Tag Archives: Justiz

Doppelschlag beim Europäischen Datenschutz

Europäisches Parlament beschließt Datenschutzreform – „Privacy Shield“ fällt bei Datenschützern durch

Um Europa ist es derzeit nicht besonders gut bestellt – so kann man es in den letzten Monaten fast täglich in der Presse lesen. Allerdings gibt es einen Bereich, für den dies derzeit nicht gilt: Den Schutz personenbezogener Daten. In diesen Tagen sind es gleich zwei große Themen, die – jedes für sich genommen – für die Zukunft des Europäischen Datenschutzes von großer Bedeutung sind.

Neuer EU-Datenschutz …

Mit seiner abschließenden Abstimmung wird das Europäische Parlament am 14. April den Weg frei machen für eine nahezu vollständige Überarbeitung des Datenschutzrechts in der Europäischen Union. Das zur Abstimmung stehende Datenschutzpaket besteht aus zwei Rechtsakten:

Die „Datenschutzgrundverordnung“ tritt an die Stelle der bisherigen Datenschutzgesetze der 28 EU-Mitgliedstaaten. Zukünftig gilt – nach einer Übergangsfrist von zwei Jahren – für die desamte EU ein gemeinsames Datenschutzgesetz. Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen.

Die Datenschutzrichtlinie für Polizei und Justiz legt lediglich einen datenschutzrechtlichen Mindeststandard fest. Die Richtlinie entfaltet – anders als die Grundverordnung – keine direkte Wirkung auf die Mitgliedstaaten. Sie muss von diesen in nationales Recht umgesetzt werden. In Deutschland sind Bund und Länder gehalten, die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie anzupassen. Dafür haben sie zwei Jahre Zeit.

Der Reformprozess ist mit dieser Entscheidung allerdings noch nicht abgeschlossen: Zum einen sind die Mitgliedstaaten gehalten, ihre Gesetze den neuen Vorgaben anzupassen und insbesondere an den Schnittstellen zu anderen Rechtsgebieten, etwa beim Sozialrecht, dafür zu sorgen, dass die neuen europarechtlichen Regelungen mit Leben gefüllt werden. Zum anderen verbleiben den nationalen Gesetzgebern auf wichtigen Feldern erhebliche Gestaltungsspielräume, nicht nur bei Polizei und Justz, sondern auch bei Arbeitnehmer- und Gesundheitsdaten und bei dem Balanceakt zwischen Datenschutz und Meinungsfreiheit.

Zweifel am Privacy Shield

Das zweite große Thema ist das sog. „Privacy Shield“, jenem Nachfolgesystem zu dem Safe Harbour Arrangement, das der Europäische Gerichtshof am 6. Oktober 2015 annulliert hat. Seither ist die Übermittlung von personenbezogenen Daten in die USA durch mehr als 4.500 Unternehmen, die in dem vermeintlich sicheren Hafen geankert hatten, ohne Rechtsgrundlage. Einen zeitlichen Aufschub genießen noch jene Unternehmen, die alternative Instrumente zum Nachweis eines angemessenen Datenschutzes beim Empfänger verwenden, sog. „Srtandardvertragsklauseln“ oder verbindliche Unternehmensregeln (Binding Corporate Rules – BCR).

Unmittelbar nach dem unerwartet harschen Urteil des höchsten EU-Gerichts begann die Europäische Kommission mit Verhandlungen mit der US-Regierung über ein Nachfolgeabkommen. Am 2. Februar 2016 meldeten die Verhandlungspartner Erfolg: Man habe eine politische Einigung erzielt. Das Nachfolgeabkommen solle „Privacy Shield“ heißen und sehr viel besseren Datenschutz garantieren als das einkassierte Safe Harbour-System. Die Erklärung hatte allerdings einen entscheidenden Haken: Außer den Verhandlungspartnern kannte niemand die vereinbarten Texte. Erst am 29. Februar bekamen die Öffentlichkeit und die zur fachlichen Beurteilung aufgerufene Artikel 29-Gruppe der Datenschutzbeauftragten der EU-Staaten die Gelegeneheit, die zwischen der Europäischen Kommission und dem US-Handelsministerium verhandelten Bedingungen zu prüfen.

Die Datenschützer äußerten sich am 13. April 2016 kritisch zu dem Privacy Shield: In ihrer umfänglichen, bisher lediglich in englisch vorliegenden Stellungnahme erklären sie, dass der Privacy Shield zwar in verschiedenen Bereichen deutliche Verbesserungen gegenüber dem Safe Harbour Arrangement enthalte. Andererseits gebe es aber auch erhebliche Defizite, verglichen mit den vom Europäischen Gerichtshof aufgestellten Maßstäben. Damit garantiere das Privacy-Shield derzeit kein Datenschutzniveau, das – entsprechend der Vorgaben des EuGH-Urteils vom 06.10.2015 – dem in der Europäischen Union »der Sache nach gleichwertig« sei.

Im Detail haben die amtlichen Datenschützer Zweifel and er Unabhängigkeit der für die Aufsicht über die US-Sicherheitsbehörden eingerichteten Ombudsperson, der unzureichenden Begrenzung der Speicherungsfristen für übermittelte Daten und der weiterhin möglichen Massenüberwachung europäischer Bürgerinnen und Bürger. Die Zweckbindungsregeln seien zu unscharf. Ein – im EU-Recht vorgesehenes – Widerspruchsrecht der Betroffenen gegen automatisierte Einzelentscheidungen fehle. Zudem seien die Regelungen zur Weiterübermittlung von in die USA transferierten Daten an Drittstatten unzulänglich.

Die Datenschutzgruppe fordert die Europäische Kommission auf, in diesen Punkten nachzuverhandeln. Die Kommission ist zwar nicht formell an dieses Votum der Datenschutzbeauftragten gebunden. Sie täte aber gut daran, deren Bewertung sehr ernst zu nehmen. Über kurz oder lang wird auch die neue Vereinbarung vor dem Europäischen Gerichtshof landen. Es wäre nicht bloß eine Blamage für die Kommission, wenn sie hier erneut von den Richtern korrigiert würde. Mehr noch: Dies wäre ein sehr schlechtes Signal für die EU insgesamt, die ja derzeit ohnehin ein gravierendes Glaubwürdigkeitsdefizit aufweist.

Mit freundlichen Grüßen, Peter Schaar

EU-Datenschutz: Nach der Reform beginnt die Arbeit

(Anm. d. Verf.: Die Ergebnisse des Trilogs und Synopse der Positionen der EU-Gremien  sind abrufbar unter  http://www.emeeting.europarl.europa.eu/committees/agenda/201512/LIBE/LIBE%282015%291217_1/sitt-1739884)

Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zukünftig ein gemeinsames Datenschutzgesetz, die „Datenschutzgrundverordnung“ (DSGVO). Beachten müssen es nicht nur die hier ansässigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung außerhalb der EU haben, aber hier geschäftlich tätig sind („Marktortprinzip“ – Art. 3 Abs. 2)). Die Einhaltung der Regeln wird von unabhängigen Datenschutzbehörden überwacht, die sämtlich über dieselben, wirksamen Sanktionsmöglichkeiten verfügen. Bei schweren Verstößen können Sie Bußgelder in Höhe von bis zu 4% des Jahresumsatzes verhängen (Art. 79) – das lässt sich nicht mehr aus der Portokasse bezahlen. Schließlich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschwächen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweckänderungen an sehr enge Bedingungen knüpfen.

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausfällt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen können, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erklärt werden muss – lediglich bei den „besonderen Kategorien personenbezogener Daten“ (Art. 9) – etwa über die Gesundheit – wird eine ausdrückliche Einwilligung gefordert, und nicht bloß eine „zweifelsfreie“: (Definition in Art. 2: „’the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;“).

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datenschützer zurück, denn die entsprechenden Vorgaben beschränken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen führen.

Grundsätzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Befürchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbehörden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das häufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Geschäfte macht, muss sich an die einheitlichen europäischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europäischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zurückbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.

Licht und Schatten gibt es schließlich auch bei der Bestimmung über die betrieblichen bzw. behördlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngeschäft in der Überwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO übernommen. Der beschlossene Text enthält aber eine Öffnungsklausel, die es dem deutschen Gesetzgeber ermöglicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): „In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. …“

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie für Polizei und Justiz (JI-Richtlinie) – demnächst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europäischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilität anderer europarechtlicher Vorschriften mit der Grundverordnung überprüft werden. Dies gilt insbesondere für die Datenschutzrichtlinie zur elektronischen Kommunikation („ePrivacy-Richtlinie“). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere für Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele müssen überarbeitet werden, manche müssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Beschäftigtendatenschutz zu. Art. 82 DSGVO enthält die Möglichkeit, den Umgang mit Beschäftigtendaten detailliert zu regeln. („Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, …“). Bund und Länder müssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen für Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden müssen. Schließlich müssen Unternehmen und öffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse müssen initiiert, bestehende Verfahren müssen geändert werden …

Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktmäßig mit den Auswirkungen der neuen EU-Datenschutzregelungen beschäftigen. Für 2016 planen wir Workshops für Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.

Mit freundlichen Grüßen, Peter Schaar