Tag Archives: Beschäftigtendaten

Wird Deutschland zum Schlusslicht beim Europäischen Datenschutz?

Das Bundesministerium des Innern (BMI) hat am 23. November 2016 den Referentenentwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) – zitiert als E-BDSG – an die Verbände versandt. Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird innerhalb der kurzen für das Anhörungsverfahren vorgesehenen Frist bis zum 7. Dezember zu dem Entwurf offiziell Stellung nehmen. Der vorliegende Beitrag ist insofern eine vorläufige Einschätzung, die allein vom Autor verantwortet wird.

Nachdem bereits Ende August ein Vorentwurf bekannt geworden war, der zu erheblicher Kritik Anlass gab (vgl. etwa meinen Blogpost), hat das BMI zwar einige der gröbsten handwerklichen Fehler abgemildert. Bereits eine erste Durchsicht des umfangreichen Gesetzentwurfs offenbart aber eine Reihe von inhaltlichen und formalen Schwachpunkten und Mängeln, von denen zu hoffen ist, dass sie im weiteren Gesetzgebungsverfahren (Ressortabstimmmung, Beratung im Deutschen Bundestag und im Bundesrat) ausgebessert und beseitigt werden.

Das E-BDSG weicht in verschiedenen Feldern von den Vorgaben der Datenschutzgrundverordnung (DSGVO) ab, und zwar nicht nur dort, in denen der europäische Gesetzgeber Raum für nationale Regelungen gelassen hat, etwa beim Schutz von Beschäftigtendaten oder bei den Vorschriften zu den betrieblichen Datenschutzbeauftragten.

In zentralen Punkten – insbesondere bei den Betroffenenrechten – werden die Vorgaben der DSGVO aufgeweicht mit dem Ergebnis, dass deutsche Bürgerinnen und Bürger zukünftig weniger Datenschutzrechte haben als die übrigen Europäer.

Schließlich ist zu fragen, ob auf diesem Wege Regelungen, mit denen die Bundesregierung bei den Verhandlungen der Datenschutzreform im Rat und im Europaparlament keine Mehrheiten gefunden hat, nun auf dem Umweg eines „Datenschutzanpassungsgesetzes“ doch noch realisiert werden sollen – zum Schaden Europas.

 

EU-weites „level playing field“?

Niemandem wäre damit gedient, wenn ab 25. Mai 2018, wenn die DSGVO wirksam wird – an die Stelle der 28 nationalen Datenschutzgesetze 28 neue, unterschiedliche „Ausführungsgesetze“ treten, wie es dem Ministerium offenbar vorschwebt: Mit verschiedenen Regelungen zur Datenerhebung, Speicherung und Verwendung, mit unterschiedlichen nationalen Vorgaben zu den Rechten auf Auskunft, Löschung und Widerspruch der Betroffenen, ergänzt um Sonderregelungen, die teils deutlich hinter dem EU-Recht zurückbleiben.

Die vorgesehenen Regelungen schaden auch den europäischen Unternehmen, die auf Basis des EU-Rechts gleichmäßige Bedingungen für grenzüberschreitende europaweite Geschäftsmodelle brauchen, um so auf Augenhöhe mit der internationalen Konkurrenz agieren zu können. Die vom Entwurf vorgesehenen zahlreichen Abweichungen konterkarieren das vom europäischen Gesetzgeber beabsichtigte Ziel, für alle Bürgerinnen und Bürgern der EU und für die im Europäischen Wirtschaftsraum tätigen Unternehmen einen gleichmäßigen wirksamen Datenschutz zu garantieren.

Große Unternehmen, die sich umfangreiche Rechtsabteilungen und teure Anwälte leisten können, werden auch in Zukunft mit einer solchen unübersichtlichen Situation umgehen können. Dies gilt aber nicht für kleinere und mittlere Unternehmen, die nicht über derartige Ressourcen verfügen. Neben den Bürgerinnen und Bürgern, deren Datenschutz ausgehöhlt wird, wären sie die Hauptleidtragenden des deutschen Sonderwegs.

 

Absenkung der Betroffenenrechte

Art. 23 DGSVO räumt den von der Datenverarbeitung betroffenen Personen ein Auskunftsrecht über die zu ihnen gespeicherten Daten ein. Nach Art. 14 DSGVO müssen Behörden und Unternehmen die Betroffenen informieren, wenn sie personenbezogene Daten verarbeiten.

Wenn es nach dem BMI geht, müssten davon abweichend gemäß § 32 i.V.m. § 31 E-BDSG öffentliche Stellen die Betroffenen nicht informieren bzw. ihnen keine Auskunft erteilen, wenn „die Information die ordnungsgemäße Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgaben“ gefährden oder „die Information die öffentliche Sicherheit oder  Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würden“. Eine solche Regelung überlässt es weitgehend den Behörden, welche Auskünfte gegeben werden, denn schließlich gibt es viele Gründe, weshalb die Informationsherausgabe die ordnungsgemäße Aufgabenerfüllung gefährden könnte. Unternehmen müssten keine Auskunft erteilen, wenn „die Information die Geschäftszwecke des Verantwortlichen erheblich gefährden würde“. Damit würden Geschäftsinteressen generell über den Schutz persönlicher Daten gestellt. Zudem müssten Unternehmen keine Auskunft erteilen, wenn „die zuständige öffentliche Stelle gegenüber dem Verantwortlichen (Unternehmen) festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde.“ Auch diese Bestimmung lässt viel Interpretationsspielraum.

Nach Art. 17 DSGVO haben die betroffenen Person das Recht, von Behörden und Unternehmen die Löschung von zu Unrecht gespeicherten oder nicht mehr benötigten Daten zu verlangen. In Deutschland soll jedoch kein Recht auf Datenlöschung bestehen, „wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.“ (§ 33 E-BDSG) Eine solche Vorschrift wäre geradezu eine Einladung an Unternehmen und staatliche Stellen, ihre Daten so zu speichern, dass eine Löschung nur unter größerem Aufwand möglich ist. Sie müssten die Daten selbst dann nicht löschen, wenn ihre Speicherung rechtswidrig war.

Gemäß Art. 21 DSGVO haben die Betroffenen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn die Verarbeitung im Interesse einer verantwortlichen Stelle (Behörde bzw. Unternehmen)  oder eines Dritten erfolgt und keine ausdrückliche gesetzliche Regelung die Datenverarbeitung erlaubt. Der Gesetzentwurf schränkt dieses Widerspruchsrecht erheblich ein (§ 34 E-BDSG).

Die für die Absenkung der Betroffenenrechte angeführten Begründungen, das geringere Datenschutzniveau liege im öffentlichen Interesse oder diene dem Schutz der Freiheitsrechte anderer Personen (Art. 23 DSGVO), ist selbst bei wohlwollender Auslegung der Datenschutzgrundverordnung abwegig. Die Absenkung des Datenschutzniveaus unter das EU-Level ist mit dem deutschen Grundrecht auf informationelle Selbstbestimmung und dem durch Art. 8 der EU-Grundrechtecharta garantierten Grundrecht auf Schutz personenbezogener Daten nicht zu vereinbaren. Das BMI bleibt jede Begründung schuldig, warum Geschäftsinteressen etwa von Auskunfteien oder Inkassounternehmen schwerer wiegen als die Datenschutzrechte der betroffenen Bürgerinnen und Bürger.

 

Fallbeispiele

Ein Kunde verlangt von seiner Bank aussagekräftige Informationen über das zur automatisierten Bewertung seiner Kreditwürdigkeit verwendete Scoring-Verfahren.

Europa: Die Bank erteilt diese Auskünfte, denn sie ist dazu gem. Art. 15 der Datenschutzgrundverordnung (DSGVO) verpflichtet.

Deutschland: Die Bank lehnt die Auskunft zu den Details des Bewertungsverfahrens ab, denn nach § 32 E-BDSG würden die erfragten Information die eigenen Geschäftszwecke „erheblich gefährden“; sie seien zudem Betriebs- und Geschäftsgeheimnisse des Unternehmens.

Die Besucherin eines Einkaufszentrums erkundigt sich nach dem Umfang und der genauen Speicherungsdauer der Videoaufnahmen der installierten Überwachungskameras.

Europa: Der Betreiber teilt ihr mit, wo die Kameras installiert sind und dass die Aufnahmen nach drei Tagen gelöscht werden. So sieht es die EU-Datenschutzverordnung vor.

Deutschland: Der Betreiber verweigert die erbetene Informationen mit der Begründung, die zuständige Behörde sehe darin eine Gefährdung der öffentlichen Sicherheit und Ordnung.

Ein Versicherungsnehmer verlangt von der Versicherung die Löschung unzulässig gespeicherter Gesundheitsdaten.

Europa: Nach Art. 17 der EU-Datenschutzverordnung hat er ein Recht dazu. Die Versicherung muss die Daten löschen.

Deutschland: Die Versicherung lehnt die Löschung der Daten ab. Gemäß § 33 E-BDSG müsse sie die Daten nicht löschen, denn „wegen der besonderen Art der Speicherung“ sei die Löschung nur mit unverhältnismäßig hohem Aufwand möglich.

 

Exzessive Videoüberwachung

Europa- und verfassungsrechtlich nicht akzeptabel ist auch der deutsche Sonderweg bei der Videoüberwachung: Künftig soll hier – nicht nur für öffentliche Stellen, sondern auch im privatwirtschaftlichen Bereich – die Maxime gelten: Sicherheit geht vor Datenschutz.

Damit soll ein entsprechendes Vorhaben der Bundesregierung fortgeschrieben werden, das auch nach derzeitiger Rechtslage verfassungsrechtlich problematisch ist (vgl. Stellungnahme der EAID zum „Videoüberwachungsverbesserungsgesetz“ v. 6. November 2016)  Die in der Datenschutzgrundverordnung vorgesehene Interessenabwägung müsste so einseitig zu Lasten der Grundrechte erfolgen – ein klarer Verstoß gegen Art. 8 EU-Grundrechtecharta.

 

Beschäftigtendaten

Im Hinblick auf den Beschäftigtendatenschutz begnügt sich das E-BDSG mit einem Minimalprogramm, indem es den alten § 32 BDSG unverändert übernimmt.

Erhebliche Zweifel sind angebracht, ob diese Vorschrift den Vorgaben aus Art. 88 Abs. 2 DSGVO entspricht. Eine solche nationale Regelung soll nämlich „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ umfassen.

Davon findet sich nichts im BMI-Entwurf, der deshalb erneut nicht die Erwartungen an einen dringend erforderlichen modernen Beschäftigtendatenschutz erfüllt. Dies ist besonders bedauerlich, weil im Zuge der Digitalisierung der Arbeitswelt hier klare Grenzen der Datenerfassung und -verwendung immer dringlicher werden.

 

Europarechtsbruch mit Ansage

Schließlich wiederholt der Entwurf an vielen Stellen die Vorgaben der Datenschutzgrundverordnung (DSGVO) und wandelt diese Bestimmungen teils in schwer nachvollziehbarer Weise ab. Damit verstößt der Entwurf gegen das europarechtliche Wiederholungsverbot bei direkt anwendbaren EU-Verordnungen, das Abweichungen des nationalen Rechts von EU-rechtlichen Vorgaben verhindern soll.

Als Randnote sei darauf hingewiesen, dass das neue BDSG am 25. Mai 2018 in Kraft treten soll, dem Datum des Wirksamwerdens der Datenschutzgrundverordnung. Da das „Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“ aber auch die Richtlinie für die Bereiche Justiz und Polizei umsetzen soll, deren Umsetzung bis zum 6. Mai 2018 zu erfolgen hat (Art. 63 Abs. 1 RL (EU) 2016/680), handelt es sich sozusagen um einen Europarechtsverstoß mit Ansage – ein ziemlich einmaliger Vorgang.

EU-Datenschutz: Nach der Reform beginnt die Arbeit

(Anm. d. Verf.: Die Ergebnisse des Trilogs und Synopse der Positionen der EU-Gremien  sind abrufbar unter  http://www.emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/LIBE%282015%291217_1/sitt-1739884)

Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zukünftig ein gemeinsames Datenschutzgesetz, die „Datenschutzgrundverordnung“ (DSGVO). Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“ – Art. 3 Abs. 2)). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen (Art. 79) – das lässt sich nicht mehr aus der Portokasse bezahlen. Schließlich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschwächen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweckänderungen an sehr enge Bedingungen knüpfen.

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausfällt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen können, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erklärt werden muss – lediglich bei den „besonderen Kategorien personenbezogener Daten“ (Art. 9) – etwa über die Gesundheit – wird eine ausdrückliche Einwilligung gefordert, und nicht bloß eine „zweifelsfreie“: (Definition in Art. 2: „’the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;“).

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datenschützer zurück, denn die entsprechenden Vorgaben beschränken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen führen.

Grundsätzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Befürchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbehörden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.

Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO übernommen. Der beschlossene Text enthält aber eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): „In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. …“

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie) – demnächst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europäischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilität anderer europarechtlicher Vorschriften mit der Grundverordnung überprüft werden. Dies gilt insbesondere für die Datenschutzrichtlinie zur elektronischen Kommunikation („ePrivacy-Richtlinie“). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere für Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele müssen überarbeitet werden, manche müssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Beschäftigtendatenschutz zu. Art. 82 DSGVO enthält die Möglichkeit, den Umgang mit Beschäftigtendaten detailliert zu regeln. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“). Bund und Länder müssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden müssen. Schließlich müssen Unternehmen und öffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse müssen initiiert, bestehende Verfahren müssen geändert werden …

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktmäßig mit den Auswirkungen der neuen EU-Datenschutzregelungen beschäftigen. Für 2016 planen wir Workshops für Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.

Mit freundlichen Grüßen, Peter Schaar

Europäischer Datenschutz: Bitte nicht aufweichen!

Die von der Europäischen Kommission vor mehr als drei Jahren auf den Weg gebrachte Datenschutzreform ist zwar noch nicht in „trockenen Tüchern“, aber immerhin ist absehbar, dass zumindest die Datenschutz-Grundverordnung in absehbarer Zeit von den EU-Gremien beschlossen wird. Bei allen Unsicherheiten im Detail bietet sich damit die einmalige Chance, Herausforderungen an das Datenschutzrecht in Angriff zu nehmen und diese mit einer stärkeren europäischen Harmonisierung zu verbinden. Gerade die Kombination dieser beiden Aspekte macht den möglichen Charme der Reform aus. Dies gilt freilich nur, wenn die Harmonisierung auch zu einem möglichst hohen Datenschutzstandard führt und nicht bloß einen kleinsten gemeinsamen Nenner definiert.

Positiv anzumerken ist, dass wesentliche Grundelemente der Datenschutzreform zwischen den EU-Gremien unstreitig sind: Die Einbeziehung von Unternehmen aus Drittstaaten, die in Europa aktiv sind (Marktortprinzip), den Abbau des Datenschutzgefälles zwischen den Mitgliedstaaten und – last but not least – die Stärkung der Datenschutzaufsicht.

Trotzdem gibt es keinen Anlass, sich beruhigt zurückzulehnen und den Ausgang des Trilogs zwischen Kommission, Parlament und Rat abzuwarten. Zum einen haben die Bemühungen von Interessenvertretungen erneut zugenommen, denen die ganze Richtung nicht passt. Bedauerlich ist insbesondere, dass auch manche europäischen Industrievertreter noch nicht verstanden haben, dass ein wirksamer, europaweit harmonisierter Datenschutz in ihrem wohlverstandenen wirtschaftlichen Interesse liegt. Zum anderen gibt es durchaus auch in den EU-Gremien Neigungen, dem Druck solcher Unternehmen – vor allem aus Drittstaaten – nachzugeben, deren Geschäftsmodelle kaum mit einem hohen europäischen Datenschutzniveau kompatibel sind. Zwar ist das Europäische Parlament in seiner Positionsbestimmung überwiegend zu Gunsten des Datenschutzes über den Kommissionsentwurf hinaus gegangen. Dagegen enthält die Richtungsentscheidung des Rats gefährliche Aufweichungen und bleibt sogar an verschiedenen Punkten hinter dem derzeitigen Recht zurück.

Für den Trilog sind insbesondere die folgenden Felder wichtig, in denen – teils erhebliche – Meinungsdivergenzen zwischen den Gremien bestehen. Im Sinne eines wirksamen Datenschutzes müssen hier klare Weichenstellungen getroffen werden:

  • Keine Aufweichung der Zweckbindung. Eine generelle Erlaubnis für Unternehmen oder Behörden, bei „überwiegendem Interesse“ Daten auch für Zwecke zu verwenden, die mit dem Erhebungszweck nicht vereinbar sind, wäre mit der Gewährleistung des Grundrechts auf Datenschutz nicht vereinbar.
  • Die Bürgerinnen und Bürger müssen wirksam vor der Zusammenführung ihrer Daten zu Persönlichkeitsprofilen geschützt werden. Profiling sollte grundsätzlich nur unter Pseudonym zulässig sein, wobei die Pseudonyme möglichst robust und rücknahmefest zu konstruieren sind. Auch bei der Verwendung von Pseudonymen muss der Betroffene umfassend über die Tatsache und die Zwecke des Profiling informiert werden und ihm ggf. widersprechen können. Sensible Daten sollten generell vom Profiling ausgenommen werden. Für den Betroffenen nachteilige, auf automatisierten bzw. überwiegend auf automatisierten Verfahren beruhende Einzelentscheidungen sollten unzulässig sein.
  • Der Datentransfers in Drittstaaten sollte generell nur zulässig sein, wenn ein angemessenes Datenschutzniveau vorliegt, das den Anforderungen der EU-Grundrechtecharta genügt. Gerade die im wesentlichen auf Edward Snowden zurückgehenden Veröffentlichungen über umfassende geheimdienstliche Überwachungsmaßnahmen haben gezeigt, dass die bisherigen Instrumente defizitär sind. Die vom Rat vorgeschlagenen Ausnahmeregelungen für bestehende Adäquanzentscheidungen, etwa für Safe Harbor, im Rahmen von bilateralen Abkommen oder für Verwaltungsvereinbarungen zwischen öffentlichen Stellen wären inakzeptabel.
  • Sektorspezifische nationale Regelungen – etwa zum Gesundheitswesen und zum Beschäftigtendatenschutz – dürfen das durch die GVO festgelegte Mindestniveau des Datenschutzes nicht unterschreiten. Dagegen sollte es den Mitgliedstaaten weiterhin möglich sein, in begründeten Fällen, insb. bei der Verarbeitung sensibler Daten, aber auch bei der behördlichen Datenverarbeitung, weitergehende Schutzvorschriften vorzusehen, damit das durch nationales Verfassungsrecht (z.B. durch die Rechtsprechung des Bundesverfassungsgerichts) garantierte Standards auch weiterhin gewährleistet werden können.
  • Die Verarbeitung personenbezogener Daten auf Basis einer Einwilligung sollte nur zulässig sein, wenn die faktische Freiwilligkeit gewährleistet ist. Im Falle gravierender Machtunterschiede zwischen der verantwortlichen Stelle und dem Betroffenen kann im Regelfall nicht hiervon ausgegangen werden. Die Einwilligung sollte generell ausdrücklich erfolgen und nicht implizit.
  • Die für die Verarbeitung von Daten für statistische und für Forschungszwecke vorgesehenen weit reichenden Sonderregelungen müssen durch besondere Schutzvorkehrungen, insbesondere durch ein wirksames Forschungsgeheimnis, abgesichert werden.
  • Der technologische Datenschutz sollte gestärkt werden. Dazu ist es erforderlich, die Vorgaben zu Privacy by Design, Privacy by Default und zur Datenschutzfolgenabschätzung konkreter und verbindlicher zu fassen. Die Vorgaben zur Vergabe und Verwendung qualifizierter Datenschutz-Gütesiegel sollten verbindlicher formuliert werden.
  • Die unabhängigen Datenschutzaufsichtsbehörden brauchen wirksame Sanktionsmöglichkeiten bei Verstößen, die sich an der wirtschaftlichen Leistungsfähigkeit der Unternehmen orientieren. Angesichts der erheblichen, mit der GVO verbundenen Ausweitung ihrer Aufgaben benötigen sie eine angemessene personelle und sachliche Ausstattung nach einem europaweit verbindlichen Standard. Der aus den Aufsichtsbehörden gebildete Datenschutzausschuss sollte über Streitfragen über die Auslegung der GVO verbindlich entscheiden. Eine Letztentscheidungsbefugnis der Kommission wäre damit unvereinbar.
  • Die Bestellung interner (betrieblicher/behördlicher) Datenschutzbeauftragter sollte in der gesamte EU obligatorisch sein. Ihre unabhängige Stellung sollte rechtlich effektiv abgesichert sein, etwa durch entsprechenden Kündigungsschutz.

(Dieser Bog-Post entspricht einem Beitrag, den ich für die Zeitschrift DANA der Deutschen Vereinigung für Datenschutz e.V. erstelt habe)