Help Print this page 

Document 52012XX0511(01)

Title and reference
Stellungnahme des Europäischen Datenschutzbeauftragten zu Vorschlägen für Rechtsvorschriften über alternative und Online-Verfahren zur Beilegung verbraucherrechtlicher Streitigkeiten

OJ C 136, 11.5.2012, p. 1–4 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Multilingual display
Text

11.5.2012   

DE

Amtsblatt der Europäischen Union

C 136/1


Stellungnahme des Europäischen Datenschutzbeauftragten zu Vorschlägen für Rechtsvorschriften über alternative und Online-Verfahren zur Beilegung verbraucherrechtlicher Streitigkeiten

2012/C 136/01

DER EUROPÄISCHE DATENSCHUTZBEAUFTRAGTE —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16,

gestützt auf die Charta der Grundrechte der Europäischen Union, insbesondere auf Artikel 7 und 8,

gestützt auf die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (1),

gestützt auf die Verordnung (EG) des Rates Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, insbesondere auf Artikel 41 (2)

HAT FOLGENDE STELLUNGNAHME ANGENOMMEN:

I.   EINLEITUNG

I.1   Konsultation des EDSB und Ziel der Stellungnahme

1.

Am 29. November 2011 nahm die Kommission zwei Vorschläge für Rechtsvorschriften zu alternativen Verfahren zur Streitbeilegung an (im Folgenden „die Vorschläge“):

Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über alternative Verfahren zur Beilegung verbraucherrechtlicher Streitigkeiten (im Folgenden „der AS-Vorschlag“) (3);

Vorschlag für eine Verordnung über ein Online-Verfahren zur Beilegung verbraucherrechtlicher Streitigkeiten (im Folgenden „der OS-Vorschlag“) (4).

2.

Am 6. Dezember 2011 erhielt der EDSB den AS- und den OS-Vorschlag zur Konsultation. Der EDSB war schon vor der Annahme der Vorschläge informell konsultiert worden und hatte informelle Kommentare abgegeben. Der EDSB begrüßt diese frühzeitige Konsultation und die Tatsache, dass ein Großteil der in den Kommentaren enthaltenen Empfehlungen in die Vorschläge eingeflossen ist.

3.

In der vorliegenden Stellungnahme sollen die in den Vorschlägen vorgesehenen Verarbeitungen personenbezogener Daten analysiert werden, und es soll der Frage nachgegangen werden, wie die Vorschläge mit Datenschutzproblemen umgehen. Im Mittelpunkt wird der OS-Vorschlag stehen, da er eine zentralisierte Verarbeitung personenbezogener Daten mithilfe einer Online-Plattform vorsieht, die sich auf Streitigkeiten beziehen.

I.2   Ziel der Vorschläge

4.

Alternative Streitbeilegungssysteme (AS) bieten alternative Möglichkeiten für die Beilegung von Streitigkeiten, die üblicherweise kostengünstiger und schneller als ein Gerichtsverfahren sind. Mit dem AS-Vorschlag soll gewährleistet werden, dass in allen EU-Mitgliedstaaten solche Systeme zur Beilegung grenzüberschreitender verbraucherrechtlicher Streitigkeiten bestehen, die sich aus dem Verkauf von Waren oder der Erbringung von Dienstleistungen in der EU ergeben.

5.

Der OS-Vorschlag baut auf der EU-weiten Verfügbarkeit von AS für verbraucherrechtliche Streitigkeiten auf. Er sieht die Schaffung einer Online-Plattform („OS-Plattform“) vor, die Verbraucher und Wirtschaftsteilnehmer nutzen können, um der zuständigen AS-Stelle Beschwerden über grenzüberschreitende Online-Transaktionen zu übermitteln.

II.   ALLGEMEINE BEMERKUNGEN

6.

Der EDSB teilt die Zielsetzungen der Vorschläge und begrüßt, dass schon in den ersten Phasen ihrer Abfassung Datenschutzgrundsätze berücksichtigt wurden.

7.

Außerdem begrüßt der EDSB die Verweise auf die Anwendbarkeit der Datenschutzbestimmungen im OS-Vorschlag (5) und auf die Anwendbarkeit der nationalen Rechtsvorschriften zur Umsetzung der Richtlinie 95/46/EG im AS-Vorschlag (6) sowie die Erwähnung der Konsultation des EDSB (7).

III.   SPEZIFISCHE BEMERKUNGEN

III.1   Rolle der für die Verarbeitung Verantwortlichen: Notwendigkeit einer klaren Aufgabenverteilung

8.

Laut OS-Vorschlag werden bei jeder über die OS-Plattform eingereichten Streitigkeit die Daten von drei Arten von Akteuren verarbeitet:

den AS-Stellen;

den OS-Mittlern, die Unterstützung bei der Beilegung von über die OS-Plattform eingereichten Streitigkeiten leisten werden (8);

der Kommission.

Gemäß Artikel 11 Absatz 4 gilt jeder dieser Akteure als für die Verarbeitung Verantwortlicher bei der Verarbeitung personenbezogener Daten im Zusammenhang mit seinen jeweiligen Zuständigkeiten.

9.

Viele dieser für die Verarbeitung Verantwortlichen könnten jedoch als verantwortlich für die Verarbeitung derselben personenbezogenen Daten gelten (9). So können beispielsweise Daten zu einer bestimmten Streitigkeit, die über die OS-Plattform übermittelt wurden, von mehreren OS-Mittlern und von dem zuständigen AS-System geprüft werden, das sich mit der Streitigkeit befassen wird. Auch die Kommission kann diese personenbezogenen Daten zum Zweck des Betriebs und der Pflege der OS-Plattform verarbeiten.

10.

Insofern begrüßt der ESDB, dass laut Erwägungsgrund 20 des OS-Vorschlags die Datenschutzbestimmungen für alle diese Akteure gelten. Im legislativen Teil des OS-Vorschlags sollte jedoch zumindest festgelegt werden, an welchen der für die Verarbeitung Verantwortlichen die betroffenen Personen ihre Anträge auf Auskunft, Berichtigung, Sperrung und Löschung richten müssen und welcher für die Verarbeitung Verantwortliche bei Verstößen gegen bestimmte Datenschutzbestimmungen (z. B. bei Verstößen gegen Sicherheitsregeln) zur Rechenschaft gezogen wird. Die betroffenen Personen sollten entsprechend unterrichtet werden.

III.2   Beschränkung des Zugangs und Speicherfrist

11.

Nach Artikel 11 des OS-Vorschlags haben Zugriff auf die über die OS-Plattform verarbeiteten personenbezogenen Daten lediglich

die zuständige AS-Stelle zum Zweck der Beilegung der Streitigkeit;

OS-Mittler zur Unterstützung der Beilegung der Streitigkeit (z. B. zur Förderung der Kommunikation zwischen den Streitparteien und der entsprechenden AS-Stelle oder zur Information der Verbraucher über andere Rechtsbehelfe als die OS-Plattform);

die Kommission, falls dies für Betrieb und Pflege der OS-Plattform einschließlich der Überwachung der Nutzung der Plattform durch AS-Stellen und OS-Mittler erforderlich ist (10).

12.

Der EDSB begrüßt diese Zweckbindung und Einschränkung der Zugangsrechte. Es bleibt jedoch unklar, ob alle OS-Mittler (mindestens 54) Zugriff auf personenbezogene Daten im Zusammenhang mit allen Streitigkeiten haben werden. Der EDSB empfiehlt eine Klarstellung dahingehend, dass jeder OS-Mittler Zugang nur zu den Daten erhält, die er zur Erfüllung seiner Verpflichtungen nach Artikel 6 Absatz 2 benötigt.

13.

Hinsichtlich der Speicherfrist begrüßt der EDSB Artikel 11 Absatz 3, dem zufolge die Speicherung personenbezogener Daten nur für die Zeit zulässig ist, die für die Beilegung der Streitigkeit oder für die Ausübung des Rechts der betroffenen Person auf Auskunft erforderlich ist. Weiter begrüßt er die Verpflichtung, die Daten sechs Monate nach Abschluss der Streitigkeit automatisch zu löschen.

III.3   Verarbeitung besonderer Kategorien personenbezogener Daten: möglicher Bedarf an einer Vorabkontrolle

14.

In Anbetracht des Zwecks der Vorschläge ist es durchaus möglich, dass auch personenbezogene Daten zu mutmaßlichen Verstößen verarbeitet werden. Bei Streitigkeiten im Zusammenhang mit dem Verkauf von Waren oder der Erbringung gesundheitsbezogener Dienstleistungen können durchaus auch Gesundheitsdaten verarbeitet werden.

15.

Die Verarbeitung personenbezogener Daten im Rahmen der OS-Plattform könnte daher einer Vorabkontrolle durch nationale Datenschutzbehörden und den EDSB zu unterziehen sein, wie in Artikel 27 der Verordnung (EG) Nr. 45/2001 und Artikel 20 der Richtlinie 95/46/EG gefordert (11). Der EDSB erkennt, dass die Kommission sich der Notwendigkeit bewusst ist, vor der Inbetriebnahme der OS-Plattform zu prüfen, ob die Verarbeitung vorab kontrolliert werden sollte.

III.4   Der EDSB sollte zu delegierten Rechtsakten und zu Durchführungsrechtsakten zum Beschwerdeformular konsultiert werden

16.

Die Angaben, die in dem elektronischen Beschwerdeformular („Formular“) zu machen sind, sind im Einzelnen im Anhang des OS-Vorschlags aufgeführt. Dazu gehören personenbezogene Daten der Parteien (Name, Anschrift und gegebenenfalls E-Mail-und Website-Adresse) sowie Daten, mit denen bestimmt wird, welche AS-Stelle für die Bearbeitung der jeweiligen Streitigkeit zuständig ist (Wohnsitz des Verbrauchers zum Zeitpunkt der Bestellung der Waren oder Dienstleistungen, Art der betroffenen Waren oder Dienstleistungen usw.).

17.

Der EDSB begrüßt Artikel 7 Absatz 6, dem zufolge über das elektronische Beschwerdeformular und seine Anlagen nur Daten verarbeitet werden dürfen, die genau und zweckdienlich sind und nicht über den Zweck hinausgehen, für den sie erhoben werden. Die Auflistung der Daten im Anhang steht ferner im Einklang mit dem Grundsatz der Zweckbindung.

18.

Diese Auflistung kann jedoch durch delegierte Rechtsakte geändert werden, und die Einzelheiten des Beschwerdeformulars werden mittels Durchführungsrechtsakten festgelegt (12). Der EDSB empfiehlt, auf die Notwendigkeit einer Konsultation des EDSB zu verweisen, sofern es in diesen Rechtsakten um die Verarbeitung personenbezogener Daten geht.

III.5   Sicherheitsmaßnahmen: Erfordernis einer Datenschutz-Folgenabschätzung

19.

Der EDSB begrüßt die Bestimmungen über Vertraulichkeit und Sicherheit. Zu den in Artikel 12 des OS-Vorschlags aufgeführten Sicherheitsmaßnahmen gehören Zugangskontrollen, ein Sicherheitsplan und die Behandlung von Sicherheitsvorfällen.

20.

Der EDSB empfiehlt, auch das Erfordernis einer Datenschutz-Folgenabschätzung (einschließlich Risikobewertung) sowie die Tatsache zu erwähnen, dass die Einhaltung der Datenschutzbestimmungen und der Datensicherheit regelmäßig geprüft und in einem Bericht festgehalten werden sollte.

21.

Des Weiteren erinnert der EDSB daran, dass bei der Entwicklung von IT-Instrumenten für den Aufbau der OS-Plattform schon in einer sehr frühen Phase der Schutz der Privatsphäre und der Datenschutz Berücksichtigung finden (eingebauter Datenschutz) und auch Möglichkeiten (wie Authentifizierung und Verschlüsselung) vorgesehen werden sollten, mit denen die Nutzer personenbezogene Daten besser schützen können.

III.6   Informationspflicht gegenüber der betroffenen Person

22.

Der EDSB begrüßt Erwägungsgrund 27 des OS-Vorschlags, dem zufolge die Betroffenen über die Verarbeitung ihrer personenbezogenen Daten und über ihre Rechte in einem öffentlich zugänglichen Datenschutzhinweis unterrichtet werden sollten. Die Informationspflicht gegenüber betroffenen Personen sollte allerdings auch Eingang in den verfügenden Teil des OS-Vorschlags finden.

23.

Darüber hinaus sollen betroffene Personen auch darüber unterrichtet werden, welcher für die Verarbeitung Verantwortliche für die Wahrung ihrer Rechte verantwortlich ist. Der Datenschutzhinweis sollte für alle, die das Formular ausfüllen, deutlich sichtbar sein.

IV.   SCHLUSSFOLGERUNG

24.

Der EDSB begrüßt, dass Datenschutzgrundsätze in den Wortlaut aufgenommen wurden, insbesondere im Hinblick auf die Zweckbindung und die Einschränkung des Zugangs, die Begrenzung der Speicherfrist und die Sicherheitsmaßnahmen. Dennoch empfiehlt er,

die Verantwortlichkeiten der für die Verarbeitung Verantwortlichen klarzustellen und betroffene Personen entsprechend zu unterrichten;

die Einschränkung von Zugangsrechten klarzustellen;

die Sicherheitsbestimmungen zu ergänzen;

das Erfordernis einer Konsultation des EDSB zu delegierten Rechtsakten und zu Durchführungsrechtsakten im Zusammenhang mit der Verarbeitung personenbezogener Daten zu erwähnen.

25.

Des Weiteren erinnert der EDSB daran, dass die Verarbeitung personenbezogener Daten im Rahmen der OS-Plattform möglicherweise einer Vorabkontrolle durch den EDSB und nationale Datenschutzbehörden unterliegt.

Brüssel, den 12. Januar 2012

Giovanni BUTTARELLI

Stellvertretender Europäischer Datenschutzbeauftragter


(1)  ABl. L 281 vom 23.11.1995, S. 31.

(2)  ABl. L 8 vom 12.1.2001, S. 1.

(3)  KOM(2011) 793 endg.

(4)  KOM(2011) 794 endg.

(5)  Erwägungsgründe 20 und 21 und Artikel 11 Absatz 4 des OS-Vorschlags.

(6)  Erwägungsgrund 16 des AS-Vorschlags.

(7)  Präambeln und Begründungen der Vorschläge.

(8)  Jeder Mitgliedstaat wird eine Kontaktstelle für OS müssen, bei der mindestens zwei OS-Mittler angesiedelt sein werden. Die Kommission wird ein Netz der OS-Kontaktstellen aufbauen.

(9)  Siehe hierzu auch die Stellungnahme 1/2010 der Artikel 29-Datenschutzgruppe zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, angenommen am 16. Februar 2010 (WP 169), S. 17-24, abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_de.pdf

(10)  Siehe Artikel 11 Absatz 2 des OS-Vorschlags.

(11)  Artikel 27 der Verordnung (EG) Nr. 45/2001 besagt, dass die Verarbeitungen von „Daten über Gesundheit und Verarbeitungen von Daten, die Verdächtigungen, Straftaten, strafrechtliche Verurteilungen oder Sicherungsmaßregeln betreffen“, vom EDSB vorab kontrolliert werden. Artikel 20 Absatz 1 der Richtlinie 95/46/EG fordert, dass Verarbeitungen, die gemäß nationalen Datenschutzvorschriften spezifische Datenschutzrisiken beinhalten können, einer Vorabprüfung durch die nationale Datenschutzbehörde unterliegen.

(12)  Erwägungsgründe 23 und 24 und Artikel 7 Absatz 4 und 5 des OS-Vorschlags.


Top