EU-Kommission, MEMO/15/6385, 21.12.2015

EU-Datenschutzreform: Einigung im Trilog

Am 21.12.2015 hat die EU-Kommission ein Fact Sheet mit Fragen & Antworten zur EU-Datenschutzreform veröffentlicht. Am 15.12.2015 waren EU-Parlament, EU-Rat und EU-Kommission im Rahmen des Trilogs zu einer Einigung auf die endgültige Version einer künftigen EU-Datenschutz-Grundverordnung (DS-GVO) gekommen (Consolidated Text (outcome of the trilogue of 15/12/2015); vgl. dazu die Stellungnahmen der amtierenden BfDI Andrea Voßhoff ,"EU einigt sich über Datenschutzreform – Ein guter Tag für Europa und ein guter Tag für den Datenschutz" und des ehemaligen BfDI Peter Schaar, "EU-Datenschutz: Nach der Reform beginnt die Arbeit", beide v. 16.12.2015, sowie die kritische Trilogie von Winfried Veil, "Angriff auf Internet und Meinungsfreiheit" im CRonline Blog). Als Verordnung wird das EU-Reformpaket den gegenwärtig noch in der EU bestehenden "Flickenteppich" diverser datenschutzrechtlicher Regelungen ersetzen und den Datenschutz in der EU ab 2018 vereinheitlichen. Die EU-Datenschutzreform besteht aus zwei Instrumenten:

  • Der DS-GVO und
  • der Datenschutz-Richtlinie für Polizei und Justizbehörden.

Der LIBE-Ausschuss des EU-Parlaments hatte dieser Fassung am 17.12.2015 mehrheitlich zugestimmt und der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) hatte diese Textfassung am 18.12.2016 bestätigt.

Ziel der DS-GVO

Die DS-GVO hat zum Ziel, Menschen eine bessere Kontrolle des Schutzes ihrer persönlichen Daten zu ermöglichen. Zugleich will die DS-GVO mit modernisierten und vereinheitlichten Datenschutzregeln der Wirtschaft ermöglichen, aus dem Digital Single Market  mit Hilfe von Bürokratie-Abbau und wiedergewonnenem Verbrauchervertrauen das Meiste zu machen.

Datenschutz-Richtlinie für Polizei und Justiz

Die Datenschutz-Richtlinie für Polizei und Justiz wird sicherstellen, dass Opfer, Zeugen und Straftatverdächtige im Rahmen strafrechtlicher Ermittlungen und Vollzugsmaßnahmen angemessenen Schutz genießen. Zugleich wird durch die Harmonisierung der Vorgaben die grenzüberschreitende Zusammenarbeit von Polizei und Staatsanwaltschaften zur Bekämpfung von Verbrechen und Terrorismus erleichtert.

Ein Grundrecht für EU-Bürger

Die EU-Datenschutzreform soll EU-Bürgern ermöglichen, die Kontrolle über ihre persönlichen Daten zurückzugewinnen. Zwei-Drittel der Europäer (67%) haben bei einer Umfrage von Eurobarometer Ihre Sorge darüber ausgedrückt, keine vollständige Kontrolle über online gemachte Informationen zu haben. Sieben von zehn Europäern sind besorgt über die potentielle Nutzung dieser Daten durch die Wirtschaft. Die EU-Datenschutzreform will das Recht auf Datenschutz als Grundrecht in der EU stärken und den Europäern das Vertrauen zurückgeben, wenn sie ihre persönlichen Daten angeben.

Die neuen Regeln stärken zum einen die existierenden Rechte und geben dem Individuum mehr Kontrolle über seine persönlichen Daten. Zu diesen neuen Regeln gehören:

  • Zugang zu eigenen Daten:  Betroffene werden mehr Informationen darüber erhalten, wie ihre Daten verarbeitet werden, und diese Informationen sollen auf klare und verständliche Weise verfügbar sein.
  • Recht auf Daten-Portabilität:  Der Transfer persönlicher Daten zwischen Service Providern wird vereinfacht.
  • Recht auf Vergessenwerden:  Daten von denjenigen, die nicht mehr möchten, dass seine persönlichen Daten verarbeitet werden, werden künftig gelöscht, sofern keine legitimen Gründe für deren weitere Beibehaltung ersichtlich sind.
  • Recht auf Kenntnis von Datenpannen: Unternehmen und Organisationen müssen z.B. die nationale Aufsichtsbehörde so schnell wie möglich über ernste Datenverletzungen notifizieren, damit die Betroffenen passende Maßnahmen treffen können.

Klare und zeitgemäße Vorgaben für Unternehmen

Persönliche Daten haben in der digitalen Wirtschaft eine enorme wirtschaftliche Bedeutung erlangt, insbesondere im Bereich von Big Data. Durch die Vereinheitlichung der datenschutzrechtlichen Vorgaben in der EU schaffen die Gesetzgeber Geschäftschancen und fördern Innovation:

  • Ein Kontinent, ein Recht:  Die DS-GVO wird einheitliche Vorgaben schaffen, die Geschäften in der EU einfacher und preisgünstiger für Unternehmen machen.
  • One-Stop-Shop:  Unternehmen werden künftig nur noch mit einer einzigen datenschutzrechtlichen Aufsichtsbehörde zu tun haben. Dadurch werden voraussichtlich 2,3 Mrd Euro jährlich eingespart.
  • Europäische Regel auf europäischem Boden:  Unternehmen außerhalb Europas müssen sich an die neuen Vorgaben halten, wenn sie ihre Dienste in der EU anbieten.
  • Risiko-basierter Ansatz:  Die Vorgaben vermeiden beschwerliche One-Size-Fits-All Verpflichtungen und ermöglichen maßgeschneiderte Lösungen für einzelne Risiken.
  • Passende Vorgaben für Innovation:  Die DS-GVO garantiert, dass der Datenschutz im frühesten Stadium ihrer Entwicklung in Produkte und Dienste eingebaut wird (Datenschutz by Design). Privatsphäre begünstigende Techniken wie Pseudonymisierung werden gefördert, um die Früchte von Big Data Innovationen zu ernten und gleichzeitig die Privatsphäre zu schützen.

Vorteile für Große und Kleine

Die EU-Datenschutzreform soll wirtschaftliches Wachstum generieren, indem für europäische Unternehmen, insbesondere kleine und mittlere Unternehmen (KMU) Bürokratie abgebaut wird. Die EU-Datenschutzreform soll KMU helfen, neue Märkte zu erschließen. Nach den neuen Vorgaben profitieren KMU von vier Reduzierungen an Bürokratie:

  • Keine Notifizierungen mehr:  Notifizierungen an Aufsichtsbehörden stellen eine Formalität dar, die Unternehmen jährlich ca. 130 Mio. Euro kostet. Diese Kosten werden durch die EU-Datenschutzreform abgeschafft.
  • Jeder Cent zählt:  Wenn Forderungen nach Zugang zu Daten entweder greifbar unbegründet oder exzessiv sind, können KMU eine Gebühr für die Gewährung von Zugang einfordern.
  • Datenschutzbeauftragte:  KMU müssen keinen internen Datenschutzbeauftragten haben, insoweit Datenverarbeitung nicht zu ihren zentralen geschäftlichen Aktivitäten zählt.
  • Folgenabschätzung:  KMU unterliegen keiner Verpflichtung, eine Folgenabschätzung durchzuführen, es sei denn, es besteht ein hohes Risiko.

Schutz persönlicher Daten im Bereich von Polizei und Vollzug

Die Datenschutz-Richtlinie für Polizei und Justizbehörden soll für Verbesserungen in zwei Bereichen sorgen:

  • Bessere Zusammenarbeit zwischen den Vollzugsbehörden
Mit der neuen Datenschutz-Richtlinie für Polizei und Justizbehörden können Vollzugsbehörden in EU Mitgliedstaaten effizienter und effektiver Informationen austauschen, die ihm Rahmen von Ermittlungen im Kampf gegen Terrorismus und andere gravierende Verbrechen in Europa notwendig sind.
Die Datenschutz-Richtlinie für Polizei und Justizbehörden berücksichtigt die besonderen Bedürfnisse des Vollzugs, respektiert die unterschiedlichen rechtlichen Traditionen der EU-Mitgliedstaaten und steht in Einklang mit der EU-Grundrechte-Charta.
  • Besserer Schutz der Daten von EU-Bürgern
Die persönlichen Daten Betroffener werden besser geschützt werden, wenn sie für Zwecke des Vollzugs einschließlich der Verbrechensvorsorge verwendet werden. Die Datenschutz-Richtlinie für Polizei und Justizbehörden wird jeden schützen - Opfer, Verdächtige und Zeugen. Jedwede Verwendung von Daten im Vollzug in der EU muss den Prinzipien der Erforderlichkeit, der Verhältnismäßigkeit und der Rechtmäßigkeit gerecht werden. Eine Aufsicht wird durch unabhängige nationale Datenschutzaufsichtsbehörde gewährleistet und ein effektiver Rechtsweg muss eröffnet sein.
Die Datenschutz-Richtlinie für Polizei und Justizbehörden schafft auch klare Regelungen für den Transfer personenbezogene Daten durch Vollzugsbehörden außerhalb der EU, um sicherzustellen, dass das in der EU garantierte Datenschutzniveau nicht untergraben wird.

Wie geht's weiter?

Nach der politischen Einigung im Rahmen des Tilogs, werden die endgültigen Textfassungen Anfang 2016 vom EU-Parlament und vom EU-Rat formal verabschiedet werden. Der LIBE-Ausschuss im EU-Parlament wird schon am 17.12.2015 darüber abstimmen, siehe http://www.europarl.europa.eu/sides/getDoc.do?type=COMPARL&reference=LIBE-OJ-20151217-1&format=XML&language=EN&secondRef=01

Die neuen EU-Vorgaben werden dann 2018 in Kraft treten.

(ga)

EU-Commission, "Questions and Answers - Data protection reform", Fact Sheet, MEMO/15/6385, 21 December 2015

EU-Kommission, "Agreement on Commission's EU data protection reform will boost Digital Single Market", Pressemitteilung IP/15/6321, v. 15.12.2015

EU General Data Protection Regulation (first reading) - Analysis of the final compromise text with a view to agreement, 15 December 2015

Voßhoff, "EU einigt sich über Datenschutzreform – Ein guter Tag für Europa und ein guter Tag für den Datenschutz", Pressemitteilung der BfDI, Ausgabe 26/2015, v. 16.12.2015

Schaar, "EU-Datenschutz: Nach der Reform beginnt die Arbeit", EAID Blog v. 16.12.2015

EU-Parliament, LIBE-Committee, "Data protection package: Parliament and Council now close to a deal", press release, 15 December 2015 (updated on 17 December 2015)

Verlag Dr. Otto Schmidt vom 16.12.2015 09:43

zurück zur vorherigen Seite