ueli kieser/kurt pärli /ursula uttinger (hrsg ... · hier ist auf die frühere...
Post on 17-Sep-2018
218 Views
Preview:
TRANSCRIPT
Band 93
Ueli Kieser/Kurt Pärli /Ursula Uttinger (Hrsg.)
Datenschutz – Aktuelle Fragen auf dem Weg
Schriftenreihe desInstituts für Rechtswissenschaftund Rechtspraxis
21
Datenschutzreform in Europa und Auswirkungen auf einen Kleinstaat
Dr. PHILIPP MITTELBERGER, Datenschutzbeauftragter Fürstentum Liechten‐
stein, Vaduz
Inhaltsübersicht
Teil 1: Datenschutzreform in Europa ...................................................................... 22
1.1 Rechtliche Grundlagen – heutiger Stand im Europarat .............................22 1.2 Rechtliche Grundlagen – heutiger Stand im EWR .....................................23 1.3 Gesellschaftliche Änderungen ......................................................................24 1.4 Reformvorschlag im Rahmen des Europarates ..........................................24 1.5 Reformvorschlag im Rahmen des EWR .......................................................24 1.6 Neue Elemente der revidierten Datenschutzkonvention ..........................25 1.7 Neue Elemente der Grundverordnung (Auszug) ......................................25 1.8 Was bedeutet die Grundverordnung für …? ..............................................28 1.9 Beurteilung der Reformen .............................................................................29
Teil 2: Auswirkungen auf einen Kleinstaat ............................................................ 30
2.1 Liechtenstein im EWR ....................................................................................30 2.2 Texte der WP 29 zur Reform .........................................................................30 2.3 Gesamtbeurteilung aus Sicht eines Kleinstaates .........................................31 2.4 Folgen der Grundverordnung für Liechtenstein ........................................32 2.5 Aktueller Stand und Ausblick der künftigen
Grundverordnung (EWR) ..............................................................................33 2.6 Aktueller Stand und Ausblick (EWR) ..........................................................33 2.7 Aktueller Stand und Ausblick (Europarat) .................................................34 2.8 Kommission und Europäischer Rat ..............................................................34
PHILIPP MITTELBERGER
22
Dieser schriftliche Beitrag ergänzt die an der Tagung abgegebenen Folien und ist als
Ergänzung derselben zu sehen. Dabei steht die künftige Grundverordnung im Fo‐
kus. Auf die Entwicklungen im Europarat, die Gegenstand eines anderen Referates
waren, wird nur am Rande eingegangen.
Wie der Vortrag ist auch dieser Beitrag in zwei Teile gegliedert: die Datenschutzre‐
form in Europa einerseits und die Auswirkungen auf einen Kleinstaat anderseits.
Teil 1: Datenschutzreform in Europa
1.1 Rechtliche Grundlagen – heutiger Stand im Europarat
Die Rechtsgrundlagen des heutigen Datenschutzes in Europa werden der‐
zeit überarbeitet. Zuerst sollen die geltenden Grundlagen aufgelistet wer‐
den.
Der Europarat hat mit der Datenschutzkonvention (ETS 108) aus dem
Jahr 1981 das älteste multilaterale Abkommen geschaffen. Dieses Abkom‐
men wurde mit einem Zusatzprotokoll (ETS 181) aus dem Jahr 2001 ergänzt.
Neben diesen beiden verbindlichen Rechtsinstrumenten bestehen etliche
Empfehlungen, die ebenfalls im Rahmen des Europarates ausgearbeitet
wurden. Diese sind zwar nicht rechtlich verbindlich, dennoch wird immer
wieder auf sie Bezug genommen. Von diesen Empfehlungen seien hier eini‐
ge erwähnt: Die Recommendation CM/Rec(2010)13 on the protection of individu‐
als with regard to automatic processing of personal data in the context of profiling
ist die jüngste Empfehlung. Andere sind etwa die Recommendation
No. R (2002) 9 on the protection of personal data collected and processed for insur‐
ance purposes, die Recommendation No. R (89) 2 on the protection of personal data
used for employment purposes (welche derzeit überarbeitet wird) oder die Re‐
Datenschutzreform in Europa und Auswirkungen auf einen Kleinstaat
23
commendation No. R (87) 15 regulating the use of personal data in the police sector,
die bis heute im Schengen‐Bereich als wichtig gilt.
1.2 Rechtliche Grundlagen – heutiger Stand im EWR
Vierzehn Jahre nach der Verabschiedung der Datenschutzkonvention des
Europarates wurde die allgemeine Datenschutzrichtlinie 1995/46/EG verab‐
schiedet. Diese wurde in den folgenden Jahren ergänzt durch die Richtlinie
2002/58/EG über den Datenschutz in der elektronischen Kommunikation
und Richtlinie 2009/136, welche die letztgenannte Richtlinie ergänzt, jedoch
bis heute nicht in den EWR übernommen wurde und somit für die
EWR/EFTA‐Staaten nicht massgebend ist.
Diese Richtlinien werden durch den Rahmenbeschluss 2008/977/JHA er‐
gänzt, der weniger weit geht als die Richtlinien und z. B. nur im grenzüber‐
schreitenden Bereich gilt.
Wieso gibt es neben diesen Richtlinien auch den Rahmenbeschluss? Und
worin besteht der Unterschied? Hier ist auf die frühere 3‐Säulen‐Architektur
zu verweisen. Die Richtlinien waren in der sogenannten 1. Säule (Europäi‐
sche Gemeinschaft) anwendbar, in der 3. Säule (Zusammenarbeit der Poli‐
zei‐ und Justizbehörden in Strafsachen) jedoch nicht. Somit gab es hier ein
Vakuum, das mit dem Rahmenbeschluss 2008/977/JI des Rates vom
27. November 2008 über den Schutz personenbezogener Daten in der
3. Säule zumindest teilweise gefüllt wurde.
Bei dieser 3‐Säulen‐Architektur gab es zudem unterschiedliche Zuständig‐
keiten. Während bei der 1. Säule das Europäische Parlament ein Mitsprache‐
recht hatte, war dies bei der 3. Säule nicht der Fall. Hier hatte der Europäi‐
sche Rat das Sagen. Der Sicherheitsbereich ist – gerade nach Terroranschlä‐
gen – immer wieder in den Schlagzeilen. Politiker forderten immer wieder
neue Sicherheitsvorschriften, die zum Teil stark in die Privatsphäre der Bür‐
ger eingreifen. Vor diesem Hintergrund verwundert es nicht, dass der Da‐
tenschutz eher ein Stiefkind war, sodass es bis 2008 keine EU‐weiten Rege‐
lungen gab. Dies änderte sich mit dem genannten Rahmenbeschluss, der
PHILIPP MITTELBERGER
24
jedoch, wie erwähnt, weniger weit geht als die allgemeine Datenschutzricht‐
linie.
Der Vertrag von Lissabon hob diese Säulenarchitektur auf. Gleichzeitig trat
die Europäische Grundrechte‐Charta in Kraft. In Art. 7 wird die Privatsphä‐
re und in Art. 8 der Datenschutz explizit erwähnt. Dies führt in der EU zu
einer klaren Stärkung des Datenschutzes. In diesem Sinne hat der EuGH
schon in verschiedenen Urteilen auf diese beiden Bestimmungen Bezug ge‐
nommen und die jeweiligen Fälle im Sinne des Datenschutzes behandelt
(z. B. Urteil zu Google Spain oder zur Vorratsdatenspeicherung).
1.3 Gesellschaftliche Änderungen
Gesellschaftliche Änderungen wie die Globalisierung, technische Entwick‐
lungen und das Internet oder Social Media sind wichtige Elemente, welche
die bestehenden Rechtsgrundlagen aus den Jahren 1981 und 1995 in Frage
stellen. Dazu kommen auch die wichtige Terrorismusbekämpfung und all‐
gemein Fragen zur Sicherheit.
1.4 Reformvorschlag im Rahmen des Europarates
Die 30. Justizministerkonferenz vom 24. bis 26. November 2010 in Istanbul
fasste den formellen Beschluss zum Reformstart im Rahmen des Europara‐
tes. Beauftragt wurde der Konventionsausschuss der Datenschutzkonven‐
tion (T‐PD). Nach Abschluss der Arbeit wurde ein Ad‐hoc‐Ausschuss
(CAHDATA) einberufen, um die Arbeit fortzuführen. Dieser Ad‐hoc‐
Ausschuss traf sich von Herbst 2013 bis Ende 2014.
1.5 Reformvorschlag im Rahmen des EWR
Die Europäische Kommission schlug am 25. Januar 2012 zwei Instrumente
zur Reform des Datenschutzes vor: eine Datenschutz‐Grundverordnung als
Weiterentwicklung der Richtlinie 1995/46/EG und eine Richtlinie zum
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung,
Datenschutzreform in Europa und Auswirkungen auf einen Kleinstaat
25
Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung
sowie zum freien Datenverkehr.
Wieso eine Verordnung und eine Richtlinie? Ziel der Reform ist eine Stär‐
kung des Datenschutzes. Dabei sollte insbesondere auch Rechtssicherheit für
Unternehmen geschaffen werden. Dazu ist eine Verordnung, die direkt an‐
wendbar ist, sicher das geeignete Mittel. Denn im Unterschied zu einer
Richtlinie haben die Mitgliedstaaten bedeutend weniger Ermessensspiel‐
raum für die Umsetzung. Damit kann und soll das Beispiel Google Street
View vermieden werden, bei dem es sehr unterschiedliche nationale Posi‐
tionen gegeben hatte. Dies führte zur Gefahr, dass national unterschiedliche
Positionen von Datenschutzbehörden gegeneinander ausgespielt werden
können, eine Art forum shopping.
1.6 Neue Elemente der revidierten Datenschutzkonvention
Ziel einer revidierten Konvention ist natürlich eine Modernisierung. Damit
verbunden sind eine Erhöhung der Wirksamkeit derselben und ein Ausbau
des Kontrollmechanismus. In dem Sinne soll ein «Monitoring» durch den
neuen Konventionsausschuss eingeführt werden. Die Revisionsarbeiten
orientieren sich an den Arbeiten in «Brüssel». Die Konvention hat zudem
einen globalen Anspruch und sieht vor, dass auch nicht‐europäische Staaten
beitreten können.1
1.7 Neue Elemente der Grundverordnung (Auszug)
Das neue Verfahren in «Brüssel» sieht vor, dass das Europäische Parlament
und der Rat Stellung nehmen können. Diese drei Texte werden danach im
sogenannten Trilog diskutiert. Dabei müssen sich diese drei Kerninstitutio‐
nen der EU auf einen Text einigen, der schlussendlich verabschiedet wird.
1 Weitere Informationen: JEAN‐PHILIPPE WALTER: «Modernisierung des Übereinkommens
zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Da‐
ten (Übereinkommen 108)», Januar 2014.
PHILIPP MITTELBERGER
26
So weit ist man noch nicht. Immerhin sollen hier einige Schwerpunkte
stichwortartig aufgezählt werden:
Weiterhin kein Schutz juristischer Personen
Anwendungsbereich: u. U. auch nicht‐europäische Unternehmen
(Art. 3)
Stärkung der Einwilligung: aktive Handlung (Art. 4), Beweislast bei
Dateninhaber (Art. 7)
Daten eines Kindes (Art. 8)
Besonders schützenswerte Daten (Art. 4 und 9): einschliesslich geneti‐
sche Daten
Vorgängige Information (Art. 11): mehr Betonung auf Allgemeinver‐
ständlichkeit
Recht auf Vergessen (Art. 17)
Portabilität (Art. 18)
Datenschutzbeauftragte (Art. 35)
Zertifizierung (Art. 39)
Verbandsbeschwerderecht (Art. 73)
Delegierte Rechtsakte und Durchführungsrechtsakte (Art. 84)
Die Grundverordnung verfolgt das wichtige Ziel der Schaffung von Rechtssi‐
cherheit für Unternehmen. Dazu sollen Erleichterungen für Dateninhaber ge‐
schaffen werden. Eine dieser Erleichterungen besteht in der Abschaffung der
allgemeinen Meldepflicht von Datensammlungen bei den nationalen Daten‐
schutzbehörden, die weithin als bürokratische Last empfunden wird. Zur
Schaffung von Rechtssicherheit wird ein sogenannter «One‐Stop‐Shop» ein‐
geführt. Danach soll sich ein Unternehmen, das mehrere Sitze in Europa hat,
mit einem Anliegen an die Datenschutzbehörde des Hauptsitzes wenden.
Diese soll das Anliegen prüfen. Dabei ist noch offen, wie die anderen Daten‐
schutzbehörden beigezogen werden sollen. Das Ziel aber ist klar: Ein Daten‐
inhaber soll einen Ansprechpartner haben und ein koordiniertes Verfahren
soll sicherstellen, dass der Dateninhaber eine Antwort erhält, die europaweit
Datenschutzreform in Europa und Auswirkungen auf einen Kleinstaat
27
Gültigkeit hat. Fälle wie Google Street View, bei dem es sehr unterschiedli‐
che Ansichten von Datenschutzbehörden gab, sollen vermieden werden.
Andererseits erfolgt aber auch ein Ausbau der Pflichten der Dateninhaber. Hier
seien folgende stichwortartig aufgeführt:
Vorkehrungen zur Geltendmachung der Rechte (Art. 12)
Pflichten des Verantwortlichen (Art. 22 Übersicht; Art. 28 Dokumenta‐
tion)
Data Protection by Design, Data Protection by Default (Art. 23)
Datenschutz‐Folgeabschätzung (Data Protection Impact Assessment,
Art. 33)
Meldung bei Sicherheitsverstössen (Data Breach Notification, Art. 31
und 32)
Vorherige Genehmigung und Zurateziehung (Art. 34)
Interner Datenschutzbeauftragter (Art. 35)
Diese Änderungen haben natürlich auch Folgen für die Datenschutzbehörden.
Im Allgemeinen werden ihre Aufgaben zunehmen. Auch hier seien einige
stichwortartig genannt:
Beratung im Fall einer «riskanten» Datenbearbeitung, Genehmi‐
gungspflicht (Art. 34)
Meldung von Sicherheitsverletzungen (Art. 31)
Rolle im Zusammenhang mit Zertifikaten, Verhaltensregeln, BCR,
Standardverträgen (Art. 51)
One‐Stop‐Shop (Art. 51a und b)
Sanktionsmöglichkeiten (Art. 79).
Die heutige Artikel‐29‐Arbeitsgruppe (WP 29) wird durch einen Europäi‐
schen Datenschutzausschuss (EDPB) abgelöst, dessen Aufgaben in Art. 66 ge‐
nannt werden.
PHILIPP MITTELBERGER
28
Wie beim Beispiel des «One‐Stop‐Shops» erwähnt, werden sich die Daten‐
schutzbehörden vermehrt abstimmen müssen. Dazu wird ein so genanntes
Kohärenzverfahren geschaffen. Dabei ist eine Stellungnahme des EDPB vorge‐
sehen, wenn mehrere Mitgliedstaaten betroffen sind (Art. 58). Zudem gibt es
Regelungen über eine Stellungnahme der Kommission (Art. 59 und 60).
Detailbestimmungen zur Grundverordnung sind in delegierten Rechtsakten
und Durchführungsrechtsakten vorgesehen (Art. 62, z. B. über (Nicht‐) An‐
gemessenheit des Datenschutzes in einem Drittland). Allgemein kann, zu‐
mindest im Entwurf der Kommission, eine Stärkung der Kompetenzen der
Europäischen Kommission festgestellt werden.
Ausserdem sieht der Entwurf Bestimmungen für besondere Datenverarbei‐
tungssituationen vor. Dabei geht es um den Arbeitsplatz, die Gesundheit,
statistische Zwecke etc. (Art. 80 ff.). Damit regelt die Grundverordnung auch
Bereiche, die bisher der Spezialgesetzgebung überlassen waren. Es stellt sich
die Frage, wie das Verhältnis zu Spezialgesetzen wie dem Sozialversicherungs‐
oder Telekombereich, dem Geldwäschereigesetz, der Videoüberwachung
etc. aussieht. Diese Frage scheint ungeklärt zu sein. Sind diese Spezialgeset‐
ze aufzuheben, da künftig alles durch die Grundverordnung geregelt wird?
Oder sind sie, nur aber immerhin, anzupassen?
1.8 Was bedeutet die Grundverordnung für …?
Die erwähnten neuen Bestimmungen haben vor allem folgende Auswirkun‐
gen.
Für Behörden und Unternehmen ist das Ziel einerseits weniger Bürokratie. So
wird z. B. die allgemeine Registrierungspflicht abgeschafft. Anderseits wer‐
den aber auch verstärkte Pflichten eingeführt wie z. B. Privacy by Design,
Privacy by Default, Privacy Impact Assessment oder der Nachweis der Ein‐
willigung.
Die Rechte betroffener Personen werden gestärkt. Dies gilt für die Einwilli‐
gung, die Datenportabilität oder das Recht auf Vergessen. Zudem werden
Kinder neu explizit und verstärkt geschützt.
Datenschutzreform in Europa und Auswirkungen auf einen Kleinstaat
29
Die Datenschutzbehörden erhalten mehr Arbeit und verstärkte Kompetenzen.
So ist z. B. eine Möglichkeit einer Busse bis 2 % des Jahresumsatzes eines
Unternehmens vorgesehen. Ebenso soll es eine verstärkte Zusammenarbeit
im European Data Protection Board (EDPB) geben.
1.9 Beurteilung der Reformen
Wie sind die Reformen allgemein gesehen zu beurteilen?
Für den EWR ist die Reform grundsätzlich positiv zu beurteilen. Sie bewirkt
eine Stärkung und Modernisierung des Datenschutzes. Die damit verbun‐
dene Harmonisierung bewirkt mehr Rechtssicherheit für Unternehmen. Es
erfolgt auch eine Reduzierung von Bürokratie und Kosten (Registrierungs‐
pflicht).
Das Verhältnis zwischen der Grundverordnung und der Richtlinie im Poli‐
zeibereich ist offen. Grundsätzlich ist die Schaffung einer Richtlinie neben
einer Verordnung nicht im Sinn der Harmonisierung. Dies wird aber zu
akzeptieren sein, da hier historische Gründe mitspielen. Dennoch gibt es
hier noch ungeklärte Abgrenzungsfragen.
Eine Koordinierung zwischen «Brüssel» und «Strassburg» ist sinnvoll. Al‐
lerdings gibt es unterschiedliche Interessen. So hat «Brüssel» ein grosses
Interesse daran, dass sich die Datenschutzkonvention nicht zu sehr von der
Grundverordnung unterscheidet. Der Konvention können auch nicht‐
europäische Staaten beitreten. Dieser globale Anspruch ist für den Europarat
leichter zu erfüllen, wenn die Anforderungen nicht zu hoch sind, im Sinne
einer Datenschutzgrundverordnung «light».
Auch nach einer Verabschiedung der Reformtexte wird eine Koordinierung
sehr wichtig sein. Die Zusammenarbeit auf europäischer Ebene war im
Übrigen Gegenstand eines Beschlusses der Europäischen Datenschutzkonfe‐
renz 2014.
PHILIPP MITTELBERGER
30
Teil 2: Auswirkungen auf einen Kleinstaat
2.1 Liechtenstein im EWR
Liechtenstein ist Mitglied im Europäischen Wirtschaftsraum und somit an
Rechtstexte der ehemaligen ersten Säule gebunden.
Dementsprechend hat Liechtenstein die allgemeine Datenschutzrichtlinie
95/46/EG nach Art. 1 des Datenschutzgesetzes (DSG) umgesetzt. Art. 28
Abs. 1 bestimmt: «Es wird eine Datenschutzstelle eingerichtet, die organisa‐
torisch dem Landtag zugeordnet ist.» Diese vertritt das Fürstentum Liech‐
tenstein nach Art. 32 Abs. 1 Bst. f DSG in der Datenschutzgruppe gemäss
Art. 29 der Richtlinie 95/46/EG. Diese Gruppe hat nach Art. 30 der Richtlinie
unter anderem die Aufgabe, «die Kommission bei jeder Vorlage zur Ände‐
rung dieser Richtlinie, zu allen Entwürfen zusätzlicher oder spezifischer
Massnahmen zur Wahrung der Rechte und Freiheiten natürlicher Personen
bei der Verarbeitung personen‐bezogener Daten sowie zu allen anderen
Entwürfen von Gemeinschaftsmassnahmen zu beraten, die sich auf diese
Rechte und Freiheiten auswirken.»
2.2 Texte der WP 29 zur Reform
In dieser Eigenschaft hat sich die Gruppe in folgenden, öffentlichen Papieren
zur Reform als solcher oder zu Teilaspekten geäussert:
Opinion 01/2012 on the data protection reform proposals, vom
23.03.2012 (WP 191)
Opinion 08/2012 providing further input on the data protection reform
discussions, vom 08.10.2012 (WP 199)
Working Document 01/2013 Input on the proposed implementing acts,
vom 22.01.2013 (WP 200)
Opinion 01/2013 providing further input into the discussions on the
draft Police and Criminal Justice Data Protection Directive, vom
26.02.2013 (WP 201)
Statement of the Working Party on current discussions regarding the
data protection reform Package, vom 27.02.2013
Datenschutzreform in Europa und Auswirkungen auf einen Kleinstaat
31
Advice paper on essential elements of a definition and a provision on
profiling within the EU General Data Protection Regulation, vom
13.05.2013
Working Party Comments to the vote of 21 October 2013 by the Euro‐
pean Parliament’s LIBE Committee, vom 11.12.2013
Letter from the Article 29 Working Party to the Chair of the Council’s
Working Party on Information Exchange and Data Protection (DAPIX)
on the One‐Stop‐Shop mechanism, vom 16.04.2014
Statement on the role of a risk‐based approach in data protection legal
frameworks, vom 30.05.2014 (WP 218)
Statement on the results of the last JHA meeting, vom 17.09.2014
(WP 222)
2.3 Gesamtbeurteilung aus Sicht eines Kleinstaates
Als kleinster EWR‐Staat ist Liechtenstein mehr als andere auf klare Prioritä‐
ten angewiesen. Dies gilt natürlich auch im Rahmen des Datenschutzes, wo
der Fokus in Liechtenstein klar auf der Grundverordnung liegt. Dies, da sie
weiter gehen soll als die neue Konvention. Insbesondere wird es ein neu
gestaltetes Sanktionsregime geben. Zudem werden im Rahmen von «Brüs‐
sel» mehr verbindliche Rechtsinstrumente geschaffen als im Europarat (wo
es auch Empfehlungen an die Mitgliedsstaaten gibt, wie anfangs gezeigt).
Diese verbindlichen Rechtsinstrumente nehmen häufig Bezug auf die beste‐
henden Datenschutzrichtlinien aus Brüssel, die in das innerstaatliche Recht
umzusetzen sind. Zudem trifft sich die Artikel‐29‐Arbeitsgruppe öfter als
der Beratende Ausschuss in Strassburg. Insgesamt sind somit die Rechtsin‐
strumente aus Brüssel «lebendiger» und wichtiger als die aus Strassburg.
Die Harmonisierung des Datenschutzes in Europa wird insgesamt für eine
kleine Datenschutzbehörde sinnvoll sein, da somit die Möglichkeit gegeben
ist, sich mehr auf die Praxis anderer Datenschutzbehörden zu stützen, die
ähnliche Fälle zu beurteilen hatten. Dies gilt vor allem im EWR, wo es keine
grossen Unterschiede insbesondere zu Österreich oder zu Deutschland mehr
geben sollte.
PHILIPP MITTELBERGER
32
Dies hängt jedoch sehr stark von der Frage ab, wie der Aspekt der Spezial‐
gesetzgebungen zu sehen sein wird. Wenn es auch weiterhin eine Spezialge‐
setzgebung geben wird, wäre dies ein Loch im Harmonisierungsteppich von
Brüssel. Im Rat gibt es, wie noch zu zeigen sein wird, Tendenzen, von der
Idee einer Grundverordnung in Richtung einer Richtlinie abzuweichen.
Damit wäre dieser Vorteil für einen Kleinstaat relativiert. Die Grundverord‐
nung wird, wie erwähnt, zu mehr Aufgaben der Datenschutzbehörden füh‐
ren; was auch zu einer Ressourcenfrage werden kann.
2.4 Folgen der Grundverordnung für Liechtenstein
Bei den Folgen der Grundverordnung ist zu unterscheiden zwischen den
Folgen für Liechtenstein als Staat und den Folgen für die Datenschutzstelle,
die am meisten betroffen sein wird. Kurzfristig geht es auch um Folgen für
Liechtenstein als Staat: Verordnungen sind grösstenteils direkt anwendbar.
Damit wird der Gesetzgeber viel weniger gefordert sein als dies bei einer
Richtlinie der Fall wäre. Ausnahmsweise sind weiterhin einzelne Punkte für
den nationalen Gesetzgeber vorgesehen.2
Mittel‐ und langfristig wird die Grundverordnung, natürlich, vor allem Fol‐
gen für die Datenschutzbehörden zeitigen. Dies gilt für die Analyse der
Grundverordnung als solcher und der delegierten und durchführenden
Rechtsakte. Es wird um die Frage gehen, wie die Praxis gestaltet werden
soll. Dazu wird die Information der Öffentlichkeit und insbesondere der
Dateninhaber (Behörden und Unternehmen) eine wichtige Aufgabe darstel‐
len. So werden Wegleitungen etc. zu schaffen sein. Auch die Stärkung der
Aufsichtsbefugnisse der Datenschutzstelle wird Folgen haben. Es ist anzu‐
nehmen, dass Dateninhaber vermehrt den Rat der Datenschutzstelle suchen
werden. Ebenso ist eine Intensivierung der Zusammenarbeit im EDPB zu
erwarten.
2 Beispiel: Art. 49 Errichtung der Aufsichtsbehörde.
Datenschutzreform in Europa und Auswirkungen auf einen Kleinstaat
33
2.5 Aktueller Stand und Ausblick der künftigen Grundverordnung (EWR)
Doch so weit sind die Arbeiten noch nicht.
Ursprünglich war das Ziel eine Verabschiedung der Grundverordnung bis
Ende 2014. Nach 3133 Änderungsanträgen (!), welche ein historisches
Höchstmass im Europäischen Parlament darstellten, konnte dieses am
12. März 2014 eine Stellungnahme abgeben. Damit war ein wichtiger Schritt
erreicht. Und der Europäische Rat? Trotz des NSA‐Skandals hatte und hat es
der Rat nicht so eilig mit der Reform. Er hinkt mit der Arbeit hinterher. Im‐
mer wieder werden einzelne Teile der Grundverordnung beraten.3 Aber das
sind eben nur Teile. In den Pressemitteilungen des Rates zu diesen Diskus‐
sionen scheint immer wieder der Satz auf: «Nothing is agreed until every‐
thing is agreed.»4 Damit will sich der Rat noch nicht festlegen.
2.6 Aktueller Stand und Ausblick (EWR)
Die Arbeit der Reform in Brüssel zieht sich hin. Wie erwähnt, startet der
Trilog erst, wenn der Rat eine Stellungnahme abgegeben hat, was ja noch
nicht der Fall ist. Es ist derzeit offen, wann dies der Fall sein wird.
Die Arbeiten im Rat – und der entsprechenden Arbeitsgruppe Dapix – kon‐
zentrierten sich bisher auf die Grundverordnung. Doch was ist mit der ge‐
planten Richtlinie im Polizeibereich, die ja in den anderen Teil des von der
Kommission Anfang 2012 vorgestellten Datenschutzpakets gehört? Wird es
hier zwei Geschwindigkeiten geben, so dass die Grundverordnung zuerst
und die Richtlinie erst später verabschiedet werden? Sollte dies der Fall sein,
wird die Diskrepanz zwischen der ehemaligen dritten und der ersten Säule
noch grösser; wobei ja unklar ist, wie die Grundverordnung aussehen wird.
Insgesamt sind im Rat Tendenzen festzustellen, die eher in Richtung einer
3 Presseaussagen:
«Europa kommt mit Datenschutzreform kaum voran», (heise.de vom 04.03.2014)
«EU‐Rat trippelt bei der Datenschutzreform nach vorn», (heise.de vom 6.6.2014)
«EU‐Rat will die Datenschutzreform abschwächen», (heise.de vom 13.10.2014).
4 Siehe zum Beispiel: http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata
/en/jha/146049.pdf.
PHILIPP MITTELBERGER
34
Richtlinie gehen, da Länder wie Deutschland zum Teil bereits einen sehr
hohen Standard aufweisen. Es ist verständlich, wenn solche nationalen Er‐
rungenschaften beibehalten werden sollen. Schliesslich soll die Datenschutz‐
reform einen Fort‐ und keinen Rückschritt darstellen. Anderseits ist auch zu
beachten, dass z. B. Big‐Data‐Fragen im Raum stehen, die bis heute ungelöst
sind. Es ist auch verständlich, dass die Reform solche offenen Fragen beant‐
worten sollte. Die bestehende allgemeine Datenschutzrichtlinie wird 2015
zwanzig Jahre alt. Es wäre sicher im Interesse aller, wenn die laufende Re‐
form einen ähnlich langen Bestand haben könnte.
2.7 Aktueller Stand und Ausblick (Europarat)
Wie erwähnt ist die Arbeit im Europarat mit der Reform in Brüssel verbun‐
den. Nach dem Beratenden Ausschuss der Datenschutzkonvention (T‐PD)
wurde ein Ad‐hoc‐Ausschuss (CAHDATA) gebildet, der sich zwischen
Herbst 2013 und Ende 2014 dreimal traf. Die letzte Sitzung fand vom 1. bis
3. Dezember 2014 statt. Die Arbeit wurde mit einigen Vorbehalten der Euro‐
päischen Kommission verabschiedet.5 Nun wird es am Ministerkomitee des
Europarates liegen, eine Entscheidung über den Text zu treffen. Dort sind
auch die Mitgliedsstaaten der EU vertreten. Deshalb ist kaum damit zu
rechnen, dass die Reform im Rahmen des Europarates schneller verabschie‐
det wird als die des EWR.
2.8 Kommission und Europäischer Rat
Derzeit besteht der Eindruck, dass der Rat die ganze Reform im EWR in die
zur Kommission gegengesetzte Richtung ziehen will. Dies ist in dem Sinne
verständlich, als es ungelöste Fragen wie z. B. das Phänomen von Big Data
gibt.
5 http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/CAHDATA‐
RAP03Abr_En.pdf.
top related