Reformvorschlag der Europäischen Kommission EU-Datenschutz
Nachdem bereits im vergangenen Jahr ein erster Entwurf der EU-Datenschutzverordnung im Internet auftauchte, hat nunmehr die Europäische Kommission am 25.01.2010 ihren Vorschlag zum europäischen Datenschutz bekannt gegeben.
Im Rahmen des europäischen Gesetzgebungsverfahrens werden die Vorschläge der Europäischen Kommission dem Europäische Parlament und dem Europäischen Ministerrat zur weiteren Beratung übermittelt.
Der Reformvorschlag der Europäischen Kommission besteht aus drei Elementen. Zum einen beinhaltet sie eine Verordnung, die das europäische Datenschutzrecht auf ein einheitliches Fundament stellt. Zudem enthält der Vorschlag eine Richtlinie, welche die polizeiliche und justizielle Zusammenarbeit regelt. Ferner ist eine Mitteilung enthalten, welche die politischen Ziele der Kommission aufzeigt.
Einheitliches Regelungssystem
Vorrangiges und begrüßenswertes Ziel ist die Statuierung eines einheitlichen datenschutzrechtlichen Regelungssystems. In diesem Zusammenhang stellte die EU-Kommissarin Viviane Reding klar, dass das bereits in Deutschland bestehende hohe Datenschutzniveau nicht reduziert werden soll, sondern vielmehr auf die gesamte EU ausgeweitet werden soll. Hiermit reagierte die EU-Kommissarin auf eine „typische deutsche Frage“.
Durch die Vereinheitlichung des europäischen Datenschutzrechtes und, insbesondere durch eine Entschlackung des Verwaltungsaufwandes für die Unternehmen, sollen pro Jahr ca. 2,3 Mrd. EUR eingespart werden können.
Befugnisse Europäische Kommission
Allerdings stieß die Vorgehensweise der Europäischen Kommission auf Kritik, die Weiterentwicklung des Datenschutzrechts in ihre eigenen Hände zu legen, in dem sie sich selbst umfangreiche Befugnisse in der Verordnung einräumte („delegated acts“, „implementing acts“).
Außereuropäische Standards
In den Artikeln 40 ff. wird die Übermittlung personenbezogener Daten an sog. Drittstaaten geregelt. Im Vergleich zum gegenwärtigen Datenschutzniveau wird der Geltungsbereich des europäischen Datenschutzrechtes deutlich ausgeweitet. Die Europäische Kommission stellte klar, dass jedwede außerhalb der EU erfolgende Bearbeitung von personenbezogenen Daten, durch auf dem EU-Markt aktive Unternehmen, künftig den EU-Vorschriften unterliegen soll.
Im Besonderen äußerte sich die Regierung der USA kritisch über den Reformvorschlag der Kommission. Es wird befürchtet, dass die Einhaltung und Umsetzung der europäischen Datenschutzstandards den Unternehmen teuer zu stehen kommt und damit letztendlich ihre Dienstleistungen teurer werden.
Datenportabilität
Nunmehr ist in Artikel 17 ein „Recht auf Datenportabilität“ geregelt. Der Betroffene kann eine elektronische Kopie seiner personenbezogenen Daten in einem gängigen und zur Weiterverarbeitung geeigneten Format vom Datenhalter „zurück holen“ und zu einem anderen Dienstleistungsanbieter „mitnehmen". Dadurch soll der Wettbewerb unter den Anbietern derartiger Dienste zunehmen. Hiervon werden insbesondere soziale Netzwerke, wie Facebook betroffen sein.
Recht auf Vergessen werden
Artikel 17 regelt das „Recht auf Vergessen werden“. Das „Recht auf Vergessen werden“ unterscheidet nicht zwischen Online- und Offlinediensten. Jeder Bürger hat einen Löschungsanspruch, insbesondere für personenbezogene Daten aus seiner Kindheit, insoweit nicht detailliert geregelte Gründe dagegen sprechen.
Rechenschaftspflichten
Gemäß Artikel 31 ist bei einem unberechtigten Zugriff auf die gespeicherten personenbezogenen Daten unverzüglich, in der Regel binnen 24 Stunden nach Kenntnis, die jeweils zuständige nationale Aufsichtsbehörde zu informieren. Insoweit die Datenverarbeitung spezifische Risiken für die Rechte und Freiheiten des Bürgers birgt, ist eine Abschätzung der Risiken durchzuführen, Artikel 33; in bestimmten Fällen ist die Aufsichtsbehörden zu informieren und ggf. eine Genehmigung einzuholen, Artikel 34. Hierdurch werden u.a. Datenschutzbeauftragte entlastet.
Dafür sollen sowohl Unternehmen als auch Verbraucher einen alleinigen Ansprechpartner haben, nämlich die nationale Datenschutzbehörde des EU-Landes, in dem sie ihre Hauptniederlassung bzw. ihren Wohnsitz haben.
Auch diese verschärften Rechenschaftspflichten haben das Ziel den Verwaltungsaufwand für die Unternehmen zu entschlacken und damit pro Jahr Kosten in Höhe von 130 Mio. EUR einzusparen.
Einwilligung
Das Einwilligungserfordernis für die Verarbeitung personenbezogener Daten wird auf eine Vielzahl an Einzelfällen ausgeweitet, Artikel 7, Artikel 9.
Hiergegen richtet sich die Kritik der BITKOM. Es sei nur auf den ersten Blick verbraucherfreundlich, für alles und jedes eine gesonderte Einwilligung zu verlangen, und sei es noch so nachrangig, so Prof. Kempf. Mit einem solchen Ansatz baue man das Web zu einem Hindernisparcours um.
Sanktionen
Im Vergleich zum ersten Entwurf der EU-Datenschutzverordnung aus dem letzten Jahr, sind die Sanktionen für Verstöße gegen das Datenschutzrecht abgemildert worden. Nunmehr regelt der Entwurf ein Bußgeld bis zu 1 Mio. EUR bzw. bis zu 2% des weltweiten Umsatzes eines Unternehmens, Artikel 79 Nr. 6. Allerdings stellen die Sanktionen im Verhältnis zum Bundesdatenschutzgesetz eine Verschärfung dar.
Fazit
Der Reformvorschlag der Europäischen Kommission zum EU-Datenschutz stieß auf ein geteiltes Echo in der Fachwelt. Allerdings ist es allerhöchste Zeit, dass das europäische Datenschutzrecht reformiert wird. Denn die Datenschutzrichtlinie 95/46/EG, die bis heute das europäische Datenschutzrecht regelt, wurde bereits vor 17 Jahren verabschiedet. In den letzten 17 Jahren haben sich datenschutzrechtliche Herausforderungen ergeben, welche die Datenschutzrichtlinie 95/46/EG nicht mehr oder nur unter größten Anstrengungen bewältigen kann. Exemplarisch seien die sozialen Netzwerke, wie Facebook und google+ sowie das Cloud Computing genannt.
Es ist damit zu rechnen, dass im Rahmen des europäischen Gesetzgebungsverfahrens, welches frühestens Ende 2014 beendet sein wird, noch zahlreiche Änderungen an dem Reformvorschlag der Kommission vorgenommen werden.
