Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen der
Datenschutz-Richtlinie im Bereich von Justiz und Inneres


Datenschutzrechtliche Kernpunkte für die Trilogverhandlungen der
Datenschutz-Richtlinie im Bereich von Justiz und Inneres (PDF-Datei, 122 kB)

Key data protection points for the trilogue on the data protection directive in the field of justice and home affairs (PDF-Datei, 92 kB)

Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 02.11.2015

 
 

Entwurf EU-Verordnung über elektronische Identifizierung und Vertrauensdienste


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 21.03.2013

 
 

Dokumente zum EU-Rechtsrahmen

Dokumente der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zum EU-Rechtsrahmen (18. Juni 2012)

Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 18.06.2012

 
 

Neue Vorschläge der Europäischen Kommission zum Datenschutz in Europa


Der Grundansatz der EU, den Datenschutz in Europa zu modernisieren und zu harmonisieren, ist positiv zu bewerten.

Allerdings werden bei dem Reformvorhaben Kompetenzen überschritten, die Gestaltungsspielräume der Mitgliedsstaaten eingeschränkt und die Kompetenzen der Kommission in nicht hinnehmbarer Weise ausgeweitet.


Allgemeine Bemerkungen zur Verordnung


  • Die Wahl der Rechtsform der Verordnung, die unmittelbar in den Mitgliedstaaten gilt und keiner Umsetzung durch diese mehr bedarf, erscheint - insbesondere für den öffentlichen Bereich - problematisch. Harmonisierung und Modernisierung mögen es rechtfertigen, dass beispielsweise für den Bereich Internet und sonstige grenzüberschreitende Sachverhalte im Bereich der Wirtschaft unmittelbar in den Mitgliedstaaten geltende Vorschriften geschaffen werden. Die Kompetenz der EU zum Erlass einer Verordnung, die auch rein innerstaatliche Datenvorgänge umfasst, insbesondere im öffentlichen Bereich (beispielsweise Bauwesen, Bildung etc.) fehlt aufgrund des Prinzips der begrenzten Einzelermächtigung und ist jedenfalls im Hinblick auf das Subsidiaritätsprinzip zweifelhaft.
    Ein weiterer Nachteil der Handlungsform Verordnung besteht darin, dass das Bundesverfassungsgericht als wesentlicher Motor der Entwicklung des Datenschutzes in Deutschland an Bedeutung verlieren würde, da es über die Auslegung der Verordnung als europäisches Recht grundsätzlich nicht entscheiden darf.

  • Unabhängig von der Rechtsform Verordnung oder Richtlinie sollten den Mitgliedstaaten jedenfalls Gestaltungsspielräume eingeräumt werden. Dabei dürfen insbesondere keine Obergrenzen für datenschutzrechtliche Regelungen vorgesehen werden, damit es zu keiner Absenkung bereits erreichter Standards auf mitgliedstaatlicher Ebene kommt.

  • Kategorisch abzulehnen ist, die vorgesehene Kompetenz der Kommission zur näheren Regelung und Ausgestaltung von Vorschriften der Verordnung. Die in mehr als 26 Paragraphen enthaltenen Ermächtigungen zum Erlass derartiger „delegierter Rechtsakteâ?? entsprechen nicht den Vorgaben des Art. 290 AEUV, da sie vielfach wesentliche Bestimmungen betreffen, die in der Verordnung selbst zu regeln sind. Die Kommission würde sich auf diese Weise einen substantiellen Gestaltungsspielraum in vielen Kernfragen des Datenschutzrechts vorbehalten.


Einzelfragen der Verordnung


  • Positiv zu sehen ist, dass die Verordnung auch für nicht in der EU niedergelassene Unternehmen Anwendung finden soll, wenn deren Tätigkeit bestimmte Auswirkungen auf EU-Bürger hat (Art. 3 Abs. 2.). Verbunden mit der Pflicht dieser Unternehmen einen Vertreter in der EU zu bestellen (Art. 25), bedeutet dies einen wichtigen Schritt, um künftig beispielsweise die großen Anbieter von Internetleistungen wie Google, Facebook an europäische Datenschutzvorgaben zu binden. Allerdings können Ermittlungs- und Durchsetzungsbefugnisse im EU-Ausland nur durch zwischenstaatliche Verträge begründet werden. Die Kommission sollte deshalb aufgefordert werden, derartige Verträge abzuschließen. Diese Beschränkungen sind für die Bürger transparent zu machen, damit nicht unerfüllbare Erwartungen geweckt werden.
  • Die in der Verordnung vorgesehenen Möglichkeiten der Bürger ihre Rechte (auf Information, Auskunft, Berichtigung und Löschung) geltend zu machen (Art. 14 ff.) sind auch nach deutschem Standard grundrechtsfreundlich ausgestattet. Positiv zu bewerten ist die weiterentwickelte Löschungspflicht durch das „Recht auf Vergessenâ?? (Art. 17) sowie das Recht, seine eigenen Daten „mitzunehmenâ?? (Art. 18), wenn man als Kunde eines Unternehmens (beispielsweise Facebook) zu einem Konkurrenten wechseln möchte. Allerdings geht die Vorschrift, nach der die Mitgliedsstaaten die Rechte der Betroffenen insgesamt beschränken können (Art. 21), zu weit. In jedem Fall sollte eine Öffnungsklausel für den nationalen Gesetzgeber vorgesehen werden, um auch weiterreichende Betroffenenrechte zu gewähren.
  • Die erstmals normierte Pflicht zur Verwendung datenschutzfreundlicher Grundeinstellungen (privacy by default) und datenschutzfreundlicher Techniken (privacy by design) (Art. 23) ist grundsätzlich positiv zu bewerten. Um wirksam zu werden, bedarf es der Präzisierungen, insbesondere sind Anonymisierung und Pseudonymisierung nach dem Stand der Technik zu fordern.
  • Defizite bestehen bei der vorgesehenen Ausgestaltung der Bestellung von betrieblichen und behördlichen Datenschutzbeauftragten. Bliebe dies dabei, würde das für Deutschland einen Rückschritt bedeuten. Es gibt keine nachvollziehbaren Gründe dafür, dass die Pflicht zur Bestellung eines Datenschutzbeauftragten in Unternehmen erst ab 250 Personen â?? statt wie bisher ab 10 Mitarbeitern - greifen soll. In Deutschland müssten danach nur 0,3 % aller Unternehmen einen Datenschutzbeauftragten bestellen. Zu fordern ist deshalb eine deutlich niedrigere Grenze, die sich auch an der Aufgabenstellung des jeweiligen Unternehmens (Art und Umfang der Datenverarbeitung) orientieren muss.
  • Teilweise kritisch zu sehen sind auch die vorgesehenen Regelungen über die Zusammenarbeit der datenschutzrechtlichen Aufsichtsbehörden innerhalb der EU. Nach dem Prinzip des sogenannten „one-stop-shopâ?? soll in den Fällen, in denen ein Unternehmen in mehreren Mitgliedstaaten der Europäischen Union Niederlassungen hat, nur noch eine Datenschutzaufsichtsbehörde zuständig sein (Art. 51 Abs. 2). Dabei soll es sich um die Aufsichtsbehörde handeln, in dessen Mitgliedstaat das Unternehmen seine Hauptniederlassung hat. Diese Regelung ist nur dann akzeptabel, wenn sie nicht im Sinn einer ausschließlichen Zuständigkeit, sondern im Sinne einer „Federführungâ?? der Aufsichtsbehörde des Mitgliedstaates der Hauptniederlassung zu verstehen ist.
  • Zu begrüßen ist der geplante Ausbau der schon nach der alten Datenschutzrichtlinie vorgesehenen Artikel 29 Gruppe zu einem Europäischen Datenschutzausschuss. In diesem Gremium sollen die „Chefsâ?? der Datenschutzbehörden der Mitgliedstaaten, der Europäische Datenschutzbeauftragte und die Kommission vertreten sein. Dabei ist die ggf. föderale Struktur der Mitgliedstaaten wie in Deutschland zu beachten. Der teilweise dominierende Einfluss der Kommission in strittigen Datenschutzfragen, insbesondere im sogenannten Kohärenzverfahren (Art. 57 ff.) ist aber nicht zu akzeptieren. Eine solche Entscheidungsbefugnis der Europäischen Kommission steht mit ihrer mangelnden demokratischen Legitimation in Konflikt und ist mit dem Postulat der völligen Unabhängigkeit der Datenschutzkontrolle nicht vereinbar. Wenn überhaupt, müsste ein solches Organ im parlamentarischen Raum verankert sein.
  • Den Datenschutzaufsichtsbehörden sind nicht nur gegenüber privaten Unternehmen sondern auch gegenüber öffentlichen Stellen die Befugnisse eingeräumt, bestimmte Anweisungen und Anordnungen zu treffen, verwaltungsrechtliche Sanktionen zu erlassen sowie Klage zu erheben (Art. 53). Dies wirft verfassungsrechtliche Probleme auf, da nach deutschem Staatsverständnis ein Hoheitsträger einem anderen Hoheitsträger auf gleicher Hierarchieebene nicht unterworfen werden kann. Nach dem Prinzip der Einheit der Verwaltung können durchsetzbare, sanktionsbewährte Hoheitsakte gegenüber anderen öffentlichen Stellen nicht erlassen werden.


Allgemeine Bemerkungen zur Richtlinie:


  • Die Richtlinie soll nicht nur den grenzüberschreitenden Datenverkehr im Bereich der polizeilichen und justiziellen Zusammenarbeit regeln, sondern auch die innerstaatliche Datenverarbeitung der Polizei und Strafverfolgungsorgane umfassen. Letzteres lässt sich nur durch extensive Auslegung des Art. 16 Abs. 2 AEUV begründen. Dies entspricht aber einer Forderung der Datenschutzbeauftragten des Bundes und der Länder (Entschließung vom 06./07.11.2008) und ist angesichts der zunehmenden Verwirklichung des sog. Grundsatzes der Verfügbarkeit, wonach ein in einem Mitgliedstaat erhobenes und verarbeitetes polizeiliches Datum auch den Polizei- und Strafverfolgungsbehörden eines anderen Mitgliedstaates zur Verfügung stehen soll, folgerichtig.
  • Mit der Richtlinie soll keine Vollharmonisierung der Regelung zum Datenschutz im Bereich von Polizei und Strafjustiz erfolgen, aber ein möglichst hohes Mindestniveau festgeschrieben werden. Es sollte im Richtlinientext klargestellt werden, dass den Mitgliedstaaten die Möglichkeit verbleiben muss, in ihrem nationalen Recht über die in der Richtlinie vorgenommenen Bestimmungen hinaus zu gehen.


Einzelfragen der Richtlinie:


  • Es erscheint nicht sachgerecht, Organe und Einrichtungen der EU (insbesondere Europol) vollständig vom Anwendungsbereich der Richtlinie auszunehmen (Art. 2 Abs. 3b). Die Geltung der Richtlinie auch in diesem Bereich hindert den europäischen Gesetzgeber nicht daran, bereichsspezifische, auf die jeweiligen Erfordernisse der Einrichtung abgestimmte Regelungen zu erlassen.
  • Defizite bestehen bei den Regelungen der Rechte der Betroffenen (Art. 10 ff). Sie eröffnen den Mitgliedstaaten die Möglichkeit, die Information und die Auskunftserteilung vollständig auszuschließen, ohne dass eine Abwägung im Einzelfall stattfindet (Art. 11 Abs. 5, Art. 13 Abs. 2).
  • Die Vorschriften über die Datenübermittlung in Drittländer oder Internationale Organisationen sind zu weit gefasst (Art. 33 ff). Insbesondere sind die Ausnahmen, in denen auf ein angemessenes Schutzniveau im Drittstaat oder andere geeignete Garantien verzichtet werden kann, derart generell formuliert (Art. 36 d, e), dass sie das Ziel der Vorschriften konterkarieren.
  • Der Ausgestaltung der Befugnisse der Datenschutzbehörden im öffentlichen Bereich kommt im Rahmen der Richtlinie â?? also gegenüber Polizei- und Strafjustizbehörden â?? eine noch größere Bedeutung als bei der Verordnung zu. Für den Fall, dass die Aufsichtsbehörden verbindliche Anordnungsbefugnisse treffen, verwaltungsrechtliche Sanktionen erlassen und durchsetzbare Klagerechte erhalten sollen, bestehen die selben verfassungsrechtlichen Probleme wie sie bei der Verordnung beschrieben wurden.

Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.04.2012

 
 

Datenschutz in Deutschland nach dem Vertrag von Lissabon


Thema der Tagung, die in Kooperation mit der Frankfurter Goethe-Universität durchgeführt wurde, war die Zukunft des europäischen Datenschutzes nach Inkrafttreten des Reformvertrages von Lissabon und dessen Konsequenzen für die Bindungen deutscher Behörden und anderer Adressaten an das europäische und deutsche Datenschutzrecht.

zu den Referaten

Die Broschüre zu dieser Veranstaltung kann durch Einsendung eines ausreichend frankierten DIN A 5 Umschlages beim Hessischen Datenschutzbeauftragten bestellt werden.


Zurück zur Übersicht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 05.09.2011