EU-Datenschutzreform

Die EU-Datenschutzreform führte zum Erlass der Datenschutz-Grundverordnung und der Datenschutz-Richtlinie für Polizei und Strafjustiz. Sie wurde von der Kommission Barroso II vorbereitet und unter der Kommission Juncker abgeschlossen. Vorangetrieben wurde das Reformpaket insbesondere von der EU-Justizkommissarin Viviane Reding und dem Berichterstatter im Europäischen Parlament, dem Grünen-Europaabgeordneten Jan Philipp Albrecht. Das Paket wurde am 14. April 2016 vom Europäischen Parlament beschlossen,^[1]^[2] trat am 24. Mai 2016 in Kraft und galt ab dem 25. Mai 2018.

Ziele

Die Kommission will die bestehenden europäischen und nationalen Datenschutzvorschriften vereinheitlichen. Meldepflichten für Unternehmen sollen entfallen. Die Kommission verspricht sich dadurch Kosteneinsparungen für die Wirtschaft in Höhe von bis zu 2,3 Milliarden Euro jährlich. Im Gegenzug sollen die datenverarbeitenden Unternehmen jedoch einer verschärften Rechenschaftspflicht unterliegen. So sollen schwere Datenschutzverstöße künftig unverzüglich den nationalen Datenschutz-Aufsichtsbehörden gemeldet werden müssen. Die nationalen Datenschutzbehörden, in Deutschland beispielsweise der Bundesdatenschutzbeauftragte, sollen in ihrer Unabhängigkeit gestärkt werden. Ihnen sollen unter anderem stärkere Sanktionsmittel in die Hand gegeben werden.

Unternehmen, die Daten außerhalb der EU verarbeiten, ihre Dienste aber auch innerhalb der EU anbieten, sollen künftig den Regelungen der Europäischen Union unterliegen (so genanntes Marktortprinzip). Davon betroffen wären insbesondere US-amerikanische Unternehmen wie beispielsweise Facebook. Zu Gunsten der Bürger sollen das Recht auf Datenportabilität und das Recht auf Vergessenwerden gesetzlich verankert werden. Auch diese neuen Rechte zielen unmittelbar auf Onlinedienste wie Facebook ab.

Außerdem soll das neue EU-Datenschutzrecht die Grundsätze Privacy by Design (Datenschutz durch Technik) und Privacy by Default (datenschutzfreundliche Voreinstellungen) umsetzen.

Verfahren

Von der Datenschutzrichtlinie zum Datenschutz-Gesamtkonzept

Die Datenschutzrichtlinie von 1995 (DSRL) stellte bis zur Verabschiedung des Reformpakets 2016 das Datenschutzrahmenrecht der Europäischen Union dar. Der Entwurf für die Richtlinie 1995 stammte aus dem Jahr 1990,^[3]^[4] noch 3 Jahre vor der Veröffentlichung des ersten verbreiteten Webbrowsers Mosaic. Daraus ergaben sich einige Probleme mit modernen Technologien z. B. in Kommunikationsnetzen,^[5] im Bereich IoT^[6] oder in sozialen Netzwerken^[7] diese konnten dank des technikneutralen Ansatzes der DSRL wegen gelöst werden,^[8] jedoch schienen im Rahmen der Digitalisierung diese Regeln weder den erforderlichen Harmonisierungsgrad noch die notwendige Wirksamkeit, um das Recht auf den Schutz personenbezogener Daten zu garantieren.^[9]^[10]

Der Rat beauftragte die Kommission im Stockholmer Programm „die Funktionsweise der verschiedenen Rechtsinstrumente über Datenschutz zu bewerten und erforderlichenfalls weitere Initiativen legislativer und nicht-legislativer Art vorzulegen“^[11]. Das Parlament seinerseits „fordert[e] Rat und Kommission auf, die Initiative zu ergreifen und eine weltweite Plattform für die Erarbeitung […] [von] Standards [für den Datenschutz] zu schaffen“^[12].

Die Kommission hatte diese Bewertung bereits begonnen: 2009 führte sie eine Konsultation^[13] durch und beauftragte mehrere Studien^[14]^[15]^[16]. Die Artikel-29-Gruppe gab eine Stellungnahme ab.^[17] Übergreifend wurde festgestellt, dass die wesentlichen Grundsätze der Richtlinie nach wie vor Gültigkeit haben und ihre Technikneutralität beibehalten werden sollte – allerdings wurde auch festgestellt, dass einige Aspekte problematisch sind und spezifische Probleme aufwerfen.^[18]

Viviane Reding kündigte am 16. September 2010 einen Grundriss für die Novellierung der Datenschutzrichtlinie an,^[19]^[20] welcher am 4. November 2010 als „Gesamtkonzept für den Datenschutz in der Europäischen Union“^[21]^[22] veröffentlicht wurde.

Die Kommission stelle fünf Problembereiche der alten Regelung fest:

Beherrschung der Auswirkungen neuer Technologien: Insbesondere der LfD Berlin Alexander Dix,^[23] die österreichische Bundesarbeitskammer^[24] und der vzbv^[25] hoben Problematiken der Digitalisierung hervor, z. B.: Datenschutzvorgaben für die Nutzungsbedingungen von Sozialen Netzwerken (LfD Berlin und Bundesarbeitskammer) oder Smart Meter (vzbv). So stellte die Kommission fest, „dass die Anwendung der Datenschutzgrundsätze auf neue Technologien präzisiert und spezifiziert werden muss, um sicherzustellen, dass personenbezogene Daten unabhängig von der zur Datenverarbeitung verwendeten Technologie wirksam geschützt werden, und dass sich die für die Verarbeitung Verantwortlichen der Auswirkungen neuer Technologien auf den Datenschutz voll und ganz bewusst sein müssen“ und das insbesondere die ePrivacy-Richtlinie diese Aspekte nur teilweise regelte.^[18]
Binnenmarktdimension des Datenschutzes: Viele Unternehmen und deren Verbände wie z. B.: BITKOM,^[26] der GDV^[27] und Microsoft^[28] vertraten die Position, dass unterschiedliche Datenschutzniveaus ein Problem darstellten. Die Kommission stellte fest, dass „nach Ansicht der Befragten […] die Rechtssicherheit erhöht, der Verwaltungsaufwand verringert und gleiche Bedingungen für die Unternehmen und die anderen für die Datenverarbeitung Verantwortlichen gewährleistet werden [müssen]“.^[29]
Umgang mit der Globalisierung und Verbesserung internationaler Datentransfers: Insbesondere Unternehmen welche Ihre Hauptsitze im außereuropäischen Ausland haben wie eBay^[30] und Intel^[31] aber auch die Europäische Vertretung der AmCham^[32] beklagten die hohen Standards, welche im Rahmen der Datenübertragungen in das außereuropäische Ausland eingehalten werden mussten, lobten die alten Regelungen jedoch insbesondere für die Möglichkeit der Binding Corporate Rules und die Einfachheit der Anerkennung durch andere Datenschutzbehörden, sobald eine EU-Datenschutzbehörde diese als akzeptabel deklariert habe.
Verstärkter institutioneller Rahmen für die wirksame Durchsetzung der Datenschutzvorschriften: Alle Beteiligten sind sich darüber einig, dass die Datenschutzbehörden mehr Befugnisse erhalten sollten, damit die Einhaltung der Datenschutzvorschriften besser durchgesetzt werden kann. Einige Organisationen forderten auch mehr Transparenz in der Tätigkeit der Datenschutzgruppe und klare Informationen über deren Aufgaben und Befugnisse.^[29]
Kohärentere Regelung für den Datenschutz: Alle beteiligten Kreise – mit Ausnahme von Europol^[33] und Eurojust^[34] – vertraten die Ansicht, dass es einer übergreifenden Regelung bedarf, die für die Datenverarbeitung in sämtlichen Sektoren und Politikbereichen der Union gilt. So ließe sich ein einheitlicher Ansatz und ein nahtloser, kohärenter und wirksamer Schutz gewährleisten.^[29]

Parlamentarische Beratung und Beratung im Rat

Der Vorschlag zum Datenschutzpaket wurde von Viviane Reding am 25. Oktober 2012 vorgestellt.^[35] Regelungstechnisch wurde die Datenschutzreform durch zwei Rechtsakte umgesetzt: Für die polizeiliche und justizielle Zusammenarbeit in Strafsachen wurde die Datenschutz-Richtlinie für Polizei und Strafjustiz eingeführt. Diese folgt dem Rahmenbeschluss 2008/977/JI nach; als EU-Richtlinie ist sie von den Mitgliedstaaten zunächst in nationales Recht umzusetzen. In allen anderen Bereichen regelt eine neue Datenschutz-Grundverordnung den Datenschutz. Diese Verordnung ersetzt die seit 1995 geltende Datenschutzrichtlinie 95/46/EG; als EU-Verordnung wird sie in den Mitgliedstaaten unmittelbar wirksam.

Das Europäische Parlament verabschiedete am 21. Oktober 2013 seine Verhandlungsposition für die beiden Rechtsakte zur Datenschutzreform.^[36] In dieser von den beiden Berichterstattern Jan Philipp Albrecht und Dimitris Droutsas vorbereiteten Entscheidung forderte das Parlament eine schnelle Verabschiedung starker Datenschutzregeln.^[37]

Anschließend wurde der Reformentwurf im EU-Ministerrat verhandelt, wobei entscheidende Teile der Verordnung unter Ausschluss der Öffentlichkeit zu Gunsten eines schwächeren Datenschutzes verändert wurden.^[38] Erst im Juni 2015 einigten sich die EU-Justizminister auf einen Entwurf der EU-Datenschutz-Grundverordnung.^[39]

Sodann folgten die Abstimmungsverhandlungen zwischen Rat, Europäischem Parlament und Europäischer Kommission (sogenannter Trilog). Eine am 15. Dezember 2015 zwischen Parlament und Rat informell erzielte Einigung^[40] wurde am 17. Dezember vom Innen- und Rechtsausschuss des Parlaments mit großer Mehrheit angenommen.

Am 14. April 2016 hat das Europäische Parlament der Datenschutzreform zugestimmt. Am 4. Mai 2016 wurden die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679)^[41] und die Datenschutz-Richtlinie für Polizei und Strafjustiz (Richtlinie (EU) 2016/680)^[42] im Amtsblatt der Europäischen Union veröffentlicht. Die EU-Mitgliedstaaten haben zwei Jahre Zeit, die Bestimmungen der Richtlinie in nationales Recht umzusetzen. Durch die Ausnahmen, die Dänemark und Großbritannien im Bereich Justiz und Inneres ausgehandelt haben, werden die Bestimmungen der Richtlinie dort nur eingeschränkt gelten.^[43]

Weblinks

Website der Europäischen Kommission zur EU-Datenschutzreform

Einzelnachweise

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

Search