EU: Kommission legt umfassenden Reformvorschlag für den Datenschutz vor

von Dr. Axel Spies, veröffentlicht am 25.01.2012

die Europäische Kommission hat soeben das angekündigte Datenschutzpaket veröffentlicht:

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

 Siehe auch das Special auf der ZD-Homepage: http://rsw.beck.de/CMS/?toc=ZD.root&docid=327463 

Die heute eingeleitete Reform umfasst eine Mitteilung über die politischen Ziele der Kommission sowie zwei Legislativvorschläge:

a) Verordnungsvorschlag zur Festlegung eines allgemeinen und in allen Mitgliedstaaten verbindlichen Datenschutz-Rechtsrahmens

b) Richtlinienvorschlag zum Schutz personenbezogener Daten, die zum Zweck der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten und für damit verbundene justizielle Tätigkeiten.

Haben Sie Anmerkungen zu einigen konkreten Vorschriften, wie dem "Recht, Vergessen zu werden" oder dem "Recht auf Datenportabilität" (Bürger sollen auf ihre eigenen Daten einfacher zugreifen können und diese bei einem Wechsel zu einem anderen Dienstleistungsanbieter „mitnehmen" können) ?  

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

6 Kommentare

Kommentare als Feed abonnieren

 

Auf den ersten Blick erscheint mir das Motiv, eine europaweit einheitliche Datenschutzgesetzgebung mittels Vollharmonisierung zu erlassen und die vorherrschende Rechtszersplitterung mit teils verschiedenen Schutzstandarts zu beseitigen, als durchaus legitim.

Unternehmen aus dem Europäischen Ausland, die auf dem innereuropäischen Markt tätig sind, müssten sich fortan nur noch mit einem einheitlichen Datenschutzlevel auseinandersetzen. Auch die Durchsetzbarkeit dieser einheitlichen Vorschriften, im Falle der Verarbeitung der Daten im außereuropäischen Ausland erscheint auf den ersten Blick sinnvoll.

Andererseits wird dadurch jedoch der Wettbewerb der veschiedenen nationalen Rechtordnungen erheblich eingeschränkt. Die angestrebte Gesetzgebung würde zu einem datenschutzrechtlichen Personalitätsprinzip für EU-Bürger führen. Durch den Anspruch der Gültigkeit des EU-Rechts auch bei Datenverarbeitung im Ausland ist es m.E. gut möglich, dass sich manche Unternehmen vom europäischen Markt zurückziehen um den teils doch restriktiven Gesetzen nicht zu unterliegen. Das sehr selbstbewusste Argument von Frau Reding, dies würde nicht geschehen, da sie einen zu wichtigen Teil ihres Marktes verlieren würden  möchte ich nicht gelten lassen. Eine Abschaltung wichtiger Dienste wie z.B. facebook hätte, wie man im Rahmen der kürzlich erfolgten Proteste in den USA bezgl. SOPA und PIPA gesehen hat, mehr als nur Symbolwirkung und könnte audie EU-Kommission unter schweren Druck setzen. 

Auf einem anderen Blatt steht, wie sich die neuen Anforderungen denn umsetzen lassen sollten. Das viel bemühte "right to be forgotten", was innerhalb von 24 h nach Antrag des Nutzers geschehen soll, wäre nach Ansicht der Piraten-Partei technisch mit den heutzutage zur Verfügung stehenden Mitteln nicht umsetzbar; vielmehr attestieren die Piraten der Komission "ein beinahe naives Verständnis von Technik".

 

Beste Grüße aus München 

Hier noch ein interessanter Beitrag von Herrn Dr. Spies der die Auswirkungen des "right to be forgotten" kritisch beleuchtet und auf die teils gravierenden Folgen (zum Beispiel im Rahmen der e-discovery) verweist, die eine solche Maßnahme mit sich bringen könnte.

Das Recht auf Loeschung oder das Recht auf Information bei Missbrauch, wie es von anderen Experten hier hervorgehoben wurde, schadet letztlich dem Datenschutz, weil dabei das ungleich groessere Problem des Verbots einer Generierung von Nutzungsprofilen - bewusst oder unbewusst - ausgeblendet wird.

0

Wenn heute gemeldet wird, Facebook sehe sich als Motor für die europäische Wirtschaft, oder gestern gemeldet wird, Google wolle Nutzungsdaten zusammenführen, so handelt es sich bei der zeitlichen Koinzidenz mit dem europ. Gesetzesvorhaben sicher nicht um einen Zufall.

0

 

Äußerst interessant finde ich, dass ursprünglich, je nach Schwere des Verstoßes, Strafen von bis zu fünf Prozent des weltweiten Umsatzes geplant waren. So zum Beispiel, wenn gegen die Bedingungen zur Verarbeitung besonders sensibler Daten verstoßen wird, den Benachrichtigungspflichten bei Datenzugriff durch Dritte nicht nachgekommen wird oder unzulässiger Weise Daten außerhalb der EU übertragen werden. Dies ging aus Artikel 79 eines Entwurfs vom November letzten Jahres hervor. Jetzt heißt es lediglich: “Member States shall lay down the rules on penalties, applicable to infringements of the provisions adopted pursuant to this Directive and shall take all measures necessary to ensure that they are implemented. The penalties provided for must be effective, proportionate and dissuasive.” (Artikel 55)

 

Zu erwähnen ist vielleicht noch, dass mit der neuen Verordnung die Benachrichtigungspflicht bei einem Bruch der Datensicherheit im Vergleich zur deutschen Vorschrift ausgeweitet wird. So sind unbefugte Datenzugriffe durch Dritte generell binnen 24 Stunden der zuständigen Datenschutzbehörde zu melden (Artikel 28), unabhängig von der Intensität der möglichen Folgen für den Betroffenen. Der deutsche Datenschutz sieht eine solche Meldepflicht nur im Falle schwerwiegender Beeinträchtigungen für den Betroffenen vor, § 42a BDSG. 

Der Einsatz von "Auftragsdatenverarbeitern" im EU Ausland scheint weiterhin eine Datenübermittlung zu sein, die zu rechtfertigen ist. Eine Übermittlung besonderer Arten personenbezogener Daten an Processors in Drittländern (z.B. HR Database, Hosting Provider für Krankenversicherung, etc.) wäre damit in den meisten Fällen unzulässig. Dies würde Cloud Computing weiterhin behindern. Ganz klar scheint mir dieses Thema in der Verordnung aber noch nicht herausgearbeitet zu sein:

Die Verordnung definiert Processor als „natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;” (Ziff. 4(6)). Auch in der Spezialregelung zu Processors (Art. 26) wird kein Unterschied zwischen Processors innerhalb und außerhalb der EU gemacht und die Processor-Eigenschaft auch nicht auf Auftragsdatenverarbeiter innerhalb der EU beschränkt. Wie die “Übergabe” der Daten an einen Auftragsdatenverarbeiter aber zu qualifizieren ist und ob diese überhaupt datenschutzrechtlich relevant sein soll, ist nicht klar. “Transmission” und  “transfer” sind nicht definiert; nur ersterer Begriff ist in der Definition zu “processing” (Art. 4 (3)) gelistet. Damit ist auch nicht klar, ob diese “Übergabe” ein processing ist, die zu rechtfertigen wäre.

Für eine zu rechtfertigende "Übermittlung" an nicht-EU Processors sprechen die Regelungen im Verordnungsentwurf zum angemessenen Datenschutzniveau, die von „transfer to a third country“ sprechen, und offen lassen, ob die empfangende Stelle Controller oder Processor ist. Damit bliebe es bei der derzeitigen Rechtslage: Die „Übergabe“ von Daten an einen nicht-EU Processor ist eine Übermittlung, die nach § 28 BDSG zu rechtfertigen ist. Da bei einer einfachen Processing-Situation keine Sondersituation nach § 28 Abs. 6 ff BDSG vorliegt, wird eine Übermittlung besonderer Arten personenbezogener Daten in der Regel nicht gerechtfertigt sein.

Kommentar hinzufügen