Tag Archives: #EUdataP

ABDSG-Entwurf: Gesetz zur Aufweichung des Bundesdatenschutzgesetzes?

Der Blog „Netzpolitik“ hat heute den Entwurf eines vom Bundesinnenministerium (BMI) erarbeiteten „ABDSG“ veröffentlicht. Schon vor Wochen geisterten entsprechende Meldungen durch Blogs wirtschaftsnaher Anwaltskanzleien und Unternehmensberatungen (etwa dem Hogan-Lovells-Blog v. 24. August 2016), denen der Entwurf offenbar schon sehr frühzeitig bekannt war. Es ist gut, dass nun auch die interessierte Öffentlichkeit den Entwurf kennt.

ABDSG steht für „Allgemeines Bundesdatenschutzgesetz“. Es geht um die Anpassung des Datenschutzrechts des Bundes an die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO), die in knapp zwei Jahren in Kraft tritt.

Während der Verhandlungen zur DSGVO hatte das BMI immer wieder für die Möglichkeit geworben, den Mitgliedstaaten weitgehende Regelungsmöglichkeiten zu belassen. Zur Begründung hatten die jeweiligen Bundesinnenminister Friedrich (CSU)  und de Maizière (CDU) angeführt, ihnen ginge es darum, das „hohe deutsche Datenschutzniveau“ zu erhalten.

Nach der Lektüre des Gesetzentwurfs drängt sich allerdings der Eindruck auf, dem Bundesinnenministerium gehe es weder um eine sinnvolle Umsetzung der EU-Vorgaben noch um die Nutzung von Regelungsspielräumen zum Erhalt eines hohen deutschen Datenschutzniveaus, sondern vorrangig um dessen Absenkung.

Drei Haupttendenzen ziehen sich durch den 79-seitigen Referentenentwurf:

Staatliche Stellen erhalten mehr Befugnisse zur Verarbeitung personenbezogener Daten.

An Stelle spezifischer Vorgaben für die Erhebung, Speicherung, Änderung und Nutzung sollen Generalermächtigungen zur Verarbeitung treten. Spezifische Zweckbindungsregeln sollen durch biegsame Verwendungsregeln abgelöst werden, die den Vorgaben des Bundesverfassungsgerichts (und der DSGVO) Hohn sprechen. Insbesondere bei den Nachrichtendiensten sollen die Schwellen zur Erhebung von Daten weiter abgesenkt werden.

Die Betroffenenrechte und die Kontrollbefungnisse der BfDI werden eingeschränkt, wo immer es die EU-Vorgaben zulassen und teils sogar dort, wo es solche Spielräume nicht gibt.

Gerupft werden sollen Auskunfts-, Informations- und Widerspruchsrechte und den Anspruch auf Löschung der Daten. Auch die Kontrollbefugnisse der Bundesdatenschutzbeauftragten sollen eingeschränkt werden, insbesondere gegenüber dem Verfassungsschutz und dem Bundesnachrichtendienst. Sie soll sich bei Angelegenheiten, welche die Nachrichtendienste betreffen, auch nicht mehr an den Bundestag oder an die parlamentarischen Kontrollgremien wenden dürfen.

Für die Datenverarbeitung durch die Wirtschaft erfindet das BMI neue Ausnahmen

Die Zweckbindung soll auch hier aufgeweicht werden. Zugleich sollen Unternehmen von lästigen Auskunfts- und Löschungspfichten entbunden werden, wenn damit ein „unverhältnismäßiger Aufwand“ verbunden wäre.

Sicher, es gibt auch einige Lichtblicke, aber diese muss man mit der Lupe suchen. So soll das bewährte deutsche System der betrieblichen Datenschutzbeauftragten erhalten bleiben. Zudem gesteht das BMI der Bundesdatenschutzbeauftragten einige neue Stellen zu. Das wars dann aber.

Vor diesem Hintergrund ist es zu begrüßen, dass – wie Netzpolitik berichtet – das Bundesjustizministerium aus verfassungsrechtlichen und handwerklichen Gründen die Notbremse gezogen und die offizielle Versendung des ABDSG-Referentenentwurfs gestoppt hat.

Um es auf den Punkt zu bringen: Ein solches Datenschutzabsenkungsgesetz brauchen wir überhaupt nicht!

Peter Schaar

Europäischer Datenschutz: Ende gut, alles gut?

Nachdem das EU-Reformpaket zum Datenschutz die letzten Hürden genommen hat, müsste man eigentlich erleichtert aufatmen. Die Datenschutz-Grundverordnung hat den Trilog von Rat, Kommission und Parlament überraschend gut überstanden. Auch die überzeugenden Voten im Europäischen Parlament und im Rat waren ein deutliches Signal für die Handlungsfähigkeit Europas beim Datenschutz – eine Handlungsfähigkeit, die man derzeit in anderen Bereichen, etwa der Flüchtlings- und Finanzpolitik, schmerzlich vermisst.

Wesentliche Elemente der von der Kommission angestoßenen Reform, die während des mehr als vierjährigen Verhandlungsmarathons immer wieder in Frage gestellt worden waren, blieben erhalten oder wurden sogar gegenüber dem Entwurfstext stärker akzentuiert. Dies gilt etwa für die Ausdehnung des Anwendungsbereichs auf Anbieter elektronischer Dienste mit Sitz in einem Drittland („Marktortprinzip“, Art. 3 Abs. 3 DS-GVO) oder die sehr deutliche Verschärfung der Sanktionen bei Datenschutzverstößen (Art. 83). Auch die Forderungen nach einer radikalen Aufweichung der Zweckbindung personenbezogener Daten blieben im Ergebnis erfolglos ebenso wie der Versuch, den Anwendungsbereich der europäischen Vorschriften drastisch einzuschränken.

Die Europäische Union hat also die (rechtlichen) Herausforderungen an das Datenschutzrecht angenommen und Konflikte zunächst durchgestanden. Die EU-weite Harmonisierung des Datenschutzrechts erfolgt auf verhältnismäßig hohem Level und schreibt nicht bloß einen kleinsten gemeinsamen Nenner fest.

Durchaus ambivalent ist es hingegen, dass der Verordnungstext den Mitgliedstaaten erhebliche Gestaltungsmöglichkeiten belässt. Dies eröffnet den nationalen Gesetzgebern zum einen die Chance, in bestimmten Bereichen über die in der Verordnung europaweit festgeschriebenen Mindeststandards hinauszugehen bzw. diese zu konkretisieren. Dies ist der Fall etwa beim Schutz von Gesundheitsdaten (Art. 9 Abs. 4 lit. a), beim Beschäftigtendatenschutz (Art. 88) und dies gilt auch für die Regelungen zur obligatorischen Benennung betrieblicher Datenschutzbeauftragter (Art. 37). Andererseits ist zu befürchten, dass die nationalstaatlichen Regelungsspielräume auch dazu herhalten müssen, bestehende Datenschutz-Schwachstellen beizubehalten  – etwa das deutsche Meldegesetz, das eine generelle Meldepflicht mit sehr freizügigen Übermittlungsmöglichkeiten ohne angemessene Zweckbindung kombiniert. Auch in anderen Mitgliedstaaten gibt es solche fragwürdigen Bestimmungen, die so eine zweite Chance bekommen haben.

Die Konferenz der Datenschutzbeauftragte des Bundes und der Länder hat jüngst gefordert, die von der Datenschutz-Grundverordnung eingeräumten nationalen Spielräume im Sinne eines möglichst hohen Datenschutzniveaus zu nutzen. Wem an einem starken deutschen Datenschutz gelegen ist, der kann diese Position nur unterstützen. Manche Äußerungen von Regierungsvertretern, etwa von Bundeswirtschaftsminister Gabriel und Bundesverkehrsminister Dobrint gegen die angeblich weltfremde und wirtschaftsfeindliche Maxime der „Datensparsamkeit“, lassen aber befürchten, dass in dieser Frage noch ein hartes Ringen bevorsteht.

Neues deutsches Zwei-Phasen-Modell?

Das Bundesinnenministerium hat inzwischen angekündigt, die erforderlichen Änderungen des deutschen Rechts in einem Zwei-Phasen-Modell zu realisieren. In einem ersten Schritt sollen die unbedingt erforderlichen Gesetzesänderungen erfolgen; in einem zweiten Schritt sollen dann weitere Anpassungen stattfinden. Zu der ersten Phase soll die Ausgestaltung der Befugnisse der Datenschutzaufsichtsbehörden und die Einpassung ihrer Sanktionsbefugnisse ins deutsche Rechtssystem gehören (Art. 51-59), auch im Hinblick auf den Rechtsschutz der Betroffenen und die gerichtliche Überprüfung der Aufsichtsmaßnahmen. Unbedingt erforderlich ist es auch, die Zusammenarbeit der deutschen Datenschutzbehörden und die Außenvertretung des deutschen Datenschutzes im neu einzurichtenden Europäischen Datenschutzausschuss zu klären. Die Gesetzgebungskompetenz für derartige Zuständigkeitsfragen liegt jedoch nicht ausschließlich beim Bund. Vielmehr muss hier eine gemeinsame Rechtsvorschrift von Bund und Ländern erlassen werden, etwa in Form eines noch auszuhandelnden Staatsvertrags. Schließlich gehört noch die Ausgestaltung des Verhältnisses von Datenschutz einerseits und der Freiheit der Meinungsäußerung und Informationsfreiheit andererseits (Art. 85 DS-GVO) zum Pflichtprogramm.

Das vom Bundesinnenministerium angekündigte Phasenmodell löst bei mir negative Assoziationen aus, erinnert es doch an die im Jahr 2000 ebenfalls in zwei Phasen angekündigte grundlegende Modernisierung des deutschen Datenschutzrechts: Nahezu sämtliche angekündigten, etwas ambitionierten Änderungen bleiben dabei auf der Strecke, denn die versprochene zweite Phase hat es nie gegeben. Auch damals saßen die Erfinder im Bundesinnenministerium.

Kompetenzfragen als Machtfragen

Bekanntlich gehören Kompetenzfragen zu den am schwierigsten zu lösenden Problemen. Anders als die bisherige Artikel-29-Gruppe wird der Europäische Datenschutzausschuss (Art. 60-67) im Falle eines Dissenses zwischen Datenschutzbehörden entscheiden. Dagegen bleibt es den Mitgliedstaaten überlassen, die jeweiligen Zuständigkeiten und die Außenvertretung der Datenschutzbehörden abzugrenzen, wenn – wie in Deutschland – mehr als eine Datenschutzbehörde eingerichtet wurde.

Eine Weile hatte man den Eindruck, Datenschutz sei aus Sicht der Politik ein gestriges Thema, von dem man sich am besten fern hält. Seit einiger Zeit hat sich der Wind aber gedreht: Niemand kann heute ernsthaft bestreiten, dass der Datenschutz eng mit der Digitalisierung der gesamten Gesellschaft verbunden ist und dass mit der datenschutzrechtlichen Kompetenzverteilung auch darüber entschieden wird, wer die Weichen in die Informationsgesellschaft stellt.

Das Bundesinnenministerium scheint davon auszugehen, dass die allermeisten datenschutzrechtlichen Spezialgesetze zunächst nicht geändert werden müssen. Ich halte diese Position für risikoreich: Zwar ist es richtig, dass die Grundverordnung für bestimmte Felder, insbesondere im Bereich der staatlichen Datenverarbeitung, weiterhin Regelungsspielräume enthält. Anderseits muss auch in diesen Bereichen die Einhaltung der europäischen Standards gewährleistet sein. Dies gilt zum Beispiel für das Sozialrecht: So sind im zehnten Buch des Sozialgesetzbuchs (SGB X) die derzeitigen Regelungen des Bundesdatenschutzgesetzes praktisch gedoppelt – etwa im Hinblick auf die Anforderungen an die Auftragsdatenverarbeitung. Es ist kaum vorstellbar, dass diese unverändert Bestand haben können, ohne bei den Rechtsanwendern zu unlösbaren Konflikten zu führen. Vergleichbare Konstellationen gibt es auch in vielen anderen Bereichen.

Betrieblichen Datenschutz und Beschäftigtendatenschutz nicht auf lange Bank schieben

Besonders intensiv waren die Diskussionen vor der Verabschiedung der Datenschutzgrundverordnung über die betrieblichen Datenschutzbeauftragten und über den Beschäftigtendatenschutz. In beiden Bereichen haben die Mitgliedsstaaten weiterhin Gestaltungsspielraum.

Bei den betrieblichen Datenschutzbeauftragten hatte Bundesregierung in letzter Sekunde im Trilog eine nationale Öffnungsklausel (Art. 37 Abs. 4) durchgesetzt, die das derzeitige deutsche Modell großenteils bewahren könnte – vorausgesetzt, eine entsprechende deutsche Bestimmung wird rechtzeitig – vor dem Inkrafttreten der DS-GVO in zwei Jahren – beschlossen. Nimmt man die Absicht des Bundesministeriums beim Wort, zunächst nur das „Unabweisbare“ gesetzlich neu zu regeln, dann würden die Regeln zum betrieblichen Datenschutzbeauftragten nicht dazu gehören.

Beim Datenschutz im Beschäftigungsverhältnis (Art. 88) stellt sich nicht nur die Frage nach einem deutschen Beschäftigten-Datenschutzgesetz. Auch die Zukunft der bisherigen Regelung des § 32 BDSG zum Umgang mit Beschäftigtendaten steht zur Disposition. Schon sind aus der Wirtschaft Warnungen zu vernehmen, hier einen „deutschen Sonderweg“ einzuschlagen. Es ist leider zu befürchten, dass derartige Meinungsäußerungen in der Politik ohne Wirkung bleiben werden. Angeblich soll es zwischen den Regierungsfraktionen der CDU/CSU und der SPD schon verabredet zu sein, in dieser Legislaturperiode auf ein Beschäftigtendatenschutzgesetz zu verzichten – ein klarer Bruch der Zusagen aus dem Koalitionsvertrag.

Anmerkung: Dieser Beitrag ist für das demnächst erscheinende Schwerpunktheft der Datenschutz-Nachrichten (DANA) vorgesehen, das sich mit der EU-Datenschutzreform beschäftigt.

Wearables und Gesundheits-Apps: Gesünder ohne Datenschutz?

Von Peter Schaar

Den folgenden Beitrag habe ich anlässlich der Veranstaltung des BMJV und des BITKOM e.V. zum Safer Internet Day am 9. Februar 2016 verfasst, die sich unter dem Titel „Am Puls der Zeit? Wearables und Gesundheits-Apps“ mit Datenschutzfragen beschäftigt, die durch digitale Fitnessmesser aufgeworfen werden.

Die digitale GSmartphoneesundheitswelle, die aus dem Silicon Valley auch nach Europa schwappt, unterspült manchen Deich, den die EU zum Schutz der Privatsphäre ihrer Bürgerinnen und Bürger um den europäischen Binnenmarkt errichtet hat. Und sie konfrontiert uns einmal mehr mit der Frage, ob derartige Schutzanlagen angesichts umfassender Digitalisierung noch zeitgemäß sind.

Besonders hip sind Fitness-Armbänder und andere Gadgets, die Schritte zählen, zurückgelegte Wege messen, Puls und Schlafgewohnheiten aufzeichnen. Die Datenauswertung übernehmen sog. Gesundheitsapps, die auf dem Smartphone oder Tablet-Computer installiert werden.

Nun kann man darüber streiten, ob diese Systeme der Gesundheit wirklich dienen und ob die individuelle digitale „Selbstoptimierung“ tatsächlich so viel bringt, wie es die Anbieter versprechen. Auch ich habe da meine Zweifel – schließlich habe ich hier einen Selbstversuch unternommen und einige Monate lang ein Fitnessarmband ausprobiert, leider ohne erkennbaren Erfolg. Aber wahrscheinlich mangelt es mir einfach an Selbstdisziplin.

Was geschieht mit den Fitness-Daten?

Unabhängig vom gesundheitlichen Aspekt stellt sich die Frage, was mit den Daten geschieht, die in immer größerer Zahl anfallen, wenn alle möglichen Vitalfunktionen digital gemessen werden. In den meisten Fällen bleiben diese Daten, die immer detaillierter Auskunft über die Gesundheit der Nutzer geben, nicht in den Fitnessarmbändern, Smartwatches, Smartphones und Tablet-Computern, sondern sie wandern in die Cloud, wo sie von den Anbietern ausgewertet werden. Daher kommen auch die Ratschläge zur Selbstoptimierung – angeblich zum einzelnen Nutzer passende Tipps für besseren Schlaf, gesündere Ernährung oder sonstiges Verhalten. Meist kommen – wie bei den Amazon-Vorschlagslisten für geeigneten Lesestoff – Big Data-Verfahren zum Einsatz, bei denen die individuellen Messergebnisse mit den riesigen Mengen insgesamt erhobener Daten aller Nutzer verknüpft werden, um so bestimmte Verhaltensmuster zu erkennen.

Diese Personalisierten Tipps bilden allerdings nur die sprichwörtliche Spitze eines Eisbergs der Informationsverarbeitung. Was mit den Daten sonst noch in der Cloud passiert, ist für die Nutzer praktisch undurchschaubar. Auch ein Blick in die Nutzungsbedingungen und „Datenschutzerklärungen“ hilft da vielfach kaum, denn häufig wird die Datenverwendung nur sehr kryptisch oder allgemein beschrieben, so dass niemand wirklich etwas damit anfangen kann. Bisweilen erfährt der verwunderte Nutzer immerhin, dass er mit dem Kauf und der Verwendung eines Fitnessarmbands alle Nutzungsrechte der Daten an den Anbieter abgetreten hat und dass er darin einwilligt, die Daten überall in der Welt – auch in Staaten ohne jeglichen Datenschutz – zu verarbeiten. Deshalb sei jedem ein Blick in diese Erklärungen empfohlen, ehe er oder sie den Anbietern die durchaus sensiblen Gesundheitsdaten anvertraut.

Schlafgewohnheiten – auch für Freunde und Chefs interessant?

Problematisch ist auch, dass vielfach eine Anmeldung bei dem jeweiligen Dienst unter dem „Realnamen“ erforderlich ist und dass nicht etwa – wie im deutschen Telemediengesetz ausdrücklich gefordert – die Verwendung eines Pseudonyms ausreicht. Automatisch werden dann bisweilen die E-Mail-Adresse und andere Identifikationsmerkmale mit Social Network-Accounts abgeglichen und die eigenen Werte automatisch mit „Freunden“ oder „Followern“ geteilt. Nicht jedem Nutzer ist bewusst, dass dieses Sharing im Hintergrund stattfindet und so auch Arbeitskollegen, Nachbarn oder andere von Aufenthaltsorten, Fitnessübungen und Schlafgewohnheiten erfahren. Und nicht jedem ist es recht, nach der Genesung vom Chef darauf angesprochen zu werden, wie denn der lange, anstrengende Spaziergang mit der (angeblichen) ernsten Krankheit zu vereinbaren war, für die man krankgeschrieben war.

Schließlich sind die so gewonnenen Daten von erheblichem wirtschaftlichen Wert: Nicht nur für Sportartikelhersteller, sondern auch für Pharmaunternehmen, Versicherungen und Auskunfteien. Welche Unternehmen die Informationen erhalte, wie sie mit den Daten umgehen und für welche Zwecke sie die Daten nutzen, bleibt dem Nutzer regelmäßig verborgen.

Gesundheit ist kein Vorwand für Persönlichkeitsprofile

Um auf den Datenschutz zurückzukommen: Natürlich ist nichts dagegen einzuwenden, wenn Menschen anstreben, sich gesünder zu ernähren oder mehr zu bewegen und dass sie sich dabei elektronischer Hilfsmittel bedienen, die ihnen vielleicht helfen, ihre Vorsätze umzusetzen. Nicht in Ordnung ist es aber, wenn Unternehmen die Hard- und Software dazu verwenden, hinter dem Rücken der Betroffenen an deren höchstpersönliche Daten zu gelangen, sie zu Profilen zusammenzuführen und ggf. zu verkaufen.

Schon heute sind für den Umgang mit persönlichen Daten gesetzliche Vorgaben zu beachten, insbesondere das Bundesdatenschutzgesetz. Manche Gesundheits-App-Anbieter meinen, nicht an diese Vorgaben gebunden zu sein, weil sie ihre Dienste aus dem Ausland oder aus Übersee anbieten. Das neue EU-weite Datenschutzrecht stellt sicher, dass zukünftig überall im Europäischen Wirtschaftsraum dieselben Datenschutzregeln gelten. Höchstpersönliche Gesundheitsdaten dürfen nur mit ausdrücklicher Einwilligung der Betroffenen erhoben und nur zu genau festgelegten Zwecken verwendet werden. Diese Regeln gelten für alle Unternehmen, die in Europa ihre Dienste anbieten, egal wo die Datenverarbeitung stattfindet. Wer sich nicht daran hält, muss empfindliche Bußgelder – bis zu 4% des Weltjahresumsatzes – fürchten.

Gerade bei Gesundheitsdaten ist Datenschutz ein Wettbewerbsvorteil

Gesundheitsdaten zählen zu den sensibelsten Informationen überhaupt. Nachhaltiger wirtschaftlicher Erfolg wird In diesem Bereich nur jenen digitalen Geschäftsmodellen beschieden sein, die dies berücksichtigen. Deutsche und europäische Anbieter von Fitness-Apps haben die Chance, durch vorbildlichen Umgang mit den ihnen anvertrauten Daten einen Vertrauensvorsprung zu gewinnen. Gerade hier besteht die Chance, dass guter Datenschutz zu einem Wettbewerbsvorteil wird.

Unabhängig davon sei aber jedem Nutzer geraten, Fitness-Apps umsichtig zu verwenden. Ansonsten läuft man Gefahr, sich später über den laxen Umgang mit sensiblen Daten krank zu ärgern.

The New EU General Data Protection Regulation – A First Assessment

The results of the trilogue of the EU institutions (European Parliament, Commission and Council) on the data protection reform package is an important milestone on the way into the global information society. The General Data Protection Regulation (GDPR) will replace 28 different data protection laws of the Member States.

The reach of the new legal framework extends beyond the European Union. Even companies with headquarters outside the EU will have to comply with the GDPR so far they are doing business in EU Member States and process data generated here (article 3 para. 2). Compliance with the rules is monitored by independent data protection authorities, which all have in future same, effective sanction powers. In cases of serious infringements they may impose fines up to up to 4% of the global annual turnover against the respective companies (art. 79). It has to be highlighted, that a number of last minute attempts have failed to mitigate or weaken the new privacy requirements in central points, such as on scope of the regulation or the purpose limitation rules.

Nevertheless, there are also areas where the result is less positive than hoped for. Thus, the EP has not been completely successful in the requirements on individual consent to the processing of personal data (‚the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative, signifies agreement to personal data relating to them being processed“ – article 4 para 8). Explicit consent is only required if censent refers to „special categories of personal data“ (article 9) – such as health data or genetic information. Also the rules on profiling lag behind the demands of privacy advocates. The relevant provisions are limited to decisions based solely on automated processing, which produce legal effects concerning the data subject or similarly significantly affects him or her (article 20).

During the negotiations critics – in particular from Germany – complained the GDPR would weaken or undermine the data protection requirements defined by national law. Today we can say, this fear did not realize, at least in general. Only in specific areas the new legal requirements are lagging behind the present national laws, for example with regard to the more stringent data protection provisions for Internet services of the German Telemedia Act. On the other hand, the German data protection level is just here high only in theory, but not de facto. This became evident from the example Facebook: German data protection authorities have failed with lawsuits against the company with European headquarters is located in Dublin – to undertake to comply with the German data protection rules. However, every company that does business in Europe in future must comply with the new single European data protection law. This is real progress, even if the GDPR in certain areas lagging behind the national law. In addition, there are other areas – such as the Federal Citizens Registration Act – where data protection requirements of new EU regulation are stricter than the present German legislature. The unconditional dissemination of public register data on request to everybody is not compatible any more with European law and must be terminated.

Light and shadow there is also in the rules on the internal data protection officer (DPO). On the one hand, article 35 obliges public authorities and government agencies – except for courts acting in their judicial capacity – to designate a DPO. Also those private companies have to designate a DPO, whose „core activities consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and stematic monitoring of data subjects on a large scale“ or with core activities consisting „of processing on a large scale of special categories of  data pursuant to Article 9 and data relating to criminal convictions and offences“. However, the significantly more stringent requirements of the German Federal Data Protection Act on DPOs have not completely been included in the GDPR. At least the adopted text allows the national legislators to stick to the mandatory designation of DPO (article 35 (4): „in cases other than those referred to in paragraph 1, the controller or processor … may or, where required by Union or Member State law shall, designate a data protection officer …“) .

Even if, as expected, the provisions now adopted – the GDPR and the Directive on data protection for police and justice – will soon pass the formal EU legislative procedure, a lot of work has to be done at European and at national level prior to their entry into force 2018: At EU level the compatibility of other legal provisions with the GDPR has to be reviewed. This particularly applies to the directive on data protection in electronic communications („ePrivacy Directive“). Governments and parliaments of the Member States are requested to review their national law. This applies in particular for Germany with its numerous sector specific data protection provisions. Many laws need to be revised, some need to be eliminated. A special mission coming to the national legislators is the processing of personal data in the employment context. Article 82 GDPR provides the national legislators with  competence to regulate the handling of employee data in detail. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“).
National regulators have also to deal with the question of how far the legal provisions for data processing for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties need to be adapted to the requirements of the new Data Protection Directive for police and justice.

Finally, businesses and public authorities have to adapt their practices to the new rules. New processes and procedures have to be designed, existing procedures need to be changed …

The European Academy for Freedom of Information and Data Protection (EAID), Berlin, will focus in the coming years on the impact of new EU data protection rules. For 2016 we are planning workshops for decision-makers in business, politics and administration on implementation of the new EU rules and on needs for revision of national legislation.