27. Januar 2012 - Europäische Union

Reding präsentiert Entwurf für neue EU-Datenschutzregelungen

EU-Justizkommissarin Viviane Reding hat einen neuen Entwurf der EU-Datenschutzvorschriften vorgestellt. Die Vorschläge der Kommission bestehen aus einer Verordnung eines allgemeinen Datenschutz-Rechtsrahmens und einer Richtlinie zum Schutz personenbezogener Daten. Die deutschen Datenschutzbeauftragten kritisieren den Entwurf scharf.

malmstrom-prasentiert-neue-eu-datenschutzzrichtlinie.png
Datenschutz soll europaweit einheitlich werden (Bild: EU)

Der neue Entwurf der Generaldirektion Justiz der Europäischen Kommission soll eine europaweit einheitliche Regelung schaffen, die der jetzt bestehenden Fragmentierung und dem hohen Verwaltungsaufwand ein Ende bereiten und auf diese Weise Unternehmen Einsparungen von etwa 2,3 Mrd. Euro jährlich verschaffen.

Des Weiteren soll das Vertrauen der Verbraucher in Online-Dienste gestärkt und so „dringend benötigte Impulse für mehr Wachstum, Arbeitsplätze und Innovationen in Europa“ gegeben werden.

Die Vorschläge der Kommission werden im nächsten Schritt dem Europäischen Parlament und dem EU-Ministerrat zur weiteren Erörterung vorgelegt. Sie sollen zwei Jahre nach ihrer Annahme in Kraft treten.

Geplante neue Datenschutz-Regelungen

Der Entwurf schlägt unter anderem folgende Regelungen vor:

  • Künftig soll es ein EU-weit geltendes Gesamtregelwerk für den Datenschutz geben. Administrative Anforderungen wie bestimmte Meldepflichten für Unternehmen sollen beseitigt werden.
  • Anstelle der bisher den Unternehmen obliegenden Pflicht, den Datenschutzbeauftragten sämtliche datenschutzrelevanten Tätigkeiten zu melden, sieht die vorgeschlagene Datenschutzverordnung künftig mehr Verantwortung sowie eine verschärfte Rechenschaftspflicht sämtlicher Verarbeiter personenbezogener Daten vor.
  • Unternehmen und Organisationen sollen bei einer schweren Verletzung des Schutzes personenbezogener Daten künftig die nationale Aufsichtsbehörde unverzüglich benachrichtigen müssen.
  • Alleiniger Ansprechpartner für Organisationen wird künftig die nationale Datenschutzbehörde des EU-Landes sein, in dem sie ihre Hauptniederlassung haben. Ebenso sollen sich Bürger künftig auch dann an die Datenschutzbehörde ihres Landes wenden können, wenn ihre Daten von einem außerhalb der EU niedergelassenen Unternehmen verarbeitet werden.
  • In Bezug auf Datenverarbeitungen, die der vorherigen Genehmigung bedürfen, wird nunmehr klargestellt, dass die Genehmigung ausdrücklich erteilt werden muss und nicht stillschweigend vorausgesetzt werden darf.
  • Die Bürger sollen leichter auf ihre eigenen Daten zugreifen und diese bei einem Wechsel zu einem anderen Dienstleistungsanbieter „mitnehmen“ können (Recht auf Datenportabilität).
  • Das „Recht auf Vergessenwerden“ soll eine bessere Beherrschung der bei Onlinediensten bestehenden Datenschutzrisiken ermöglichen. Alle Bürger sollen das Recht erhalten, ihre eigenen Daten zu löschen, wenn keine legitimen Gründe für deren Vorhaltung bestehen.
  • Jedwede außerhalb der EU erfolgende Bearbeitung von personenbezogenen Daten durch auf dem EU-Markt aktive Unternehmen, die ihre Dienste den EU-Bürgern anbieten, soll künftig den EU-Vorschriften unterliegen.
  • Die Unabhängigkeit der nationalen Datenschutzbehörden soll gestärkt werden, damit diese die EU-Vorschriften in ihren Ländern besser durchsetzen können. Beispielsweise sollen die nationalen Datenschutzbehörden künftig Geldbußen gegen Unternehmen verhängen können, die gegen die Datenschutzbestimmungen der EU verstoßen. Die Höhe der Geldbuße soll bis zu 1 Mio. EUR oder 2 % des Jahresumsatzes eines Unternehmens betragen können.
  • Durch eine neue Datenschutzrichtlinie sollen allgemeine Datenschutzgrundsätze und –regeln für die polizeiliche und justizielle Zusammenarbeit in Strafsachen eingeführt werden. Die Bestimmungen sollen sowohl für inländische als auch für grenzüberschreitende Datenübermittlungen gelten.

EU-Datenschutz einheitlich, aber nicht zentralistisch regeln

Die Beauftragten für den Datenschutz der Länder sehen den Entwurf überwiegend positiv, mahnen aber auch noch erheblichen Diskussionsbedarf an.

Dem NRW-Datenschutzbeauftragten Ulrich Lepper ist der von der Europäischen Kommission vorgestellte Entwurf für eine Europäische Datenschutzverordnung zu zentralistisch angelegt. „Ich halte die Verordnung für eine Mogelpackung, denn nicht in der Verordnung, sondern letztlich durch die Kommission wird festgelegt werden, welche Datenschutzregeln in Europa gelten“, so Lepper.

Einzelne würden sich gegen Ausführungsbestimmungen der Kommission, die unmittelbar in ihre Rechte eingreifen, nicht gerichtlich wehren können.

Europaweit werde durch die Verordnung außerdem eine zentralistisch ausgerichtete Datenschutzsuperbürokratie aufgebaut, die unter der Oberaufsicht der Kommission stehe.

Völlige Unabhängigkeit der Aufsichtsbehörden erhalten

Zu dem Entwurf erwartet Jörg Klingbeil, der Landesbeauftragte für den Datenschutz Baden-Württemberg, intensive Erörterungen auf nationaler und europäischer Ebene.

Abgesehen von ungelösten Verfahrensfragen dürfte der vorgesehene Übergang von Kompetenzen von den Aufsichtsbehörden der Mitgliedstaaten an Aufsichtsbehörden anderer Mitgliedstaaten und die EU-Kommission mit der vom Europäischen Gerichtshof propagierten völligen Unabhängigkeit der Aufsichtsbehörden kaum in Einklang zu bringen sein.

Sorgen um die Unabhängigkeit der Datenschutzbeauftragten

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hingegen kritisiert den Plan, die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten einheitlich in der EU erst ab 250 Mitarbeitern zu regeln. Damit wären große Teile des Mittelstands nicht mehr zur Bestellung von betrieblichen Datenschutzbeauftragten verpflichtet, so die GDD.

Grundsätzlich begrüßen die Datenschutzbeauftragten aber die Bemühungen. Bislang gültige europarechtliche Vorgaben zum Datenschutz stammen größtenteils aus dem Jahr 1995.

„Die Herausforderungen der Informationsgesellschaft, der technologische Fortschritt und die zunehmende Globalisierung vieler Lebens- und Wirtschaftsbereiche erfordern eine Anpassung des rechtlichen Rahmens, wie dies schon von den Datenschutzbeauftragten des Bundes und der Länder im Jahr 2010 für den nationalen Bereich gefordert wurde“, sagt Klingbeil.

EU-Kommission/BM

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln