MITTEILUNG DER KOMMISSION AN DAS EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Der Schutz der Privatsphäre in einer vernetzten Welt Ein europäischer Datenschutzrahmen für das 21. Jahrhundert /* KOM/2012/09 endgültig */
MITTEILUNG DER KOMMISSION AN DAS
EUROPÄISCHE PARLAMENT, DEN RAT, DEN EUROPÄISCHEN WIRTSCHAFTS- UND
SOZIALAUSSCHUSS UND DEN AUSSCHUSS DER REGIONEN Der Schutz der Privatsphäre in einer
vernetzten Welt
Ein europäischer Datenschutzrahmen für das 21. Jahrhundert (Text von Bedeutung für den EWR)
1.
AKTUELLE HERAUSFORDERUNGEN IM BEREICH DES
DATENSCHUTZES
Die Geschwindigkeit des technologischen Wandels
und der Globalisierung hat die Art und Weise, in der die ständig anwachsende
Menge personenbezogener Daten erfasst, abgerufen, verwendet und übermittelt
wird, zutiefst verändert. Neue Methoden des Informationsaustauschs durch
soziale Netze und die Fernspeicherung großer Datenmengen gehören für viele der
250 Millionen Internetnutzer in Europa inzwischen zum Alltag. Zugleich stellen
personenbezogene Daten heutzutage für viele Unternehmen einen Vermögenswert
dar. Die Erfassung, Zusammenstellung und Analyse von Daten potenzieller Kunden
ist oft ein wichtiger Teil ihrer Geschäftstätigkeit[1]. In dieser neuen digitalen Umgebung muss jeder
seine persönlichen Informationen wirksam kontrollieren können. Der Schutz
personenbezogener Daten ist in Europa als Grundrecht in Artikel 8 der
Charta der Grundrechte der Europäischen Union und in Artikel 16
Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV)
verankert und entsprechend geschützt. Fehlendes Vertrauen lässt Verbraucher zögern,
online zu kaufen und neue Dienstleistungen in Anspruch zu nehmen. Ein hohes
Datenschutzniveau ist daher auch unentbehrlich, um das Vertrauen in
Online-Dienste zu stärken, das Potenzial der digitalen Wirtschaft auszuschöpfen
und auf diese Weise Wirtschaftswachstum und Wettbewerbsfähigkeit der EU zu
steigern. In der EU bedarf es moderner, kohärenter Regeln
für den freien Datenverkehr zwischen den Mitgliedstaaten. Unternehmen brauchen
klare und einheitliche Vorschriften, die ihnen Rechtssicherheit geben und den
Verwaltungsaufwand auf ein Mindestmaß begrenzen. Dies ist für das reibungslose
Funktionieren des Binnenmarkts und die Ankurbelung des Wirtschaftswachstums,
die Schaffung neuer Arbeitsplätze und die Unterstützung von Innovationen
unverzichtbar[2].
Die Modernisierung der Datenschutzvorschriften der EU im Sinne einer
Stärkung ihrer Binnenmarktdimension stellt ein hohes Datenschutzniveau für den
Einzelnen sicher und fördert Rechtssicherheit, Klarheit und Kohärenz. Daher
spielt sie eine zentrale Rolle im Aktionsplan der Europäischen Kommission zur
Umsetzung des Stockholmer Programms[3],
in der Digitalen Agenda für Europa[4]
und darüber hinaus für die Wachstumsstrategie der EU (Europa 2020)[5]. Die EU-Richtlinie von 1995[6], das zentrale Rechtsinstrument
für den Schutz personenbezogener Daten in Europa, war ein Meilenstein in der
Geschichte des Datenschutzes. Ihre Ziele, ein gut funktionierender Binnenmarkt
und der wirksame Schutz der Grundrechte und -freiheiten der Menschen, gelten
unvermindert. Allerdings wurde sie vor 17 Jahren angenommen, als das Internet
noch in den Kinderschuhen steckte. In der heutigen neuen, dynamischen digitalen
Umgebung bieten die bestehenden Regeln weder den erforderlichen
Harmonisierungsgrad noch die notwendige Wirksamkeit, um das Recht auf den
Schutz personenbezogener Daten zu garantieren. Aus diesem Grund schlägt die
Europäische Kommission eine grundlegende Reform des EU-Datenschutzrechts vor. Darüber hinaus wurde mit dem Vertrag von Lissabon
in Artikel 16 AEUV eine neue Rechtsgrundlage für ein moderneres und
umfassendes Konzept für den Datenschutz und den freien Verkehr
personenbezogener Daten geschaffen, das auch den Bereich der polizeilichen und
justiziellen Zusammenarbeit in Strafsachen abdeckt[7]. Seine Entsprechung findet
dieses Konzept in den Mitteilungen der Europäischen Kommission zum Stockholmer
Programm und zum Aktionsplan zur Umsetzung des Stockholmer Programms[8], wonach „die Union eine
umfassende Regelung zum Schutz personenbezogener Daten schaffen muss, die für
sämtliche Zuständigkeitsbereiche der Union gleichermaßen gilt“ und dass sie
„für eine konsequente Anwendung des Grundrechts auf Datenschutz sorgen“ muss. Um die Reform des EU-Datenschutzrahmens auf
transparente Weise vorzubereiten, hat die Kommission seit 2009 öffentliche
Anhörungen zum Datenschutz[9]
veranstaltet und intensive Gespräche mit Interessenvertretern geführt[10]. Am 4. November 2010
veröffentlichte die Kommission eine Mitteilung über ein Gesamtkonzept für den
Datenschutz in der Europäischen Union[11],
in der die wichtigsten Themen der Reform skizziert werden. Zwischen September
und Dezember 2011 erörterte die Kommission in ausführlichen Gesprächen mit den
nationalen Datenschutzbehörden in der EU und mit dem Europäischen
Datenschutzbeauftragten die Möglichkeiten, wie in den EU-Mitgliedstaaten eine
einheitlichere Anwendung der Datenschutzvorschriften erreicht werden kann[12]. Aus diesen Gesprächen ging eindeutig hervor, dass
sowohl Bürger als auch Unternehmen eine umfassende Reform der
EU-Datenschutzvorschriften durch die Kommission wünschten. Nach Abschätzung der
Folgen verschiedener Optionen[13]
schlägt die Europäische Kommission jetzt einen soliden und kohärenten
politikübergreifenden Rechtsrahmen vor, mit dem die Rechte der Menschen
gestärkt, die Binnenmarktdimension des Datenschutzes gefördert und der
Verwaltungsaufwand für Unternehmen verringert wird[14]. Dem Vorschlag der Kommission
zufolge soll dieser Rechtsrahmen aus zwei Teilen bestehen: –
einer Verordnung (die die Richtlinie
95/46/EG ersetzt), mit der ein allgemeiner EU-Datenschutzrahmen geschaffen wird[15], –
und einer Richtlinie (die den
Rahmenbeschluss 2008/977/JI[16]
ersetzt) mit Regeln für den Schutz personenbezogener Daten, die zum Zweck der Verhütung,
Aufdeckung, Untersuchung oder Verfolgung von Straftaten und für damit
verbundene justizielle Tätigkeiten verarbeitet werden. Diese Mitteilung gibt einen Überblick über die
wichtigsten Aspekte der Reform des EU-Datenschutzrechts.
2.
DAFÜR SORGEN, DASS DER EINZELNE DIE KONTROLLE ÜBER
SEINE PERSONENBEZOGENEN DATEN HAT
Im Rahmen der Richtlinie 95/46/EG – der bis heute
wichtigsten Datenschutzregelung der EU – ist die Art und Weise, in der die
Menschen ihr Recht auf Datenschutz wahrnehmen können, über die Grenzen der
Mitgliedstaaten hinweg nicht ausreichend vereinheitlicht. Auch sind die
Kompetenzen der für den Datenschutz zuständigen nationalen Behörden nicht
soweit harmonisiert, dass die einheitliche und wirksame Anwendung der
Vorschriften gewährleistet wäre. Das bedeutet, dass die Ausübung dieser Rechte
– vor allem online - in einigen Mitgliedstaaten schwieriger ist als in anderen.
Dies ist nicht zuletzt auch auf die schiere Menge
der täglich erfassten Daten und darauf zurückzuführen, dass sich die Benutzer
häufig nicht in vollem Umfang dessen bewusst sind, dass ihre Daten erfasst
werden. Zwar sind viele Europäer der Meinung, dass die Weitergabe
personenbezogener Daten immer mehr zum modernen Leben gehört[17], doch haben 72 % der
Internetbenutzer in Europa Vorbehalte, wenn sie online nach zu vielen
personenbezogenen Daten gefragt werden[18].
Sie haben den Eindruck, dass sie keine Kontrolle über ihre Daten haben. Sie
werden nicht richtig informiert, was mit ihren persönlichen Informationen
geschieht und an wen und zu welchem Zweck sie weitergeleitet werden. Häufig
wissen sie nicht, wie sie ihre Rechte online wahrnehmen können. „Recht auf
Vergessenwerden“ Ein europäischer Student, der Mitglied eines
sozialen Online-Netzes ist, beschließt, Auskunft über alle personenbezogenen
Daten seiner selbst zu verlangen, über die dieses Netz verfügt. Dabei stellt er
fest, dass das Netz sehr viel mehr Daten speichert, als er angenommen hatte,
und dass einige personenbezogene Daten, die er für gelöscht hielt, immer noch
gespeichert sind. Die Reform der EU-Datenschutzvorschriften wird
auf folgendem Wege sicherstellen, dass so etwas nicht mehr passiert: - Soziale Online-Netze (und alle anderen für
die Verarbeitung Verantwortlichen) werden ausdrücklich verpflichtet, die Menge
der erfassten und verarbeiteten personenbezogenen Daten der Benutzer auf ein
Mindestmaß zu begrenzen. - Aufgrund der Standardeinstellungen muss
sichergestellt sein, dass Daten nicht veröffentlicht werden. - Die für die Verarbeitung Verantwortlichen
werden ausdrücklich verpflichtet, die personenbezogenen Daten zu löschen, wenn
die betroffene Person das Löschen ausdrücklich verlangt und kein anderer
legitimer Grund vorliegt, die Daten aufzubewahren.
Im genannten Fall würde
das den Anbieter des sozialen Netzes verpflichten, die Daten des Studenten
unverzüglich und vollständig zu löschen. Wie in der Digitalen Agenda für Europa
hervorgehoben wird, zählen Vorbehalte in Bezug auf den Schutz der Privatsphäre
zu den häufigsten Gründen, warum Menschen keine Waren und Dienstleistungen
online kaufen. In Anbetracht des Beitrags des Informations- und
Kommunikationstechnologiesektors (IKT) zum Gesamtproduktivitätswachstum in
Europa – 20 % des IKT-Sektors unmittelbar und 30 % aufgrund von
IKT-Investitionen[19]
– ist das Vertrauen zu solchen Diensten zur Ankurbelung des
Wirtschaftswachstums in der EU und der Wettbewerbsfähigkeit der europäischen
Industrie unverzichtbar. Meldung von
Datenschutzverstößen Ein Anbieter von Glücksspielen, dessen
Zielgruppe Benutzer in der EU sind, wurde von Hackern angegriffen. Der
Datenschutzverstoß betraf Datenbanken, die personenbezogene Daten von Millionen
von Benutzern weltweit enthielten (u.a. Namen, Adressen und möglicherweise
Kreditkartendaten). Der Anbieter ließ eine Woche verstreichen, bevor er die
betroffenen Kunden benachrichtigte. Durch die Reform der
EU-Datenschutzvorschriften wird sichergestellt, dass so etwas nicht mehr
passiert. Die neuen Vorschriften verpflichten die Unternehmen, - ihre Sicherheitsmaßnahmen zu verstärken,
damit solche Verstöße unterbunden werden, - Datenschutzverstöße unverzüglich sowohl der
nationalen Datenschutzbehörde – möglichst binnen 24 Stunden nach ihrer
Entdeckung - als auch den betroffenen Personen mitzuteilen. Ziel der von der Kommission vorgeschlagenen neuen
Vorschriften ist es, die Rechte zu stärken, den Menschen wirkungsvolle Mittel
an die Hand zu geben, die sicherstellen, dass sie vollständig darüber im Bilde
sind, was mit ihren personenbezogenen Daten geschieht, und die sie in die Lage
zu versetzen, ihre Rechte wirksamer wahrzunehmen. Um das Recht des Einzelnen auf den Schutz seiner
Daten zu stärken, schlägt die Kommission neue Vorschriften vor, die Folgendes
bewirken: Verbesserte Möglichkeiten für den Einzelnen,
seine Daten zu kontrollieren, indem - sichergestellt wird, dass falls es einer Einwilligung
bedarf, diese freiwillig und ausdrücklich gegeben werden muss, d. h. durch
eine Erklärung oder eine bestätigende Handlung der betroffenen Person - Internetbenutzer ein wirksames Recht auf
Vergessenwerden in der Online-Umgebung erhalten: das Recht auf Löschen
ihrer Daten, wenn sie ihre Einwilligung zurückziehen und keine anderen
legitimen Gründe für die Aufbewahrung dieser Daten vorliegen - den Personen leichter Zugang zu ihren eigenen
Daten sowie das Recht auf Datenübertragbarkeit garantiert wird,
d. h. das Recht, vom für die Verarbeitung Verantwortlichen eine Kopie der
gespeicherten Daten zu erhalten und diese ungehindert von einem Diensteanbieter
auf einen anderen zu übertragen - das Recht
auf Information gestärkt wird, damit der Einzelne in vollem Umfang
versteht, wie seine personenbezogenen Daten behandelt werden, insbesondere,
wenn die Verarbeitung Kinder betrifft Verbesserte Möglichkeiten für den Einzelnen,
seine Rechte wahrzunehmen,
indem - die Befugnisse und die Unabhängigkeit
der nationalen Datenschutzbehörden gestärkt werden, damit sie wirksam
Beschwerden nachgehen können; dazu gehört die Befugnis, Ermittlungen
durchzuführen, rechtsverbindliche Beschlüsse zu fassen und wirksame,
abschreckende Sanktionen zu verhängen - verstärkte administrative und
justizielle Abhilfen für den Fall der Verletzung von Datenschutzrechten
geschaffen werden. Insbesondere erhalten Datenschutzverbände das Recht, im
Namen einer natürlichen Personen Klage vor Gericht zu erheben eine verstärkte Datensicherheit, indem - der Einsatz von Technologien zum Schutz
der Privatsphäre (Technologien, die Informationen schützen, indem sie die
Speicherung personenbezogener Daten auf ein Mindestmaß begrenzen), datenschutzgerechte
Standardeinstellungen und Datenschutz-Zertifizierungsregeln gefördert
werden - eine allgemeine Verpflichtung[20] der für die Verarbeitung
Verantwortlichen eingeführt wird, Datenschutzverstöße unverzüglich den
Datenschutzbehörden (d. h. nach Möglichkeit binnen 24 Stunden) und den
betroffenen Personen zu melden eine verschärfte Rechenschaftspflicht der
Datenverarbeiter, indem - diese
verpflichtet werden, in Unternehmen mit mehr als 250 Beschäftigten und in
Unternehmen, die mit Datenverarbeitungen betraut sind, die aufgrund ihrer Art,
ihrer Tragweite oder ihrer Zweckbestimmung besondere Risiken für die Rechte und
Freiheiten der betroffenen Personen mit sich bringen („risikobehaftete
Datenverarbeitung“) einen Datenschutzbeauftragten zu benennen - der Grundsatz des „Datenschutzes
durch Technik“ (Privacy by Design) eingeführt wird, um sicherzustellen,
dass der Datenschutz schon bei der Planung von Verfahren und Systemen
berücksichtigt wird - für Unternehmen, die mit risikobehafteter
Datenverarbeitung betraut sind, die Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen
eingeführt wird.
3.
DATENSCHUTZVORSCHRIFTEN FÜR DEN DIGITALEN
BINNENMARKT
Trotz der Zielsetzung der geltenden Richtlinie, in
der EU ein gleichmäßiges Datenschutzniveau zu gewährleisten, sind die
Vorschriften der Mitgliedstaaten nach wie vor sehr uneinheitlich. Infolgedessen
müssen sich die für die Verarbeitung Verantwortlichen unter Umständen auf 27
unterschiedliche nationale Regelungen und Anforderungen einstellen. Die dadurch
bedingte Zersplitterung des Rechtsrahmens hat zu Rechtsunsicherheit
und einem uneinheitlichen Schutz des Einzelnen geführt. Für die Wirtschaft ist
dies mit unnötigen Kosten und übertriebenem Verwaltungsaufwand
verbunden, und es könnte im Binnenmarkt tätige Unternehmen von einer
Geschäftsausweitung über die Grenzen hinweg abhalten. Darüber hinaus gibt es erhebliche Unterschiede
zwischen den Mitgliedstaaten, was die Ressourcen und Befugnisse der für den
Datenschutz zuständigen nationalen Behörden anbelangt[21]. In manchen Fällen sind sie
nicht in der Lage, ihrem Durchsetzungsauftrag angemessen nachzukommen. Die
Zusammenarbeit zwischen den Behörden auf europäischen Ebene – im Wege der
bestehenden beratenden Gruppe (der so genannten Artikel-29-Datenschutzgruppe)[22] – gewährleistet nicht immer,
dass die Bestimmungen einheitlich angewandt werden, und muss also verbessert
werden. Einheitliche Durchsetzung von
Datenschutzvorschriften in Europa Ein multinationales Unternehmen mit mehreren
Niederlassungen in der EU bringt ein Online-Kartierungssystem für ganz Europa
heraus, mit dem Bilder aller privaten und öffentlichen Gebäude und
möglicherweise auch Bilder von Menschen auf der Straße erfasst werden. In einem
Mitgliedstaat wurde die Aufnahme nicht unkenntlich gemachter Bilder von
Personen, die nicht wissen, dass sie fotografiert werden, als rechtswidrig
betrachtet, während dies in anderen Mitgliedstaaten keinen Verstoß gegen die
Datenschutzvorschriften darstellte. Folglich reagierten die nationalen
Datenschutzbehörden in dieser Situation unterschiedlich. Durch die Reform der Datenschutzvorschriften
der EU wird auf folgende Weise sichergestellt, dass so etwas nicht mehr
passiert: - In der EU-Verordnung werden
Datenschutzanforderungen und –garantien mit unmittelbarer Anwendung in der
gesamten Union festgelegt. - Nur die Datenschutzbehörde des Staates, in
dem das Unternehmen seinen Hauptsitz hat, wird darüber beschließen können, ob
das Unternehmen rechtmäßig handelt. - Angesichts der
Tatsache, dass die nationalen Datenschutzbehörden für Personen in verschiedenen
Mitgliedstaaten zuständig sind, wird eine zügige und wirksame Abstimmung
zwischen ihnen dazu beitragen, dass die neuen EU-Datenschutzvorschriften in
allen Mitgliedstaaten einheitlich angewandt und durchgesetzt werden.
Die nationalen Behörden müssen gestärkt und ihre
Zusammenarbeit muss intensiviert werden, damit eine einheitliche Anwendung und
Durchsetzung der Vorschriften in der EU gewährleistet ist. Ein straffer, eindeutiger und einheitlicher
rechtlicher Rahmen auf EU-Ebene wird dazu beitragen, das Potenzial des
digitalen Binnenmarkts freizusetzen und Wirtschaftswachstum, Innovation und
Beschäftigung zu fördern. Eine Verordnung wird die gesetzlichen Regelungen in
den 27 Mitgliedstaaten vereinheitlichen und die Hindernisse für den
Marktzutritt überwinden, was ganz besonders für kleinste, kleine und mittlere
Unternehmen von Bedeutung ist. Die neuen Vorschriften verschaffen den Unternehmen
aus der EU ferner einen Vorteil im globalen Wettbewerb. Aufgrund des neuen Rechtsrahmens
werden sie ihren Kunden zusichern können, dass wichtige personenbezogene
Informationen mit der notwendigen Sorgfalt behandelt werden. Das Vertrauen in
einen kohärenten EU-Rechtsrahmen ist ein entscheidender Vorteil für
Diensteanbieter und ein Anreiz für Investoren, die bei der Standortsuche nach
optimalen Bedingungen Ausschau halten. Um die Binnenmarktdimension des Datenschutzes
zu stärken, schlägt die Kommission vor, - auf EU-Ebene mit einer unmittelbar in
allen Mitgliedstaaten anwendbaren Verordnung[23] Datenschutzvorschriften zu
erlassen, die der gleichzeitigen Anwendung unterschiedlicher nationaler
Datenschutzgesetze ein Ende setzt; dies wird allein aufgrund des
entfallenden Verwaltungsaufwands für die Unternehmen Nettoeinsparungen in Höhe
von rund 2,3 Mrd. EUR jährlich bedeuten - den rechtlichen Rahmen durch eine
drastische Verringerung des Verwaltungsaufwands zu vereinfachen und Formalitäten
wie allgemeine Meldepflichten aufzuheben (was aufgrund des entfallenden
Verwaltungsaufwands Nettoeinsparungen von jährlich 130 Mio. EUR bewirkt).
In Anbetracht ihrer Bedeutung für die Wettbewerbsfähigkeit der Europäischen
Wirtschaft wird den spezifischen Erfordernissen der kleinsten, kleinen und
mittleren Unternehmen besonders Rechnung getragen - die Unabhängigkeit der nationalen
Datenschutzbehörden zu stärken und ihre Befugnisse auszubauen, damit sie
Ermittlungen vornehmen, verbindliche Beschlüsse fassen und wirksame
abschreckende Sanktionen erlassen können, und die Mitgliedstaaten zu
verpflichten, sie mit ausreichenden Ressourcen auszustatten - eine zentrale Kontaktstelle für den
Datenschutz in der EU einzurichten: In der EU werden sich die für die
Verarbeitung Verantwortlichen nur an eine Datenschutzbehörde, und zwar
diejenige des Mitgliedstaats, in dem sich die Hauptniederlassung des
Unternehmens befindet, wenden müssen - die Rahmenbedingungen für eine reibungslose
und effiziente Zusammenarbeit zwischen den nationalen Datenschutzbehörden
zu schaffen, was auch die Verpflichtung für die Datenschutzbehörden einschließt,
auf Antrag für eine andere Datenschutzbehörde Ermittlungen durchzuführen und
die von einer anderen Behörde gefassten Beschlüsse anzuerkennen - auf EU-Ebene ein Verfahren zur
Gewährleistung einer einheitlichen Rechtsanwendung (Kohärenz-Verfahren)
einzuführen, mit dem sichergestellt wird, dass von einer Datenschutzbehörde
gefasste Beschlüsse, die weitergehende Auswirkungen in Europa haben, die
Sichtweise anderer betroffener Datenschutzbehörden in vollem Umfang
berücksichtigen und mit dem Recht der EU vereinbar sind - die Datenschutzgruppe nach Artikel 29
zu einem unabhängigen Europäischen Datenschutzausschuss auszubauen, der
besser zu einer kohärenten Anwendung der Datenschutzvorschriften beitragen kann
und eine solide Grundlage für die Zusammenarbeit der Datenschutzbehörden sowie
des Europäischen Datenschutzbeauftragten bietet. Im Sinne der Synergie- und
Effizienzförderung soll das Sekretariat dieses Europäischen
Datenschutzausschusses vom Europäischen Datenschutzbeauftragten übernommen
werden. Die neue EU-Verordnung gewährleistet zuverlässigen
Schutz des Grundrechts auf Datenschutz in der gesamten Europäischen Union und
stärkt das reibungslose Funktionieren des Binnenmarkts. Zugleich enthält die
Verordnung angesichts der Tatsache, dass , wie vom Gerichtshof der Europäischen
Union[24]
hervorgehoben wurde, das Recht auf den Schutz der personenbezogenen Daten keine
uneingeschränkte Geltung beanspruchen kann, sondern im Hinblick auf seine
gesellschaftliche Funktion gesehen werden[25]
und mit anderen Grundrechten im Einklang mit dem Grundsatz der
Verhältnismäßigkeit[26]
ausbalanciert werden muss, Bestimmungen, die die Wahrung anderer Grundrechte -
Freiheit der Meinungsäußerung und Informationsfreiheit, Recht auf Verteidigung
sowie auf Wahrung des Berufsgeheimnisses (z. B. für Rechtsberufe) –
sicherstellen, den Status der Kirchen im Recht der Mitgliedstaaten aber
unberührt lassen.
4.
VERWENDUNG VON DATEN IM RAHMEN DER POLIZEILICHEN
UND JUSTIZIELLEN ZUSAMMENARBEIT IN STRAFSACHEN
Das Inkrafttreten des Vertrags von Lissabon und
vor allem die Einführung einer neuen Rechtsgrundlage (Artikel 16 AEUV)
bietet Gelegenheit, einen umfassenden Rechtsrahmen für den Datenschutz zu
schaffen, mit dem für personenbezogene Daten ein hohes Schutzniveau
sichergestellt und zugleich der Besonderheit des Bereichs der polizeilichen und
justiziellen Zusammenarbeit in Strafsachen Rechnung getragen wird. Insbesondere
wird ermöglicht, dass der überarbeitete EU-Datenschutzrahmen sowohl für die
grenzübergreifende als auch für die innerstaatliche Verarbeitung
personenbezogener Daten gilt. Dies würde die Unterschiede in den
Rechtsvorschriften der Mitgliedstaaten verringern und voraussichtlich dem
umfassenden Schutz personenbezogener Daten zugute kommen. Ferner könnte es zu
einem flüssigeren Informationsaustausch zwischen den Polizei- und
Justizbehörden der Mitgliedstaaten führen und somit die Zusammenarbeit im
Bereich der Bekämpfung schwerer Kriminalität in Europa verbessern. Für die
Verarbeitung von Daten durch Polizei- und Justizbehörden im strafrechtlichen
Bereich gilt derzeit in erster Linie der Rahmenbeschluss 2008/977/JI, der vor
Inkrafttreten des Vertrags von Lissabon erlassen wurde. Da es sich um einen
Rahmenbeschluss handelt, ist die Kommission nicht befugt, diese Vorschriften
durchzusetzen, was zu einer uneinheitlichen Umsetzung beigetragen hat. Außerdem
ist der Anwendungsbereich des Rahmenbeschlusses auf die grenzübergreifende
Datenverarbeitung beschränkt[27].
Das bedeutet, dass personenbezogene Daten, die nicht Gegenstand solcher
Übermittlungen waren, derzeit nicht unter die EU-Datenverarbeitungsvorschriften
fallen, die das Grundrecht auf den Schutz dieser Daten absichern. Dies schafft
in einigen Fällen praktische Probleme für Polizei- und andere Behörden, für die
womöglich nicht zu erkennen ist, ob die Datenverarbeitung nur das eigene Land
betrifft oder grenzübergreifend ist, oder ob „inländische“ Daten zu einem
späteren Zeitpunkt Gegenstand eines grenzübergreifenden Austauschs werden[28]. Der reformierte EU-Datenschutzrahmen zielt somit
darauf ab, ein einheitliches, hohes Datenschutzniveau zu garantieren, um das
Vertrauen zwischen den Polizei- und Justizbehörden verschiedener
Mitgliedstaaten zu stärken und damit zu einem freien Datenverkehr und einer
wirksamen Zusammenarbeit zwischen den Polizei- und Justizbehörden beizutragen.
Um ein hohes Schutzniveau für personenbezogene Daten
im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen zu
gewährleisten und zugleich die Übermittlung personenbezogener Daten zwischen
den Polizei- und Justizbehörden der Mitgliedstaaten zu erleichtern, schlägt die
Kommission als Teil des Datenschutz-Reformpakets eine Richtlinie vor, die
Folgendes vorsieht: - die Anwendung
allgemeiner Datenschutzgrundsätze auf die polizeiliche und justizielle
Zusammenarbeit in Strafsachen unter Berücksichtigung des spezifischen
Charakters dieser Bereiche[29]
- die Einführung eines Mindestmaßes an
harmonisierten Kriterien und Bedingungen für mögliche Beschränkungen der
allgemeinen Vorschriften. Dies betrifft insbesondere die Rechte der Person,
informiert zu werden, wenn Polizei- und Justizbehörden auf ihre Daten zugreifen
oder diese bearbeiten. Solche Beschränkungen sind für die wirkungsvolle
Prävention, Untersuchung, Aufdeckung oder Verfolgung von Straftaten
unerlässlich - die Einführung spezifischer Regeln, mit
denen dem besonderen Charakter der Strafverfolgung, u.a. hinsichtlich der Unterscheidung
verschiedener Gruppen von betroffenen Personen mit möglicherweise
unterschiedlichen Rechten (z. B. Zeugen und Verdächtige) Rechnung getragen
wird.
5.
DATENSCHUTZ IN EINER GLOBALISIERTEN WELT
Die Rechte natürlicher Personen müssen auch dann
gewahrt werden, wenn personenbezogene Daten von der EU in Drittländer
übermittelt werden und wenn Daten von Personen in den Mitgliedstaaten durch Diensteanbieter
in Drittländern verwendet oder analysiert werden. Das bedeutet, dass die
Datenschutzstandards der EU unabhängig vom Standort des Unternehmens oder
seiner Datenverarbeitungseinrichtungen gelten müssen. In der heutigen globalisierten Welt werden
personenbezogene Daten über immer mehr virtuelle und geografische Grenzen
hinweg übermittelt und auf Servern in unterschiedlichen Ländern gespeichert.
Immer zahlreichere Unternehmen bieten Cloud-Computing-Dienste an, die es Kunden
ermöglichen, Daten auf andernorts untergebrachten Servern zu speichern und auf
sie zuzugreifen. Diese Faktoren erfordern eine Verbesserung des bisherigen
Systems der Datenübermittlung in Drittländer. Dazu gehören
Angemessenheitsbeschlüsse – d.h. Beschlüsse, mit denen „angemessene“
Datenschutzstandards in Drittländern bescheinigt werden - und geeignete
Garantien, wie standardisierte Vertragsklauseln oder verbindliche
unternehmensinterne Datenschutzregelungen[30],
mit dem Ziel, ein hohes Datenschutzniveau bei internationalen Verarbeitungsvorgängen
zu gewährleisten und zugleich den grenzübergreifenden Datenverkehr zu
erleichtern. Verbindliche unternehmensinterne
Datenschutzregelungen Eine Unternehmensgruppe muss regelmäßig
personenbezogene Daten von ihren Tochtergesellschaften in der EU an ihre
Tochtergesellschaften in Drittländern übermitteln. Die Unternehmensgruppe
möchte verbindliche unternehmensinterne Datenschutzregelungen einführen, um den
EU-Vorschriften zu entsprechen und zugleich den Verwaltungsaufwand für jede
einzelne Übermittlung zu begrenzen. In der Praxis stellen solche
unternehmensinternen Datenschutzregelungen sicher, dass im ganzen Konzern statt
verschiedener interner Anweisungen ein einheitliches Regelwerk gilt. Nach der bisherigen im Rahmen der
Datenschutzgruppe vereinbarten Vorgehensweise setzt die Feststellung, dass die
verbindlichen unternehmensinternen Datenschutzregelungen angemessene Garantien
bieten, eine gründliche Überprüfung durch drei nationale Datenschutzbehörden
(eine „leitende“ und zwei „überprüfende“ Behörden) voraus; darüber hinaus
können auch andere Datenschutzbehörden Stellung nehmen. Die Vorschriften
zahlreicher Mitgliedstaaten schreiben außerdem zusätzliche nationale
Genehmigungen für die unter die verbindlichen unternehmensinternen
Datenschutzregelungen fallenden Übermittlungen vor, was das Verfahren
aufwändig, kostspielig, lang und umständlich macht. Die Datenschutzreform wird Folgendes bewirken: - Das Verfahren wird vereinfacht und
gestrafft. - Verbindliche unternehmensinterne
Datenschutzregelungen werden nur durch eine Datenschutzbehörde beurteilt, wobei
sichergestellt wird, dass andere betroffene Datenschutzbehörden zügig
einbezogen werden. - Sobald eine Datenschutzbehörde die
verbindlichen unternehmensinternen Datenschutzregelungen genehmigt hat, gilt
diese Genehmigung für die gesamte EU ohne zusätzliche Genehmigungen auf
nationaler Ebene. Um die Herausforderungen der Globalisierung zu
bestehen, bedarf es – insbesondere für weltweit tätige
Unternehmen ‑ flexibler Instrumente und Verfahren, die zugleich einen
lückenlosen Schutz der personenbezogenen Daten garantieren. Die Kommission
schlägt folgende Maßnahmen vor: - Einführung klarer
Regeln, in denen festgelegt ist, wann die EU-Vorschriften auf die für
die Datenverarbeitung Verantwortlichen in Drittländern anwendbar sind, insbesondere
durch die Regelung, dass die EU-Vorschriften Anwendung finden, wenn
Personen in der EU Waren und Dienstleistungen angeboten werden oder ihr
Verhalten im Netz beobachtet wird - Angemessenheitsbeschlüsse werden
auch im Bereich der polizeilichen und justiziellen Zusammenarbeit in
Strafsachen von der Europäischen Kommission auf der Grundlage expliziter und
klarer Kriterien gefasst - Rechtmäßiger Datenverkehr nach Drittländern
wird durch eine Straffung und Vereinfachung der Regeln für die
internationale Datenübermittlung in Länder, für die kein
Angemessenheitsbeschluss gilt, einfacher; dies geschieht vor allem durch
Modernisierung und häufigere Verwendung von Instrumenten wie verbindlichen
unternehmensinternen Datenschutzregeln, die für Auftragsverarbeiter
sowie in Unternehmensgruppen gelten und der insbesondere beim
Cloud-Computing festzustellenden Vielzahl der an der Verarbeitung beteiligten
Unternehmen Rechnung tragen - Aufnahme von Gesprächen und
gegebenenfalls Verhandlungen mit Drittländern – vor allem strategischen
Partnern der EU und Ländern der Europäischen Nachbarschaftspolitik – und
wichtigen internationalen Organisationen (z. B. Europarat, Organisation
für wirtschaftliche Zusammenarbeit und Entwicklung, Vereinte Nationen), um
weltweit hohe interoperable Datenschutzstandards zu unterstützen.
6.
SCHLUSSFOLGERUNG
Die Reform der EU-Datenschutzvorschriften zielt
darauf ab, einen modernen, stabilen, kohärenten und umfassenden
Datenschutz-Rechtsrahmen für die Europäische Union bereitzustellen.
Auf diese Weise wird dem Grundrecht des Einzelnen auf Datenschutz Geltung
verschafft. Andere Rechte wie das Recht auf freie Meinungsäußerung, auf
Information, die Rechte des Kindes, die unternehmerische Freiheit, das Recht
auf ein faires Verfahren und die Wahrung des Berufsgeheimnisses (z. B. für
Rechtsberufe) sowie der Status der Kirchen gemäß dem Recht der Mitgliedstaaten
werden gewahrt. Die Reform kommt in erster Linie dem Einzelnen
zugute, da seine Datenschutzrechte ausgebaut und sein Vertrauen in die digitale
Umgebung gestärkt werden. Ferner wird das rechtliche Umfeld für Unternehmen und
den öffentlichen Sektor durch die Reform wesentlich vereinfacht, was die
Entwicklung der digitalen Wirtschaft im EU-Binnenmarkt und darüber hinaus entsprechend
den Zielen der Strategie Europa 2020 und der Digitalen Agenda für Europa
anregen dürfte. Schließlich wird die Reform das Vertrauen der
Strafverfolgungsbehörden untereinander stärken, damit der Datenaustausch
zwischen ihnen erleichtert und die Zusammenarbeit bei der Bekämpfung schwerer
Kriminalität verbessert, zugleich aber ein hohes Schutzniveau für den Einzelnen
garantiert wird. Die Europäische Kommission wird eng mit dem
Europäischen Parlament und dem Rat zusammenarbeiten, um bis Ende 2012 eine
Einigung über den neuen EU-Datenschutzrahmen zu erreichen. Während des
Gesetzgebungsverfahrens und darüber hinaus, vor allem bei der Umsetzung und
Anwendung der neuen Rechtsinstrumente, wird die Kommission weiterhin einen
engen und transparenten Dialog mit allen Beteiligten, d. h. auch
den Vertretern des privaten und öffentlichen Sektors, pflegen. An diesen
Gesprächen sollen Vertreter von Polizei und Justiz, Regulierungsstellen für
elektronische Kommunikation, Organisationen der Zivilgesellschaft, Datenschutzbehörden
und Wissenschaftler sowie Vertreter einschlägiger EU-Agenturen wie Eurojust,
Europol, der Grundrechte-Agentur und der Agentur für Netz- und
Informationssicherheit, beteiligt werden. Im Umfeld sich ständig weiterentwickelnder
Informationstechnologien und sich ändernden Sozialverhaltens sind solche
Gespräche von größter Bedeutung, um die Beiträge zu nutzen, die notwendig sind,
um für den Einzelnen ein hohes Datenschutzniveau, für die EU-Wirtschaft
Wachstum und Wettbewerbsfähigkeit, ein reibungsloses Funktionieren des
öffentlichen Sektors (einschließlich Polizei und Justiz) und einen geringen
Verwaltungsaufwand zu gewährleisten. [1] Der Markt für die Analyse sehr großer Datensätze steigt
jährlich weltweit um 40 %: http://www.mckinsey.com/mgi/publications/big_data/. [2] Siehe auch die Schlussfolgerungen des Europäischen Rates
vom 23. Oktober 2011, in denen die Schlüsselrolle des Binnenmarkts für
Wachstum und Beschäftigung sowie die Notwendigkeit der Vollendung des digitalen
Binnenmarkts bis 2015 hervorgehoben wird. [3] KOM(2010) 171 endg. [4] KOM(2010) 245 endg. [5] KOM(2010) 2020 endg. [6] Richtlinie 95/46/EG zum Schutz natürlicher Personen bei
der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl.
L 281 vom 23.11.1995, S. 31. [7] Im Bereich der Gemeinsamen Außen- und Sicherheitspolitik
wird die Verarbeitung von Daten durch die Mitgliedstaaten in einem
Ratsbeschluss auf der Grundlage von Artikel 39 AEUV geregelt. [8] KOM(2009) 262 und KOM(2010) 171. [9] Es wurden zwei öffentliche Anhörungen zur Reform des
Datenschutzes eingeleitet, eine erste von Juli bis Dezember 2009 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0003_en.htm)
und eine zweite von November 2010 bis Januar 2011 (http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm). [10] 2010 fanden Anhörungen mit den Behörden der
Mitgliedstaaten und dem privaten Sektor statt. Im November 2010 veranstaltete
die für Justiz zuständige EU-Kommissarin Viviane Reding einen Runden Tisch zur
Datenschutzreform. 2011 fanden zusätzlich Workshops und Seminare zu
Einzelthemen (z.B. Meldung von Datenschutzverstößen) statt. [11] KOM(2010) 609. [12] Siehe Schreiben der EU-Justizkommissarin Viviane Reding
vom 19. September 2011 an die Mitglieder der Datenschutzgruppe, veröffentlicht
unter http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/index_en.htm. [13] Siehe Folgenabschätzung (SEK(2012) 72. [14] Dazu gehören zu einem späteren Zeitpunkt Änderungen zur
Anpassung spezifischer sektorenbezogener Instrumente, z. B. der Verordnung
(EG) Nr. 45/2001, ABl. L 8 vom 12.1.2001, S. 1. [15] Die Verordnung enthält auch einige technische Anpassungen
der Datenschutzrichtlinie im Bereich der elektronischen Kommunikation
(Richtlinie 2002/58/EG, zuletzt geändert durch die Richtlinie 2009/136/EG –
ABl. L 337 vom 18.12.2009, S. 11), mit denen der Umwandlung der
Richtlinie 95/46/EG in eine Verordnung Rechnung getragen wird. Die rechtlichen
Folgen der neuen Verordnung und der neuen Richtlinie für die
Datenschutzrichtlinie für elektronische Kommunikation werden zu gegebener Zeit
Gegenstand einer Überprüfung der Kommission sein, in die das Ergebnis der
Verhandlungen über die derzeitigen Vorschläge mit dem Europäischen Parlament
und dem Rat eingeht. [16] Rahmenbeschluss 2008/977/JI des Rates vom
27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen
der polizeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeiten
werden (ABl. L 350 vom 30.12.2008, S. 60). Als Teil des
Datenschutz-Reformpakets wird auch ein Bericht über die Umsetzung des
Rahmenbeschlusses (KOM(2012) 12) angenommen. [17] Siehe Eurobarometer Spezial 359 – „Attitudes on Data
Protection and Electronic Identity in the European Union“, Juni 2011,
S. 23. [18] S. o. S. 54. [19] Eine Digitale Agenda für Europa, s. o., S. 4. [20] Bisher besteht diese Verpflichtung aufgrund der
Datenschutzrichtlinie für die elektronische Kommunikation nur im Telekommunikationssektor. [21] Weitere Einzelheiten hierzu siehe in der den
Legislativvorschlägen beiliegenden Folgenabschätzung SEK(2012) 72. [22] Die Arbeitsgruppe wurde 1996 auf der Grundlage von
Artikel 29 der Richtlinie 95/46/EG mit beratender Funktion eingesetzt. Ihr
gehören Vertreter der nationalen Datenschutzbehörden sowie der Europäische
Datenschutzbeauftragte und die Kommission an. Weitere Informationen zur
Tätigkeit der Datenschutzgruppe unter http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [23] Um Regeln für den Bereich der polizeilichen und
justiziellen Zusammenarbeit in Strafsachen (siehe unten Abschnitt 4)
festzulegen, wird eine Richtlinie vorgeschlagen, die den Mitgliedstaaten in
diesem spezifischen Bereich mehr Flexibilität einräumt. [24] EuGH, Urteil vom 9.11.2010, verbundene Rechtssachen
C-92/09 und C-93/09 Volker und Markus Schecke und Eifert, noch nicht
veröffentlicht. [25] Gemäß Artikel 52 Absatz 1 der Grundrechtecharta
müssen Einschränkungen der Ausübung der in dieser Charta anerkannten Rechte und
Freiheiten gesetzlich vorgesehen sein, den Wesensgehalt dieser Rechte und
Freiheiten achten und dürfen unter Wahrung des Grundsatzes der Verhältnismäßigkeit
nur vorgenommen werden, wenn sie notwendig sind und den von der Union
anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des
Schutzes der Rechte und Freiheiten anderer tatsächlich entsprechen. [26] EuGH, Urteil vom 6.11.2003 in der Rs. C-101/01 Lindqvist,
Slg. 2003, I-12971, Rdnrn. 82-90; Urteil vom 16.12.2008 in der Rs. C-73/07
Satamedia, Slg. 2008, I-9831, Rdnrn. 50-62. [27] Der Rahmenbeschluss gilt für personenbezogene Daten, die
zwischen Mitgliedstaaten oder zwischen Mitgliedstaaten und EU-Organen oder ‑Einrichtungen
übermittelt oder bereitgestellt werden oder wurden (siehe Artikel 1
Absatz 2). [28] Dies wurde von einigen Mitgliedstaaten in ihrer Antwort
auf den Fragebogen der Kommission zum Bericht über die Umsetzung des
Rahmenbeschlusses (KOM(2012) 12) bestätigt. [29] Siehe Erklärung Nr. 21 zum Schutz personenbezogener Daten
im Bereich der justiziellen Zusammenarbeit in Strafsachen und der polizeilichen
Zusammenarbeit im Anhang zur Schlussakte der Regierungskonferenz, die den
Vertrag von Lissabon annahm. [30] Verbindliche unternehmensinterne Datenschutzregelungen
(BCR – Binding Corporate Rules) sind Verhaltenskodizes auf der Grundlage
europäischer Datenschutzstandards, die von Unternehmen aufgestellt und
freiwillig befolgt werden, um angemessene Garantien für die Übermittlung
personenbezogener Daten zwischen Unternehmen eines Konzerns zu geben, die
konzerninterne Regeln zu befolgen haben. Sie werden nicht ausdrücklich in der
Richtlinie 95/46/EG genannt, wurden aber aus praktischen Gründen von den
nationalen Datenschutzbehörden mit Unterstützung der Datenschutzgruppe
entwickelt.