der Verfügbarkeit, der Nichtverkettbarkeit, der Transparenz und der Intervenierbarkeit anerkennen und ausgestalten

  •  Grundsätzliche Pflicht zur Löschung von Nutzerdaten der Beendigung von  Nutzungsvorgängen

Am 6. 11. 2012 hat der Deutsche Bundestag hat aktuell zum Vorschlag der Europäischen Kommission zum Erlass einer Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Stellung genommen.

Autor: Dipl.- Jur. Dennis Heinemeyer, Institut für Rechtsinformatik, Leibniz Universität Hannover



Entwurf einer Stellungnahme des EU-Rats zur GS-GVO v. 17.3.2016.pdf

Stellungnahme Roßnagel zum Ausschusses Digitale Agenda v. 19.2.2016

Vorläufige deutsche Sprachfassung der DS-GVO v. 28.1.2016

Nichtamtliche Übersetzung der DS-GVO durch GDD e. V. v. 28.1.2016

Trilog-Synopse DS-GVO des BayLDa v. 1.2016

Empfehlung des EU-Datenschutzbeauftragten zur DatenschutzGVO v. 27.07.2015

Annex zur Empfehlung des EU-Datenschutzbeauftragten zur DatenschutzGVO v. 27.07.2015

Positionspapier BvD e. V. zur DatenschutzGVO v. Juli 2015

Ergebnisse des Trilogs am 01.07.2015 zum Erlaß der Datenschutz-GVO v. 02.07.2015

Vorbereitende Übersicht zum Trilog am 14.07.2015 zum Erlaß der Datenschutz-GVO v. 26.06.2015

BayLDA-Synopse der Datenschutz-GVO v. 24.06.2015

Brief der Art.-29-Datenschutzgruppe an Juhansone v. 17.06.2015

Brief der Art.-29-Datenschutzgruppe an Albrecht v. 17.06.2015

Brief der Art.-29-Datenschutzgruppe an Jourová v. 17.06.2015

Annex zu den Briefen der Art.-29-Datenschutzgruppe v. 17.06.2015

Verabschiedete deutschsprachige Fassung der allgemeinen Ausrichtung des EU-Rats zur Datenschutz-GVO v. 11.06.2015

Position der Mitgliedsstaaten zur Datenschutz-GVO v. 11.06.2015

Verabschiedete englischsprachige Fassung der Datenschutz-GVO durch den Europäischen Rat (EU Council’s general approach to the General Data Protection Regulation) v. 11.06.2015

Geleakte Fassung General Data Protection Regulation v. 08.06.2015

Konsolidierte Fassung v. März 2015

Studie der EU-Kommission zur ePrivacy-Richtlinie v. 31.01.2015

Mitteilung an DAPIX v. 21.01.2015

Studienanhang der EU-Kommission zur ePrivacy-Richtlinie v. 29.08.2014

Offizielle konsolidierte Fassung der Entwürfe v. 30.6.2014

Inoffizielle konsolidierte Fassung mit hervorgehobenen Änderungen vom 28.06.2014

Inoffizielle konsolidierte Fassung vom 28.06.2014

Übersicht über den aktuellen Stand und die Perspektiven der Datenschutz-GrundVo v. 27.1.2014 (European Commission - MEMO/14/60 27/01/2014)

INOFFICIAL CONSOLIDATED VERSION AFTER LIBE COMMITTEE VOTE PROVIDED BY THE RAPPORTEUR 22.11.2013

LIBE-Ausschuss Compromise amendments on Art. 30-91 vom 17.10.2013

LIBE-Ausschuss Compromise amendments on Art. 1-29 vom 7.10.2013

Entwurf einer Stellungnahme vom 18.10.2012 vom Rechtsausschuss

Entwurf eines Berichtes vom 16.1.2013 vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres

Stellungnahme vom 28.1.2013 des Ausschusses für Binnenmarkt und Verbraucherschutz

Empfehlung der Art.-29-Datenschutzgruppe 8/2012 v. 5.10.2012

Empfehlung 1/2013 der Art.-29-Datenschutzgruppe v. 22.1.2013

Stellungnahme des Bundestages vom 6.11.2012

Draft Report vom 17.12.2012 des Ausschuss für bürgerliche Freiheiten, Justiz und Inneres

Stellungnahme des Ausschusses der Regionen: „Datenschutzpaket“

EU- Informationen des Deutschen Anwaltvereins 33/12

EU- Informationen des Deutschen Anwaltvereins 37/12

Entwurf einer Stellungnahme vom 18.10.2012 des Europäischen Parlaments

Background Paper 24.10.2012 des Europäischen Parlaments

EU- Informationen des Deutschen Anwaltvereins 03/12

Vorschlag 25.1.2012 der Europäischen Kommission

Executive summary of the impact Assesment der Europäischen Kommission

Impact Assessment

Annex

Vorschlag zur Datenschutz-Grundverordnung vvom 25.1.2012



Verlag Dr. Otto Schmidt vom 12.04.2016 12:06

zurück zur vorherigen Seite