Safe Harbor Update - EU-U.S. Privacy Shield (22.09.2016)


Nachdem es seit dem 1. August 2016 für U.S. Unternehmen möglich ist, sich nach den Regeln des EU-U.S. Datenschutzschilds (Privacy Shield) zu zertifizieren, finden sich auf der vom U.S.-Handelsministerium geführten Liste bereits eine Anzahl von Unternehmen, für die der Selbstzertifizierungsprozess bereits abgeschlossen ist. Da der Beschluss der Europäischen Kommission zum EU-U.S. Privacy Shield bindend ist, kann das Privacy Shield nun trotz der von den Datenschutzbehörden geäußerten Kritik an den Regelungen (s.u.) genutzt werden, um Daten aus Europa an die bereits zertifizierten Unternehmen zu transferieren. Die für den Datenexport verantwortlichen europäischen Stellen haben dabei stets darauf zu achten, dass das Unternehmen, das die Daten empfängt, auch tatsächlich auf der Liste des U.S.-Handelsministeriums erscheint. Es ist auch sicherzustellen, dass sich die Zertifizierung auch auf die Kategorie von Daten (Beschäftigtendaten="HR" oder sonstige Daten "non HR") bezieht, die übermittelt werden soll.

Der Leitfaden für Bürgerinnen und Bürger, in dem vor allem die Rechte Betroffener dargestellt werden, ist inzwischen auch in deutscher Sprache verfügbar.



Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 22.09.2016

 
 

Safe Harbor Update - EU-U.S. Privacy Shield (01.08.2016)


Wie angekündigt sind die Regeln zu EU-U.S. Privacy Shield zum 1. August 2016 wirksam geworden.

Die Entscheidung der Europäischen Kommission zum EU-U.S. Privacy Shield ist nun auch in deutscher Sprache im Amtsblatt der Europäischen Union veröffentlicht.

Gleichzeitig hat die Europäische Kommission auch den angekündigten Leitfaden für Bürgerinnen und Bürger (bisher nur in englischer Sprache) veröffentlicht, in dem vor allem die Rechte Betroffener anschaulicher als in den Original-Texten dargestellt werden.

Zu der Entscheidung der Europäischen Kommission hat sich die Artikel 29 Datenschutzgruppe noch einmal kritisch geäußert. Die europäischen Datenschutzaufsichtsbehörden werden das Thema weiter aufmerksam begleiten. Über weitere Entwicklungen zum Privacy Shield, aber auch zu internationalen Datentransfers im Allgemeinen wird an dieser Stelle weiter berichtet werden.


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 02.08.2016

 
 

Safe Harbor Update - EU-U.S. Privacy Shield (13.07.2016)


Der EU-U.S. Privacy Shield ist am 13. Juli 2016 von der Europäischen Kommission verabschiedet worden. Laut einer Pressemitteilung der Kommission wird es U.S.-Unternehmen ab dem 1. August 2016 möglich sein, eine entsprechende Zertifizierung zu erhalten. Mit der Zertifizierung unterwirft sich ein US-Unternehmen den Regeln des Privacy Shield und erhält damit die Möglichkeit, auf der Grundlage dieses Regelwerks personenbezogene Daten aus Europa zu erhalten. Die Kommission hat weiter angekündigt, in Kürze einen Leitfaden zu veröffentlichen, der Betroffenen aus der EU, deren Daten an zertifizierte US-Unternehmen übermittelt wurden, ihre datenschutzrechtlichen Rechte unter dem EU-U.S. Privacy Shield anschaulich erläutert.

Der Beschluss der Kommission zum EU-U.S. Privacy Shield wird in Kürze in allen europäischen Amtssprachen im Amtsblatt der Europäischen Union veröffentlicht werden. Sobald die Texte in deutscher Sprache verfügbar sind, wird an dieser Stelle ein entsprechender Hinweis erfolgen.

Das US-Handelsministerium wird auf seiner Homepage eine Liste der US-Unternehmen veröffentlichen, die sich nach dem Privacy Shield zertifiziert haben. Damit können Unternehmen aus der Europäischen Union, die personenbezogene Daten an US-Unternehmen übermitteln wollen,  prüfen, ob das entsprechende US-Unternehmen eine aktuelle Privacy-Shield-Zertifizierung besitzt. Nähere Informationen hierzu werden wir zu gegebener Zeit auch an dieser Stelle veröffentlichen.

Neben dem neuen Instrument Privacy Shield besteht weiterhin die Möglichkeit, personenbezogene Daten auf der Grundlage von verbindlichen Unternehmensregeln (Binding Corporate Rules, BCR) sowie Standardvertragsklauseln zu übermitteln, wobei die Wirksamkeit der Standardvertragsklauseln derzeit einer gerichtlichen Prüfung in einem Verfahren in Irland unterzogen ist.


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.07.2016

 
 

Safe Harbor Update - EU-U.S. Privacy Shield (14.04.2016)


Die Artikel-29-Datenschutzgruppe hat den Entscheidungsentwurf der Europäischen Kommission zum EU-U.S. Privacy Shield untersucht und am 13.04.2016 ihre Stellungnahme sowie eine begleitende Pressemitteilung veröffentlicht. Sie stellt fest, dass der derzeit vorliegende Entwurf des Privacy Shield im Vergleich zu der vom Europäischen Gerichtshof aufgehobenen Vorgängerregelung "Safe Harbor" eine Reihe von Verbesserungen im Hinblick auf den Schutz personenbezogener Daten enthält. Gleichzeitig begegnen einige Punkte jedoch noch erheblichen Bedenken. Die Artikel-29-Gruppe hat die Europäische Kommission daher aufgefordert, auf diese Bedenken zu reagieren und durch entsprechende Änderungen sicherzustellen, dass der Privacy Shield ein angemessenes Datenschutzniveau gewährleistet.
Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 14.04.2016

 
 

Safe Harbor Update - Privacy Shield (01.03.2016)


EU-U.S. Privacy Shield

Am 29.2.2016 hat die Europäische Kommission die angekündigten Dokumente zum geplanten EU-U.S. Privacy Shield veröffentlicht. Dieser soll die vom EuGH außer Kraft gesetzte Safe Harbor Entscheidung der Kommission aus dem Jahre 2000 ersetzen. Bevor die Europäische Kommission in dieser Sache eine endgültige Entscheidung trifft, konsultiert sie die EU Mitgliedsstaaten sowie die in der sog. Artikel-29-Datenschutzgruppe vereinten Datenschutzbehörden Europas. Der Hessische Datenschutzbeauftragte wird sich an der Bewertung der vorgelegten Texte intensiv beteiligen und an dieser Stelle weiter über den Fortgang berichten.

Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 01.03.2016

 
 

Safe-Harbor - Update (04.02.2016)


Am 2. Februar 2016 hat EU-Justizkommissarin Vera Jourová den Abschluss der Verhandlungen der Europäischen Kommission mit den USA zu einem neuen Datentransfermechanismus "EU-US Privacy Shield" verkündet. Der EU-US Privacy Shield soll an die Stelle der vom Europäischen Gerichtshof (EuGH) im Oktober letzten Jahres für ungültig erklärten sog. Safe Harbor Entscheidung treten und es EU-Unternehmen ermöglichen, personenbezogene Daten unter dem Schutz der mit den USA ausgehandelten Bedingungen in die USA zu übermitteln.

Die Artikel 29 Datenschutzgruppe(*) hat seit der Verkündung des EuGH-Urteils dessen Auswirkungen auf Datentransfers in Drittstaaten generell und auf solche in die USA im Besonderen analysiert. In das vorläufige Ergebnis dieser Analyse müssen nun jedoch die neueren Entwicklungen (EU-US Privacy Shield) einbezogen werden. Der Abschluss dieser Bewertung ist für Mitte bis Ende April angekündigt worden.

Der Hessische Datenschutzbeauftragte teilt die Auffassung der Artikel 29 Datenschutzgruppe, dass bis dahin von den bestehenden Datenübermittlungsmechanismen (insbesondere Standardvertragsklauseln, Binding Corporate Rules) weiter auch für Übermittlungen in die USA Gebrauch gemacht werden kann.
Gleichzeitig wird nochmals nachdrücklich darauf hingewiesen, dass Datentransfers allein auf der Grundlage von Safe Harbor nicht mehr zulässig sind. Unternehmen, die weiterhin auf der Grundlage von Safe Harbor Daten transferieren, müssen mit Sanktionen rechnen.


Aktualisierung vom 09.02.2016:
Deutsche Fassung der Stellungnahme der Artikel-29-Datenschutzgruppe (PDF-Datei; 14 kB)


(*) Die Artikel-29-Datenschutzgruppe besteht aus Vertretern der Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten, dem Europäischen Datenschutzbeauftragten und einem nicht stimmberechtigten Vertreter der Europäischen Kommission. Sie berät die Europäische Kommission und hat zur einheitlichen Anwendung der Vorschriften der Datenschutzrichtlinie beizutragen. Sie ist unabhängig und trifft ihre Entscheidungen nach dem Mehrheitsprinzip.


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.02.2016

 
 

Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen der
Datenschutz-Richtlinie im Bereich von Justiz und Inneres


Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen der
Datenschutz-Richtlinie im Bereich von Justiz und Inneres (PDF-Datei, 122 kB)

Key data protection points for the trilogue on the data protection directive in the field of justice and home affairs (PDF-Datei, 92 kB)

Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 02.11.2015

 
 

Safe-Harbor - Update (26.10.2015)


Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)

  1. Nach dem Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 ist eine Datenübermittlung aufgrund der Safe-Harbor-Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG) nicht zulässig.
  2. Im Lichte des Urteils des EuGH ist auch die Zulässigkeit der Datentransfers in die USA auf der Grundlage der anderen hierfür eingesetzten Instrumente, etwa Standardvertragsklauseln oder verbindliche Unternehmensregelungen (BCR), in Frage gestellt.
  3. Der EuGH stellt fest, dass die Datenschutzbehörden der EU-Mitgliedstaaten ungeachtet von Kommissions-Entscheidungen nicht gehindert sind, in völliger Unabhängigkeit die Angemessenheit des Datenschutzniveaus in Drittstaaten zu beurteilen.
  4. Der EuGH fordert die Kommission und die Datenschutzbehörden auf, das Datenschutzniveau in den USA und anderen Drittstaaten (Rechtslage und Rechtspraxis) zu untersuchen und gibt hierfür einen konkreten Prüfmaßstab mit strengen inhaltlichen Anforderungen vor.
  5. Soweit Datenschutzbehörden Kenntnis über ausschließlich auf Safe-Harbor gestützte Datenübermittlungen in die USA erlangen, werden sie diese untersagen.
  6. Die Datenschutzbehörden werden bei Ausübung ihrer Prüfbefugnisse nach Art. 4 der jeweiligen Kommissionsentscheidungen zu den Standardvertragsklauseln vom 27. Dezember 2004 (2004/915/EG) und vom 5. Februar 2010 (2010/87/EU) die vom EuGH formulierten Grundsätze, insbesondere die Randnummern 94 und 95 des Urteils, zugrunde legen.
  7. Die Datenschutzbehörden werden derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilen.
  8. Unternehmen sind daher aufgerufen, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Unternehmen, die Daten in die USA oder andere Drittländer exportieren wollen, sollten sich dabei auch an der Entschließung der DSK vom 27.03.2014 "Gewährleistung der Menschenrechte bei der elektronischen Kommunikation" und an der Orientierungshilfe "Cloud Computing" vom 09.10.2014 orientieren.
  9. Eine Einwilligung zum Transfer personenbezogener Daten kann unter engen Bedingungen eine tragfähige Grundlage sein. Grundsätzlich darf der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen.
  10. Beim Export von Beschäftigtendaten oder wenn gleichzeitig auch Daten Dritter betroffen sind, kann die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein.
  11. Die Datenschutzbehörden fordern die Gesetzgeber auf, entsprechend dem Urteil des EuGH den Datenschutzbehörden ein Klagerecht einzuräumen.
  12. Die Kommission wird aufgefordert, in ihren Verhandlungen mit den USA auf die Schaffung ausreichend weitreichender Garantien zum Schutz der Privatsphäre zu drängen. Dies betrifft insbesondere das Recht auf gerichtlichen Rechtsschutz, die materiellen Datenschutzrechte und den Grundsatz der Verhältnismäßigkeit. Ferner gilt es, zeitnah die Entscheidungen zu den Standardvertragsklauseln an die in dem EuGH-Urteil gemachten Vorgaben anzupassen.
    Insoweit begrüßt die DSK die von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.
  13. Die DSK fordert die Bundesregierung auf, in direkten Verhandlungen mit der US-Regierung ebenfalls auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen.
  14. Die DSK fordert Kommission, Rat und Parlament auf, in den laufenden Trilog-Verhandlungen die strengen Kriterien des EuGH-Urteils in Kapitel V der Datenschutzgrundverordnung umfassend zur Geltung zu bringen.

Aktualisierung vom 30.10.2015:
Positionspapier - englische Fassung (PDF-Datei, 61 kB)


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 26.10.2015

 
 

Safe-Harbor - Update (20.10.2015)


Zu dem Urteil des EuGH und dem weiteren Vorgehen der Datenschutzbehörden Europas hat die Artikel 29 Gruppe am 16. Oktober dieses Statement abgegeben:

http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf

Aktualisierung vom 29.10.2015:
Statement der Artikel-29-Datenschutzgruppe vom 15. Oktober 2015 (deutsche Fassung; PDF-Datei, 27 kB)


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 20.10.2015

 
 

Safe-Harbor - Update (13.10.2015)


Mit seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof die sogenannte Safe-Harbor Entscheidung der Europäischen Kommission (2000/520/EC) für ungültig erklärt. Das bedeutet, dass Transfers personenbezogener Daten in die USA auf dieser Grundlage nicht mehr möglich sind. Für Unternehmen, die personenbezogene Daten bislang auf der Grundlage von Safe-Harbor transferiert haben, besteht daher akuter Handlungsbedarf. Die Unternehmen müssen ab sofort überprüfen, ob von entsprechenden Transfers in die USA abgesehen werden kann oder aber der Gebrauch anderer Instrumente wie von EU-Standardverträgen oder Binding Corporate Rules in Betracht kommt. Der HDSB weist ausdrücklich darauf hin, dass die Datenschutzaufsichtsbehörden Deutschlands und in Europa intensiv prüfen, inwieweit angesichts des Urteils von Standardvertragsklauseln und BCR weiterhin Gebrauch gemacht werden kann.

Das Thema wird laufend aktualisiert.

Siehe hierzu auch:


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 13.10.2015

 
 

EuGH erklärt Safe-Harbor-Abkommen für ungültig

Zur Pressemitteilung: EuGH erklärt Safe-Harbor-Abkommen für ungültig
Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.10.2015

 
 

Entwurf EU-Verordnung über elektronische Identifizierung und Vertrauensdienste


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 21.03.2013

 
 

Dokumente zum EU-Rechtsrahmen

Dokumente der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zum EU-Rechtsrahmen (18. Juni 2012)

Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 18.06.2012

 
 

Neue Vorschläge der Europäischen Kommission zum Datenschutz in Europa


Der Grundansatz der EU, den Datenschutz in Europa zu modernisieren und zu harmonisieren, ist positiv zu bewerten.

Allerdings werden bei dem Reformvorhaben Kompetenzen überschritten, die Gestaltungsspielräume der Mitgliedsstaaten eingeschränkt und die Kompetenzen der Kommission in nicht hinnehmbarer Weise ausgeweitet.


Allgemeine Bemerkungen zur Verordnung


  • Die Wahl der Rechtsform der Verordnung, die unmittelbar in den Mitgliedstaaten gilt und keiner Umsetzung durch diese mehr bedarf, erscheint â?? insbesondere für den öffentlichen Bereich â?? problematisch. Harmonisierung und Modernisierung mögen es rechtfertigen, dass beispielsweise für den Bereich Internet und sonstige grenzüberschreitende Sachverhalte im Bereich der Wirtschaft unmittelbar in den Mitgliedstaaten geltende Vorschriften geschaffen werden. Die Kompetenz der EU zum Erlass einer Verordnung, die auch rein innerstaatliche Datenvorgänge umfasst, insbesondere im öffentlichen Bereich (beispielsweise Bauwesen, Bildung etc.) fehlt aufgrund des Prinzips der begrenzten Einzelermächtigung und ist jedenfalls im Hinblick auf das Subsidiaritätsprinzip zweifelhaft.
    Ein weiterer Nachteil der Handlungsform Verordnung besteht darin, dass das Bundesverfassungsgericht als wesentlicher Motor der Entwicklung des Datenschutzes in Deutschland an Bedeutung verlieren würde, da es über die Auslegung der Verordnung als europäisches Recht grundsätzlich nicht entscheiden darf.

  • Unabhängig von der Rechtsform Verordnung oder Richtlinie sollten den Mitgliedstaaten jedenfalls Gestaltungsspielräume eingeräumt werden. Dabei dürfen insbesondere keine Obergrenzen für datenschutzrechtliche Regelungen vorgesehen werden, damit es zu keiner Absenkung bereits erreichter Standards auf mitgliedstaatlicher Ebene kommt.

  • Kategorisch abzulehnen ist, die vorgesehene Kompetenz der Kommission zur näheren Regelung und Ausgestaltung von Vorschriften der Verordnung. Die in mehr als 26 Paragraphen enthaltenen Ermächtigungen zum Erlass derartiger „delegierter Rechtsakte” entsprechen nicht den Vorgaben des Art. 290 AEUV, da sie vielfach wesentliche Bestimmungen betreffen, die in der Verordnung selbst zu regeln sind. Die Kommission würde sich auf diese Weise einen substantiellen Gestaltungsspielraum in vielen Kernfragen des Datenschutzrechts vorbehalten.


Einzelfragen der Verordnung


  • Positiv zu sehen ist, dass die Verordnung auch für nicht in der EU niedergelassene Unternehmen Anwendung finden soll, wenn deren Tätigkeit bestimmte Auswirkungen auf EU-Bürger hat (Art. 3 Abs. 2.). Verbunden mit der Pflicht dieser Unternehmen einen Vertreter in der EU zu bestellen (Art. 25), bedeutet dies einen wichtigen Schritt, um künftig beispielsweise die großen Anbieter von Internetleistungen wie Google, Facebook an europäische Datenschutzvorgaben zu binden. Allerdings können Ermittlungs- und Durchsetzungsbefugnisse im EU-Ausland nur durch zwischenstaatliche Verträge begründet werden. Die Kommission sollte deshalb aufgefordert werden, derartige Verträge abzuschließen. Diese Beschränkungen sind für die Bürger transparent zu machen, damit nicht unerfüllbare Erwartungen geweckt werden.
  • Die in der Verordnung vorgesehenen Möglichkeiten der Bürger ihre Rechte (auf Information, Auskunft, Berichtigung und Löschung) geltend zu machen (Art. 14 ff.) sind auch nach deutschem Standard grundrechtsfreundlich ausgestattet. Positiv zu bewerten ist die weiterentwickelte Löschungspflicht durch das „Recht auf Vergessen” (Art. 17) sowie das Recht, seine eigenen Daten „mitzunehmen” (Art. 18), wenn man als Kunde eines Unternehmens (beispielsweise Facebook) zu einem Konkurrenten wechseln möchte. Allerdings geht die Vorschrift, nach der die Mitgliedsstaaten die Rechte der Betroffenen insgesamt beschränken können (Art. 21), zu weit. In jedem Fall sollte eine Öffnungsklausel für den nationalen Gesetzgeber vorgesehen werden, um auch weiterreichende Betroffenenrechte zu gewähren.
  • Die erstmals normierte Pflicht zur Verwendung datenschutzfreundlicher Grundeinstellungen (privacy by default) und datenschutzfreundlicher Techniken (privacy by design) (Art. 23) ist grundsätzlich positiv zu bewerten. Um wirksam zu werden, bedarf es der Präzisierungen, insbesondere sind Anonymisierung und Pseudonymisierung nach dem Stand der Technik zu fordern.
  • Defizite bestehen bei der vorgesehenen Ausgestaltung der Bestellung von betrieblichen und behördlichen Datenschutzbeauftragten. Bliebe dies dabei, würde das für Deutschland einen Rückschritt bedeuten. Es gibt keine nachvollziehbaren Gründe dafür, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten in Unternehmen erst ab 250 Personen â?? statt wie bisher ab 10 Mitarbeitern - greifen soll. In Deutschland müssten danach nur 0,3 % aller Unternehmen einen Datenschutzbeauftragten bestellen. Zu fordern ist deshalb eine deutlich niedrigere Grenze, die sich auch an der Aufgabenstellung des jeweiligen Unternehmens (Art und Umfang der Datenverarbeitung) orientieren muss.
  • Teilweise kritisch zu sehen sind auch die vorgesehenen Regelungen über die Zusammenarbeit der datenschutzrechtlichen Aufsichtsbehörden innerhalb der EU. Nach dem Prinzip des sogenannten „one-stop-shop” soll in den Fällen, in denen ein Unternehmen in mehreren Mitgliedstaaten der Europäischen Union Niederlassungen hat, nur noch eine Datenschutzaufsichtsbehörde zuständig sein (Art. 51 Abs. 2). Dabei soll es sich um die Aufsichtsbehörde handeln, in dessen Mitgliedstaat das Unternehmen seine Hauptniederlassung hat. Diese Regelung ist nur dann akzeptabel, wenn sie nicht im Sinn einer ausschließlichen Zuständigkeit, sondern im Sinne einer „Federführung” der Aufsichtsbehörde des Mitgliedstaates der Hauptniederlassung zu verstehen ist.
  • Zu begrüßen ist der geplante Ausbau der schon nach der alten Datenschutzrichtlinie vorgesehenen Artikel 29 Gruppe zu einem Europäischen Datenschutzausschuss. In diesem Gremium sollen die „Chefs” der Datenschutzbehörden der Mitgliedstaaten, der Europäische Datenschutzbeauftragte und die Kommission vertreten sein. Dabei ist die ggf. föderale Struktur der Mitgliedstaaten wie in Deutschland zu beachten. Der teilweise dominierende Einfluss der Kommission in strittigen Datenschutzfragen, insbesondere im sogenannten Kohärenzverfahren (Art. 57 ff.) ist aber nicht zu akzeptieren. Eine solche Entscheidungsbefugnis der Europäischen Kommission steht mit ihrer mangelnden demokratischen Legitimation in Konflikt und ist mit dem Postulat der völligen Unabhängigkeit der Datenschutzkontrolle nicht vereinbar. Wenn überhaupt, müsste ein solches Organ im parlamentarischen Raum verankert sein.
  • Den Datenschutzaufsichtsbehörden sind nicht nur gegenüber privaten Unternehmen sondern auch gegenüber öffentlichen Stellen die Befugnisse eingeräumt, bestimmte Anweisungen und Anordnungen zu treffen, verwaltungsrechtliche Sanktionen zu erlassen sowie Klage zu erheben (Art. 53). Dies wirft verfassungsrechtliche Probleme auf, da nach deutschem Staatsverständnis ein Hoheitsträger einem anderen Hoheitsträger auf gleicher Hierarchieebene nicht unterworfen werden kann. Nach dem Prinzip der Einheit der Verwaltung können durchsetzbare, sanktionsbewährte Hoheitsakte gegenüber anderen öffentlichen Stellen nicht erlassen werden.


Allgemeine Bemerkungen zur Richtlinie:


  • Die Richtlinie soll nicht nur den grenzüberschreitenden Datenverkehr im Bereich der polizeilichen und justiziellen Zusammenarbeit regeln, sondern auch die innerstaatliche Datenverarbeitung der Polizei und Strafverfolgungsorgane umfassen. Letzteres lässt sich nur durch extensive Auslegung des Art. 16 Abs. 2 AEUV begründen. Dies entspricht aber einer Forderung der Datenschutzbeauftragten des Bundes und der Länder (Entschließung vom 06./07.11.2008) und ist angesichts der zunehmenden Verwirklichung des sog. Grundsatzes der Verfügbarkeit, wonach ein in einem Mitgliedstaat erhobenes und verarbeitetes polizeiliches Datum auch den Polizei- und Strafverfolgungsbehörden eines anderen Mitgliedstaates zur Verfügung stehen soll, folgerichtig.
  • Mit der Richtlinie soll keine Vollharmonisierung der Regelung zum Datenschutz im Bereich von Polizei und Strafjustiz erfolgen, aber ein möglichst hohes Mindestniveau festgeschrieben werden. Es sollte im Richtlinientext klargestellt werden, dass den Mitgliedstaaten die Möglichkeit verbleiben muss, in ihrem nationalen Recht über die in der Richtlinie vorgenommenen Bestimmungen hinaus zu gehen.


Einzelfragen der Richtlinie:


  • Es erscheint nicht sachgerecht, Organe und Einrichtungen der EU (insbesondere Europol) vollständig vom Anwendungsbereich der Richtlinie auszunehmen (Art. 2 Abs. 3b). Die Geltung der Richtlinie auch in diesem Bereich hindert den europäischen Gesetzgeber nicht daran, bereichsspezifische, auf die jeweiligen Erfordernisse der Einrichtung abgestimmte Regelungen zu erlassen.
  • Defizite bestehen bei den Regelungen der Rechte der Betroffenen (Art. 10 ff). Sie eröffnen den Mitgliedstaaten die Möglichkeit, die Information und die Auskunftserteilung vollständig auszuschließen, ohne dass eine Abwägung im Einzelfall stattfindet (Art. 11 Abs. 5, Art. 13 Abs. 2).
  • Die Vorschriften über die Datenübermittlung in Drittländer oder Internationale Organisationen sind zu weit gefasst (Art. 33 ff). Insbesondere sind die Ausnahmen, in denen auf ein angemessenes Schutzniveau im Drittstaat oder andere geeignete Garantien verzichtet werden kann, derart generell formuliert (Art. 36 d, e), dass sie das Ziel der Vorschriften konterkarieren.
  • Der Ausgestaltung der Befugnisse der Datenschutzbehörden im öffentlichen Bereich kommt im Rahmen der Richtlinie â?? also gegenüber Polizei- und Strafjustizbehörden â?? eine noch größere Bedeutung als bei der Verordnung zu. Für den Fall, dass die Aufsichtsbehörden verbindliche Anordnungsbefugnisse treffen, verwaltungsrechtliche Sanktionen erlassen und durchsetzbare Klagerechte erhalten sollen, bestehen die selben verfassungsrechtlichen Probleme wie sie bei der Verordnung beschrieben wurden.

Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.04.2012

 
 

Datenschutz in Deutschland nach dem Vertrag von Lissabon


Thema der Tagung, die in Kooperation mit der Frankfurter Goethe-Universität durchgeführt wurde, war die Zukunft des europäischen Datenschutzes nach Inkrafttreten des Reformvertrages von Lissabon und dessen Konsequenzen für die Bindungen deutscher Behörden und anderer Adressaten an das europäische und deutsche Datenschutzrecht.

zu den Referaten

Die Broschüre zu dieser Veranstaltung kann durch Einsendung eines ausreichend frankierten DIN A 5 Umschlages beim Hessischen Datenschutzbeauftragten bestellt werden.


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 05.09.2011