11.5.2012   

DE

Amtsblatt der Europäischen Union

C 136/1

1.

Am 29. November 2011 nahm die Kommission zwei Vorschläge für Rechtsvorschriften zu alternativen Verfahren zur Streitbeilegung an (im Folgenden „die Vorschläge“):

2.

Am 6. Dezember 2011 erhielt der EDSB den AS- und den OS-Vorschlag zur Konsultation. Der EDSB war schon vor der Annahme der Vorschläge informell konsultiert worden und hatte informelle Kommentare abgegeben. Der EDSB begrüßt diese frühzeitige Konsultation und die Tatsache, dass ein Großteil der in den Kommentaren enthaltenen Empfehlungen in die Vorschläge eingeflossen ist.

3.

In der vorliegenden Stellungnahme sollen die in den Vorschlägen vorgesehenen Verarbeitungen personenbezogener Daten analysiert werden, und es soll der Frage nachgegangen werden, wie die Vorschläge mit Datenschutzproblemen umgehen. Im Mittelpunkt wird der OS-Vorschlag stehen, da er eine zentralisierte Verarbeitung personenbezogener Daten mithilfe einer Online-Plattform vorsieht, die sich auf Streitigkeiten beziehen.

4.

Alternative Streitbeilegungssysteme (AS) bieten alternative Möglichkeiten für die Beilegung von Streitigkeiten, die üblicherweise kostengünstiger und schneller als ein Gerichtsverfahren sind. Mit dem AS-Vorschlag soll gewährleistet werden, dass in allen EU-Mitgliedstaaten solche Systeme zur Beilegung grenzüberschreitender verbraucherrechtlicher Streitigkeiten bestehen, die sich aus dem Verkauf von Waren oder der Erbringung von Dienstleistungen in der EU ergeben.

5.

Der OS-Vorschlag baut auf der EU-weiten Verfügbarkeit von AS für verbraucherrechtliche Streitigkeiten auf. Er sieht die Schaffung einer Online-Plattform („OS-Plattform“) vor, die Verbraucher und Wirtschaftsteilnehmer nutzen können, um der zuständigen AS-Stelle Beschwerden über grenzüberschreitende Online-Transaktionen zu übermitteln.

6.

Der EDSB teilt die Zielsetzungen der Vorschläge und begrüßt, dass schon in den ersten Phasen ihrer Abfassung Datenschutzgrundsätze berücksichtigt wurden.

7.

Außerdem begrüßt der EDSB die Verweise auf die Anwendbarkeit der Datenschutzbestimmungen im OS-Vorschlag (5) und auf die Anwendbarkeit der nationalen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG im AS-Vorschlag (6) sowie die Erwähnung der Konsultation des EDSB (7).

8.

Laut OS-Vorschlag werden bei jeder über die OS-Plattform eingereichten Streitigkeit die Daten von drei Arten von Akteuren verarbeitet:

Gemäß Artikel 11 Absatz 4 gilt jeder dieser Akteure als für die Verarbeitung Verantwortlicher bei der Verarbeitung personenbezogener Daten im Zusammenhang mit seinen jeweiligen Zuständigkeiten.

9.

Viele dieser für die Verarbeitung Verantwortlichen könnten jedoch als verantwortlich für die Verarbeitung derselben personenbezogenen Daten gelten (9). So können beispielsweise Daten zu einer bestimmten Streitigkeit, die über die OS-Plattform übermittelt wurden, von mehreren OS-Mittlern und von dem zuständigen AS-System geprüft werden, das sich mit der Streitigkeit befassen wird. Auch die Kommission kann diese personenbezogenen Daten zum Zweck des Betriebs und der Pflege der OS-Plattform verarbeiten.

10.

Insofern begrüßt der ESDB, dass laut Erwägungsgrund 20 des OS-Vorschlags die Datenschutzbestimmungen für alle diese Akteure gelten. Im legislativen Teil des OS-Vorschlags sollte jedoch zumindest festgelegt werden, an welchen der für die Verarbeitung Verantwortlichen die betroffenen Personen ihre Anträge auf Auskunft, Berichtigung, Sperrung und Löschung richten müssen und welcher für die Verarbeitung Verantwortliche bei Verstößen gegen bestimmte Datenschutzbestimmungen (z. B. bei Verstößen gegen Sicherheitsregeln) zur Rechenschaft gezogen wird. Die betroffenen Personen sollten entsprechend unterrichtet werden.

11.

Nach Artikel 11 des OS-Vorschlags haben Zugriff auf die über die OS-Plattform verarbeiteten personenbezogenen Daten lediglich

12.

Der EDSB begrüßt diese Zweckbindung und Einschränkung der Zugangsrechte. Es bleibt jedoch unklar, ob alle OS-Mittler (mindestens 54) Zugriff auf personenbezogene Daten im Zusammenhang mit allen Streitigkeiten haben werden. Der EDSB empfiehlt eine Klarstellung dahingehend, dass jeder OS-Mittler Zugang nur zu den Daten erhält, die er zur Erfüllung seiner Verpflichtungen nach Artikel 6 Absatz 2 benötigt.

13.

Hinsichtlich der Speicherfrist begrüßt der EDSB Artikel 11 Absatz 3, dem zufolge die Speicherung personenbezogener Daten nur für die Zeit zulässig ist, die für die Beilegung der Streitigkeit oder für die Ausübung des Rechts der betroffenen Person auf Auskunft erforderlich ist. Weiter begrüßt er die Verpflichtung, die Daten sechs Monate nach Abschluss der Streitigkeit automatisch zu löschen.

14.

In Anbetracht des Zwecks der Vorschläge ist es durchaus möglich, dass auch personenbezogene Daten zu mutmaßlichen Verstößen verarbeitet werden. Bei Streitigkeiten im Zusammenhang mit dem Verkauf von Waren oder der Erbringung gesundheitsbezogener Dienstleistungen können durchaus auch Gesundheitsdaten verarbeitet werden.

15.

Die Verarbeitung personenbezogener Daten im Rahmen der OS-Plattform könnte daher einer Vorabkontrolle durch nationale Datenschutzbehörden und den EDSB zu unterziehen sein, wie in Artikel 27 der Verordnung (EG) Nr. 45/2001 und Artikel 20 der Richtlinie 95/46/EG gefordert (11). Der EDSB erkennt, dass die Kommission sich der Notwendigkeit bewusst ist, vor der Inbetriebnahme der OS-Plattform zu prüfen, ob die Verarbeitung vorab kontrolliert werden sollte.

16.

Die Angaben, die in dem elektronischen Beschwerdeformular („Formular“) zu machen sind, sind im Einzelnen im Anhang des OS-Vorschlags aufgeführt. Dazu gehören personenbezogene Daten der Parteien (Name, Anschrift und gegebenenfalls E-Mail-und Website-Adresse) sowie Daten, mit denen bestimmt wird, welche AS-Stelle für die Bearbeitung der jeweiligen Streitigkeit zuständig ist (Wohnsitz des Verbrauchers zum Zeitpunkt der Bestellung der Waren oder Dienstleistungen, Art der betroffenen Waren oder Dienstleistungen usw.).

17.

Der EDSB begrüßt Artikel 7 Absatz 6, dem zufolge über das elektronische Beschwerdeformular und seine Anlagen nur Daten verarbeitet werden dürfen, die genau und zweckdienlich sind und nicht über den Zweck hinausgehen, für den sie erhoben werden. Die Auflistung der Daten im Anhang steht ferner im Einklang mit dem Grundsatz der Zweckbindung.

18.

Diese Auflistung kann jedoch durch delegierte Rechtsakte geändert werden, und die Einzelheiten des Beschwerdeformulars werden mittels Durchführungsrechtsakten festgelegt (12). Der EDSB empfiehlt, auf die Notwendigkeit einer Konsultation des EDSB zu verweisen, sofern es in diesen Rechtsakten um die Verarbeitung personenbezogener Daten geht.

19.

Der EDSB begrüßt die Bestimmungen über Vertraulichkeit und Sicherheit. Zu den in Artikel 12 des OS-Vorschlags aufgeführten Sicherheitsmaßnahmen gehören Zugangskontrollen, ein Sicherheitsplan und die Behandlung von Sicherheitsvorfällen.

20.

Der EDSB empfiehlt, auch das Erfordernis einer Datenschutz-Folgenabschätzung (einschließlich Risikobewertung) sowie die Tatsache zu erwähnen, dass die Einhaltung der Datenschutzbestimmungen und der Datensicherheit regelmäßig geprüft und in einem Bericht festgehalten werden sollte.

21.

Des Weiteren erinnert der EDSB daran, dass bei der Entwicklung von IT-Instrumenten für den Aufbau der OS-Plattform schon in einer sehr frühen Phase der Schutz der Privatsphäre und der Datenschutz Berücksichtigung finden (eingebauter Datenschutz) und auch Möglichkeiten (wie Authentifizierung und Verschlüsselung) vorgesehen werden sollten, mit denen die Nutzer personenbezogene Daten besser schützen können.

22.

Der EDSB begrüßt Erwägungsgrund 27 des OS-Vorschlags, dem zufolge die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten und über ihre Rechte in einem öffentlich zugänglichen Datenschutzhinweis unterrichtet werden sollten. Die Informationspflicht gegenüber betroffenen Personen sollte allerdings auch Eingang in den verfügenden Teil des OS-Vorschlags finden.

23.

Darüber hinaus sollen betroffene Personen auch darüber unterrichtet werden, welcher für die Verarbeitung Verantwortliche für die Wahrung ihrer Rechte verantwortlich ist. Der Datenschutzhinweis sollte für alle, die das Formular ausfüllen, deutlich sichtbar sein.

24.

Der EDSB begrüßt, dass Datenschutzgrundsätze in den Wortlaut aufgenommen wurden, insbesondere im Hinblick auf die Zweckbindung und die Einschränkung des Zugangs, die Begrenzung der Speicherfrist und die Sicherheitsmaßnahmen. Dennoch empfiehlt er,

25.

Des Weiteren erinnert der EDSB daran, dass die Verarbeitung personenbezogener Daten im Rahmen der OS-Plattform möglicherweise einer Vorabkontrolle durch den EDSB und nationale Datenschutzbehörden unterliegt.