Datenschutz-Grundverordnung

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Flagge der Europäischen Union
Basisdaten der
Verordnung 2016/679
Titel: Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
Kurztitel: Datenschutz-Grundverordnung
Rechtsnatur: Verordnung
Geltungsbereich: Europäische Union
Rechtsmaterie: Datenschutzrecht
Veröffentlichung: 4. Mai 2016
Inkrafttreten: 24. Mai 2016
Bitte beachte den Hinweis zur geltenden Gesetzesfassung!

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Die Datenschutz-Grundverordnung ist Teil der beabsichtigten EU-Datenschutzreform, welche die Europäische Kommission am 25. Januar 2012 vorgestellt hatte.[1][2]

Mit der Verordnung sollen das Recht auf Vergessenwerden und das Recht auf Datenportabilität eingeführt werden. Sie soll auch für Unternehmen gelten, die ihren Sitz außerhalb der Europäischen Union haben, sich mit ihren Angeboten aber an EU-Bürger wenden. Betroffen davon wären unter anderem US-amerikanische Unternehmen wie Facebook und Google, die dem Safe Harbor-Abkommen unterfielen. Das Engagement der Europäischen Kommission für die Datenschutz-Grundverordnung wurde daher zugleich als Scheitern von Safe Harbor interpretiert.[3]

Die Datenschutz-Grundverordnung wurde am 14. April 2016 vom EU-Parlament beschlossen und ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG (Datenschutzrichtlinie). Gemäß Artikel 99 tritt die Datenschutz-Grundverordnung am 20. Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft; angewandt werden die in ihr enthaltenen gesetzlichen Regelungen ab dem 25. Mai 2018. Im Gegensatz zur Richtlinie 95/46/EG, die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedstaaten. Den Mitgliedstaaten wird es daher nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings existieren im Verordnungstext an diversen Stellen sogenannte Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln, vgl. Art. 23 der Datenschutz-Grundverordnung.

Kritik[Bearbeiten | Quelltext bearbeiten]

Experten warnen, dass die Datenschutz-Grundverordnung den Datenschutz insofern schwäche, als der aktuelle Entwurf beispielsweise den internen Datenschutzbeauftragten und interne Dokumentationspflichten nur bei Unternehmen über 250 Mitarbeitern vorsieht. Kleinere Unternehmen müssten dann keine entsprechenden Schutzmechanismen vorhalten.[4]

Der Berufsverband der Datenschutzbeauftragten – BvD – rechnet damit, dass die Abschaffung des internen Datenschutzbeauftragten zu Kostensteigerungen aufgrund wachsender Bürokratie führen würde. Unternehmen müssten intern eine Stelle für die Behördenkommunikation einrichten und bei der Einführung von neuer Software mit Verzögerungen rechnen, weil die Landesämter für Datenschutz personell nicht gut genug ausgestattet seien. 66 unabhängige Verbraucher- und Datenschutzorganisationen forderten Jean-Claude Juncker im April 2015 auf, den "Gold Standard des europäischen Datenschutzes" zu erhalten.[5]

Andererseits wird das Institut der Weitergabe von Verbraucherdaten an Konkurrenten (Datenportabilität) nicht nur Anbieter wie Facebook betreffen, sondern auch für kleinere Unternehmen gelten.[4]

Der deutsche Bundesrat erhob am 30. März 2012 Subsidiaritätsrüge gegen den Verordnungsvorschlag. Die Länderkammer ist der Auffassung, dass der Vorschlag mit dem Subsidiaritätsprinzip nicht im Einklang stehe und deshalb gegen Artikel 5 Absatz 3 EUV verstoße.[6] Nach dieser Vorschrift darf die Europäische Union in den Bereichen, die nicht in ihre ausschließliche Zuständigkeit fallen, nur tätig werden, sofern und soweit die Ziele der in Betracht gezogenen Maßnahmen von den Mitgliedstaaten nicht ausreichend verwirklicht werden können, sondern wegen ihres Umfangs oder ihrer Wirkungen auf EU-Ebene besser zu verwirklichen sind.

Von vielen Seiten wurde auch die oft vage und unklare Formulierung des Entwurfs kritisiert. Im Entwurf sollen auch viele elementare Regelungen nicht in der Grundverordnung, sondern in "delegierten Rechtsakten" durch die EU-Kommission eingefügt werden.

Im Verhandlungsbeschluss des Europäischen Parlaments waren die Kritikpunkte bereits weitgehend ausgeräumt.[7] Nachdem aber die ursprünglich angenommenen Datenschutzaspekte der Verordnung nach einem Pressebericht vom März 2015 von der zuständigen Arbeitsgruppe der EU in großen Teilen aufgeweicht wurden, kam es zu erneuter Kritik. So wird in einem Positionspapier der Arbeitsgruppe der Industrie das Sammeln von personenbezogenen Daten ohne festgelegte Zwecke erlaubt, ebenso wie die Weitergabe dieser Daten an Dritte.[8]

Der BvD bemängelt, dass es für den Datentransfer aus der EU in Drittstaaten (z.B. USA) keine klaren Regeln gibt und fordert eine europaweite Bestellung betrieblicher Datenschutzbeauftragter.[9]

Lobbying[Bearbeiten | Quelltext bearbeiten]

Rund um die Verhandlungen der Datenschutz-Grundverordnung kritisierten EU-Abgeordnete massives Lobbying von Seiten der US-Regierung und von US-amerikanischen IT-Unternehmen. Technologieunternehmen aus den USA fürchten demnach den negativen Einfluss der Verordnung auf ihre Niederlassungen in Europa und übten entsprechenden Druck auf die Regierung von US-Präsident Obama aus. So forderte der amerikanische EU-Botschafter William E. Kennard in einer Rede in Brüssel am 4. Dezember 2012, dass die zentralen Forderungen der Verordnung gestrichen werden müssen: das Löschen sämtlicher Daten einer Person aus den Konzerndatenbanken auf Wunsch und die ausdrückliche Einverständniserklärung einer Person, bevor ihre Daten überhaupt gesammelt werden dürfen.[10]

Von amerikanischen Unternehmen wird ein California Effect durch die EU-Gesetzgebung befürchtet. Ähnlich wie strengere Gesetze in Kalifornien den Mindeststandard in den USA anheben, wird erwartet, dass die höheren Standards in der EU das Datenschutzniveau für alle weltweit operierenden Unternehmen anheben würden. Während bisher in den USA lediglich Finanz- und Gesundheitsdaten einem gewissen Datenschutz unterliegen,[10] ist die Erfassung und das Zusammenführen sämtlicher anderer gesammelter Daten und deren unbegrenzte Aufbewahrung durch Privatkonzerne erlaubt. Amerikanische Bürgerrechtsorganisationen erhoffen sich eine Steigerung des Standards in den USA und unterstützen daher die Pläne in der EU.

Die Plattform LobbyPlag.eu zeigt, dass viele Abänderungsanträge von Abgeordneten im EU-Parlament wortgleich aus Lobbypapieren von Unternehmen wie Amazon, eBay, der Lobbygruppe "Digital Europe"[10] mit den Mitgliedern Google, Microsoft, Cisco, Intel, IBM, Oracle, Texas Instruments und Dell oder von der US amerikanischen Handelskammer übernommen wurden. Unter anderem waren dies die Abgeordneten Malcolm Harbour (ECR), Andreas Schwab (CDU/EPP), Klaus-Heiner Lehne (EPP) oder Marielle Gallo (EPP). Andererseits weist die Plattform auch auf wortgleiche Übernahmen aus den Unterlagen von Datenschutzorganisationen wie Bits of Freedom und EDRi durch Abgeordnete wie Amelia Andersdotter oder Eva Lichtenberger der EFA hin.[11]

Im zuständigen LIBE-Ausschuss des EU-Parlaments wurden schlussendlich über 3100 Abänderungsanträge gegenüber dem Entwurf der EU-Kommission eingebracht. Generell setzten sich die meisten sozialdemokratischen und grünen Abgeordneten für eine Verstärkung oder Präzisierung des Entwurfs ein, während sich die meisten konservativen und liberalen Abgeordneten für eine Lösung im Sinne der IT-Wirtschaft starkmachten.

Lobbyplag erarbeitete eine Liste der Abgeordneten, die, gemessen an den von ihnen eingebrachten Änderungsanträgen, am nachdrücklichsten für weniger Datenschutz, und derjenigen, die für mehr Datenschutz eintraten. Stand Anfang Juni 2013, brachte sich für die Aufweichung des Datenschutzes demnach Axel Voss der EPP/CDU am stärksten ein, bei der Stärkung des Datenschutzes sah man Jan Philipp Albrecht der EFA/Die Grünen an erster Stelle. Beide hatten in der Summe je 147 Änderungsanträge zugunsten der Abschwächung, beziehungsweise Stärkung des Datenschutzes eingebracht.[12]

Unter Druck durch Teile der heimischen Industrie, die fürchteten im globalen Wettbewerb Nachteile durch die Grundverordnung zu erleiden, argumentieren auch Vertreter des Deutschen Innenministeriums, dass das Recht auf informationelle Selbstbestimmung einem harmonisierten Wettbewerb entgegenstünde.[13]

Verfahren[Bearbeiten | Quelltext bearbeiten]

Nach langen Verhandlungen scheiterte ein Entwurf der irischen Ratspräsidentschaft im Juni 2013 im Rat der Europäischen Union. Unter anderem meldeten die Vertreter Deutschlands, Großbritanniens und Frankreichs zahlreiche Bedenken an. Die anvisierte Positionierung vor der Sommerpause konnten damit sowohl Rat als auch Parlament nicht leisten. Die Verhandlungen zur Verordnung dauerten weiter an.[14][15] Am 21. Oktober 2013 nahm das Europäische Parlament im Innen- und Justizausschuss seine durch den Grünen Europaabgeordneten Jan Philipp Albrecht als EP-Berichterstatter ausgearbeitete Verhandlungsposition mit überwältigender Mehrheit an[16] und bestätigte sie am 12. März 2014 durch das Plenum.[17]

Nachdem im Rat entscheidende Teile der Verordnung unter Ausschluss der Öffentlichkeit zu Gunsten eines schwächeren Datenschutzes verändert worden waren, sollten am 12. und 13. März 2015 die Justizminister der Mitgliedstaaten eine Einigung zum zweiten Kapitel der Verordnung erzielen, bevor die übrigen Kapitel verhandelt wurden.[8] Erst im Juni 2015 einigten sich die EU-Justizminister auf einen Entwurf der EU-Datenschutz-Grundverordnung.[18]

Am 24. Juni begannen die Abstimmungsverhandlungen zwischen Rat, Europäischem Parlament und Europäischer Kommission (sogenannter Trilog). Eine am 15. Dezember 2015 zwischen Parlament und Rat informell erzielte Einigung[19] wurde am 17. Dezember vom Innen- und Rechtsausschuss des Parlaments mit großer Mehrheit angenommen. Am 8. April 2016 hat der Rat der Europäischen Union die vorliegende Fassung[20] beschlossen[21]; das EU-Parlament hat die Regelungen am 14. April ebenfalls angenommen[22].

Literatur[Bearbeiten | Quelltext bearbeiten]

  • Jeannette Spary: Die neue Datenschutz-Grundverordnung – Überblick und Problemaufriss. In: Datenschutz Nachrichten. Nr. 1, 2012, S. 4–6.
  • Werner Hülsmann: Der betriebliche und behördliche Datenschutzbeauftragte im Entwurf der EU-Datenschutz-Grundverordnung. In: Datenschutz Nachrichten. Nr. 1, 2012, S. 7–9.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Pressemitteilung der Europäischen Kommission vom 25. Januar 2012.
  2. heise online: Reding stellt EU-Datenschutzreform vor.
  3. Christiane Schulzki-Haddouti: Datenschutz-Update. EU-Datenschutzreform bleibt in Detailfragen strittig. In: c't. Nr. 5, 2012, S. 54.
  4. a b fm4: Die Neuordnung des Datenschutzes in Europa.
  5. Berufsverband der Datenschutzbeauftragten Deutschlands: EU-Pläne zum Datenschutz belasten Wirtschaft. In: BvDnet.de vom 10. Mai 2015.
  6. Pressemitteilung: Subsidiaritätsrüge zur europäischen Datenschutz-Grundverordnung. Bundesrat, 30. März 2012, abgerufen am 24. Februar 2015.
  7. Verhandlungsposition des Europäischen Parlamentes vom 21. Oktober 2013
  8. a b Svenja Bergt:"Weichspüler für den Datenschutz" TAZ vom 4. März 2015, gesichtet am 4. März 2015
  9. BvD: Datenschützer mahnen klare Regeln für den Datentransfer aus der EU in Drittstaaten an. BvD veröffentlicht Positionspapier zur EU-Datenschutzgrundverordnung. vom 13. Juli 2015.
  10. a b c Kevin J. O’Brien: Silicon Valley Companies Lobbying Against Europe’s Privacy Proposals. New York Times vom 25. Januar 2013, gesichtet am 30. März 2013.
  11. Übersicht auf der Internetpräsenz von LobbyPlag.eu
  12. Lobbyplag:"Amendments/Overview", gesichtet am 11. Juni 2013
  13. Uwe Ebbinghaus, Stefan Schulz, Thomas Thiel: "Machtprobe mit Silicon Valley" 11. März 2014, gesichtet am 16. März 2014
  14. Brüssel: EU-Ministerrat bremst Datenschutzreform. In: Spiegel Online, 6. Juni 2013, abgerufen am 8. Juni 2013.
  15. Jan Philipp Albrecht: Alles Wichtige zur Datenschutzreform. In: JanAlbrecht.eu, 20. Juni 2013, abgerufen am 24. Juni 2013.
  16. Volker Briegleb, Stefan Krempl: EU-Parlament gibt grünes Licht für Datenschutzreform. In: heise.de. 21. Oktober 2013, abgerufen am 22. Oktober 2013.
  17. Markus Beckedahl: EU-Datenschutzgrundverordnung passiert erste Lesung im EU-Parlament, netzpolitik.org, 12. März 2014
  18. EU-Datenschutzgrundverordnung: EU-Minister einigen sich auf Datenschutzreform. In: Die Zeit. 15. Juni 2015 (zeit.de [abgerufen am 16. Juni 2015]).
  19. Pressemitteilung der Europäischen Kommission vom 15. Dezember 2015
  20. Rat der Europäischen Union: Standpunkt des Rates in erster Lesung im Hinblick auf den Erlass der VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
  21. Rat der Europäischen Union: Data protection reform: Council adopts position at first reading (Pressemitteilung vom 8. April 2016)
  22. Europäisches Parlament: Parlament verabschiedet EU-Datenschutzreform – EU fit fürs digitale Zeitalter (Pressemitteilung vom 14. April 2016)
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!