2.3.2018   

DE

Amtsblatt der Europäischen Union

C 81/209

Berichterstatter:

Cristian PÎRVULESCU

1.1.

Auf der Grundlage ihrer zentralen Werte und ihrer Gründungsverträge obliegt es der EU, sich weltweit für die Förderung der Achtung der Grundrechte und einen angemessenen Schutz der Privatsphäre und personenbezogenen Daten einzusetzen. In diesem Zusammenhang ruft der Europäische Wirtschafts- und Sozialausschuss (EWSA) die Europäische Kommission auf, sich auf bilateraler und multilateraler Ebene aktiv für ein möglichst hohes Maß an Schutz personenbezogener Daten starkzumachen.

1.2.

Der EWSA hält die vier Hauptkriterien der Kommission bei der Bewertung der Länder, mit denen ein Dialog über die Angemessenheit des Schutzniveaus geführt werden sollte, für ausgewogen und angemessen. Es ist jedoch wichtig, diese Kriterien im Hinblick auf ein echtes Eintreten der Regierungen, Parlamente und Gerichte in diesen Ländern auszulegen, um ein gleichwertiges und funktionales Maß an Schutz personenbezogener Daten zu erreichen.

1.3.

Der EWSA mahnt mehr Transparenz und Teilhabe am Beschlussfassungsverfahren für Angemessenheitsbeschlüsse an. Vertreter aus der Wirtschaft, insbesondere der KMU, sowie Verbraucherschutzgruppen, Bürgergruppen und andere zivilgesellschaftliche Organisationen müssen beteiligt und zurate gezogen werden. Der EWSA bietet seine Mithilfe bei der Konsultation an.

1.4.

Der EWSA begrüßt den von der Kommission eingeleiteten Dialog mit wichtigen Handelspartnern in Ost- und Südostasien, darunter auch Japan und Korea und eventuell Indien, sowie mit Ländern in Lateinamerika und Ländern der Europäischen Nachbarschaftspolitik, die ihr Interesse an einer „Angemessenheitsfeststellung“ bekundet haben.

1.5.

Der EWSA hofft, dass die Kommission, der Rat, die nationalen Regierungen und Parlamente der Mitgliedstaaten sowie die Regierung und der Kongress der USA die Vorschläge begrüßen, die in der Entschließung des Europäischen Parlaments vom 6. April 2017 über die Angemessenheit des Schutzes durch den EU-US-Datenschutzschild unterbreitet werden. In seiner Entschließung äußert das Europäische Parlament ernste Bedenken, von denen viele in die Richtung gehen, dass die Rechte der EU-Bürger in der Praxis durch das Übereinkommen und den US-Rechtsrahmen nicht geschützt werden.

1.6.

Angesichts der schnellen technischen Fortschritte und des stetigen Wachstums der IKT-Infrastruktur bedarf es einer genauen staatlichen Aufsicht und Überwachung. Auch wenn Angemessenheitsbeschlüsse alle vier Jahre evaluiert werden (siehe Artikel 45 Absatz 3 der Datenschutz-Grundverordnung (DS-GVO), empfiehlt der EWSA einen ständigen Kontakt zwischen der Kommission, den Datenschutzbehörden und den staatlichen Behörden in Drittländern, um neue Herausforderungen in einem sehr dynamischen technischen und wirtschaftlichen Umfeld zu ermitteln.

1.7.

Nach Ansicht des EWSA sollte die Europäische Kommission die Förderung von Datenschutzstandards durch multilaterale Instrumente als vorrangig ansehen und sollte dieses Bestreben durch Mittel untermauert werden, damit a priori ein echter Schutz der Menschenrechte und a posteriori ein wirksamer Rechtsschutz bei erlittenem Schaden erreicht werden kann.

1.8.

Der EWSA betont, dass die Kommission in ihrer Mitteilung nicht zwischen verschiedenen Arten und Verwendungsformen personenbezogener Daten — außer in Strafsachen — unterscheidet.

1.9.

Das Übereinkommen Nr. 108 des Europarates von 1981 mit seinem Zusatzprotokoll von 1999 ist das einzige verbindliche multilaterale Instrument im Bereich des Datenschutzes. Es sollte weiterentwickelt und mehr Drittländern der Beitritt nahegelegt werden.

1.10.

Die multilateralen Bemühungen innerhalb der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung), der G20 und der APEC (Asiatisch-Pazifische Wirtschaftskooperation) sollten mit Blick auf die Schaffung eines wahrhaft globalen multilateralen Datenschutzsystems ausgebaut werden. Die Zusammenarbeit mit dem Sonderberichterstatter der Vereinten Nationen für das Recht auf den Schutz der Privatsphäre muss verlässlich und funktionsfähig sein.

1.11.

Was den Austausch personenbezogener Daten im Rahmen der Verhütung, Untersuchung und Verfolgung von Straftaten angeht, plädiert der EWSA nachdrücklich für die Schaffung solider Datenschutzgarantien, ist aber auch offen für die Einführung von Angemessenheitsfeststellungen auf dem Gebiet der Strafverfolgung. Der Datenschutz und die Verhütung, Untersuchung und Verfolgung von Straftaten, darunter auch Cyberkriminalität und Terrorismus, müssen Hand in Hand gehen.

1.12.

Der EWSA verweist auf die Wichtigkeit des Schutzes der personenbezogenen Daten, Gesundheits- und Rehabilitationsdaten von Menschen mit Behinderungen im Sinne von Artikel 22 des Übereinkommens der Vereinten Nationen über die Rechte von Menschen mit Behinderungen.

2.1.

Der Schutz personenbezogener Daten ist Teil des gemeinsamen europäischen Regelwerks und in Artikel 8 der EU-Charta der Grundrechte verankert. Seit über 20 Jahren kommt dem Datenschutz im EU-Recht ein zentraler Stellenwert zu, angefangen bei der Datenschutzrichtlinie aus dem Jahr 1995 („Richtlinie von 1995“) bis hin zur Verabschiedung der Datenschutz-Grundverordnung und der Polizei-Richtlinie im Jahr 2016.

2.2.

Durch die im April 2016 verabschiedete Reform der EU-Datenschutzvorschriften wurde ein System geschaffen, das ein hohes Schutzniveau in der EU sowie für den internationalen Austausch personenbezogener Daten für kommerzielle Zwecke und Strafverfolgungszwecke gewährleistet. Die neuen Vorschriften treten im Mai 2018 in Kraft.

2.3.

Nach der Fertigstellung des EU-Datenschutzrechts arbeitet die Kommission nun an einer Strategie zur Förderung internationaler Datenschutzstandards. In der Mitteilung werden die verschiedenen Instrumente für den internationalen Austausch personenbezogener Daten auf der Grundlage der überarbeiteten Datenschutzvorschriften erläutert und eine Strategie dafür dargelegt, wie künftig mit ausgewählten Drittländern zur Erreichung von Angemessenheitsbeschlüssen und zur Förderung von Datenschutzstandards durch multilaterale Instrumente zusammengearbeitet werden soll.

2.4.

Die Datenschutz-Grundverordnung von 2016 umfasst ein „Instrumentarium“ an Mechanismen für die Übermittlung personenbezogener Daten von der EU an Drittländer: Angemessenheitsbeschlüsse, Standardvertragsklauseln, verbindliche unternehmensinterne Vorschriften, Zertifizierungsmechanismen und Verhaltenskodizes. Dabei geht es primär darum sicherzustellen, dass personenbezogene Daten von Europäern bei der Übermittlung ins Ausland geschützt werden. Während internationale Übermittlungen personenbezogener Daten von ihrem Aufbau her denjenigen gemäß der Datenschutzrichtlinie von 1995 ähneln, wird deren Verwendung durch die Reform vereinfacht und ausgeweitet und werden neue Instrumente für den internationalen Datentransfer eingeführt (z. B. Verhaltenskodizes und Zertifizierungsmechanismen).

3.1.

Der EWSA würdigt die Bemühungen der EU, die personenbezogenen Daten ihrer Bürger zu schützen und zugleich in einer immer stärker vernetzten Welt offen und integriert zu bleiben.

3.2.

Auf der Grundlage ihrer zentralen Werte und ihrer Gründungsverträge obliegt es der EU, sich weltweit für die Förderung der Achtung der Grundrechte und ein hohes Maß an Schutz der Privatsphäre und personenbezogenen Daten einzusetzen. In diesem Zusammenhang ruft der EWSA die Europäische Kommission auf, aktiv auf bilateraler und multilateraler Ebene für ein möglichst hohes Maß an Schutz personenbezogener Daten für die Bürger der Europäischen Union und die Bürger von Drittländern einzutreten.

3.3.

Die EU sollte die Agenda des globalen Schutzes personenbezogener Daten und ihre zentralen Forderungen unterstützen: Datenschutz ist ein Grundrecht, dessen Schutz durch die Verabschiedung einschlägiger übergreifender Rechtsvorschriften gewährleistet wird, mit denen durchsetzbare Rechte zum Schutz der Privatsphäre eingeführt und unabhängige Überwachungsbehörden geschaffen werden.

3.4.

Ein höchstmögliches Maß an Schutz personenbezogener Daten ist nicht nur ein rechtliches Gebot, sondern auch eine große Chance. Die digitale Wirtschaft, internationale Waren- und Dienstleistungsströme und elektronische Behördendienste profitieren allesamt von dem Vertrauen der Bürger in die vorhandenen institutionellen und rechtlichen Schutzmechanismen. Der Datenschutz und ein fairer Welthandel sind beide von wesentlicher Bedeutung für die Bürger und sollten nicht als kollidierende Werte angesehen werden.

3.5.

Der EWSA unterstützt weiterhin — wie in seinen früheren Stellungnahmen — die allgemeine Ausrichtung der EU-Datenschutzpolitik, weist aber gleichzeitig darauf hin, dass ein höheres Schutzniveau notwendig ist. In seiner Stellungnahme SOC/455 zur Datenschutz-Grundverordnung nannte er einige Beispiele in Bezug auf eine Reihe von Artikeln, wodurch die Rechte, ein stärkerer Schutz der Öffentlichkeit im Allgemeinen und der Arbeitnehmer im Besonderen, die Art der Einwilligung, die Rechtmäßigkeit der Verarbeitung und insbesondere die Aufgaben der Datenschutzbeauftragten und der Datenverarbeitung im Beschäftigungskontext besser definiert werden (1).

3.6.

Darüber hinaus betonte der EWSA darin das Recht natürlicher oder juristischer Personen, ihre Zustimmung bezüglich ihrer Daten zu erteilen. In seiner Stellungnahme TEN/631 zum Schutz personenbezogener Daten vertritt der EWSA die Ansicht, dass „die Nutzer deshalb informiert und geschult werden und Umsicht walten lassen [müssen], denn wenn sie einmal ihre Einwilligung gegeben haben, kann der Provider die Inhalte und Metadaten weiterverarbeiten, um möglichst viel Wirkung und Gewinn zu erzielen (…) Der Befähigung der Nutzer, ihre Rechte wahrzunehmen, sowie der Anonymisierung bzw. Verschlüsselung der Daten sollten in dieser Verordnung [Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation] Vorrang eingeräumt werden“ (2).

3.7.

Der EWSA befürwortet ein einheitliches europaweites Regelwerk ab Mai 2018 statt der momentan geltenden 28 nationalen Regelungen. Mit dem neuen Konzept einer einzigen Anlaufstelle wird dafür gesorgt, dass nur eine einzige Datenschutzbehörde für die Aufsicht über von einem Unternehmen in der EU durchgeführte grenzübergreifende Datenverarbeitungsvorgänge zuständig ist. Die einheitliche Auslegung der neuen Vorschriften wird gewährleistet. So wird besonders in grenzüberschreitenden Fällen, an denen mehrere nationale Datenschutzbehörden beteiligt sind, ein einziger Beschluss gefasst, um sicherzustellen, dass für gemeinsame Probleme gemeinsame Lösungen gefunden werden. Der EWSA hofft, dass die neuen Verfahren nicht nur eine kohärentere Auslegung, sondern auch ein Höchstmaß an Datenschutz gewährleisten.

3.8.

Der EWSA nimmt zur Kenntnis, dass die Mitteilung und ihre wichtigsten Vorschläge von Digital Europe, der Vertretungsorganisation der Digitaltechnikbranche in Europa, begrüßt werden (3).

Die zunehmende Verbreitung von Cloud Computing führt zu neuen, vielschichtigen Herausforderungen, die sich aufgrund der Geschwindigkeit des technischen Wandels noch weiter ausgestalten werden. Die Rechtsvorschriften müssen flexibel sein, damit sie der Entwicklung der Technik und der Märkte folgen können.

4.1.

Von der Kommission gefasste Angemessenheitsbeschlüsse sind derzeit das geeignete Mittel, um den Datenschutz der EU-Bürger gegenüber anderen Ländern und — staatlichen wie privaten — Einrichtungen zu schützen. Außerdem sind sie nützlich als Impulse für Drittländer, ein vergleichbares Schutzniveau für ihre eigenen Bürger anzustreben, und sollten das bevorzugte Instrument zum Schutz des Austauschs personenbezogener Daten sein.

4.2.

Der EWSA hält die vier Hauptkriterien (4) der Kommission bei der Bewertung der Länder, mit denen ein Dialog über die Angemessenheit des Schutzniveaus geführt werden sollte, für ausgewogen und angemessen. Es ist jedoch wichtig, diese Kriterien im Hinblick auf ein echtes Eintreten der Regierungen, Parlamente und Gerichte in diesen Ländern auszulegen, um ein gleichwertiges und funktionales Maß an Schutz personenbezogener Daten zu erreichen.

4.3.

Der EWSA mahnt mehr Transparenz und Teilhabe am Beschlussfassungsverfahren für Angemessenheitsbeschlüsse an. Vertreter aus der Wirtschaft, insbesondere der KMU, sowie Verbraucherschutzgruppen und zivilgesellschaftliche Organisationen müssen beteiligt und zurate gezogen werden. Der EWSA bietet seine Mithilfe bei der Konsultation an.

4.4.

Der EWSA begrüßt den von der Kommission eingeleiteten Dialog mit wichtigen Handelspartnern in Ost- und Südostasien, darunter auch Japan und Korea und eventuell Indien, sowie mit Ländern in Lateinamerika und Ländern der Europäischen Nachbarschaftspolitik, die ihr Interesse an einer „Angemessenheitsfeststellung“ bekundet haben.

4.5.

Nach Ansicht des EWSA ist der Status der teilweisen Angemessenheit für bestimmte Länder, der einige Sektoren und Gebiete umfassen würde, problematisch, weil er keine ausreichenden und kohärenten verfassungsmäßigen, verfahrenstechnischen und institutionellen Garantien für den Schutz personenbezogener Daten bietet. Die teilweise Angemessenheit könnte eine sinnvolle Zwischenstufe sein, im Rahmen derer die EU und die betreffenden Länder eine gemeinsame Grundlage finden und ihre Bemühungen koordinieren können. Das langfristige Ziel lautet, eine verlässlichere und umfassendere Vereinbarung auf der Grundlage der in allen betroffenen Ländern bestehenden Strukturen zu erreichen (5).

4.6.

Der EWSA begrüßt die Bemühungen zur Schaffung eines soliden und funktionalen bilateralen Rahmens mit den Vereinigten Staaten von Amerika. Der unlängst gefasste Beschluss über den EU-US-Datenschutzschild, der das Safe-Harbor-Abkommen zwischen der EU und den USA ersetzt, ist ein Schritt in die richtige Richtung. Dessen Geltungsbereich ist jedoch begrenzt, da er auf freiwilliger Unterzeichnung beruht und dadurch zahlreiche US-amerikanische Organisationen nicht daran teilnehmen.

4.7.

Der EWSA hofft, dass die Kommission, der Rat, die nationalen Regierungen und Parlamente der Mitgliedstaaten sowie die Regierung und der Kongress der USA die Vorschläge begrüßen, die in der Entschließung des Europäischen Parlaments vom 6. April 2017 über die Angemessenheit des Schutzes durch den EU-US-Datenschutzschild unterbreitet werden. In seiner Entschließung äußert das Europäische Parlament ernste Bedenken, von denen viele in die Richtung gehen, dass die Rechte der EU-Bürger in der Praxis durch das Übereinkommen und den US-Rechtsrahmen nicht geschützt werden (6).

4.8.

Ähnliche Bedenken wurden von verschiedenen Gruppen der Zivilgesellschaft aus der Europäischen Union und den Vereinigten Staaten geäußert (7). Der EWSA ruft die Organe der EU auf, diese Bedenken zur Kenntnis zu nehmen.

4.9.

Der Ausschuss erkennt zwar die Absicht der Kommission zur Schaffung einer neuen Dynamik an, stellt jedoch fest, dass die Rechtsunsicherheit für Personen, deren Rechte verletzt wurden, mit diesen Vorschlägen weiterbestünde. Mehrere Aspekte tragen dazu bei:

4.10.

Die Überwachung nach der Annahme eines Angemessenheitsbeschlusses ist von wesentlicher Bedeutung, um sicherzustellen, dass die Vereinbarungen in der Praxis funktionieren. Angesichts der schnellen technischen Fortschritte und des stetigen Wachstums der IKT-Infrastruktur bedarf es einer genauen staatlichen Aufsicht und Überwachung. Auch wenn Angemessenheitsbeschlüsse alle vier Jahre evaluiert werden (siehe Artikel 45 Absatz 3 der Datenschutz-Grundverordnung (DS-GVO), empfiehlt der EWSA einen ständigen Kontakt zwischen der Kommission, den Datenschutzbehörden und den staatlichen Behörden in Drittländern, um neue Herausforderungen in einem sehr dynamischen technischen und wirtschaftlichen Umfeld zu ermitteln.

4.11.

Der EWSA fordert die Kommission zur Zusammenarbeit mit den Interessenträgern auf, um alternative Mechanismen für die Übermittlung personenbezogener Daten zu entwickeln, die den besonderen Bedürfnissen bzw. Anforderungen bestimmter Industriezweige, Geschäftsmodelle und/oder Wirtschaftsteilnehmer angepasst sind.

4.12.

Nach Ansicht des EWSA sollte die Europäische Kommission die Förderung von Datenschutzstandards durch multilaterale Instrumente als vorrangig ansehen, und dieses Bestreben sollte durch Mittel untermauert werden.

4.13.

Das Übereinkommen Nr. 108 des Europarates von 1981 mit seinem Zusatzprotokoll von 1999 ist das einzige verbindliche multilaterale Instrument im Bereich des Datenschutzes. Es sollte weiterentwickelt und mehr Drittländern der Beitritt nahegelegt werden.

4.14.

Die multilateralen Bemühungen innerhalb der OECD, der G20 und der APEC sollten mit Blick auf die Schaffung eines wahrhaft globalen multilateralen Datenschutzsystems ausgebaut werden. Die Zusammenarbeit mit dem Sonderberichterstatter der Vereinten Nationen für das Recht auf den Schutz der Privatsphäre muss verlässlich und funktionsfähig sein.

4.15.

Die Förderung der Zusammenarbeit mit den einschlägigen nationalen Durchsetzungs- und Aufsichtsbehörden in Drittländern sollte vorrangig sein. Auch wenn es nicht rechtsverbindlich ist, kann das Global Privacy Enforcement Network (GPEN) der OECD die Zusammenarbeit der Strafverfolgungsbehörden durch den Austausch bewährter Verfahren bei der Bewältigung grenzübergreifender Herausforderungen und durch die Unterstützung gemeinsamer Durchsetzungsinitiativen und Sensibilisierungskampagnen fördern (8).

4.16.

Hinsichtlich des Austausches personenbezogener Daten im Rahmen der Verhütung, Untersuchung und Verfolgung von Straftaten spricht sich der EWSA nachdrücklich für die Schaffung verlässlicher Datenschutzgarantien aus, ist aber auch offen für die Einführung von Angemessenheitsfeststellungen auf dem Gebiet der Strafverfolgung. Der Datenschutz und die Verhütung, Untersuchung und Verfolgung von Straftaten, darunter auch Cyberkriminalität und Terrorismus, müssen Hand in Hand gehen.

4.17.

Das im Dezember 2016 zwischen der EU und den USA abgeschlossene Datenschutz-Rahmenabkommen ist ein gutes Beispiel dafür, wie Datenschutzrechte und -pflichten im Einklang mit dem EU-Besitzstand in bilaterale Abkommen aufgenommen werden können. Die gleichen Verfahren können auch in verschiedenen Politikbereichen — wie Wettbewerbspolitik oder Verbraucherschutz — funktionieren. Der EWSA fordert die Kommission auf zu prüfen, ob ähnliche Rahmenabkommen mit ihren wichtigen Partnern im Bereich der Strafverfolgung abgeschlossen werden können.

4.18.

Der Ausschuss erwartet mit Interesse die Ergebnisse der dieses Jahr anstehenden ersten jährlichen Überprüfung des EU-US-Datenschutzschildes und hofft auf ein gründliches und partizipatives Verfahren. Der EWSA empfiehlt, dass sowohl die EU als auch die USA sich weiterhin für eine Zusammenarbeit im Bemühen um ein höheres Maß an Schutz personenbezogener Daten engagieren.