Stuttgart, 25. Januar 2012

Pressemitteilung

EU-Kommission stellt konkrete Pläne für die Novellierung des EU-Datenschutzrahmens vor
Landesbeauftragter für den Datenschutz sieht erheblichen Diskussionsbedarf

 

Heute hat die EU-Kommission ihre konkreten Pläne für die Überarbeitung des Datenschutzrechts auf europäischer Ebene offiziell bekannt gegeben. Zu dem Entwurf einer Verordnung sowie dem Entwurf einer Richtlinie im polizeilichen und justiziellen Bereich erwartet Jörg Klingbeil, der Landesbeauftragte für den Datenschutz, intensive Erörterungen auf nationaler und europäischer Ebene. Die Zielsetzung der grundlegenden Überarbeitung des Datenschutzrechts in Europa ist nach seiner Auffassung notwendig. Denn die bislang gültigen europarechtlichen Vorgaben zum Datenschutz datieren im Wesentlichen aus dem Jahr 1995. „Die Herausforderungen der Informationsgesellschaft, der technologische Fortschritt und die zunehmende Globalisierung vieler Lebens- und Wirtschaftsbereiche erfordern eine Anpassung des rechtlichen Rahmens, wie dies schon von den Datenschutzbeauftragten des Bundes und der Länder im Jahr 2010 für den nationalen Bereich gefordert wurde“, ergänzt der Landesbeauftragte.

Die heute veröffentlichten Entwürfe sehen vor, das Datenschutzrecht in einer Verordnung einheitlich zu regeln, die in allen Mitgliedsstaaten unmittelbar gelten würde. Dies böten nach Einschätzung des Landesdatenschutzbeauftragten die Chance, die bisher unterschiedlichen Datenschutzstandards in den Mitgliedsstaaten im Interesse der Bürgerinnen und Bürger zu vereinheitlichen. Auch wenn Jörg Klingbeil diese grundsätzliche Zielrichtung begrüßt, sieht er gerade in dem Entwurf der Verordnung in Einzelfragen gravierende Schwächen:

  • Unternehmen aus Nicht-EU-Staaten, die personenbezogene Daten von EU-Bürgern verarbeiten, sollen auf die europäischen Datenschutzregeln verpflichtet werden, auch wenn sie keine Niederlassung in der EU haben. Problematisch daran ist, dass den Datenschutzaufsichtsbehörden und den Gerichten in der EU keine Ermittlungs- oder Anordnungsbefugnisse gegen außereuropäische Stellen zustehen. Das bedeutet letztlich, dass die Umsetzung des Datenschutzes und der Datensicherheit allein auf den guten Willen dieser Unternehmen angewiesen ist.
  • Unternehmen mit Niederlassungen in mehreren EU-Ländern sollen künftig ausschließlich der Aufsicht der Datenschutzaufsichtsbehörde des Landes, in dem sich der Hauptsitz des Unternehmens befindet, unterliegen. Die EU-Kommission erwartet von dieser „one-stop-shop-Regelung“ eine einheitlichere europaweite Rechtsanwendung und einen Bürokratieabbau bei den Unternehmen. Für die betroffenen Bürgerinnen und Bürger ergäbe sich dagegen das Problem, dass die Aufsichtsbehörden vor Ort bei Beschwerden nur noch als „Briefkasten“ fungieren und im Übrigen vollständig von der zuständigen Aufsichtsbehörde abhängig wären. Hierzu schildert Jörg Klingbeil das folgende Beispiel: Hat ein Mitarbeiter eines deutschen Unternehmens in Stuttgart, das zu einem spanischen Konzern gehört, eine datenschutzrechtliche Auseinandersetzung mit seinem Arbeitgeber, sei für deren Entscheidung in Zukunft allein die für den Sitz der spanischen Konzernobergesellschaft zuständige spanische Aufsichtsbehörde zuständig. Wende sich der Bürger nun an ihn, müsse er die Beschwerde an die spanische Aufsichtsbehörde weiterleiten. Diese werde ihn bitten, den Sachverhalt zu ermitteln und darüber zu berichten. Auf dieser Grundlage könne die spanische Aufsichtbehörde dann eine Entscheidung treffen. Wenn sie dabei datenschutzrechtliche Mängel feststelle und das Unternehmen nicht freiwilig zur Abhilfe bereit sei, werde die spanische Behörde ihn beauftragen, ihre Entscheidung durchzusetzen.

Klingbeil befürchtet, dass der Rechtsschutz für die Bürgerinnen und Bürger damit eher erschwert als erleichtert wird, weil sich die Wege zur zuständigen Aufsichtsbehörde und die Dauer der Verfahren verlängern. Abgesehen von ungelösten Verfahrensfragen wie der zu verwendenden Amtssprache und fehlenden Regelungen für die notwendigen Übersetzungen dürfte der vorgesehene Übergang von Kompetenzen von den Aufsichtsbehörden der Mitgliedsstaaten an Aufsichtsbehörden anderer Mitgliedsstaaten und die EU-Kommission mit der vom Europäischen Gerichtshof propagierten völligen Unabhängigkeit der Aufsichtsbehörden kaum in Einklang zu bringen sein. Kritisch steht der Landesbeauftragte auch der Anhebung des Schwellenwertes bezüglich der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten gegenüber: „Angesichts der guten Erfahrungen in Deutschland ist es zwar zu begrüßen, wenn nach dem Entwurf die Bestellung betrieblicher und behördlicher Datenschutzbeauftragter europaweit verbindlich wird. Der vorgesehene Schwellenwert von 250 Mitarbeitern ist aber deutlich zu hoch“. Bislang sind Unternehmen in Deutschland zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn 10 oder mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Neben einer generellen, in allen Mitgliedstaaten der Europäischen Union geltenden Verordnung für die Verarbeitung personenbezogener Daten will die EU-Kommission im Bereich von Justiz und Polizei durch einen Richtlinienentwurf einheitliche Grundlagen für eine Verarbeitung personenbezogener Daten bei der Verhütung und Verfolgung von Straftaten sowie der Strafvollstreckung und dem freien Datenverkehr zwischen den Mitgliedstaaten ermöglichen. Dadurch soll ein Rahmenbeschluss des Rates aus dem Jahre 2008 zum Datenaustausch bei der Strafverfolgung ersetzt werden. Dagegen gab es immer Bedenken, da die Datenschutzstandards in anderen Ländern nicht vergleichbar seien und nach einer Übermittlung keine weitere Kontrolle über eine Weiterverwendung möglich sei. Der Landesdatenschutzbeauftragte geht davon aus, dass bis zur endgültigen Verabschiedung der neuen Regelungen und dem Inkrafttreten noch mehrere Jahre ins Land gehen werden. Im Interesse der Verbraucher und angesichts der dynamischen Entwicklung des Internets sei eine zügigere Umsetzung wünschenswert.