16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/1

1.

Informations- und Kommunikationstechnologien (IKT) eröffnen unglaubliche Möglichkeiten in fast allen Bereichen unseres Lebens — der Art, wie wir arbeiten, spielen, soziale Kontakte pflegen und erziehen. Sie sind für die heutige Informationswirtschaft und die Gesellschaft im Allgemeinen unverzichtbar.

2.

Die Europäische Union ist eine weltweit führende Kraft in der modernen IKT und entschlossen, dies auch zu bleiben. Um dieser Herausforderung zu begegnen, wird die Europäische Kommission voraussichtlich demnächst eine neue europäische digitale Agenda verabschieden, die Kommissionsmitglied Kroes als Priorität bestätigt hat (4).

3.

Der Europäische Datenschutzbeauftragte (EDSB) sieht den Nutzen der IKT und schließt sich der Auffassung an, dass die EU alles in ihren Kräften Stehende tun sollte, um deren Entwicklung und generelle Einführung zu beschleunigen. Darüber hinaus stimmt er der Meinung der Kommissionsmitglieder Kroes und Reding zu, dass im Mittelpunkt dieses neuen Umfelds der einzelne Nutzer stehen sollte (5). Der Nutzer sollte sich darauf verlassen können, dass die IKT in der Lage sind, die Sicherheit seiner Daten zu schützen und ihre Verwendung zu kontrollieren, und er sollte darauf vertrauen können, dass seine Datenschutzrechte im digitalen Raum gewahrt bleiben. Die Achtung dieser Rechte ist entscheidend, wenn es gilt, das Vertrauen der Verbraucher zu gewinnen. Und dieses Vertrauen ist unabdingbar, wenn die Bürger neue Dienste annehmen sollen (6).

4.

Die EU verfügt über einen starken Rechtsrahmen zum Datenschutz/Schutz der Privatsphäre, dessen Grundsätze im digitalen Zeitalter uneingeschränkt ihre Gültigkeit behalten. Selbstgefälligkeit können wir uns jedoch nicht leisten. In vielen Fällen werfen IKT neue Fragen auf, die im vorhandenen Rahmen nicht berücksichtigt werden. Deshalb sind Maßnahmen notwendig, um sicherzustellen, dass die im EU-Recht verankerten individuellen Rechte auch in diesem neuen Umfeld weiterhin einen wirksamen Schutz bieten.

5.

In dieser Stellungnahme wird erörtert, welche Maßnahmen die Europäische Union fördern oder ergreifen könnte, um die Privatsphäre des Einzelnen und den Datenschutz in einer globalisierten Welt zu gewährleisten, die auch in Zukunft technologiegeprägt sein wird. Es geht dabei um Rechtsinstrumente und Instrumente außerhalb der Gesetzgebung.

6.

Nach einem Überblick über die IKT als neue Entwicklung, die sowohl Chancen als auch Risiken birgt, wird die Notwendigkeit erörtert, Datenschutz und Privatsphäre in der Praxis von Anfang an in neue Informations- und Kommunikationstechnologien zu integrieren (Grundsatz des „eingebauten Datenschutzes“, auch als „Privacy by Design“ bezeichnet). Es wird erörtert, dass dieser Grundsatz, wenn seine Einhaltung sichergestellt werden soll, auf mindestens zwei Wegen in den rechtlichen Rahmen des Datenschutzes eingebettet werden muss: erstens durch Aufnahme als allgemeiner, verbindlicher Grundsatz und zweitens durch Einbindung in spezielle IKT-Bereiche, die besondere Risiken für Privatsphäre/Datenschutz bergen, welche sich durch eine angemessene Gestaltung von technischer Architektur und Design verringern lassen. Diese Bereiche sind die Funkfrequenzkennzeichnung (RFID), soziale Netzwerke und Browser-Anwendungen. Abschließend werden in der Empfehlung Vorschläge zu anderen Instrumenten und Grundsätzen zum Schutz der Privatsphäre und der Daten des einzelnen Bürgers im IKT-Bereich formuliert.

7.

Zu diesem Thema enthält die Stellungnahme Ausführungen zu einigen Aussagen der Artikel-29-Datenschutzgruppe in ihrem Beitrag zur öffentlichen Konsultation über die Zukunft der Privatsphäre (7). Sie stützt sich zudem auf frühere Stellungnahmen des EDSB, z. B. auf die Stellungnahme vom 25. Juli 2007 zur Durchführung der Datenschutzrichtlinie, die Stellungnahme vom 20. Dezember 2007 zur RFID und seine beiden Stellungnahmen zur Datenschutzrichtlinie für elektronische Kommunikation (8).

8.

IKT sind mit anderen wichtigen Erfindungen der Vergangenheit, z. B. der Elektrizität, verglichen worden. Für eine Bewertung ihrer tatsächlichen historischen Bedeutung mag es zwar noch zu früh sein, doch die Beziehung zwischen IKT und Wirtschaftswachstum in den Industrieländern ist eindeutig. IKT schaffen Arbeitsplätze, bringen wirtschaftliche Vorteile und tragen zum allgemeinen Wohl bei. Die Bedeutung der IKT geht über die rein wirtschaftliche Dimension hinaus, da sie eine wichtige Rolle als Motor für Innovation und Kreativität spielen.

9.

Darüber hinaus haben IKT die Art, wie Menschen arbeiten, soziale Kontakte pflegen und interagieren, verändert. Viele Menschen nutzen beispielsweise IKT zunehmend für soziale und wirtschaftliche Kontakte. Die Bürger können die verschiedensten neuen IKT-Anwendungen nutzen, z. B. elektronische Gesundheitsdienste, elektronische Verkehrsdienstleistungen, elektronische Behördendienste sowie innovative interaktive Unterhaltungs- und Lernsysteme.

10.

Angesichts dieser Vorteile haben sich alle europäischen Institutionen verpflichtet, die IKT als notwendiges Instrument zur Erhöhung der Wettbewerbsfähigkeit der europäischen Industrie und Beschleunigung des wirtschaftlichen Wiederaufschwungs in Europa zu fördern. So verabschiedete die Kommission im April den Bericht über die digitale Wettbewerbsfähigkeit Europas (9) und leitete eine öffentliche Konsultation über angemessene Strategien zur Förderung der IKT ein. Am 7. Dezember 2009 legte der Rat einen Beitrag zu dieser Konsultation mit dem Titel „Post-i2010 Strategie - hin zu einer offenen, grünen und wettbewerbsfähigen Wissensgesellschaft“ vor (10). Das Europäische Parlament hat kürzlich einen Bericht verabschiedet, der der Kommission Anleitung für die Festlegung einer digitalen Agenda bieten soll (11).

11.

Die Entwicklung der IKT bringt aber neben Chancen und Vorteilen auch neue Risiken, vor allem für die Privatsphäre und den Schutz personenbezogener Daten mit sich. IKT führen oft dazu, dass immer mehr Daten (oft ohne dass der einzelne Bürger es merkt) gesammelt, sortiert, gefiltert, übertragen oder anderweitig gespeichert werden und sich die damit zusammenhängenden Risiken somit vervielfachen.

12.

So treten beispielsweise RFID-Chips bei (einigen) Verbraucherprodukten an die Stelle von Strichcodes. Durch Verbesserung des Informationsflusses in der Lieferkette (und Verringerung der Notwendigkeit von „Sicherheits“-Beständen, Ermöglichung genauerer Voraussagen usw.) soll das neue System sowohl der Wirtschaft als auch den Verbrauchern zugute kommen. Gleichzeitig erhöht sich die beunruhigende Möglichkeit, zu verschiedenen Zwecken und von verschiedenen Einrichtungen über mit RFID-Etiketten versehene persönliche Gegenstände beobachtet zu werden.

13.

Ein weiteres Beispiel ist das „Cloud Computing“, im Grunde genommen die Bereitstellung gehosteter Verbraucheranwendungen und anderer Dienste über das Internet. Das Spektrum reicht von Fotoarchiven, Kalendern, Webmail- und Kundendatenbanken bis zu komplexeren Unternehmensdiensten. Die Vorteile für Unternehmen und einzelne Nutzer sind klar: geringere Kosten (die Grenzkosten sinken), Ortsungebundenheit (leichter Zugang zu Daten von überall auf der Welt), Automatisierung (es sind keine spezialisierten IT-Ressourcen erforderlich, Software muss nicht auf dem neuesten Stand gehalten werden) usw. Gleichzeitig existieren sehr reale Risiken von Sicherheitsproblemen und Hackerangriffen. Dazu kommt die Befürchtung, Zugang zu und Kontrolle über die eigenen Daten zu verlieren.

14.

Dass es sowohl Nutzen als auch Risiken gibt, hat sich auch in anderen Bereichen gezeigt, in denen IKT zum Einsatz kommen. Ein Beispiel sind die elektronischen Gesundheitsdienste, mit denen sich die Effizienz steigern, die Kosten verringern, die Zugänglichkeit verbessern und die allgemeine Qualität der Gesundheitsversorgung verbessern lassen. In Verbindung mit elektronischen Gesundheitsdiensten stellt sich jedoch oft die Frage nach der Legitimität einer Weiterverwendung von Gesundheitsdaten, die eine gründliche Prüfung der Zwecke erforderlich macht, zu denen sie potenziell wiederverwendet werden könnten (12). Mit dem zunehmenden Einsatz elektronischer Gesundheitsakten, sind zudem die Systeme selbst Gegenstand von Skandalen geworden, und es wurden bereits viele Fälle bekannt, in denen elektronische Gesundheitsakten gehackt wurden.

15.

Zusammenfassend ist zu sagen, dass auch bei richtiger Bewertung und Durchführung der notwendigen Maßnahmen wahrscheinlich ein gewisses Restrisiko bleibt. Eine risikofreie Situation ist unrealistisch. Wie im Folgenden noch erörtert wird, können und müssen jedoch Maßnahmen ergriffen werden, um diese Risiken auf ein angemessenes Niveau zu verringern.

16.

Die potenziellen Vorteile der IKT können in der Praxis nur genutzt werden, wenn es gelingt, Vertrauen in sie zu wecken, oder — anders ausgedrückt — bei den Nutzern die Bereitschaft zu schaffen, sich aufgrund der Merkmale und des Nutzens der IKT auf sie zu verlassen. Dieses Vertrauen kann nur gewonnen werden, wenn IKT zuverlässig, sicher und vom einzelnen Nutzer kontrollierbar sind und wenn der Schutz der personenbezogenen Daten und der Privatsphäre garantiert ist.

17.

Verbreitete Risiken und Mängel wie die oben geschilderten gefährden, besonders, wenn sie den Missbrauch personenbezogener Daten und die Verletzung der Privatsphäre durch ihre Weitergabe zur Folge haben, mit einiger Wahrscheinlichkeit das Vertrauen der Nutzer in die Informationsgesellschaft. Dadurch könnte die Entwicklung der IKT und ihr potenzieller Nutzen ernsthaft gefährdet werden.

18.

Die Lösung für diese Risiken in Bezug auf Privatsphäre und Datenschutz kann jedoch nicht darin liegen, die Verwendung von IKT zu unterbinden bzw. auszuschließen oder ihre Förderung zu verweigern. Dies wäre weder praktikabel noch realistisch, es würde die Bürger daran hindern, die Vorteile der IKT zu nutzen, und den potenziellen Gesamtnutzen stark verringern.

19.

Der EDSB hält eine positivere Lösung für möglich: die Achtung von Privatsphäre und Datenschutz bei der Planung und Entwicklung von IKT. Es ist deshalb von entscheidender Bedeutung, dass Privatsphäre und Datenschutz in den gesamten Lebenszyklus der Technologie — von der ersten Planungsphase an bis zum tatsächlichen Einsatz, ihrer Nutzung und Entsorgung — eingebettet sind. Dies wird üblicherweise als „eingebauter Datenschutz“ bezeichnet und im Folgenden erörtert.

20.

„Eingebauter Datenschutz“ kann, je nach Situation oder Anwendung, verschiedene Maßnahmen umfassen. In manchen Fällen kann diese Vorgehensweise z. B. den Ausschluss/die Verringerung personenbezogener Daten oder die Verhinderung einer nicht notwendigen bzw. unerwünschten Verarbeitung erfordern. In anderen Fällen kann „eingebauter Datenschutz“ bedeuten, dass Tools angeboten werden, die den Nutzern mehr Kontrolle über ihre personenbezogenen Daten ermöglichen. Solche Maßnahmen sollten bei der Festlegung von Standards bzw. beispielhaften Verfahren erwogen werden. Sie lassen sich auch in die Architektur von Informations- und Kommunikationssystemen oder den Aufbau der Einrichtungen einbauen, die personenbezogene Daten verarbeiten.

21.

Der Grundsatz des „eingebauten Datenschutzes“ ist in vielen verschiedenen IKT-Umgebungen notwendig. So werden z. B. im Gesundheitswesen zunehmend IKT-Infrastrukturen genutzt, die oft eine zentrale Speicherung von Gesundheitsdaten beinhalten. Die Anwendung des „eingebauten Datenschutzes“ im Gesundheitswesen würde eine Bewertung der Angemessenheit verschiedener Maßnahmen erforderlich machen, z. B. der Möglichkeit, die zentral gespeicherten Daten auf ein Minimum zu reduzieren oder auf einen Index zu beschränken, Verschlüsselungsinstrumente zu verwenden, Zugangsrechte streng nach dem Grundsatz „Kenntnis notwendig“ zu vergeben, nicht mehr benötigte Daten zu anonymisieren usw.

22.

Auch Verkehrssysteme werden zunehmend standardmäßig mit modernen IKT-Anwendungen ausgestattet, die zu verschiedenen Zwecken und für verschiedene Funktionen mit dem Fahrzeug und seiner Umgebung interagieren. Immer mehr PKWs sind z. B. mit neuen IKT-Funktionen (GPS, GSM, Sensorennetz usw.) ausgestattet, die in Echtzeit Angaben nicht nur über den Standort, sondern auch über die technischen Bedingungen liefern. Diese Daten könnten beispielsweise verwendet werden, um das bestehende Steuersystem zur Finanzierung des Straßennetzes durch eine nutzungsabhängige Maut zu ersetzen. Die Anwendung des „eingebauten Datenschutzes“ auf die Planung und Architektur solcher Systeme sollte dazu führen, dass möglichst wenig personenbezogene Daten verarbeitet und weitergeleitet werden (13). Nach diesem Grundsatz wäre eine dezentrale oder semizentrale Architektur, bei der die Übermittlung von Standortdaten an eine zentrale Stelle begrenzt ist, zentralisierten Systemen vorzuziehen.

23.

Die genannten Beispiele zeigen, dass die Risiken für Privatsphäre und Datenschutz deutlich verringert werden können, wenn Informations- und Kommunikationstechnologien nach dem Grundsatz des „eingebauten Datenschutzes“ gestaltet werden.

24.

Eine wichtige Frage lautet: Sind IKT-Hersteller/Anbieter und die für die Datenverarbeitung Verantwortlichen an einer Vermarktung und Umsetzung des „eingebauten Datenschutzes“ in den IKT interessiert? In diesem Zusammenhang muss auch die Nachfrage nach „eingebautem Datenschutz“ bei den Nutzern bewertet werden.

25.

2007 veröffentlichte die Kommission eine Mitteilung, in der sie Unternehmen aufforderte, ihre Innovationskraft dafür einzusetzen, Technologien zum Schutz der Privatsphäre zu schaffen und einzuführen, um den Schutz der Privatsphäre und der personenbezogenen Daten von Anfang an in den Entwicklungszyklus einzubinden (14).

26.

Bislang zeigen jedoch die vorliegenden Nachweise, dass es weder IKT-Herstellern noch datenverarbeitenden Stellen (sowohl in der Privatwirtschaft als auch im öffentlichen Sektor) gelungen ist, „eingebauten Datenschutz“ konsequent umzusetzen oder zu vermarkten. Dafür werden verschiedene Gründe angeführt, u. a. fehlende wirtschaftliche Anreize oder institutionelle Unterstützung, unzureichende Nachfrage usw (15).

27.

Auch die Nutzer zeigen eine relativ geringe Nachfrage nach „eingebautem Datenschutz“. Nutzer von IKT-Produkten und -Dienstleistungen gehen möglicherweise mit gutem Recht davon aus, dass ihre Privatsphäre und ihre personenbezogenen Daten de facto geschützt sind, auch wenn dies vielfach nicht der Fall ist. In manchen Fällen sind sie einfach nicht in der Lage, die notwendigen Sicherheitsmaßnahmen zu ergreifen, um ihre eigenen personenbezogenen Daten oder die anderer zu schützen. In vielen Fällen liegt das daran, dass sie über die Risiken nicht umfassend oder auch nur teilweise informiert sind. So lassen z. B. junge Menschen die Risiken für die Privatsphäre im Allgemeinen unberücksichtigt, wenn sie personenbezogene Informationen in sozialen Netzen veröffentlichen, und ignorieren oft die Datenschutzeinstellungen. Andere Nutzer sind sich der Risiken bewusst, verfügen aber u. U. nicht über die notwendigen technischen Fachkenntnisse, um Sicherheitsverfahren — z. B. zum Schutz ihrer Internetverbindung — einzusetzen oder die Browsereinstellungen zu ändern, um ein Profiling durch Beobachtung ihres Surfverhaltens möglichst weitgehend zu verhindern.

28.

Die Risiken für den Schutz der Privatsphäre und den Datenschutz sind jedoch sehr real. Werden Privatsphäre und Datenschutz nicht von Anfang an berücksichtigt, ist es oft zu spät und wirtschaftlich zu aufwändig, die Systeme zu bereinigen und den bereits entstandenen Schaden zu beheben. Die wachsende Zahl von Sicherheitsverletzungen in den letzten Jahren macht dieses Problem deutlich und unterstreicht die Notwendigkeit eines „eingebauten Datenschutzes“.

29.

Die vorstehenden Ausführungen lassen klar erkennen, dass Hersteller und Anbieter von IKT-Technologien zur Verarbeitung personenbezogener Daten gemeinsam mit den datenverarbeitenden Stellen Verantwortung dafür tragen sollen, dass diese mit eingebauten Mechanismen zum Schutz von Daten und Privatsphäre geplant werden. In vielen Fällen würde das bedeuten, dass sie mit datenschutzfreundlichen Voreinstellungen („Privacy by Default“) ausgestattet werden.

30.

Vor diesem Hintergrund müssen wir prüfen, welche Schritte politische Entscheidungsträger ergreifen könnten, um „eingebauten Datenschutz“ in der IKT-Entwicklung zu fördern. Eine erste Frage lautet: Enthält der bestehende Rechtsrahmen für den Datenschutz angemessene Bestimmungen, um die Anwendung des Grundsatzes eines „eingebauten Datenschutzes“ sowohl durch für die Datenverarbeitung Verantwortliche als auch durch Hersteller/Entwickler zu gewährleisten? Eine zweite Frage lautet: Was sollte im Zusammenhang mit der europäischen digitalen Agenda unternommen werden um sicherzustellen, dass die IKT-Branche Vertrauen bei den Verbrauchern schafft.

31.

Die EU verfügt über einen robusten Rechtsrahmen für Datenschutz und Privatsphäre, der in der Richtlinie 95/46/EG (16), der Richtlinie 2002/58/EG (17) und der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (18) und des Gerichtshofs verankert ist.

32.

Die Datenschutzrichtlinie gilt für „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ (Erhebung, Speicherung, Weitergabe usw.). Sie schreibt vor, dass Personen oder Einrichtungen, die personenbezogene Daten verarbeiten („für die Verarbeitung Verantwortliche“) bestimmte Grundsätze und Verpflichtungen einhalten. Sie räumt natürlichen Personen Rechte ein, z. B. das Recht auf Zugang zu personenbezogenen Daten. Die Datenschutzrichtlinie für elektronische Kommunikation beschäftigt sich speziell mit dem Schutz der Privatsphäre in der elektronischen Kommunikation (19).

33.

In der geltenden Datenschutzrichtlinie ist „eingebauter Datenschutz“ nicht ausdrücklich vorgeschrieben. Sie enthält jedoch Bestimmungen, nach denen in verschiedenen Situationen die Anwendung des Grundsatzes des „eingebauten Datenschutzes“ durchaus erforderlich sein kann. Insbesondere Artikel 17 schreibt vor, dass der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muss, die für den Schutz gegen die ungerechtfertigte Verarbeitung von Daten erforderlich sind (20). „Eingebauter Datenschutz“ ist somit in sehr allgemeiner Form abgedeckt. Zudem richten sich die Bestimmungen der Richtlinie vor allem an für die Verarbeitung Verantwortliche, die personenbezogene Daten verarbeiten. Sie schreiben nicht ausdrücklich vor, dass Informations- und Kommunikationstechnologien privatsphären- und datenschutzgerecht sind, was auch Anforderungen an die Entwickler und Hersteller von IKT, einschließlich der Aktivitäten in der Standardisierungsphase, mit sich bringen würde.

34.

Die Datenschutzrichtlinie für elektronische Kommunikation enthält explizitere Bestimmungen: In Artikel 14 Absatz 3 heißt es: „Erforderlichenfalls können gemäß der Richtlinie 1999/5/EG und dem Beschluss 87/95/EWG des Rates vom 22. Dezember 1986 über die Normung auf dem Gebiet der Informationstechnik und der Telekommunikation Maßnahmen getroffen werden, um sicherzustellen, dass Endgeräte in einer Weise gebaut sind, die mit dem Recht der Nutzer auf Schutz und Kontrolle der Verwendung ihrer personenbezogenen Daten vereinbar ist.“ Diese Bestimmung wurde jedoch noch nie angewandt (21).

35.

Die genannten Bestimmungen der zwei Richtlinien sind zwar hilfreich, um den „eingebauten Datenschutz“ zu fördern, reichen aber in der Praxis nicht aus, um zu gewährleisten, dass er in IKT verankert wird.

36.

Aufgrund dieser Situation ist in den Rechtsvorschriften nicht hinreichend präzise festgelegt, dass IKT nach dem Grundsatz des „eingebauten Datenschutzes“ geplant werden müssen. Auch die Befugnisse der Datenschutzbehörden reichen nicht aus, um eine Verankerung dieses Grundsatzes zu gewährleisten. Das führt zu Ineffizienz. Datenschutzbehörden können möglicherweise Sanktionen verhängen, wenn Bürgern die Dateneinsicht verweigert wird, und besitzen die notwendigen Befugnisse, um bestimmte Maßnahmen zur Verhinderung einer ungerechtfertigten Datenverarbeitung zu fordern. Es ist jedoch nicht immer hinreichend klar, ob ihre Befugnisse ausreichen, um zu verlangen, dass ein System so geplant wird, dass die Wahrnehmung der Datenschutzrechte natürlicher Personen erleichtert wird (22). Auf der Grundlage der geltenden Rechtsvorschriften ist z. B. nicht klar, ob verlangt werden kann, dass die Architektur eines Informationssystems so geplant wird, dass die Unternehmen Auskunftsersuchen natürlicher Personen leichter beantworten und sie automatisch und schneller bearbeiten können. Zudem können spätere Versuche, die Technologie zu ändern, wenn sie bereits entwickelt oder eingeführt ist, zu einem Flickwerk von Einzellösungen führen, die nicht uneingeschränkt funktionieren und überdies kostspielig sind.

37.

Nach Auffassung des EDSB, die von der Artikel-29-Datenschutzgruppe (23) geteilt wird, lässt der gegenwärtige Rechtsrahmen Raum für eine ausdrücklichere Unterstützung des Grundsatzes des „eingebauten Datenschutzes“.

38.

Daher empfiehlt der EDSB der Kommission vier Strategien:

39.

Der EDSB schlägt vor, den Grundsatz des „eingebauten Datenschutzes“ unmissverständlich und ausdrücklich in den bestehenden Regulierungsrahmen für den Datenschutz aufzunehmen. Dies würde den Grundsatz stärker und ausdrücklicher etablieren und für seine wirksame Umsetzung sorgen. Außerdem würde es den Durchsetzungsbehörden mehr Legitimität bei der Forderung seiner De-facto-Anwendung in der Praxis verleihen. Dies ist besonders angesichts der geschilderten Fakten notwendig, nicht nur wegen der Bedeutung des Grundsatzes selbst als Vertrauen schaffendes Instrument, sondern auch als Anreiz für die Interessengruppen zur Umsetzung des „eingebauten Datenschutzes“ und Verstärkung der im geltenden Rechtsrahmen verankerten Garantien.

40.

Dieser Vorschlag stützt sich auf die Empfehlung der Artikel-29-Datenschutzgruppe zur Einführung des Grundsatzes „Privacy by Design“ als allgemeinen Grundsatz in den Rechtsrahmen für den Datenschutz, insbesondere in die Datenschutzrichtlinie. Die Artikel-29-Arbeitsgruppe erklärt darin: „Dieser Grundsatz sollte sowohl für die Entwickler und Hersteller der Technologien, als auch für die für die Datenverarbeitung Verantwortlichen, die über den Erwerb und die Nutzung der IKT zu entscheiden haben, verbindlich sein. Sie sollten dazu verpflichtet sein, bereits in der Planungsphase der Informations- und Kommunikationsverfahren und -systeme Technologien zum Datenschutz zu berücksichtigen. Sowohl die Anbieter solcher Systeme oder Dienstleistungen als auch die für die Datenverarbeitung Verantwortlichen sollten zeigen, dass sie alle erforderlichen Maßnahmen ergriffen haben, um diese Anforderungen zu erfüllen.“

41.

Der EDSB begrüßt auch die Unterstützung des „eingebauten Datenschutzes“ durch Kommissionsmitglied Viviane Reding im Zusammenhang mit der Ankündung einer Überarbeitung der Datenschutzrichtlinie (24).

42.

Kommen wir nun zum Inhalt solcher Regelungen. Wichtig ist vor allem, dass ein „eingebauter Datenschutz“ als allgemeiner Grundsatz technologieunabhängig sein sollte. Es sollte keine Regulierung der Technologie angestrebt werden, d. h. es sollten keine spezifischen technischen Lösungen vorgeschrieben werden. Vielmehr sollte er dazu verpflichten, bestehende Privatsphären- und Datenschutzgrundsätze in Informations- und Kommunikationssysteme und -lösungen zu integrieren. Dies würde es Interessengruppen, Herstellern, für die Datenverarbeitung Verantwortlichen und Datenschutzbehören erlauben, die Bedeutung des Grundsatzes im Einzelfall auszulegen. Zweitens sollte die Einhaltung des Grundsatzes auf verschiedenen Stufen obligatorisch sein, von der Festlegung von Standards und der Planung der Architektur bis zu ihrer Umsetzung durch die für die Datenverarbeitung Verantwortlichen.

43.

Aktuelle und künftige Rechtsinstrumente müssen den Grundsatz des „eingebauten Datenschutzes“ auf der Grundlage des aktuellen Rechtsrahmens und, nach der Verabschiedung der oben vorgeschlagenen allgemeinen Bestimmung, auf der Basis dieser Bestimmung verankern. So trägt die Kommission beispielsweise im Rahmen der laufenden Initiativen zu intelligenten Verkehrssystemen gerade zu Anfang besondere Verantwortung bei der Festlegung von Maßnahmen, Standardisierungsinitiativen, Verfahren und bewährten Verfahren. Bei der Erfüllung dieser Aufgaben sollte „eingebauter Datenschutz“ als Leitprinzip fungieren.

44.

Des Weiteren weist der EDSB darauf hin, dass der „eingebaute Datenschutz“ auch im Bereich der Freiheit, der Sicherheit und des Rechts von besonderer Bedeutung ist, insbesondere in Bezug auf die Ziele der im Stockholm- Programm vorgesehenen Informationsmanagement-Strategie (25). In seiner Stellungnahme zum Stockholmer Programm betonte der EDSB, dass die Systemarchitektur für den Informationsaustausch auf dem Grundsatz des „eingebauten Datenschutzes“ aufbauen sollte (26). „Konkret bedeutet dies, dass Informationssysteme, die zum Zwecke des Schutzes der öffentlichen Sicherheit konzipiert werden, immer nach dem Grundsatz des ‚eingebauten Datenschutzes‘ entwickelt werden sollten“.

45.

In der Stellungnahme der Artikel-29-Datenschutzgruppe zur Zukunft des Datenschutzes (27) wird noch ausdrücklicher erklärt, dass in einem Raum der Freiheit, der Sicherheit und des Rechts, in dem die Behörden die wichtigsten Akteure sind und in dem sich Maßnahmen, die auf eine wachsende Überwachung abzielen, direkt auf das Grundrecht auf Privatsphäre und Datenschutz auswirken können, solche Anforderungen zur zwingenden Vorschrift werden sollten. Durch Einführung dieser Anforderungen für Informationssysteme würden die Regierungen den „eingebauten Datenschutz“ auch in ihrer Eigenschaft als Pilotkunden fördern.

46.

Informations- und Kommunikationstechnologien sind zunehmend komplex und bringen immer größere Risiken für die Privatsphäre und den Datenschutz mit sich. Allgemein sind digitalisierte Daten, bei denen Zugriff, Kopieren und Übermittlung leichter sind, viel stärker gefährdet als Informationen in Papierform. Mit der Verbreitung von Netzen untereinander verbundener Gegenstände werden diese Risiken wachsen. Je größer die Risiken für Privatsphäre und Datenschutz, desto mehr wächst auch die Nachfrage nach verstärkten Schutzmaßnahmen für den Datenschutz/die Privatsphäre. Daraus ergibt sich im IKT-Sektor eine zwingende Notwendigkeit, den „eingebauten Datenschutz“ einzuführen. Außerdem ist, wie bereits erörtert, das Vertrauen in die IKT von entscheidender Bedeutung, wenn die Bürger diese neuen Dienste annehmen sollen, und Privatsphäre und Datenschutz sind Schlüsselelemente dieses Vertrauens.

47.

All dies macht deutlich, dass in einer Strategie für die IKT-Entwicklung die Notwendigkeit bekräftigt werden muss, sie mit einem eingebauten Element zum Privatsphären- und Datenschutz auszustatten, d. h. den Grundsatz des „eingebauten Datenschutzes“ zu berücksichtigen.

48.

Deshalb sollte in der europäischen digitalen Agenda das Prinzip des eingebauten Datenschutzes ausdrücklich als notwendiges Element hervorgehoben werden, um das Vertrauen der Bürger in die IKT und Online-Dienste zu gewährleisten. Es sollte anerkannt werden, dass Privatsphäre und Vertrauen Hand in Hand gehen und dass der „eingebaute Datenschutz“ ein maßgeblicher Faktor bei der Entwicklung eines vertrauenswürdigen IKT-Sektors sein sollte.

49.

Die Kommission sollte den „eingebauten Datenschutz“ als Leitprinzip zur Umsetzung von Strategien, Maßnahmen und Aktivitäten in spezifischen IKT-Sektoren betrachten, z. B. im Gesundheits- und Beschaffungswesen (eHealth und eProcurement), der Sozialversicherung (eSocial Security), dem Bildungsbereich (eLearning) usw. Viele diese Initiativen werden Aktionspunkte der europäischen digitalen Agenda sein.

50.

Das bedeutet z. B., dass Initiativen zur effizienteren und moderneren Gestaltung staatlicher Anwendungen zur Interaktion der Bürger mit der Verwaltung auch die Anforderung enthalten sollten, dass diese nach dem Grundsatz des „eingebauten Datenschutzes“ geplant und betrieben werden. Das gilt auch für Strategien der Kommission für ein schnelleres Internet, digitale Inhalte oder die allgemeine Förderung der Festnetz- und Drahtlos-Kommunikation und -Datenübertragung.

51.

Ebenso gilt dies auch für Bereiche, in denen die Kommission für große IT-Systeme, z. B. SIS und VIS (Schengener Informationssystem und Visa-Informationssystem) zuständig ist, sowie für Fälle, in denen sich die Zuständigkeit der Kommission auf die Entwicklung und Pflege der gemeinsamen Infrastruktur eines solchen Systems beschränkt, z. B. beim Europäischen Strafregisterinformationssystem (ECRIS).

52.

Wie der Grundsatz des „eingebauten Datenschutzes“ genau entwickelt wird, hängt vom einzelnen Sektor und der jeweiligen Situation ab. Werden z. B. Initiativen der Kommission von Gesetzesvorschlägen zu einem bestimmten IKT-Sektor begleitet, ist es in vielen Fällen angemessen, darin ausdrücklich darauf hinzuweisen, dass das Konzept des „eingebauten Datenschutzes“ auf die betreffende IKT-Anwendung/das System anzuwenden ist. Werden Aktionspläne für einen bestimmten Bereich geplant, sollte darin die Anwendung des Rechtsrahmens sichergestellt und gewährleistet werden, dass die betreffende IKT-Technologie unter Berücksichtigung des „eingebauten Datenschutzes“ konzipiert wird.

53.

In Bezug auf die Forschung sollten das 7. Rahmenprogramm und seine Nachfolgeprogramme genutzt werden, um Projekte zu unterstützen, die sich mit der Frage beschäftigen, wie IKT-Technologien und -Architektur dem Datenschutz und insbesondere dem Grundsatz des „eingebauten Datenschutzes“ besser gerecht werden können. Außerdem sollte der „eingebaute Datenschutz“ stets bei umfassenderen IKT-Projekten berücksichtigt werden, bei denen es um die Verarbeitung personenbezogener Daten geht.

54.

In manchen Fällen kann es aufgrund der besonderen Risiken für die Privatsphäre und den Datenschutz oder anderer Faktoren (Widerstand der Industrie gegen die Bereitstellung von Produkten für „eingebauten Datenschutz“, Nachfrage der Verbraucher usw.) notwendig sein, explizitere und spezifischere Maßnahmen für den „eingebauten Datenschutz“ festzulegen, die in ein bestimmtes Produkt oder eine Technologie der Informations- und Kommunikationstechnologie integriert werden müssen — gegebenenfalls in Form von Rechtsinstrumenten.

55.

Der EDSB hat verschiedene Bereiche ermittelt (RFID, soziale Netze und Browseranwendungen, die seiner Meinung nach in dieser Phase von der Kommission sorgfältig geprüft und den oben genannten praktischeren Maßnahmen unterzogen werden sollten. Diese drei Bereiche werden weiter unten erörtert.

56.

RFID-Etiketten können an Gegenständen, Tieren und Menschen angebracht werden. Sie können verwendet werden, um personenbezogene Informationen, wie z. B. medizinische Daten, zu sammeln und zu speichern, die Bewegungen einer Person zu verfolgen oder für verschiedene Zwecke ein Profil ihres Verhaltens zu erstellen. Dies kann geschehen, ohne dass die beobachtete Person es merkt (28).

57.

Wirksame Garantien in Bezug auf Datenschutz, Privatsphäre und alle damit verbundenen ethischen Dimensionen sind entscheidend für das Vertrauen der Öffentlichkeit in die RFID und ein künftiges „Internet der Dinge“. Nur wenn dieses Vertrauen besteht, kann die Technologie ihren großen wirtschaftlichen und gesellschaftlichen Nutzen entfalten.

58.

Die Datenschutzrichtlinie und die Datenschutzrichtlinie für elektronische Kommunikation gelten für die Datenerfassung durch RFID-Anwendungen (29). Sie schreiben u. a. vor, dass beim Betrieb von RFID-Anwendungen angemessene Datenschutzvorkehrungen getroffen werden müssen (30).

59.

Dieser Rechtsrahmen berücksichtigt jedoch nicht alle Bedenken im Hinblick auf Datenschutz und Privatsphäre, die durch diese Technologie aufgeworfen werden. Das liegt daran, dass die Richtlinien nicht hinreichend detailliert auf die Art der Vorkehrungen eingehen, die bei RFID-Anwendungen getroffen werden sollten. Die bestehenden Regelungen müssen durch zusätzliche Bestimmungen ergänzt werden, die spezielle Vorkehrungen vorschreiben und vor allem zur Einbettung technischer Lösungen („eingebauter Datenschutz“) in die RFID-Technologie verpflichten. Vorgeschrieben werden sollte z. B., dass Etiketten, die personenbezogene Informationen speichern, durch einen „Kill“-Befehl deaktiviert werden können, und bei Tags, die bestimmte Arten personenbezogener Daten speichern, Verschlüsselungsverfahren eingesetzt werden.

60.

Im März 2007 verabschiedete die Kommission eine Mitteilung (31), in der sie es u. a. für notwendig erklärte, ausführliche Leitlinien für die praktische Einführung neuer Technologien wie RFID zu erlassen, und sich für die Verabschiedung von Gestaltungskriterien aussprach, um Datenschutz- und Sicherheitsrisiken von vornherein auszuschließen.

61.

Zu diesem Zweck verabschiedete die Kommission im Mai 2009 eine Empfehlung zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFID-gestützten Anwendungen (32). Im Einzelhandel sollen RFID-Etiketten am Verkaufsort deaktiviert werden, es sei denn, die Verbraucher haben ihrer weiteren Verwendung zugestimmt. Dies gilt nur dann nicht, wenn eine Datenschutzfolgenabschätzung ergeben hat, dass die RFID-Etiketten wahrscheinlich keine Bedrohung für die Privatsphäre oder den Schutz personenbezogener Daten darstellen. In diesem Fall können sie auch nach Verlassen des Verkaufsorts betriebsfähig bleiben. Die Verbraucher müssen allerdings jederzeit die Möglichkeit haben, sie kostenfrei zu deaktivieren.

62.

Der EDSB unterstützt das Konzept der Kommission, das Selbstregulierungsinstrumente vorsieht. Wie weiter unter beschrieben, ist es jedoch denkbar, dass die Selbstregulierung nicht zu den erwarteten Ergebnissen führen könnte; deshalb fordert er die Kommission auf, sich auf einen möglichen Einsatz alternativer Maßnahmen einzustellen.

63.

Der EDSB befürchtet, dass Organisationen, die RFID-Anwendungen im Einzelhandel betreiben, die Möglichkeit einer unerwünschten Überwachung von RFID-Etiketten durch Dritte übersehen könnten. Dadurch könnten eventuell auf dem Tag gespeicherte personenbezogene Daten weitergegeben werden; zudem könnten Dritte in die Lage versetzt werden, eine Person zu verfolgen oder zu erkennen, indem sie einfach die Kenncodes (unique identifiers) in einem oder mehreren Etiketten auslesen. Dies ist sogar außerhalb der Reichweite der RFID-Anwendung möglich. Grund zur Sorge sieht er überdies darin, dass die Betreiber von RFID-Anwendungen versucht sein können, ungerechtfertigt ein stillschweigendes Einverständnis vorauszusetzen und deshalb das Etikett auch nach Verlassen des Verkaufsorts betriebsfähig zu belassen.

64.

Geschieht dies, ist es möglicherweise zu spät, um die Risiken für den Datenschutz und die Privatsphäre der Kunden einzudämmen, die vielleicht schon verletzt wurden. Aufgrund des Wesens der Selbstregulierung könnten die Kontrollbehörden außerdem in einer schwächeren Position sein, wenn sie Einrichtungen, die RFID-Anwendungen betreiben, die Durchführung von Maßnahmen des „eingebauten Datenschutzes“ auferlegen.

65.

Deshalb fordert der EDSB die Kommission auf, sich darauf einzustellen, Rechtsinstrumente zur Regelung der wichtigsten Belange der RFID-Nutzung vorzuschlagen, sofern die effektive Anwendung des geltenden Rechtsrahmens fehlschlägt. Die Bewertung der Kommission sollte nicht unnötig aufgeschoben werden; eine Verzögerung könnte Risiken für die einzelnen Bürger verursachen und wäre auch für die Industrie kontraproduktiv, da die Rechtsunsicherheit zu groß ist und die einschlägigen Probleme dadurch wahrscheinlich größer und schwerer behebbar werden.

66.

Im Rahmen der vorzuschlagenden Maßnahmen empfiehlt der EDSB das „Opt-in-Prinzip“ beim Verlassen des Verkaufsorts, d. h die standardmäßige Deaktivierung aller RFID-Etiketten an Verbraucherprodukten am Verkaufsort. Es ist unter Umständen nicht erforderlich, dass die Kommission festlegt, welche Technologie in der Praxis verwendet wird. Stattdessen muss im EU-Recht die rechtliche Verpflichtung verankert werden, eine vorherige Zustimmung einzuholen („Opt-in“). Wie sie erfüllt wird, können die Betreiber selbst entscheiden.

67.

Von RFID-Etiketten übermittelte Daten — zum Beispiel Produktinformationen — können längerfristig Eingang in ein globales Kommunikations-Infrastrukturnetz finden, das üblicherweise als „Internet der Dinge“ bezeichnet wird. Probleme in Bezug auf Datenschutz/die Wahrung der Privatsphäre entstehen dadurch, dass Gebrauchsgegenstände durch RFID-Etiketten gekennzeichnet sein können, die neben Produktinformationen möglicherweise personenbezogene Daten enthalten.

68.

Viele offene Fragen gibt es noch dazu, wer die Speicherung von Daten aus so gekennzeichneten Gegenständen verwalten wird. Wie wird sie organisiert? Wer hat Zugang dazu? Im Juni 2009 verabschiedete die Kommission eine Mitteilung über das Internet der Dinge (33), in der das Potenzial dieses Phänomens zur Verursachung von Problemen beim Daten- und Privatsphärenschutz ausdrücklich angesprochen wird.

69.

Der EDSB möchte einige der in der Mitteilung angesprochenen Punkte hervorheben, die seiner Meinung nach bei der Entwicklung des Internets der Dinge besonderes Augenmerk verdienen. Erstens kann durch eine dezentrale Architektur möglicherweise die Rechenschaftspflicht und die Durchsetzbarkeit des EU-Rechtsrahmens gefördert werden. Zweitens sollte das Recht des Einzelnen, nicht „verfolgt“ zu werden, in größtmöglichem Maße geschützt werden. Mit anderen Worten: Eine Verfolgung von Personen durch RFID-Etiketten ohne ihr Einverständnis sollte nur in streng begrenzten Fällen erfolgen. Es sollte eine ausdrückliche Zustimmung erforderlich sein. Dies wird oft als „Schweigen der Chips“ bezeichnet bzw. als das Recht, in Frieden gelassen zu werden. Schließlich sollte bei der Planung des Internets der Dinge der „eingebaute Datenschutz“ als Leitprinzip fungieren. Das würde z. B. erfordern, dass konkrete RFID-Anwendungen, die mit Mechanismen zur Kontrolle durch die Nutzer ausgestattet sind, mit datenschutzfreundlichen Voreinstellungen versehen werden.

70.

Der EDSB erwartet, dass er bei den in der Mitteilung vorgestellten Maßnahmen konsultiert wird, insbesondere bei der Ausarbeitung der Mitteilung über Datenschutz und Vertrauen in der allgegenwärtigen Informationsgesellschaft.

71.

Soziale Netze sind aktuell sehr „angesagt“. Sie sind offenbar inzwischen beliebter als E-Mail. Sie verbinden Menschen miteinander, die ähnliche Interessen bzw. Aktivitäten pflegen. Die Nutzer können ihre Profile online stellen und Mediendateien, wie z. B. Videos, Fotos, Musik und ihre beruflichen Profile austauschen.

72.

Vor allem junge Menschen haben die sozialen Netzwerke schnell angenommen, und der Trend setzt sich fort. Das Durchschnittsalter der Internetnutzer in Europa ist in den letzten Jahren gesunken. 9-10-Jährige gehen heute mehrmals in der Woche ins Netz, 12-14-Jährige sind täglich, oft eine bis drei Stunden lang, online.

73.

Die Entwicklung der sozialen Netze versetzt die Nutzer in die Lage, Informationen über sich und Dritte ins Internet zu stellen. Nach Aussage der Artikel-29-Datenschutzgruppe (34) handeln Internetnutzer für die von ihnen hochgeladenen Daten im Sinne von Artikel 2 Buchstabe d der Datenschutzrichtlinie als für die Datenverarbeitung Verantwortliche (35). In den meisten Fällen gilt für eine solche Datenverarbeitung jedoch die „Ausnahmeklausel für Privathaushalte“ gemäß Artikel 3 Absatz 2 der Richtlinie. Gleichzeitig gelten Anbieter sozialer Netzwerkdienste insofern als die „für die Verarbeitung von Benutzerdaten Verantwortlichen“, als sie die Mittel für die Verarbeitung der Benutzerdaten und alle „Basisdienste“ für die Benutzerverwaltung (z. B. Registrierung und Löschung von Profil- und Verkehrsdaten) bereitstellen.

74.

Rechtlich bedeutet dies, dass Internetnutzer und Anbieter sozialer Netzwerkdienste gemeinsam für die Verarbeitung personenbezogener Daten als „für die Verarbeitung Verantwortliche“ im Sinne von Artikel 2 Buchstabe d der Richtlinie zuständig sind, wenn auch in unterschiedlichem Umfang und mit unterschiedlichen Pflichten.

75.

Deshalb sollten die Nutzer wissen und verstehen, dass für sie, wenn sie eigene personenbezogene Daten und die anderer verarbeiten, Bestimmungen des EU-Datenschutzrechts gelten, die u. a. vorschreiben, dass die informierte Einwilligung derjenigen Personen einzuholen ist, deren Daten hochgeladen werden, und dass diesen Personen ein Recht auf Berichtigung, Einspruch usw. einzuräumen ist. Außerdem müssen die Anbieter sozialer Netzwerkdienste u. a. geeignete technische und organisatorische Maßnahmen ergreifen und dabei die Risiken der Verarbeitung und die Art der Daten berücksichtigen. Dies bedeutet wiederum, dass die Anbieter sozialer Netzwerke für datenschutzfreundliche Voreinstellungen sorgen sollten, und auch für Einstellungen, die den Zugriff auf die vom Nutzer selbst ausgewählten Kontakte begrenzen. In den Voreinstellungen sollte auch eine ausdrückliche Zustimmung des Nutzers gefordert werden, ehe ein Profil für Dritte zugänglich wird, und geschützte Profile sollten von internen Suchmaschinen nicht gefunden werden.

76.

Leider klafft eine Lücke zwischen den rechtlichen Bestimmungen und ihrer Einhaltung in der Praxis. Internetnutzer unterliegen zwar rechtlich als „für die Datenverarbeitung Verantwortliche“ dem EU-Rechtsrahmen für Datenschutz und Privatsphäre, in der Praxis ist ihnen dies jedoch oft nicht bewusst. Allgemein kann man sagen, dass ihnen nur unzureichend bewusst ist, dass sie personenbezogene Daten verarbeiten und dass die Veröffentlichung solcher Informationen Risiken für den Datenschutz und die Privatsphäre birgt. Vor allem junge Menschen stellen Inhalte online und unterschätzen dabei die Folgen, die das für sie selbst und andere, z. B. bei einer Bewerbung auf einen Studienplatz oder eine Stelle, haben könnte.

77.

Gleichzeitig wählen Anbieter sozialer Netzwerke die voreingestellten Standardeinstellungen oft nach dem „Opt-out“-Prinzip und erleichtern so die Weitergabe personenbezogener Daten. Manche ermöglichen in der Voreinstellung, dass normale Suchmaschinen auf Profile zugreifen können. Dies wirft zwei Fragen auf: Haben die Nutzer tatsächlich der Weitergabe zugestimmt, und handeln die sozialen Netzwerke gemäß Artikel 17 der Richtlinie (siehe oben), der die Durchführung geeigneter technischer und organisatorischer Maßnahmen gegen die unberechtigte Verarbeitung vorschreibt?

78.

Die oben geschilderte Situation führt zu steigenden Risiken für die Privatsphäre des einzelnen Bürgers und den Datenschutz. Sie setzt Internetnutzer und all diejenigen, deren Daten hochgeladen wurden, der Gefahr eklatanter Verstöße gegen ihre Rechte auf Privatsphäre und Datenschutz aus.

79.

Vor diesem Hintergrund sollte sich die Kommission mit der Frage beschäftigen, wie dagegen vorgegangen werden sollte und kann. Diese Stellungnahme bietet keine umfassende Antwort auf diese Frage, sondern lediglich eine Reihe von Vorschlägen, die weiter geprüft werden sollten.

80.

Der erste Vorschlag betrifft Investitionen in die Information der Nutzer. Die EU-Institutionen und die nationalen Behörden sollten in die Unterrichtung über und Sensibilisierung für die Gefahren investieren, die durch soziale Netzwerke im Internet entstehen. So führt die GD Informationsgesellschaft beispielsweise das Programm „Sichereres Internet“ durch, das darauf abzielt, Kinder und Jugendliche zu stärken und zu schützen, z. B. durch Sensibilisierungsaktivitäten (36). Kürzlich haben die EU-Institutionen die Kampagne „Erst denken, dann klicken“ gestartet, die für die Risiken des Austauschs personenbezogener Daten mit Fremden sensibilisieren soll.

81.

Der EDSB fordert die Kommission auf, Aktivitäten dieser Art auch weiterhin zu unterstützen. Die Betreiber sozialer Netzwerke selbst sollten jedoch ebenfalls eine aktive Rolle spielen, da sie rechtliche und soziale Verantwortung dafür tragen, dass die Nutzer darüber unterrichtet werden, wie sie ihre Dienste sicher und datenschutzfreundlich nutzen können.

82.

Wie oben beschrieben, können Informationen, die in sozialen Netzwerken eingestellt werden, standardmäßig für verschiedene Gruppen sichtbar sein. Es ist z. B. möglich, dass diese Informationen für die allgemeine Öffentlichkeit zugänglich sind, auch für Suchmaschinen, die sie indexieren und somit direkt verlinken können. Die Informationen können aber auch nur für „ausgewählte Freunde“ zugänglich sein oder vollständig privat bleiben. Natürlich werden bei verschiedenen Netzwerken unterschiedliche Genehmigungen und Begriffe verwendet.

83.

Wie bereits erwähnt, wissen jedoch nur sehr wenige Nutzer sozialer Netzwerkdienste, wie sie den Zugang zu den von ihnen eingestellten Informationen kontrollieren oder gar die Privatsphäre-Voreinstellungen ändern können. Die Privatsphäre-Einstellungen bleiben meist unverändert, weil die Nutzer nicht wissen, welche Folgen es haben kann, sie nicht zu ändern, oder nicht wissen, wie sie sie ändern können. In der Mehrzahl der Fälle bedeutet die Beibehaltung der Privatsphäre-Voreinstellungen also nicht, dass die Nutzer eine informierte Entscheidung für die Weitergabe der Daten getroffen haben. In diesem Zusammenhang ist es besonders wichtig, dass Dritte, z. B. Suchmaschinen, nicht auf individuelle Profile verlinken, weil von der Annahme ausgegangen wird, dass die Nutzer (indem sie die Privatsphäre-Einstellungen nicht geändert haben) der unbeschränkten Weitergabe der Informationen zugestimmt haben.

84.

Die Information der Nutzer kann zwar zur Behebung dieser Situation beitragen, reicht aber allein nicht aus. Wie von der Artikel-29-Datenschutzgruppe in ihrer Stellungnahme zur Nutzung sozialer Online-Netzwerke empfohlen, sollten die Anbieter sozialer Netzwerke kostenlos datenschutzfreundliche Voreinstellungen anbieten. Dadurch würden die Nutzer sich ihres Handelns stärker bewusst und könnten besser entscheiden, ob und an wen sie Informationen weitergeben möchten.

85.

Die Kommission hat eine Vereinbarung mit 20 Betreibern sozialer Netzwerke geschlossen, die als „Safer Social Networking Principles for the EU“ (Grundsätze zur Sicherheit in sozialen Netzwerken) bekannt ist (37). Ziel ist die Erhöhung der Sicherheit von Minderjährigen beim Umgang mit sozialen Online-Netzwerken in Europa. Diese Grundsätze beinhalten viele Vorgaben, die sich aus der Anwendung des oben beschriebenen Rechtsrahmens für den Datenschutz ergeben. Dazu gehört z. B. die Forderung, die Nutzer durch Tools und Technologie zu stärken, um sicherzustellen, dass sie die Verwendung und Verbreitung ihrer persönlichen Informationen steuern können. Eine weitere Anforderung sind datenschutzfreundliche Voreinstellungen.

86.

Anfang Januar 2010 veröffentlichte die Kommission die Ergebnisse eines Berichts, in dem die Umsetzung der Grundsätze bewertet wurde (38). Der EDSB ist besorgt, dass, wie dieser Bericht zeigt, einige Schritte unternommen wurden, viele andere aber noch ausstehen. So werden in dem Bericht z. B. Probleme bei der Kommunikation der Sicherheitsmaßnahmen und der auf den Internetseiten verfügbaren Tools festgestellt. Außerdem wird festgestellt, dass weniger als die Hälfte der Unterzeichner der Vereinbarung den Zugriff auf die Profile Minderjähriger ausschließlich auf deren Freunde beschränken.

87.

In diesem Zusammenhang lautet die Kernfrage, ob zusätzliche politische Maßnahmen notwendig sind, um sicherzustellen, dass soziale Netzwerke ihre Dienste mit datenschutzfreundlichen Voreinstellungen versehen. Das ehemalige Kommissionsmitglied für die Informationsgesellschaft Viviane Reding erklärte zu dieser Frage, Rechtsvorschriften seien möglicherweise notwendig (39). Ähnlich äußerte sich der Europäische Wirtschafts- und Sozialausschuss, der erklärte, zusätzlich zur Selbstregulierung müssten Mindest-Datenschutzstandards gesetzlich vorgeschrieben werden (40).

88.

Wie oben erwähnt, lässt sich die Verpflichtung für Betreiber sozialer Netzwerke zur Einführung datenschutzfreundlicher Voreinstellungen indirekt aus Artikel 17 der Datenschutzrichtlinie (41) ableiten, der die für die Datenverarbeitung Verantwortlichen verpflichtet, geeignete technische und organisatorische Maßnahmen („sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung“) durchzuführen, um deren Sicherheit zu gewährleisten und somit jede unrechtmäßige Verarbeitung zu verhindern, wobei die von der Verarbeitung ausgehenden Risiken und die Art der zu schützenden Daten zu berücksichtigen sind.

89.

Dieser Artikel ist jedoch viel zu allgemein formuliert und auch in diesem Zusammenhang zu wenig spezifisch. Er enthält keine klaren Aussagen dazu, was mit „geeigneten technischen und organisatorischen Maßnahmen“ in Bezug auf soziale Netzwerke gemeint ist. Somit besteht derzeit eine Situation der Rechtsunsicherheit, die sowohl für die Regulierungsbehörden, als auch für die einzelnen Bürger, deren Privatsphäre und personenbezogene Daten nicht umfassend geschützt werden, Probleme aufwirft.

90.

Aus diesem Grund fordert der EDSB die Kommission nachdrücklich auf, Rechtsvorschriften auszuarbeiten, die mindestens eine übergreifende Bestimmung enthalten, die Privatsphäre-Einstellungen verpflichtend vorschreibt, gekoppelt mit genaueren Anforderungen:

91.

Abgesehen von den obligatorischen datenschutzfreundlichen Voreinstellungen bleibt die Frage, ob zusätzliche spezifische Datenschutz- oder sonstige Maßnahmen (z. B. in Bezug auf den Schutz von Minderjährigen) ebenfalls angemessen sind. Dies führt zu der übergeordneten Frage, ob es sinnvoll wäre, einen spezifischen Rahmen für derartige Dienste zu schaffen, der nicht nur obligatorische Privatsphäre-Einstellungen vorschreibt, sondern auch andere Aspekte regelt. Der EDSB fordert die Kommission auf, diese Frage zu prüfen.

92.

Anbieter von Ad-Netzwerken verwenden Cookies und andere Mechanismen, um das Surfverhalten von Internetnutzern zu überwachen, damit sie ihre Interessen katalogisieren und Profile erstellen können. Diese Daten werden dann genutzt, um ihnen gezielte Werbung zu übermitteln (42).

93.

Für diese Art der Datenverarbeitung gilt die Datenschutzrichtlinie (wenn es um personenbezogene Daten geht) sowie auch Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation. Dieser Artikel schreibt ausdrücklich vor, dass der Nutzer informiert wird und die Gelegenheit erhält, der Speicherung von Dateien, wie z. B. Cookies, auf seinem Computer oder anderen Geräten zuzustimmen oder sie abzulehnen (43).

94.

Bisher nutzen die Anbieter von Ad-Netzwerken Browser-Einstellungen und Datenschutzerklärungen, um die Nutzer zu informieren und ihnen die Genehmigung oder Ablehnung von Cookies zu ermöglichen. In den Datenschutzerklärungen der Herausgeber erklären sie, wie die Speicherung von Cookies ganz unterbunden oder von Fall zu Fall gestattet werden kann. Damit wollen Sie ihre Verpflichtung erfüllen, den Nutzern das Recht zur Ablehnung von Cookies einzuräumen.

95.

Auch wenn diese Methode (über den Browser) theoretisch tatsächlich eine sinnvolle informierte Zustimmung darstellen könnte, sieht die Realität anders aus. Im Allgemeinen fehlt den Nutzern das grundlegende Verständnis für die Erfassung von Daten jeder Art, insbesondere durch Dritte, für den Wert solcher Daten und ihre Verwendung, für die Funktionsweise der Technologie und speziell dafür, wie und wo sie Cookies ablehnen können. Die notwendigen Schritte zur Sperrung von Cookies erscheinen nicht nur übermäßig kompliziert, sondern auch überzogen (sie müssen zunächst ihren Browser so einstellen, dass er Cookies akzeptiert, und dann der Nutzung widersprechen).

96.

Das hat zur Folge, dass nur sehr wenige Nutzer von der Widerspruchsmöglichkeit Gebrauch machen, nicht weil sie eine informierte Entscheidung getroffen haben, verhaltensbezogene Werbung zuzulassen, sondern weil ihnen nicht klar ist dass sie sie durch Nichtnutzung der Widerspruchsoption de facto akzeptieren.

97.

Somit bietet Artikel 5 Absatz 3 der Datenschutzrichtlinie für elektronische Kommunikation zwar einen wirksamen rechtlichen Schutz, doch in der Praxis wird davon ausgegangen, dass die Internetnutzer der Überwachung zum Zweck der Übermittlung verhaltensbezogener Werbung zustimmen, obwohl sie in vielen, wenn nicht allen Fällen gar nicht wissen, dass diese Überwachung stattfindet.

98.

Die Artikel-29-Datenschutzgruppe arbeitet an einer Stellungnahme, in der die rechtlichen Anforderungen an die verhaltensbezogene Werbung geklärt werden sollen. Diese Arbeit ist zu begrüßen. Die Auslegung allein reicht jedoch möglicherweise nicht aus, um in dieser Situation eine Lösung zu finden, und es könnten weitere Maßnahmen der Europäischen Union notwendig werden.

99.

Wie oben beschrieben, erlauben Internet-Browser normalerweise ein gewisses Maß an Kontrolle über bestimmte Arten von Cookies. Derzeit werden in den meisten Browsern in den Voreinstellungen alle Cookies akzeptiert. Mit anderen Worten: Die Browser sind standardmäßig so eingestellt, dass alle Cookies, unabhängig von ihrem Zweck, akzeptiert werden. Nur wenn die Nutzerin oder der Nutzer den Browser so einstellt, dass er Cookies ablehnt, was, wie oben beschrieben, nur sehr wenige tun, werden keine Cookies auf seinem/ihrem Computer gespeichert. Außerdem gibt es bei der Erstinstallation oder Aktualisierung des Browsers keinen Assistenten für die Privatsphäre-Einstellungen.

100.

Dieses Problem ließe sich u. a. dadurch verringern, dass Browser mit datenschutzfreundlichen Voreinstellungen versehen werden, also mit der Einstellung „Cookies von Drittanbietern sperren“. Ergänzend dazu und zur wirksameren Gestaltung dieser Maßnahmen sollten die Browser verlangen, dass die Nutzer bei der Erstinstallation oder Aktualisierung einen Privatsphäre-Assistenten benutzen. Es sind mehr Granularität und klare Informationen über die verschiedenen Arten von Cookies und den Nutzen einiger von ihnen erforderlich. Nutzer, die bereit sind, sich zum Zweck der Übermittlung von Werbung beobachten zu lassen, sollten angemessen informiert werden und die Browser-Einstellungen ändern müssen. Dadurch würden sie mehr Kontrolle über ihre personenbezogenen Daten und ihre Privatsphäre erhalten. Dies wäre nach Auffassung des EDSB ein wirksamer Weg, die Einwilligung der Nutzer zu achten und weiterhin zu ermöglichen (44).

101.

Berücksichtigt man einerseits die große Verbreitung des Problems, d. h. die Zahl der Internetnutzer, die derzeit aufgrund einer illusionären Zustimmung überwacht werden, und andererseits die Größenordnung der Interessen, die auf dem Spiel stehen, wird die Notwendigkeit zusätzlicher Schutzmaßnahmen besonders deutlich. Die Anwendung des Grundsatzes eines „eingebauten Datenschutzes“ in Browseranwendungen könnte den einzelnen Bürgern sehr viel mehr Kontrolle über die Datenerhebungspraktiken für Werbezwecke verschaffen.

102.

Aus diesen Gründen fordert der EDSB die Kommission nachdrücklich auf, rechtliche Maßnahmen zu prüfen, um datenschutzfreundliche Standardeinstellungen in Browsern und die Bereitstellung einschlägiger Informationen verpflichtend zu machen.

103.

Der Grundsatz des „eingebauten Datenschutzes“ hat ein großes Potenzial zur Verbesserung des Schutzes personenbezogener Daten und des allgemeinen Datenschutzes, doch um das Vertrauen der Verbraucher in die IKT sicherzustellen, müssen ergänzende Grundsätze festgelegt und in Rechtsvorschriften umgesetzt werden. Diesbezüglich verweist der EDSB auf den Grundsatz der Rechenschaftspflicht und die Ausarbeitung eines sektorübergreifenden verbindlichen Rahmens für die Regelung von Sicherheitsverletzungen.

104.

Im Dokument der Artikel-29-Datenschutzgruppe „Die Zukunft des Datenschutzes“ (45) wird empfohlen, den Grundsatz der Rechenschaftspflicht in die Datenschutzrichtlinie aufzunehmen. Dieser Grundsatz, der in einigen multinationalen Datenschutzinstrumenten (46) anerkannt wird, verpflichtet Organisationen zur Einführung von Verfahren zur Einhaltung geltender Gesetze und Einrichtung von Methoden zur Bewertung und zum Nachweis der Einhaltung von Gesetzen und anderen verbindlichen Instrumenten.

105.

Der EDSB unterstützt die Empfehlung der Artikel-29-Datenschutzgruppe uneingeschränkt. Er betrachtet diesen Grundsatz als äußerst relevant für die Förderung einer wirksamen Umsetzung von Datenschutzgrundsätzen und -pflichten. Die Rechenschaftspflicht bedeutet, dass die für die Datenverarbeitung Verantwortlichen nachweisen müssen, dass sie die notwendigen Verfahren zur Einhaltung der geltenden Datenschutzbestimmungen eingeführt haben. Dies dürfte zur wirksamen Umsetzung des „eingebauten Datenschutzes“ in IKT-Technologien beitragen, der ein besonders geeignetes Element ist, um der Rechenschaftspflicht nachzukommen.

106.

Um die Erfüllung der Rechenschaftspflicht zu messen und nachzuweisen, könnten die für die Datenverarbeitung Verantwortlichen interne Verfahren sowie Prüfungen und andere Kontrollen durch Dritte einsetzen, die dafür Siegel oder Auszeichnungen vergeben könnten. In diesem Zusammenhang fordert der EDSB die Kommission nachdrücklich auf zu prüfen, ob es zweckmäßig wäre, zusätzlich zu einer allgemeinen Rechenschaftspflicht gesetzlich spezifische Maßnahmen vorzuschreiben, z. B. eine Pflicht zur Vorlage von Folgenabschätzungen in Bezug auf Privatsphäre und Datenschutz unter festzulegenden Umständen.

107.

Mit der Änderung der Datenschutzrichtlinie für elektronische Kommunikation im vergangenen Jahr wurde die Vorschrift eingeführt, im Falle von Sicherheitsverletzungen die betroffenen Personen und auch die zuständigen Behörden zu benachrichtigen. Eine Datenschutzverletzung lässt sich definieren als eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Weitergabe usw. von personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit einem Dienst verarbeitet werden. Die Benachrichtigung betroffener natürlicher Personen ist vorgeschrieben, wenn durch die Datenschutzverletzung die personenbezogenen Daten oder Personen in ihrer Privatsphäre beeinträchtigt werden. Dies kann der Fall sein, wenn die Datenschutzverletzung Identitätsdiebstahl, erhebliche Demütigung oder Rufschaden zur Folge haben könnte. Die Benachrichtigung der zuständigen Behörden ist bei jeder Verletzung des Datenschutzes vorgeschrieben, unabhängig davon, ob ein Risiko für Personen besteht.

108.

Leider gilt diese Verpflichtung nur für Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, z. B. Telefongesellschaften, Internetanbieter, Webmail-Anbieter usw. Der EDSB fordert die Kommission nachdrücklich auf, Vorschläge für eine Ausweitung der Geltung der Bestimmungen über Sicherheitsverletzungen auf alle Sektoren vorzulegen. Was den Inhalt betrifft, ist der EDSB der Meinung, dass der in der Datenschutzrichtlinie für elektronische Kommunikation festgelegte Rechtsrahmen für Sicherheitsverletzungen ein angemessenes Gleichgewicht zwischen dem Schutz individueller Rechte, einschließlich des Rechts auf Datenschutz und Privatsphäre, und den Pflichten der Einrichtungen schafft, für die sie gilt. Gleichzeitig hat dieser Rahmen aber auch „Biss“, da er durch wirksame Durchsetzungsbestimmungen untermauert wird, welche die Behörden mit ausreichenden Ermittlungs- und Sanktionsbefugnissen im Fall von Verstößen ausstatten.

109.

Deshalb fordert der EDSB die Kommission nachdrücklich auf, einen Vorschlag für eine Rechtsvorschrift vorzulegen, mit der die Geltung dieses Rahmens — bei Bedarf mit entsprechenden Anpassungen — auf alle Sektoren ausgedehnt wird. Dadurch würde zudem sichergestellt, dass dieselben Standards und Verfahren sektorübergreifend angewandt werden.

110.

Die geänderte Datenschutzrichtlinie für elektronische Kommunikation ermächtigt die Kommission, über ein Komitologieverfahren technische Durchführungsmaßnahmen zu erlassen, d. h. detaillierte Verfahren für die Benachrichtigung bei Sicherheitsverletzungen (47). Diese Ermächtigung ist ein gerechtfertigtes Mittel, um eine kohärente Umsetzung und Anwendung des Rechtsrahmens für Sicherheitsverletzungen zu gewährleisten. Eine kohärente Umsetzung trägt dazu bei, dass Bürger in der gesamten Gemeinschaft ein gleiches Schutzniveau genießen und die betroffenen Einrichtungen nicht durch unterschiedliche Benachrichtigungsvorschriften belastet werden.

111.

Die Datenschutzrichtlinie für elektronische Kommunikation wurde im November 2009 verabschiedet. Es ist kein Grund ersichtlich, der einen Aufschub des Beginns der Vorarbeiten für den Erlass der technischen Durchführungsmaßnahmen rechtfertigen würde. Der EDSB hat zwei Seminare zum Erfahrungsaustausch und zur Bestandsaufnahme in Bezug auf die Benachrichtigung bei Datenschutzverletzungen organisiert. Er ist gern bereit, die Ergebnisse weiterzugeben und freut sich auf die Zusammenarbeit mit der Kommission und anderen Interessengruppen bei der Feinabstimmung des übergeordneten Rechtsrahmens für Datenschutzverletzungen.

112.

Der EDSB fordert die Kommission nachdrücklich auf, zeitnah die notwendigen Schritte einzuleiten. Ehe technische Durchführungsmaßnahmen erlassen werden, muss die Kommission eine umfassende Konsultation durchführen, bei der die ENISA, der EDSB und die Artikel-29-Datenschutzgruppe angehört werden müssen. Außerdem sollten auch andere „relevante Interessengruppen“ einbezogen werden, vor allem, um sich über die besten verfügbaren technischen und wirtschaftlichen Methoden für die Durchführung zu informieren.

113.

Vertrauen bzw. fehlendes Vertrauen wurde als entscheidender Faktor für die Durchsetzung und den erfolgreichen Einsatz von Informationstechnologien ermittelt. Wenn die Menschen den IKT nicht vertrauen, werden diese Technologien wahrscheinlich keinen Erfolg haben. Vertrauen in IKT hängt von verschiedenen Faktoren ab. Eine entscheidende Rolle spielt dabei die Gewährleistung, dass solche Technologien nicht die Grundrechte des Einzelnen auf Privatsphäre und Schutz der personenbezogenen Daten aushöhlen.

114.

Um den Rechtsrahmen für Datenschutz/Privatsphäre zu verstärken, dessen Grundsätze in der Informationsgesellschaft uneingeschränkt gültig bleiben, schlägt der EDSB der Kommission vor, den „eingebauten Datenschutz“ auf verschiedenen Ebenen der Gesetzgebung und Politikgestaltung einzubetten.

115.

Er empfiehlt der Kommission vier Strategien:

116.

In drei Bereichen der IKT empfiehlt der EDSB der Kommission zu prüfen, ob es notwendig ist, Vorschläge zur Anwendung des Grundsatzes eines „eingebauten Datenschutzes“ in spezieller Form vorzulegen:

104.

Abschließend empfiehlt der EDSB:

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/16

1.

Am 3. Dezember 2008 hat die Europäische Kommission einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über Elektro- und Elektronik-Altgeräte (im Folgenden „der Vorschlag“) (1) angenommen. Der Vorschlag zielt auf die Neufassung der am 27. Januar 2003 angenommenen Richtlinie 2002/96/EG über Elektro- und Elektronik-Altgeräte (im Folgenden „die Richtlinie“) (2), ohne die Triebkräfte oder die Gründe für die Sammlung und das Recycling von Elektro- und Elektronik-Altgeräten zu ändern.

2.

Der EDSB wurde nicht entsprechend der Bestimmung von Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 (3) konsultiert. Der EDSB hat daher aus eigener Initiative die vorliegende Stellungnahme gestützt auf Artikel 41 Absatz 2 der genannten Verordnung angenommen. Der EDSB empfiehlt, in die Präambel des Vorschlags einen Hinweis auf diese Stellungnahme aufzunehmen.

3.

Der EDSB ist sich bewusst, dass diese Empfehlung erst zu einem späten Zeitpunkt im Legislativverfahren erteilt wird, doch hält er die Veröffentlichung der vorliegenden Stellungnahme nichtsdestotrotz für angemessen und nützlich, da im Vorschlag wichtige Fragen des Datenschutzes behandelt werden, auf die im Text nicht eingegangen wird. Anliegen der vorliegenden Stellungnahme ist es nicht, die wesentliche und überwiegende Zielsetzung und den Inhalt des Vorschlags zu ändern, dessen „Schwerpunkt“ (4) nach wie vor im Bereich des Umweltschutzes liegt, sondern lediglich auf eine zusätzliche Dimension hinzuweisen, die in unserer Informationsgesellschaft immer mehr an Bedeutung gewinnt (5).

4.

Der EDSB, der sich ebenfalls der begrenzten Tragweite des Neufassungsverfahrens bewusst ist, fordert dennoch den Gesetzgeber nachdrücklich auf, diesen Empfehlungen im Einklang mit Artikel 8 der Interinstitutionellen Vereinbarung über das Neufassungsverfahren Rechnung zu tragen (in dem die Möglichkeit vorgesehen ist, unveränderte Bestimmungen neu zu fassen) (6).

5.

Ziel des Vorschlags ist die Aktualisierung der vorhandenen Richtlinie betreffend die Entsorgung, Wiederverwendung und das Recycling von Elektro- und Elektronik-Altgeräten. Technische, juristische und verwaltungsrechtliche Probleme in den ersten Jahren der Umsetzung der Richtlinie haben zu dem Vorschlag geführt, wie in Artikel 17 Absatz 5 der Richtlinie vorgesehen.

6.

Elektro- und Elektronik-Geräte gehören zu einer großen Produktgruppe, die eine Reihe von zur Speicherung personenbezogener Daten geeigneten Kommunikationsmedien wie IT- und Telekommunikationsgeräte (z. B. PCs, Laptops, elektronische Kommunikationsendgeräte) umfasst, die im gegenwärtigen technologisch-wirtschaftlichen Umfeld durch immer schnellere Innovationszyklen und aufgrund der technologischen Konvergenz durch die Verfügbarkeit von Mehrzweckgeräten gekennzeichnet sind. Die Entwicklungen im Bereich der elektronischen Speichermedien schreiten immer schneller voran, insbesondere im Hinblick auf Speicherkapazität und -größe; daher verursachen die Marktkräfte einen ähnlich rasch wachsenden Geschäftsumsatz bei den Elektro- und Elektronik-Geräten (die große Mengen an häufig sensiblen, personenbezogenen Daten enthalten). Im Ergebnis führt dies nicht nur dazu, dass die Elektro- und Elektronik-Altgeräte „der Abfallstrom in der EU (sind), der am schnellsten steigt“ (7), sondern auch dass im Fall einer unangemessenen Entsorgung ein offensichtlich erhöhtes Risiko des Verlustes und der Verbreitung der in diesem Typ von Elektro- und Elektronik-Geräten enthaltenen personenbezogenen Daten besteht.

7.

Für lange Zeit zielten die Maßnahmen der Europäischen Union im Bereich des Umweltschutzes und der nachhaltigen Entwicklung darauf ab, die Abfälle von natürlichen Ressourcen zu reduzieren und Maßnahmen zur Verhinderung der Umweltverschmutzung einzuführen.

8.

Die Entsorgung, Wiederverwendung und das Recycling von Elektro- und Elektronik-Altgeräten wurden in diesen Rechtsrahmen mit eingeschlossen. Mit diesen Maßnahmen soll verhindert werden, dass Elektro- und Elektronik-Geräte zusammen mit gemischten Abfällen entsorgt werden, wobei die Hersteller verpflichtet werden sollen, Vorkehrungen für die Abfallentsorgung in der in der Richtlinie beschriebenen Weise zu treffen.

9.

Von den verschiedenen, in der Richtlinie vorgesehenen Maßnahmen sind insbesondere solche hervorzuheben, die für die Wiederverwendung (d. h. Maßnahmen, bei denen die Elektro- und Elektronik-Altgeräte oder deren Bauteile zu dem gleichen Zweck verwendet werden, für den sie entworfen wurden, einschließlich der weiteren Nutzung von Geräten oder ihren Bauteilen, die zu Rücknahmestellen, Vertreibern, Recyclingbetrieben oder Herstellern gebracht werden) und für das Recycling (d. h. die in einem Produktionsprozess erfolgende Wiederaufarbeitung der Abfallmaterialien für den ursprünglichen Zweck oder für andere Zwecke) bestimmt sind und die andere Formen der Verwertung von Elektro- und Elektronik-Altgeräten finden, um die zu beseitigende Abfallmenge zu reduzieren (siehe Artikel 1 und Artikel 3 Buchstaben d und e der Richtlinie).

10.

Diese Maßnahmen, insbesondere die Wiederverwendung und das Recycling von Elektro- und Elektronik-Altgeräten, vor allem von IT- und Telekommunikationsgeräten, können ein größeres Risiko als früher bergen, dass diejenigen, die die Elektro- und Elektronik-Altgeräte einsammeln oder die genutzten oder recycelten Geräte verkaufen und erwerben, Kenntnis von den darin gespeicherten personenbezogenen Daten erhalten können. Dabei kann es sich in vielen Fällen um sensible Daten handeln oder um solche, die sich auf eine große Anzahl natürlicher Personen beziehen.

11.

Aus all diesen Gründen erachtet es der EDSB für alle Beteiligten (Nutzer und Hersteller von Elektro- und Elektronikgeräten) als vordringlich, über die Risiken betreffend die personenbezogenen Daten aufgeklärt zu werden, vor allem in der Endphase des Lebenskreislaufes von Elektro- und Elektronik-Geräten. Obwohl diese Geräte in diesem Stadium wirtschaftlich weniger wertvoll sind, werden sie wahrscheinlich eine große Menge an personenbezogenen Daten enthalten und daher einen hohen „immanenten“ Wert für die betroffenen Personen und/oder andere haben.

12.

Der EDSB hat keine Bemerkungen zur allgemeinen Zielsetzung des Vorschlags abzugeben und unterstützt vollumfänglich die ergriffene Initiative, mit der die umweltfreundlichen Maßnahmen im Bereich der Elektro- und Elektronik-Altgeräte verbessert werden sollen.

13.

Allerdings zielt der Vorschlag ebenso wie die Richtlinie einzig und allein auf die mit der Entsorgung der Elektro- und Elektronik-Altgeräte verbundenen Umweltrisiken. Darin werden keine sonstigen Zusatzrisiken für natürliche Personen und/oder Einrichtungen berücksichtigt, die sich möglicherweise aus den Maßnahmen der Entsorgung, der Wiederverwendung und des Recycling von Elektro- und Elektronik-Altgeräten ergeben, insbesondere nicht solche Risiken in Verbindung mit der Wahrscheinlichkeit eines unzulässigen Erwerbs sowie einer nicht ordnungsgemäßen Weitergabe oder Verbreitung personenbezogener Daten, die in den Elektro- und Elektronikgeräten gespeichert sind.

14.

Es ist wichtig festzustellen, dass die Richtlinie 95/46/EG (8) für „jeden […] Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ gilt, einschließlich ihres „Löschen[s] oder Vernichten[s]“ (Artikel 2 Buchstabe b). Die Entsorgung der Elektro- und Elektronik-Geräte kann Datenverarbeitungsvorgänge mit einschließen. Aus diesem Grund gibt es eine Überschneidung zwischen dem Vorschlag und der bereits genannten Richtlinie und insofern könnten Datenschutzbestimmungen auf im Vorschlag erfasste Tätigkeiten angewandt werden.

15.

Der EDSB möchte die beachtlichen Risiken hervorheben, denen natürliche Personen und/oder Einrichtungen ausgesetzt sein können, die dort als „für die Datenverarbeitung Verantwortliche“ (9) handeln, wo die Elektro- und Elektronik-Altgeräte, insbesondere die IT- und Telekommunikationsgeräte, zum Zeitpunkt ihrer Beseitigung personenbezogene Daten bezüglich der Nutzer dieser Geräte und/oder von Drittparteien enthalten. Der unerlaubte Zugang oder die unrechtmäßige Weitergabe solcher personenbezogener Daten, die zuweilen aus besonderen Datenkategorien bestehen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben (so genannte „sensible Daten“) (10), können hingegen dazu führen, dass der Schutz der Privatsphäre oder die Würde der Menschen, auf die sich diese Informationen beziehen, angetastet werden wie auch die berechtigten Interessen solcher natürlicher Personen/Einrichtungen (z. B. die wirtschaftlichen Interessen).

16.

In allgemeinen Worten ausgedrückt, erachtet es der EDSB als notwendig, auf die Bedeutung der Annahme angemessener Sicherheitsmaßnahmen in jedem Stadium (vom Beginn bis zum Ende) der Verarbeitung personenbezogener Daten hinzuweisen, wie wiederholt in anderen Stellungnahmen festgestellt wurde (11). Dies gilt erst recht für die sensible Phase, in der der für die Verarbeitung Verantwortliche beabsichtigt, die Geräte, die personenbezogene Daten enthalten, zu beseitigen.

17.

In der Tat ist die Beachtung der Sicherheitsmaßnahmen häufig eine Voraussetzung, um das Recht auf Schutz der personenbezogenen Daten wirksam zu garantieren.

18.

Daher wäre es inkonsequent, die Pflicht zu der (zuweilen kostspieligen) Ergreifung von Sicherheitsmaßnahmen innerhalb des regulären Ablaufs der Verarbeitung personenbezogener Daten vorzusehen (falls zutreffend, wie in Artikel 17 der Richtlinie 95/46/EG festgelegt (12)) und dann schlicht und einfach zu versäumen, die Einführung angemessener Sicherheitsmaßnahmen zur Entsorgung von Elektro- und Elektronik-Altgeräten zu erwägen.

19.

Gleichermaßen wäre es inkonsequent, der Frage der Datensicherheit insoweit Bedeutung beizumessen, als eine Verletzung des Datenschutzes gemäß Artikel 3 der Richtlinie 2009/136/EG (13) angezeigt werden muss, und dann bei der Entsorgung von Elektro- und Elektronik-Altgeräten wie auch im Fall der Wiederverwendung oder des Recycling der Elektro- und Elektronik-Altgeräte keine Sicherheits- oder Schutzvorkehrungen zu treffen.

20.

Der EDSB bedauert, dass der Vorschlag nicht den etwaigen schädigenden Wirkungen der Entsorgung von Elektro- und Elektronik-Altgeräten auf den Schutz der personenbezogenen Daten, die in den „genutzten“ Geräten gespeichert sind, Rechnung trägt.

21.

Dieser Aspekt wurde auch nicht in der von der Kommission erstellten Folgenabschätzung (14) berücksichtigt, obwohl die Erfahrung gezeigt hat, dass die Nichtergreifung geeigneter Sicherheitsmaßnahmen im Fall der Entsorgung von Elektro- und Elektronik-Altgeräten den Schutz der personenbezogenen Daten gefährden könnte (15). Wegen der Komplexität der damit verbundenen Themen (beispielsweise wegen der Vielzahl an zulässigen Methoden, Technologien und Interessenvertretern im Entsorgungszyklus der Elektro- und Elektronik-Altgeräte) ist der EDSB der Auffassung, dass es angemessen gewesen wäre, eine „Folgenabschätzung zur Wahrung der Privatsphäre und zum Datenschutz“ im Hinblick auf die Verfahren zur Entsorgung von Elektro- und Elektronik-Altgeräten auszuarbeiten.

22.

Nichtsdestotrotz empfiehlt der EDSB nachdrücklich, dass die „besten verfügbaren Techniken“ zur Achtung der Privatsphäre, zum Datenschutz und zur Sicherheit in diesem Bereich entwickelt werden sollten.

23.

So haben auch Interessenvertreter und insbesondere Firmen der IT- und elektronischen Kommunikationsbranche während des öffentlichen Konsultationsverfahrens im Vorfeld der Neufassung der Richtlinie gelegentlich Themen der Sicherheit und des Schutzes der personenbezogenen Daten zur Sprache gebracht (16).

24.

Schließlich ist es erwähnenswert, dass einige nationale Datenschutzbehörden Leitlinien zur Minimierung der Risiken veröffentlicht haben, die durch das Versäumnis verursacht werden können, die erforderlichen Sicherheitsmaßnahmen insbesondere im Rahmen der Entsorgung von in den Geltungsbereich der Richtlinie (17) fallenden Materialien zu ergreifen.

25.

Wie der EDSB bekräftigt, gilt die Richtlinie 95/46/EG für Elektro- und Elektronik-Altgeräte im Entsorgungsstadium, die personenbezogene Daten enthalten. Die für die Datenverarbeitung Verantwortlichen — insbesondere solche, die IT- und Kommunikationsgeräte verwenden — sind daher aufgefordert, die Sicherheitsauflagen zur Vorbeugung gegen die unrechtmäßige Weitergabe oder Verbreitung personenbezogener Daten zu erfüllen. Zu diesem Zweck und um nicht für die Verletzung von Sicherheitsmaßnahmen zur Verantwortung gezogen zu werden, sollte der für die Verarbeitung Verantwortliche im staatlichen oder im privaten Sektor in Zusammenarbeit mit den Datenschutzbeauftragten (sofern vorhanden) geeignete Maßnahmen für die Entsorgung der Elektro- und Elektronik-Altgeräte, die personenbezogene Daten enthalten, ergreifen.

26.

Sollten die für die Verarbeitung Verantwortlichen, die die Elektro- und Elektronik-Geräte entsorgen, nicht die erforderlichen Kompetenzen und/oder das notwendige technische Know-how besitzen, um die betreffenden personenbezogenen Daten zu löschen, könnten sie diese Aufgabe zu den in Artikel 17 Absatz 2, 3 und 4 der Richtlinie 95/46/EG vorgesehenen Bedingungen qualifizierten Auftragsverarbeitern überlassen (z. B. Anlaufstellen, Geräteherstellern und Vertreibern). Diese Auftragsverarbeiter werden im Gegenzug die Ausführung der in Frage stehenden Tätigkeiten bescheinigen und/oder diese vornehmen.

27.

In Anbetracht dieser Überlegungen kommt der EDSB zu dem Schluss, dass die Neufassung der Richtlinie Datenschutzgrundsätze in die dem Umweltschutz gewidmeten Vorschriften aufnehmen sollte.

28.

Daher empfiehlt der EDSB dem Rat und dem Europäischen Parlament, eine besondere Bestimmung in den derzeitigen Vorschlag aufzunehmen, die besagt, dass die Richtlinie unbeschadet der Richtlinie 95/46/EG für die Entsorgung von Elektro- und Elektronik-Altgeräten gilt.

29.

Da die mit Entsorgungsmaßnahmen befassten Personen sich in einer Situation befinden, in der es ihnen möglich ist, eigenständige Entscheidungen bezüglich der in den Elektro- und Elektronik-Geräten enthaltenen Daten zu treffen, könnten sie als „für die Verarbeitung Verantwortliche“ (18) angesehen werden. Sie sollten daher interne Verfahren annehmen, um unnötige Verarbeitungsvorgänge bei personenbezogenen Daten, die in Elektro- und Elektronik-Altgeräten gespeichert sind, zu vermeiden; gemeint sind nämlich andere Vorgänge als solche, die zur Überprüfung der tatsächlichen Beseitigung der darin enthaltenen Daten unbedingt notwendig sind.

30.

Überdies dürfen sie unbefugten natürlichen Personen nicht erlauben, Kenntnis von den in den Elektro- und Elektronik-Geräten gespeicherten Daten zu erhalten oder diese zu verarbeiten. Vor allem wenn Speichermedien recycelt oder wiederverwendet werden und somit erneut auf den Markt gelangen, besteht nicht nur ein erhöhtes Risiko, dass die personenbezogenen Daten nicht ordnungsgemäß weitergegeben oder verbreitet werden, sondern auch die Notwendigkeit, den unbefugten Zugriff auf personenbezogene Daten zu unterbinden.

31.

Daher empfiehlt der EDSB, dass der Rat und das Europäische Parlament eine besondere Bestimmung in den gegenwärtigen Vorschlag aufnehmen, um die Vermarktung gebrauchter Geräte zu untersagen, bei denen — in Übereinstimmung mit den Standards auf dem neuesten Stand der Technik (wie zum Beispiel Mehrfach-Überschreiben) — zuvor keine geeigneten Sicherheitsmaßnahmen ergriffen wurden, um alle eventuell darin enthaltenen personenbezogenen Daten zu löschen.

32.

Der bevorstehende Rechtsrahmen über E-Abfall sollte nicht nur eine besondere Bestimmung zum weiter gefassten „Grundsatz der umweltgerechten Gestaltung“ („eco-design principle“) der Geräte enthalten (siehe Artikel 4 des Vorschlags zur „Produktkonzeption“), sondern auch — wie zuvor in anderen Stellungnahmen des EDSB festgestellt (19) — eine bezüglich des Grundsatzes des „eingebauten Datenschutzes“ („Privacy by design“) (20) — oder spezieller für diesen Bereich — „der eingebauten Sicherheit“ („Security by design“) (21). Vorkehrungen zur Achtung der Privatsphäre und des Datenschutzes sollten soweit wie möglich standardmäßig in die Elektro- und Elektronik-Geräte eingebaut werden, um allen Nutzern zu ermöglichen, die eventuell in den Geräten bei ihrer Beseitigung vorhandenen personenbezogenen Daten — auf einfache Weise und unentgeltlich — zu löschen (22).

33.

Dieser Ansatz wird eindeutig durch Artikel 3 Absatz 3 Buchstabe c der Richtlinie 1999/5/EG (23) über Funkanlagen und Telekommunikationsendeinrichtungen und durch Artikel 14 Absatz 3 der Richtlinie 2002/58/EG (24) unterstützt.

34.

Daher sollten die Hersteller mittels technischer Lösungen Datenschutzmaßnahmen und Sicherheitstechniken „einbauen“ (25). In diesem Rahmen sollten auch Initiativen, die auf die Beratung von Personen abzielen, die darauf angewiesen sind, vor der Entsorgung von Elektro- und Elektronik-Altgeräten alle personenbezogenen Daten zu löschen (so auch im Fall von Herstellern, die zu diesem Zweck entsprechende unentgeltliche Software anbieten), gefördert und unterstützt werden (26).

35.

In Anbetracht der vorstehenden Ausführungen empfiehlt der EDSB, dass die Datenschutzbehörden, insbesondere über die Artikel 29-Datenschutzgruppe, und der EDSB im Rahmen einer Konsultation in einem ausreichend frühen Stadium vor der Ausarbeitung einschlägiger Maßnahmen eng in die Initiativen im Bereich der Entsorgung von Elektro- und Elektronik-Altgeräten eingebunden werden.

36.

Unter Berücksichtigung des Kontextes, in dem personenbezogene Daten verarbeitet werden, empfiehlt der EDSB, dass der Vorschlag besondere Vorschriften umfassen sollte,

37.

Der EDSB empfiehlt daher nachdrücklich, den Vorschlag im Einklang mit der Richtlinie 95/46/EG wie folgt zu ändern:

—   Erwägungsgrund (11):

—   Artikel 2 Absatz 3:

38.

Darüber hinaus hält es der EDSB für angemessen, dass die folgenden Änderungen in Betracht gezogen werden sollten:

—   Artikel 4 Absatz 2:

—   Artikel 8 Absatz 7:

—   Artikel 14 Absatz 6:

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/22

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/26

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/29

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/30

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/31

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/32

(1)

Die Europäische Union und die Mitgliedstaaten haben nach Artikel 173 des Vertrags dafür zu sorgen, dass die notwendigen Voraussetzungen für die Wettbewerbsfähigkeit der Industrie der EU gewährleistet sind. Gemäß Artikel 191 AEUV trägt die Politik der Europäischen Union zur Erhaltung und zum Schutz der Umwelt sowie zur Verbesserung ihrer Qualität bei, auch durch Bekämpfung des Klimawandels.

(2)

Der CARS 21-Prozess („Ein wettbewerbskompatibles Kfz-Regelungssystem für das 21. Jahrhundert“) ist Teil der Industriepolitik der Kommission; er wurde 2005 erstmals eingeleitet und führte zu Empfehlungen für die kurz-, mittel- und langfristige Politik innerhalb des Regelungsrahmens für die Automobilindustrie der Europäischen Union, der die globale Wettbewerbsfähigkeit und die Beschäftigung verbessert und gleichzeitig weitere Fortschritte zu verbraucherfreundlichen Preisen in den Bereichen Sicherheit und Umweltleistung unterstützt.

(3)

In ihrer Mitteilung „EUROPA 2020 — Eine Strategie für intelligentes, nachhaltiges und integratives Wachstum“ (1) stellt die Kommission Vorschläge zur Modernisierung des Verkehrssektors und zur Verringerung verkehrsbedingter Emissionen sowie zur Förderung neuer Technologien einschließlich Elektrofahrzeuge vor. Die Leitinitiative „Eine Industriepolitik im Zeitalter der Globalisierung“ zielt auf die Einführung einer Industriepolitik ab, die die besten Rahmenbedingungen für die Bewahrung und Entwicklung einer starken, wettbewerbsfähigen und diversifizierten industriellen Basis in Europa schafft und durch Unterstützung des Übergangs des verarbeitenden Gewerbes zu größerer Energie- und Ressourceneffizienz die Nachhaltigkeit fördert. Die Leitinitiative „Ressourcenschonendes Europa“ wird weitreichende Infrastrukturmaßnahmen wie den Aufbau von Netzinfrastrukturen für Elektromobilität, ein intelligentes Verkehrsmanagement und vor allem die Förderung neuer Technologien wie etwa Elektro- und Hybridfahrzeuge unterstützen.

(4)

In der Mitteilung der Kommission „Eine europäische Strategie für saubere und energieeffiziente Fahrzeuge“ (2) werden kurz- bis langfristige Ziele zur Förderung von Forschung und Innovation, zur Suche nach Lösungen im Bereich Stromerzeugung und -verteilung, zur Ankurbelung der Beschäftigung und zur Unterstützung der Marktakzeptanz von Ökofahrzeugen durch die Verbraucher festgelegt.

(5)

Es ist daher erforderlich, aufbauend auf dem CARS 21-Prozess eine Sachverständigengruppe im Bereich Wettbewerbsfähigkeit und nachhaltiges Wachstum der Automobilindustrie der Europäischen Union einzusetzen und Aufgaben und Struktur der Gruppe festzulegen.

(6)

Die Gruppe sollte dazu beizutragen, Politikbereiche und Maßnahmen zur Wettbewerbsfähigkeit und zum nachhaltigen Wachstum der Automobilindustrie der Europäischen Union zu ermitteln, die auf der Ebene der Europäischen Union, auf nationaler Ebene und von anderen Interessengruppen umzusetzen sind.

(7)

Die Gruppe sollte sich aus Vertretern des Europäischen Parlaments, der Kommission, der Mitgliedstaaten und relevanten Vertretern der Industrie und der Zivilgesellschaft, insbesondere der Verbraucher, Gewerkschaften und Nichtregierungsorganisationen, zusammensetzen.

(8)

Unbeschadet der im Anhang des Beschlusses 2001/844/EG, EGKS, Euratom der Kommission vom 29. November 2001 zur Änderung ihrer Geschäftsordnung (3) aufgeführten Sicherheitsvorschriften der Kommission sollten Vorschriften für die Weitergabe von Informationen durch Mitglieder der Gruppe festgelegt werden.

(9)

Die Verarbeitung personenbezogener Daten erfolgt nach der Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (4).

(10)

Es ist zweckmäßig, die Geltungsdauer dieses Beschlusses zu begrenzen. Die Kommission wird zu gegebener Zeit prüfen, ob eine Verlängerung sinnvoll ist —

1.

Unterstützung der Kommission in Fragen im Zusammenhang mit der Wettbewerbsfähigkeit und dem nachhaltigen Wachstum der Automobilindustrie;

2.

Durchführung von wirtschaftlichen und statistischen Analysen der Faktoren, die den Strukturwandel in der Automobilindustrie bestimmen sowie anderer Faktoren, die die Wettbewerbsposition der Automobilindustrie der Europäischen Union beeinflussen;

3.

Unterstützung der Kommission bei der Umsetzung der in der Strategie EUROPA 2020 dargelegten politischen Maßnahmen, der Leitinitiative für ein ressourcenschonendes Europa, der Leitinitiative für eine Industriepolitik im Zeitalter der Globalisierung und der Mitteilung über saubere und energieeffiziente Fahrzeuge (KOM(2010) 186), um das Ziel der Bewahrung der Wettbewerbsfähigkeit und Nachhaltigkeit der Automobilindustrie der Europäischen Union zu erreichen;

4.

Beitrag zur Gewährleistung eines reibungslosen und ausgewogenen wirtschaftlichen und sozialen Übergangs durch proaktive Antizipierung und Verwaltung von Umstrukturierungsprozessen sowie des Bedarfs an Fertigkeiten und den damit zusammenhängenden Qualifikationen unter Berücksichtigung der „Europäischen Partnerschaft für die Antizipierung des Wandels in der Automobilindustrie“;

5.

Formulierung sektorspezifischer Politikempfehlungen, die an politische Entscheidungsträger bei der Europäischen Union und auf nationaler Ebene sowie an die Industrie und Einrichtungen der Zivilgesellschaft gerichtet sind;

6.

Entwicklung guter Verhaltensmaßregeln, um die Transparenz der wirtschaftlichen und vertraglichen Beziehungen zwischen den Parteien, die vertikale Vereinbarungen im Automobilsektor getroffen haben, zu fördern;

7.

Beratung in spezifischen Aspekten der Umsetzung der Strategie EUROPA 2020 der Kommission für ein intelligentes, nachhaltiges und integratives Wachstum.

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/35

1.

Am 8. Oktober 2010 ist die Anmeldung eines Zusammenschlusses nach Artikel 4 der Verordnung (EG) Nr. 139/2004 des Rates (1) bei der Kommission eingegangen. Danach ist Folgendes beabsichtigt: Das Unternehmen BASF SE („BASF“, Deutschland) erwirbt im Sinne von Artikel 3 Absatz 1 Buchstabe b der Fusionskontrollverordnung durch Erwerb von Anteilen die alleinige Kontrolle über die Cognis GmbH („Cognis“, Deutschland).

2.

Die beteiligten Unternehmen sind in folgenden Geschäftsbereichen tätig:

3.

Die Kommission hat nach vorläufiger Prüfung festgestellt, dass das angemeldete Rechtsgeschäft unter die EG-Fusionskontrollverordnung fallen könnte. Die endgültige Entscheidung zu diesem Punkt behält sie sich vor.

4.

Alle betroffenen Dritten können bei der Kommission zu diesem Vorhaben Stellung nehmen.

Die Stellungnahmen müssen bei der Kommission spätestens 10 Tage nach Veröffentlichung dieser Anmeldung eingehen. Sie können der Kommission unter Angabe des Aktenzeichens COMP/M.5927 — BASF/Cognis per Fax (+32 22964301), per E-Mail (COMP-MERGER-REGISTRY@ec.europa.eu) oder per Post an folgende Anschrift übermittelt werden:

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/36

1.

Am 8. Oktober 2010 ist die Anmeldung eines Zusammenschlusses nach Artikel 4 der Verordnung (EG) Nr. 139/2004 des Rates (1) aufgrund einer Verweisung nach Artikel 4 Absatz 5 dieser Verordnung bei der Kommission eingegangen. Danach ist Folgendes beabsichtigt: Das Unternehmen Citigroup Venture Capital International Investment G.P. Limited („CVCII“, Jersey), das von der Citigroup, Inc. (USA) kontrolliert wird, und das Unternehmen Advance Properties OOD („Advance Properties“, Bulgarien) erwerben im Sinne von Artikel 3 Absatz 1 Buchstabe b der Fusionskontrollverordnung durch Erwerb von Anteilen die gemeinsame Kontrolle über das Unternehmen Huvepharma AD („Huvepharma“, Bulgarien), das derzeit allein von Advance Properties kontrolliert wird.

2.

Die beteiligten Unternehmen sind in folgenden Geschäftsbereichen tätig:

3.

Die Kommission hat nach vorläufiger Prüfung festgestellt, dass das angemeldete Rechtsgeschäft unter die EG-Fusionskontrollverordnung fallen könnte. Die endgültige Entscheidung zu diesem Punkt behält sie sich vor. Dieser Fall kommt für das vereinfachte Verfahren im Sinne der Bekanntmachung der Kommission über ein vereinfachtes Verfahren für bestimmte Zusammenschlüsse gemäß der EG-Fusionskontrollverordnung fallen könnte (2) in Frage.

4.

Alle betroffenen Dritten können bei der Kommission zu diesem Vorhaben Stellung nehmen.

Die Stellungnahmen müssen bei der Kommission spätestens 10 Tage nach Veröffentlichung dieser Anmeldung eingehen. Sie können der Kommission unter Angabe des Aktenzeichens COMP/M.5982 — CVCII/Advance Properties/Huvepharma per Fax (+32 22964301), per E-Mail (COMP-MERGER-REGISTRY@ec.europa.eu) oder per Post an folgende Anschrift übermittelt werden:

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/37

De Minister van Economische Zaken

ter attentie van J. C. De Groot, directeur Energiemarkt

ALP/562

Bezuidenhoutseweg 30

Postbus 20101

2500 EJ Den Haag

NEDERLAND

16.10.2010   

DE

Amtsblatt der Europäischen Union

C 280/39