Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zu der „Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Gesamtkonzept für den Datenschutz in der Europäischen Union“

Die Europäische Kommission beschloss am 4. November 2010, den Europäischen Wirtschafts- und Sozialausschuss gemäß Artikel 304 AEUV um Stellungnahme zu folgender Vorlage zu ersuchen:

„Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Gesamtkonzept für den Datenschutz in der Europäischen Union“

Die mit den Vorarbeiten beauftragte Fachgruppe Beschäftigung, Sozialfragen, Unionsbürgerschaft nahm ihre Stellungnahme am 27. Mai 2011 an.

Der Ausschuss verabschiedete auf seiner 472. Plenartagung am 15./16. Juni 2011 (Sitzung vom 16. Juni) mit 155 gegen 9 Stimmen bei 12 Stimmenthaltungen folgende Stellungnahme:

1.1 Der Datenschutz in der EU ist Gegenstand der Richtlinie 95/46 EG, mit der zwei Ziele verfolgt wurden, namentlich:

Es gilt, ein Gleichgewicht zwischen diesen Zielen zu finden, damit sie nicht miteinander im Widerspruch stehen. Hauptziel neuer Rechtsvorschriften muss die Schaffung eines neuen Rechtsrahmens sein, der zur Verwirklichung dieser beiden Ziele beiträgt.

1.2 Der Ausschuss begrüßt diese Mitteilung, in der die Europäische Kommission ihr Konzept für die Überarbeitung der Datenschutzrichtlinie aus dem Jahr 1995 darlegt. Aufgrund der rasanten Entwicklung neuer Technologien nimmt der Umfang der Online-Datenverarbeitung immer schneller zu. Daher muss im gleichen Maße auch der Schutz der personenbezogenen Daten verbessert werden, um erhebliche Eingriffe in die Privatsphäre der Bürger zu verhindern. Die Erhebung, der Abgleich und die Verwaltung von Daten aus verschiedenen Quellen muss sorgfältig eingeschränkt werden. Im öffentlichen Sektor sind viele unterschiedliche Daten über die Beziehungen zwischen Bürger und Staat gespeichert. Es sollten immer nur so viele Daten wie für den jeweiligen Zweck erforderlich erhoben werden. Der Datenabgleich in einer einzigen Datenbank à la „Big Brother“ muss verboten werden

1.3 Gleichzeitig mahnt der Ausschuss zur Vorsicht. Der Rechtsrahmen für Geschäftstätigkeiten muss stabil und vorhersehbar bleiben. Der Ausschuss unterstützt daher eine angemessene Überarbeitung der Datenschutzrichtlinie.

1.4 In der Kommissionsmitteilung wird eingeräumt, dass ein Aspekt, der vielen Befragten, besonders multinationalen Unternehmen, die meisten Probleme bereitet, die trotz der gemeinsamen EU-Regelung unzureichende Harmonisierung der verschiedenen Datenschutzvorschriften der Mitgliedstaaten ist. Der Ausschuss schlägt vor, dass in der neuen Rechtsvorschrift ein kohärenterer Schutz der personenbezogenen Daten von Arbeitnehmern in der gesamten EU einschl. eines EU-Rahmens zur Stärkung von Rechtsklarheit und -sicherheit gewährleistet wird. Diesbezüglich begrüßt der Ausschuss insbesondere die Absicht der Europäischen Kommission, die Benennung eines unabhängigen Datenschutzbeauftragten verpflichtend zu machen und die Bestimmungen über dessen Aufgaben und Zuständigkeiten zu harmonisieren.

1.5 Angesichts des möglichen Konflikts zwischen dem Schutz der Privatsphäre des Einzelnen und der kommerziellen Nutzung von Daten über diesen Einzelnen sowie der Tragweite des Problems müssen die Bürger immer stärker für die Zwecke der Datenermittlung und ihre Rechte zur Kontrolle der Verwertung der ermittelten Daten sensibilisiert werden. Daher sind nach Auffassung des Ausschusses die wirksame Durchsetzung der Rechtsvorschriften und Sanktionen Grundvoraussetzungen, wenn am Ende ein echtes „Gesamtkonzept“ stehen soll. Darüber hinaus muss auch die grenzübergreifende Dimension abgedeckt werden.

1.6 In Bezug auf Unionsbürger sollte innerhalb der Europäischen Union das Recht des Landes des für die Verarbeitung Verantwortlichen gelten, in dem die Daten gespeichert sind. Für schutzwürdige Personen, insbesondere für Arbeitnehmer und Konsumenten, soll das Datenschutzrecht ihres gewöhnlichen Aufenthalts gelten.

1.7 Der Verweis auf Kinder ist zu flüchtig. Der Frage des Datenschutzes in Bezug auf Kinder muss besondere Aufmerksamkeit gewidmet werden. Über ein Recht auf Vergessen („right to be forgotten“) könnten zwar in kindlicher Unbedarftheit und jugendlichem Leichtsinn online gestellte Daten gelöscht werden, doch könnte dieses Recht in der Praxis nicht verwirklichbar sein.

1.8 Die Definition für „sensible Daten“ muss klargestellt werden, da immer neue Kategorien an personenbezogenen Daten in elektronischer Form angelegt werden. Der weitverbreitete und wahllose Einsatz von Überwachungskameras ist dem Ausschuss ein Dorn im Auge. Die Rechtsvorschriften zur Einschränkung der missbräuchlichen Nutzung dieses Bildmaterials müssen unbedingt durchgesetzt werden. GPRS-Daten über den Aufenthalt von Personen sind ein weiterer potenziell strittiger Punkt. Außerdem werden zunehmend biometrische Daten erfasst. Die Definition sollte derartigen neuen Technologien und Methoden sowie künftigen technologischen Entwicklungen Rechnung tragen. Es könnte erforderlich sein, Grundsätze kontextabhängig festzulegen. Der Ausschuss befürwortet den korrekten Einsatz dieser neuen Technologien.

1.9 Der Ausschuss ist sich darüber im Klaren, dass die grenzübergreifende polizeiliche Zusammenarbeit sensibel ist, doch muss seiner Meinung nach den Grundrechten einschl. des Schutzes personenbezogener Daten zu jeder Zeit höchste Aufmerksamkeit gewidmet werden.

1.10 Der Ausschuss unterstützt die allgemeine Ausrichtung der Kommissionsvorschläge, um eine kohärente Anwendung der EU-Datenschutzregelung in allen Mitgliedstaaten sicherzustellen. Er ist jedoch besorgt, dass die Richtlinie 95/46/EG möglicherweise noch nicht in allen 12 neuen Mitgliedstaaten wirksam und umfassend umgesetzt wurde.

1.11 Nach Ansicht des Ausschusses sind die nationalen Datenschutzbehörden ganz allgemein machtlos und überlastet. Ihre Unabhängigkeit muss gestärkt werden. Jedwede neue Richtlinie sollte die Bestimmung enthalten, dass die nationalen Behörden über den Status, die Befugnisse und die Ressourcen verfügen müssen, die zur Erfüllung ihrer Aufgabe erforderlich sind.

1.12 Aufgrund ihres bisherigen Beitrags zum Schutz der Bürger in Bezug auf die Verarbeitung personenbezogener Daten vertritt der Ausschuss die Auffassung, dass der Artikel-29-Datenschutzgruppe auch in Zukunft eine wertvolle Rolle zukommen muss.

1.13 Im Rahmen der Digitalen Agenda fordert der Ausschuss die Europäische Kommission auf, die Einrichtung einer EU-Behörde in Erwägung zu ziehen, die sich mit den weitreichenderen gesellschaftlichen Auswirkungen des Internet in den kommenden zehn bis zwanzig Jahren beschäftigt. Die geltenden Rechtsvorschriften für den Schutz personenbezogener Daten und die allgemeine Sicherheit im Internet sind zunehmend überholt. Die Gesellschaft läuft der Entwicklung hinterher. In Bezug auf den Datenschutz empfiehlt der Ausschuss die Ernennung eines EU-weiten Datenschutzbeauftragten. Der aktuelle europäische Datenschutzbeauftragte ist nur für die EU-Institutionen zuständig, es ist jedoch ein Beauftragter notwendig, der die Koordinierung der Mitgliedstaaten und die Betriebsnormen überwacht. Mit einer derartigen Ernennung würde allerdings nur ein Teil der Zuständigkeiten der übergeordneten Behörde abgedeckt, die der Ausschuss im Sinn hat.

2.1 Der Ausschuss unterstützt nach wie vor die Grundsätze der Richtlinie aus dem Jahr 1995. In der Folge werden einige vereinfachte Auszüge aus dieser Richtlinie wertfrei angeführt, in denen diese Grundsätze klar darlegt sind:

2.2 In den letzten zehn Jahren haben sich die Gegebenheiten aufgrund der neuen Bestimmungen von Artikel 16 AEUV und Artikel 8 der Charta der Grundrechte der Europäischen Union grundlegend geändert.

2.3 In ihrer Mitteilung legt die Europäische Kommission ihr Konzept für eine Reform der EU-Vorschriften für den Schutz personenbezogener Daten in sämtlichen Tätigkeitsbereichen der EU unter besonderer Berücksichtigung der Herausforderungen der Globalisierung und der neuen Technologien dar, damit auch weiterhin ein hohes Schutzniveau für den Einzelnen bei der Verarbeitung personenbezogener Daten in sämtlichen Tätigkeitsbereichen der EU gewährleistet ist.

2.4 Der weltweite Informationsaustausch läuft heute immer einfacher und schneller ab. Die personenbezogenen Daten eines Bürgers (E-Mail-Adresse, Fotos und elektronische Kalender) können im Vereinigten Königreich mittels einer in Deutschland gehosteten Software angelegt, in Indien verarbeitet, in Polen gespeichert und in Spanien von einem italienischen Bürger abgerufen werden. Diese rasche Zunahme der globalen Informationsflüsse ist eine große Herausforderung für die Rechte des Einzelnen auf den Schutz personenbezogener Daten. Der Datenschutz einschl. seiner grenzübergreifenden Dimension betrifft den Alltag der Bürger, und zwar am Arbeitsplatz, in der Kommunikation mit Behörden, beim Kauf von Waren oder Dienstleistungen, beim Reisen oder beim Surfen im Internet.

2.5 Die Europäische Kommission wird 2011 Rechtsvorschriften vorschlagen, um die Datenschutzbestimmungen im Sinne des Anliegens der EU zu ändern, dass der Schutz personenbezogener Daten in allen Politikbereichen, auch bei der Strafverfolgung und der Kriminalitätsprävention, deren Besonderheiten zu berücksichtigen sind, gewährleistet wird. Beispielsweise soll die Selbstregulierung gefördert und die mögliche Einführung von EU-Datenschutzsiegeln geprüft werden.

2.6 Die Europäische Kommission wird zudem weiterhin für die zuverlässige Überwachung der Umsetzung des Unionsrechts in diesem Bereich sorgen und ihr Vertragsverletzungsinstrumentarium einsetzen, wenn die EU-Datenschutzbestimmungen nicht ordnungsgemäß umgesetzt und angewandt werden.

In den Abschnitten 3 bis 7 werden diese Ziele zusammengefasst und die Standpunkte des Ausschusses zu den Kommissionsvorschlägen dargelegt. Die fett gekennzeichneten Überschriften folgen der Gliederung der Kommissionsmitteilung. Der kursiv geschriebene Text ist jeweils eine inhaltliche Zusammenfassung.

Die EU-Charta der Grundrechte beinhaltet das Grundrecht auf den Schutz personenbezogener Daten. Der Begriff „personenbezogene Daten“ soll sämtliche Informationen im Zusammenhang mit einer identifizierten oder identifizierbaren Person erfassen. Folgender Aspekt wird geprüft: Sicherstellung einer kohärenten Anwendung der Datenschutzvorschriften unter Berücksichtigung der Auswirkungen neuer Technologien auf die Rechte und Freiheiten von Personen mit dem Ziel, den freien Verkehr personenbezogener Daten im Binnenmarkt zu gewährleisten.

3.1.1 Der freie Verkehr personenbezogener Daten im Binnenmarkt ist für das reibungslose Funktionieren des Marktes notwendig, stellt auch jedoch eine potenzielle Bedrohung für den Schutz der Daten von Arbeitnehmern dar, die in den Unternehmen verwaltet werden. Hierfür sind besondere Sicherheitsvorkehrungen wie die Rechenschaftspflicht der der für die Verarbeitung Verantwortlichen im multinationalen Datenaustausch und die Verschlüsselung sensiblerer Daten erforderlich.

3.1.2 Der Ausschuss betont, dass der Beschäftigungssektor nicht nur in dieser Kommissionsmitteilung, sondern auch in der gesamten Datenschutzdebatte in Europa mehr oder weniger übergangen wird. Die auf europäischer Ebene bereits durchgeführten Arbeiten, insbesondere die Vorschläge der Artikel-29-Datenschutzgruppe sollten als Ausgangspunkt herangezogen werden.

Transparenz ist eine Grundvoraussetzung dafür, dass der Einzelne die Kontrolle über seine personenbezogenen Daten hat und ein wirksamer Datenschutz gewährleistet werden kann. Folgende Aspekte werden geprüft: ein allgemeiner Transparenzgrundsatz für die Datenverarbeitung, besondere Pflichten für die Verantwortlichen für die Datenerarbeitung, insbesondere in Bezug auf Kinder, Standardmuster für Datenschutzhinweise und eine Anzeigepflicht für Datenschutzverstöße.

3.2.1 Standardisierte Datenschutzhinweise haben den Vorteil, dass sie Interessenkonflikten vorbeugen. Ihre Anwendung sollte auf Freiwilligkeit beruhen.

3.2.2 „Transparenz“ betrifft nicht unbedingt auch die Frage einseitiger Vertragsbestimmungen. Es müssen strengere Vorschriften entwickelt werden, um einen besseren Schutz gegen unlautere Vertragsbestimmungen sicherzustellen.

3.2.3 Der Verweis auf Kinder ist zu flüchtig. Der Frage des Datenschutzes in Bezug auf Kinder muss besondere Aufmerksamkeit gewidmet werden. Über ein Recht auf Vergessen („right to be forgotten“) könnten zwar in kindlicher Unbedarftheit und jugendlichem Leichtsinn online gestellte Daten gelöscht werden, doch könnte dieses Recht in der Praxis nicht verwirklichbar sein (siehe auch Ziffer 3.3.2).

3.2.4 In den neuen Rechtsvorschriften müssen die Rollen des für die Datenverarbeitung Verantwortlichen und des Dateiverantwortlichen klargestellt werden, um jedwede Unklarheit über ihre Identität, ihre Verpflichtungen und ihre Rechte auszuräumen.

3.2.5 Der Ausschuss befürwortet den Vorschlag für die Einführung einer Anzeigepflicht für Datenschutzverstöße, ist jedoch der Meinung, dass dies nicht für alle Vorkommnisse in allen Bereichen und unter allen Umständen Anwendung finden kann.

Wichtige Voraussetzungen sind, dass die Datenverarbeitung nur zu ganz bestimmten Zwecken erfolgen darf (Prinzip der Datensparsamkeit) und der von der Verarbeitung Betroffene weiterhin die Kontrolle über seine eigenen Daten hat. Folgende Aspekte werden geprüft: Stärkung des Prinzips der Datensparsamkeit, Verbesserung der Modalitäten für die Wahrnehmung der Rechte auf Zugang zu Daten, auf deren Berichtigung, Löschung oder Sperrung, Präzisierung des sogenannten Rechts auf Vergessen („right to be forgotten“) und Sicherstellung der „Datenübertragbarkeit“.

3.3.1 Ganz allgemein begrüßt der Ausschuss jedwede Maßnahme zur Verbesserung des Schutzes der Privatsphäre. Einzelpersonen sollten das Recht auf freien Zugang zu sämtlichen Daten haben, die bezüglich ihrer Person erhoben wurden. Freier Zugang zu Daten für die Bestimmung der Kreditwürdigkeit wäre ein typisches Beispiel. Die Möglichkeit, eine gegebene Einwilligung ohne Begründung zurückzuziehen, und ein effektives Recht auf Vergessen sind zwar von grundlegender Bedeutung, doch könnte der Schutz der Privatsphäre noch weiter gestärkt werden, wenn von vornherein weniger Daten gesammelt werden. Daher fordert der Ausschuss die Europäische Kommission dringend auf, den Vorschlag der Datensparsamkeit auch wirklich in die Praxis umzusetzen.

3.3.2 Das Recht auf Vergessen („right to be forgotten“) ist zwar ein vielversprechendes Konzept, doch ist es aufgrund der „viralen“ Verbreitung von Daten im Internet und der Technologien, die diese Daten zwar löschen, aber eben nicht vergessen, kaum praktikabel.

Die Aufklärung sollte gefördert werden, einschl. der Bereitstellung von Informationen auf Websites, aus denen die Rechte der von der Verarbeitung Betroffenen und die Pflichten der für die Verarbeitung Verantwortlichen klar ersichtlich sind. Die Bewusstseinsdefizite junger Menschen sind hier ein besonderes Anliegen.

3.4.1 Der erforderliche Wandel der Verhaltensmuster wird nur schwer zu bewerkstelligen sein, vor allem weil die rasante Entwicklung von sozialen Netzwerken nicht Hand in Hand mit einem gesteigerten Bewusstsein der Nutzer für die Folgen der Bereitstellung dieser Menge an persönlichen Daten gegangen ist. Im Grunde wäre es gut, verpflichtende Aufklärungshinweise für jeden Internetdienst zu haben, doch könnte dies für die Unternehmen problematisch sein. Es sollten Aufklärungsmerkblätter nach Kategorie der Dienstleistung, d.h. elektronischer Geschäftsverkehr, Internetdiensteanbieter (ISP), Suchmaschinen, soziale Netzwerke usw., in Betracht gezogen werden.

3.4.2 Der Ausschuss befürwortet die Absicht der Europäischen Kommission, EU-Mittel für Aufklärungskampagnen bereitzustellen. Seiner Meinung nach sollte diese Initiative auf die finanzielle Unterstützung von Aufklärungskampagnen ausgeweitet werden, die von Sozialpartnern und zivilgesellschaftlichen Organisationen auf europäischer und nationaler Ebene durchgeführt werden.

Die Europäische Kommission wird prüfen, wie die Bestimmungen über die Einwilligung präzisiert und gestärkt werden können.

3.5.1 Die erforderliche Einwilligung sollte auch weiterhin an die Art der zu verarbeitenden Daten und nicht der dazu verwendeten Technologien gebunden sein. Der Ausschuss ist jedoch besorgt, dass bei Einwilligungen im Online-Bereich die Anwendungen zumeist weder eine Bestätigungsnachricht noch wirksame Mechanismen bieten, um den Widerruf dieser Einwilligung aufzuzeichnen. Außerdem erfolgt die Einverständniserklärung womöglich, indem über das Klicken einer Schaltfläche zahllosen Geschäftsbedingungen zugestimmt und dabei die Einwilligung zur Datenverarbeitung nur unter anderem gegeben wird. Diese Einwilligung sollte sinnvollerweise in einem getrennten und einfachen Dokument enthalten sein, damit sie aussagekräftig, in Kenntnis der Sachlage und fallspezifisch erfolgen kann.

3.5.2 Für im Internet tätige Organisationen und Unternehmen ist die Verarbeitung personenbezogener Daten von grundlegendem Belang. Die Standardeinstellungen begünstigen eindeutig die Betreiber und können bei entsprechend unlauterer Anordnung die Nutzer benachteiligen. Ihre Verwendung sollte so definiert werden, dass die Betreiber als Standardeinstellung ihren Kunden den Schutz der Privatsphäre anbieten müssen.

3.5.3 Eine freiwillige Einwilligung setzt faire Vertragsbedingungen voraus. Es müssen Grundsätze festgelegt werden, um missbräuchlichen Geschäftspraktiken vorzubeugen.

Folgende Aspekte werden geprüft: Ausweitung der Definition für „sensible Daten“ und die mögliche Einstufung von Gendaten als solche und stärkere Harmonisierung der Voraussetzungen für die Zulassung der Verarbeitung sensibler Daten.

3.6.1 Die Definition für „sensible Daten“ muss klargestellt werden, da immer neue Kategorien an personenbezogenen Daten in elektronischer Form angelegt werden. Der weitverbreitete und wahllose Einsatz von Überwachungskameras ist dem Ausschuss ein Dorn im Auge. Die Rechtsvorschriften zur Einschränkung der missbräuchlichen Nutzung dieses Bildmaterials müssen unbedingt durchgesetzt werden. GPRS-Daten über den Aufenthalt von Personen sind ein weiterer strittiger Punkt. Außerdem werden zunehmend biometrische Daten erfasst. Die Definition sollte derartigen neuen Technologien und Methoden sowie künftigen technologischen Entwicklungen Rechnung tragen. Es könnte erforderlich sein, Grundsätze kontextabhängig festzulegen. Der Ausschuss befürwortet den korrekten Einsatz dieser neuen Technologien.

3.6.2 Außerdem sollten sensible Daten stärker geschützt und bestimmte sensible Daten verpflichtend verschlüsselt werden. Die besten verfügbaren Techniken sollten zur Anwendung kommen. Die für die Daten Verantwortlichen sollten für Sicherheitsverletzungen zur Rechenschaft gezogen werden.

Folgende Aspekte werden geprüft: Ausdehnung der Befugnis zur Klage bei nationalen Gerichten und Aufnahme strafrechtlicher Sanktionen bei ernsten Datenschutzverletzungen in die bestehenden Sanktionsregelungen.

3.7.1 Angesichts des möglichen Konflikts zwischen dem Schutz der Privatsphäre des Einzelnen und der kommerziellen Nutzung von Daten über diesen Einzelnen sowie der Tragweite des Problems müssen die Bürger immer stärker für die Zwecke der Datenermittlung und ihre Rechte zur Kontrolle der Verwertung der ermittelten Daten sensibilisiert werden. Daher sind nach Auffassung des Ausschusses die wirksame Durchsetzung der Rechtsvorschriften und Sanktionen Grundvoraussetzungen, wenn am Ende ein echtes „Gesamtkonzept“ stehen soll. Darüber hinaus muss auch die grenzübergreifende Dimension berücksichtigt werden.

3.7.2 Kollektive Rechtsschutzverfahren sollten als Mittel gegen extreme Schutzausfälle in Betracht gezogen werden. Die Möglichkeit für Unternehmen, Berufsorganisationen und Gewerkschaften, Einzelpersonen zu vertreten und Klage vor Gericht zu erheben, sollte ebenfalls untersucht werden.

4.1 Mehr Rechtssicherheit und gleiche Bedingungen für die Verantwortlichen für die Datenverarbeitung

Der Datenschutz in der EU hat eine ausgeprägte Binnenmarktdimension. Es werden Ansätze für eine weitere Harmonisierung der Datenschutzbestimmungen auf EU-Ebene geprüft.

4.1.1 Der Ausschuss befürchtet, dass der Umfang der den Mitgliedstaaten gemäß Richtlinie 95/46/EG eingeräumten Entscheidungsfreiheit zu Umsetzungsproblemen geführt hat. Eine Verordnung hätte hier mehr Sicherheit geboten. Die Harmonisierung sollte bei Standards ansetzen, die für die Einhaltung der Richtlinienbestimmungen ausreichen.

4.1.2 Die Mitteilung enthält keinen einzigen Verweis auf die Arbeitnehmer und den Zugang zu ihren personenbezogenen Daten, die von den Arbeitgebern verwaltet werden. Da Daten in multinationalen Unternehmen in oder auch außerhalb der EU zentral zusammengetragen werden können, müssen klar definierte Zugangsrechte im Sinne der Arbeitnehmer in die neue Regelung aufgenommen werden.

4.2 Verringerung des Verwaltungsaufwands der für die Verarbeitung Verantwortlichen

Es werden verschiedene Möglichkeiten für eine Vereinfachung und Harmonisierung der derzeitigen Melderegelung geprüft, darunter die Einführung eines EU-weit einheitlichen Registrierungsformulars. Meldeformalitäten könnten im Internet abgewickelt werden.

4.3 Klärung der Bestimmungen über das anwendbare Recht und der Verantwortung der Mitgliedstaaten

Wenn mehrere Mitgliedstaaten betroffen sind, ist es den für die Verarbeitung Verantwortlichen und den Datenschutzbehörden nicht immer klar, welcher Mitgliedstaat verantwortlich und welches Recht anwendbar ist. Die Globalisierung und die technologische Entwicklung verstärken dieses Problem noch zusätzlich. Es wird geprüft, wie die geltenden Vorschriften über das anwendbare Recht geändert und präzisiert werden können, um für mehr Rechtssicherheit zu sorgen und die Zuständigkeit der Mitgliedstaaten zu klären.

4.3.1 In Bezug auf Unionsbürger sollte innerhalb der Europäischen Union das Recht des Landes des für die Verarbeitung Verantwortlichen gelten, in dem die Daten gespeichert sind. Für schutzwürdige Teilnehmer im Datenverkehr, so insbesondere für Arbeitnehmer und Konsumenten in der EU, soll das Datenschutzrecht nach Inhalt und Verfahren des gewöhnlichen Aufenthalts des Arbeitnehmers bzw. Konsumenten gelten.

Die Europäische Kommission wird Möglichkeiten ausloten, wie sichergestellt werden kann, dass die für die Verarbeitung Verantwortlichen wirksame Maßnahmen und Verfahren einführen, mit denen die Einhaltung der Datenschutzvorschriften gewährleistet werden kann. Folgende Aspekte werden geprüft: verpflichtende Benennung eines unabhängigen Datenschutzbeauftragten und Harmonisierung der Bestimmungen über dessen Aufgaben sowie Zuständigkeiten und Einführung der Pflicht zur Durchführung einer Datenschutzfolgenabschätzung. Außerdem wird die Europäische Kommission die Technologien zum Schutz der Privatsphäre (Privacy Enhancing Technologies - PET) und die Anwendung des Konzepts „Privacy by Design“ („mit eingebautem Datenschutz“) weiter fördern.

4.4.1 Mit Technologien zum Schutz der Privatsphäre und dem Konzept „Privacy by Design“ könnte den für die Verarbeitung Verantwortlichen die Ermessensentscheidung abgenommen werden, die aufgrund der kommerziellen Prioritäten ihrer Unternehmen andernfalls vor einem Interessenkonflikt stehen könnten. Der Ausschuss fordert die Europäische Kommission auf, diese Instrumente weiter zu untersuchen und ihre Entwicklung zu fördern, da sie das Potenzial bieten, den Datenschutz unter Ausschaltung von Interessenkonflikten zu stärken. Die Nutzung dieser Instrumente sollte im Idealfall verpflichtend vorgeschrieben werden.

4.4.2 Um jedweden Zweifel auszuschließen, sollten die für die Verarbeitung Verantwortlichen für alle Aspekte der Verarbeitung der Daten, für die sie zuständig sind, rechenschaftspflichtig sein. Dementsprechend sollten die Verpflichtungen zur Einhaltung des Schutzes der Privatsphäre in den Verträgen in aller Deutlichkeit aufgelistet werden, wenn Unterauftragnehmer und/oder Geschäftstätigkeiten in Drittstaaten betroffen sind.

4.4.3 Nach Meinung des Ausschusses sollte jeder Mitgliedstaat eine offizielle Stelle für Qualifikationen und Zertifizierung der Datenschutzbeauftragten einrichten.

4.4.4 Die Umsetzung der Bestimmungen in diesem Bereich sollte mit dem in Ziffer 4.2 erörterten Ziel der Verringerung des Verwaltungsaufwands der für die Verarbeitung Verantwortlichen im Einklang stehen.

4.5 Förderung von Initiativen zur Selbstregulierung und Möglichkeit der Zertifizierung durch die EU

Die Europäische Kommission wird Möglichkeiten zur verstärkten Förderung von Initiativen zur Selbstregulierung prüfen, darunter die aktive Förderung von Verhaltenskodizes, und die Möglichkeit der Einführung von EU-Zertifizierungsregelungen sondieren.

4.5.1 Siehe Ziffer 3.7.1: Die wirksame Durchsetzung der Rechtsvorschriften und Sanktionen sind wesentliche Anliegen des Ausschusses. Diese Vorschläge sind interessant, da sie dazu beitragen könnten, den enormen Regulierungsaufwand für Unternehmen zu verringern. Die Mitgliedstaaten sollten eine Zusammenfassung oder einen Leitfaden bewährter Verfahren erstellen.

5. Änderung der Datenschutzvorschriften in den Bereichen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen

Im Unionsrecht ist der Schutz personenbezogener Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen im Rahmenbeschluss 2008/977/JI geregelt. Dieser weist zahlreiche Mängel auf, die sich direkt auf die Möglichkeiten auswirken könnten, die Einzelpersonen zur Wahrnehmung ihrer Datenschutzrechte in Bereichen haben, wie das Recht zu wissen, dass ihre Daten verarbeitet oder weitergegeben werden, wer dies tut und zu welchem Zweck, und wie sie ihre Rechte, beispielsweise ihr Recht auf Zugriff auf ihre Daten, durchsetzen können.

Folgende Aspekte werden geprüft: die Einbeziehung der Bereiche der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in den Anwendungsbereich der allgemeinen Datenschutzbestimmungen, Einführung neuer Vorschriften z.B. für die Verarbeitung von Gendaten, Durchführung einer Konsultation zur Änderung des Kontrollsystems in diesem Bereich und Prüfung, ob die verschiedenen sektorspezifischen Vorschriften langfristig an die neue allgemeine Datenschutzregelung angepasst werden sollten.

5.1 Der Ausschuss ist sich darüber im Klaren, dass die grenzübergreifende polizeiliche Zusammenarbeit sensibel ist, doch muss seiner Meinung nach den Grundrechten einschl. des Schutzes personenbezogener Daten zu jeder Zeit höchste Aufmerksamkeit gewidmet werden. Der Ausschuss ist besorgt, dass Sicherheitsbedenken, seien sie auch noch so zwingend, oftmals zu einer Verletzung der Grundrechte führen. Einzelpersonen müssen besser über die Gründe für die Verarbeitung personenbezogener Daten aus Telefonrechnungen, Konten, Sicherheitskontrollen auf Flughäfen usw. seitens der Behörden und die dabei angewendeten Methoden informiert werden.

6.1 Klärung und Vereinfachung der Bestimmungen über internationale Datentransfers

6.1.1 Der Ausschuss befürwortet diese sinnvollen Initiativen und hofft, dass die Europäische Kommission ein breit angelegtes internationales Übereinkommen durchsetzen kann, ohne das diese Vorschläge wirkungslos blieben.

Die Europäische Union muss weiterhin treibende Kraft bei der Entwicklung und Förderung internationaler rechtlicher und technischer Normen im Bereich des Schutzes personenbezogener Daten sein. Die Europäische Kommission wird sich daher für internationale Datenschutzstandards sowie die Zusammenarbeit mit Drittländern und internationalen Organisationen wie der OECD einsetzen.

6.2.1 Der Ausschuss unterstützt auch diese Vorschläge. Angesichts der globalen Natur des Internet müssen die Vorschriften und Leitlinien auf den einzelnen Kontinenten miteinander vereinbar sein. Grenzüberschreitender Schutz der personenbezogenen Daten ist erforderlich. In diesem Bereich gibt es bereits Leitlinien der OECD und das Übereinkommen 108 des Europarates. Dieses Übereinkommen wird derzeit überarbeitet. Die Europäische Kommission sollte die Kohärenz zwischen dem Übereinkommen und der neuen Richtlinie sicherstellen.

7. Verstärkter institutioneller Rahmen für eine bessere Durchsetzung der Datenschutzvorschriften

7.1 Angesichts des Gewichts, das der Ausschuss der wirksamen Durchsetzung der Rechtsvorschriften und Sanktionen beimisst, sind diese Vorschläge seiner Meinung nach von grundlegender Bedeutung. Er unterstützt die Ideen zur Stärkung, Präzisierung und Harmonisierung sowie zur Zusammenarbeit und Abstimmung sowie die allgemeine Ausrichtung der Kommissionsvorschläge, um eine kohärente Anwendung der EU-Datenschutzregelung in allen Mitgliedstaaten sicherzustellen. Er ist jedoch besorgt, dass die Richtlinie 95/46/EG möglicherweise noch nicht in allen 12 neuen Mitgliedstaaten wirksam und umfassend umgesetzt wurde.

7.2 Nach Ansicht des Ausschusses sind die nationalen Datenschutzbehörden ganz allgemein machtlos und überlastet. Ihre Unabhängigkeit muss gestärkt werden. Jedwede neue Richtlinie sollte die Bestimmung enthalten, dass die nationalen Behörden über den Status, die Befugnisse und die Ressourcen verfügen müssen, die zur Erfüllung ihrer Aufgabe erforderlich sind. Ihre Aufgaben und Ressourcen sollten auf gesamteuropäischer Ebene festgelegt werden. Außerdem sollte die Ernennung eines einschlägigen EU-weiten Datenschutzbeauftragten in Betracht gezogen werden.

7.3 Aufgrund ihres bisherigen Beitrags zum Schutz der Bürger in Bezug auf die Verarbeitung personenbezogener Daten vertritt der Ausschuss die Auffassung, dass der Artikel-29-Datenschutzgruppe auch in Zukunft eine wertvolle Rolle zukommen muss.

ANHANG

zu der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses

Die folgenden Textstellen der Fachgruppenstellungnahme wurden zugunsten von im Plenum angenommenen Änderungsanträgen abgelehnt, hatten jedoch mindestens ein Viertel der abgegebenen Stimmen erhalten:

Ziffer 1.6

„In Bezug auf Unionsbürger und Arbeitnehmer in der EU sollte innerhalb der Europäischen Union das Recht des Landes des für die Verarbeitung Verantwortlichen gelten, in dem die Daten gespeichert sind.“

Ziffer 4.3.1

Abstimmungsergebnis

Ja-Stimmen für die Änderung dieser Textstellen	:	86
Nein-Stimmen	:	72
Stimmenthaltungen	:	19