This document is an excerpt from the EUR-Lex website
Document 52021XX0615(01)
Summary of the Opinion of the European Data Protection Supervisor on the Proposal for a Pilot Regime for Market Infrastructures based on Distributed Ledger Technology (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 229/04
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für eine Pilotregelung für auf der Distributed-Ledger-Technologie basierende Marktinfrastrukturen (Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter www.edps.europa.euwww.edps.europa.eu 2021/C 229/04
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für eine Pilotregelung für auf der Distributed-Ledger-Technologie basierende Marktinfrastrukturen (Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter www.edps.europa.euwww.edps.europa.eu 2021/C 229/04
ABl. C 229 vom 15.6.2021, p. 13–15
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
15.6.2021 |
DE |
Amtsblatt der Europäischen Union |
C 229/13 |
Zusammenfassung der Stellungnahme des Europäischen Datenschutzbeauftragten zu dem Vorschlag für eine Pilotregelung für auf der Distributed-Ledger-Technologie basierende Marktinfrastrukturen
(Der vollständige Text dieser Stellungnahme ist in englischer, französischer und deutscher Sprache auf der Internetpräsenz des EDSB unter www.edps.europa.euwww.edps.europa.eu
(2021/C 229/04)
Am 24. September 2020 nahm die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über eine Pilotregelung für auf der Distributed-Ledger-Technologie basierende Marktinfrastrukturen (COM (2020) 594 final) an. In dem Vorschlag werden harmonisierte Anforderungen an bestimmte Marktteilnehmer festgelegt, die eine Genehmigung für die Einrichtung einer DLT-Marktinfrastruktur beantragen und erhalten möchten.
Der EDSB betont, dass der Schutz personenbezogener Daten kein Hindernis für die Innovation und insbesondere für die Entwicklung neuer Technologien im Finanzsektor darstellt. Gleichzeitig weist er darauf hin, dass Maßnahmen auf EU-Ebene in Bezug auf innovative Technologien, bei denen personenbezogene Daten verarbeitet werden, den allgemeinen Grundsätzen der Notwendigkeit und Verhältnismäßigkeit entsprechen müssen. Da wir bisher keinen umfassenden Überblick über die Auswirkungen dieser neuen Technologien auf unsere Gesellschaft haben, ist der EDSB zudem der Auffassung, dass das Vorsorgeprinzip befolgt werden sollte.
Der EDSB stellt fest, dass je nach Konfiguration der DLT die darin gespeicherten Meta- oder Transaktionsdaten als personenbezogene Daten gelten können, wenn sie sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Daher müssen die für die Verarbeitung Verantwortlichen die Konfiguration der DLT sorgfältig analysieren und dokumentieren, um festzustellen, ob damit personenbezogene Daten verarbeitet werden und die Vorgänge somit den Datenschutzverpflichtungen unterliegen.
Der EDSB hebt hervor, dass die für Digital Ledgers verwendete Technologie, insbesondere im Fall öffentlicher und genehmigungsfreier Ledgers, entscheidende Fragen hinsichtlich ihrer Vereinbarkeit mit den Datenschutzanforderungen aufwirft.
Der EDSB ist der Auffassung, dass vor Inkrafttreten des Vorschlags eine Diskussion über die Vereinbarkeit von DLT-Systemen im Allgemeinen mit den Datenschutz-Rahmenbestimmungen stattfinden sollte.
Der EDSB stellt fest, dass wenn DLT in der Blockchain personenbezogene Daten enthalten, die damit verbundenen Verarbeitungsvorgänge wahrscheinlich die Kriterien für die Einstufung als Verarbeitungsvorgang mit hohem Risiko erfüllen. Daher muss der für die Verarbeitung Verantwortliche vor der Verarbeitung personenbezogener Daten eine Datenschutz-Folgenabschätzung für die geplanten Verarbeitungsvorgänge durchführen. Darüber hinaus kann eine vorherige Genehmigung durch die zuständige Datenschutzbehörde erforderlich sein.
Der EDSB empfiehlt, dass in dem Vorschlag als Teil des Antrags auf eine Genehmigung für den Betrieb einer DLT-Marktinfrastruktur entsprechende Informationen, gegebenenfalls die Kerninformationen zu den geplanten Verarbeitungsvorgängen, gefordert werden. Darüber hinaus empfiehlt er, dass Betreiber von DLT-Marktinfrastrukturen den Datenschutzhinweis an derselben Stelle ihrer Betriebsinformationen veröffentlichen sollten, wie im Vorschlag gefordert.
Der EDSB betont, dass die im Vorschlag für den Betrieb von DLT-Marktinfrastrukturen vorgesehenen IT- und Cyber-Strukturen auch im Einklang mit den Verpflichtungen gemäß Artikel 22 und 32 der DSGVO stehen müssen. (1)
Schließlich empfiehlt der EDSB, im Zusammenhang mit der Meldung operativer Probleme durch die Betreiber von DLT-Marktinfrastrukturen in einem Erwägungsgrund darauf hinzuweisen, dass der Betreiber im Falle von Verletzungen des Schutzes personenbezogener Daten diese auch der zuständigen Datenschutzbehörde gemäß Artikel 33 der DSGVO und gegebenenfalls den betroffenen Personen gemäß Artikel 34 der DSGVO melden muss.
3. HINTERGRUND
|
1. |
Am 24. September 2020 nahm die Europäische Kommission ihren Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über eine Pilotregelung für auf der Distributed-Ledger-Technologie basierende Marktinfrastrukturen (COM(2020) 594 final) („Vorschlag“) an. Mit dem Vorschlag werden harmonisierte Anforderungen an bestimmte Marktteilnehmer, nämlich Wertpapierfirmen, Marktbetreiber oder Zentralverwahrer, festgelegt, um in einem kontrollierten Umfeld unter Anwendung spezifischer Ausnahmen von der Einhaltung der Finanzvorschriften die Genehmigung zum Betrieb von auf der Distributed-Ledger-Technologie basierende Marktinfrastrukturen („DLT Marktinfrastruktur“) zu beantragen und zu erhalten. Der Vorschlag hat insbesondere vier Ziele: Schaffung von Rechtssicherheit für Kryptowerte, Gewährleistung der Finanzstabilität, Schutz von Verbrauchern und Anlegern und Ermöglichung von Innovationen im Hinblick auf die Nutzung von Blockchain, Distributed-Ledger-Technologie und Kryptowerten. |
|
2. |
Dieser Vorschlag ist Teil eines Pakets, das eine Vorschlag für eine Verordnung über Märkte für Kryptowerte (2) („MICA-Verordnung“ ) , einen Vorschlag zur digitalen Betriebsstabilität (3) („DORA-Verordnung“) und einen Vorschlag zur Präzisierung oder Änderung bestimmter einschlägiger EU-Vorschriften für Finanzdienstleistungen (4) umfasst. Der EDSB geht davon aus, dass er auch zu den anderen Verordnungen des Pakets gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 konsultiert wird. |
|
3. |
Am 26. Februar 2021 ersuchte die Europäische Kommission den Europäischen Datenschutzbeauftragten („EDSB“), gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 eine Stellungnahme zu dem Vorschlag abzugeben. Der EDSB hat sich in seinen nachstehenden Bemerkungen auf die Bestimmungen des Vorschlags beschränkt, die unter dem Blickwinkel des Datenschutzes besonders relevant sind. |
5. SCHLUSSFOLGERUNGEN
Vor diesem Hintergrund
|
— |
weist der EDSB darauf hin, dass der Schutz personenbezogener Daten kein Hindernis für Innovationen und insbesondere für die Entwicklung neuer Technologien, insbesondere im Finanzsektor, darstellt. |
|
— |
betont der EDSB, dass die Technologie, die für einige Digital Ledgers verwendet wird, insbesondere für jene, die öffentlich und genehmigungsfrei sind , wesentliche konzeptionelle Fragen in Bezug auf die Datenschutzanforderungen aufwirft; er empfiehlt daher, dass die Diskussion darüber, wie die Kompatibilität der DLT-Systeme mit den Datenschutz-Rahmenbestimmungen sichergestellt werden kann, vor Inkrafttreten des Vorschlags geführt werden sollte. |
|
— |
betont der EDSB, dass in den vom Vorschlag abgedeckten DLT-Marktinfrastrukturen nur solche Kryptowerte gehandelt werden sollten, die eine DLT-Konfiguration verwenden, die den Datenschutzbestimmungen entspricht. |
|
— |
schlägt der EDSB vor, als Teil der erforderlichen Informationen im Rahmen des Antrags auf eine Genehmigung für den Betrieb einer DLT-Marktinfrastruktur gegebenenfalls die Liste der geplanten Verarbeitungsvorgänge mit personenbezogenen Daten, die Zuweisung der Aufgaben und Zuständigkeiten der einzelnen Betreiber gemäß der DSGVO innerhalb der DLT-Marktinfrastruktur sowie die absehbaren Hauptrisiken und geplanten Risikominderungsstrategien in Bezug auf den Datenschutz aufzunehmen. |
|
— |
hebt der EDSB hervor, dass die im Vorschlag für den Betrieb von DLT-Marktinfrastrukturen vorgesehenen IT- und Cyber-Strukturen auch im Einklang mit den Verpflichtungen gemäß den Artikeln 22 und 32 der DSGVO stehen müssen |
|
— |
empfiehlt der EDSB , im Zusammenhang mit der Meldung operativer Probleme durch die Betreiber von DLT-Marktinfrastrukturen in einem Erwägungsgrund darauf hinzuweisen, dass der Betreiber im Falle von Verletzungen des Schutzes personenbezogener Daten diese auch der zuständigen Datenschutz-Aufsichtsbehörde gemäß Artikel 33 der DSGVO und gegebenenfalls den betroffenen Personen gemäß Artikel 34 der DSGVO melden muss. |
Brüssel, den 23. April 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).
(2) Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über Märkte für Kryptowerte und zur Änderung der Richtlinie (EU) 2019/1937, COM(2020) 593 final. Abrufbar unter EUR-Lex - 52020PC0593 - EN - EUR-Lex (europa.eu)
(3) Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014, COM/2020/595 final, abrufbar unter EUR-Lex - 52020PC0595 - EN - EUR-Lex (europa.eu)
(4) Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zur Änderung der Richtlinien 2006/43/EG, 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/65/EU, (EU) 2015/2366 und (EU) 2016/2341, COM/2020/596 final. Abrufbar unter EUR-Lex - 52020PC0596 - EN - EUR-Lex (europa.eu)