Montag, 12. Dezember 2011, von

Der Entwurf zur Datenschutz-Verordnung im Überblick

Seit Mittwoch geistert ein geleakter Entwurf (PDF) der „General Data Protection Regulation“ dank statewatch.org durch das Netz. Telemedicus hat dies zum Anlass genommen, sich einen groben Überblick zu verschaffen.

Der Entwurf war schon beim Leak gut eine Woche alt. Ob er bei einer Bekanntmachung Ende Januar noch aktuell sein wird, ist fraglich. Grobe Züge und Konzepte werden wohl aber erhalten bleiben. Aber dann muss natürlich auch diese (EU-)Verordnung noch den EU-Gesetzgebungsprozess durchlaufen. Was nach der Behandlung der Verordnung im Ministerrat und im Europäischen Parlament davon noch übrig bleibt, vermag wohl keiner zu sagen.
Wie kam es eigentlich zu dem Leak? Man sollte ja eigentlich meinen, dass die Kommission ihren Apparat im Griff hat. Nun wird jetzt die Bekanntgabe der beiden geplanten Datenschutz-Rechtsakte (hinzu kommt noch eine Datenschutz-Richtlinie für polizeiliche und strafrechtliche Zusammenarbeit, die mittlerweile ebenfalls durchgesickert ist (PDF)) beim ‚offiziellen‘ Start wohl etwas weniger Wirbel erzeugen. Vielleicht war es aber auch Absicht und die Kommission hofft, abseits vom Politischen vorab tiefergehende Auseinandersetzung mit der Verordnung zu erreichen. Dies würde den politischen Prozess etwas entschärfen.

Das Vorwort

Im Vorwort verweist die Kommission zunächst auf den status quo im Datenschutz, also die Richtlinie 95/46/EC und den Rahmenbeschluss 2008/977/JHA. Als Rechtsgrundlage verweist bezieht sie auf Art. 16 AEUV. Weiterhin nimmt die Kommission Bezug auf das Grundrecht auf Schutz personenbezogener Daten aus Art. 8 EU-Grundrechtscharta (PDF). Bei der aktuellen Rechtslage sieht die Kommission Defizite, da es zu einer Fragmentierung der europäischen Rechtslage und rechtlicher Unsicherheit gekommen ist:

The current framework remains sound as far as its objectives and principles are concerned, but it has not prevented fragmentation in the way personal data protection is implemented across the Union, legal uncertainty and a widespread public perception that there are significant risks associated notably with online activity.

Warum sich die Kommission zu einer Verordnung entschieden hat, ergibt sich neben der Umsetzungsverzögerung einer Richtlinie unter anderem aus dem „policy assessment“:

According to the assessment, its implementation will lead inter alia to considerable improvements regarding legal certainty for data controllers and citizens, reduction of administrative burden, consistency of data protection enforcement in the Union, the effective possibility of individuals to exercise their data protection rights to the protection of personal data within the EU and the efficiency of data protection supervision and enforcement.

In den Ausführungen zu der Subsidiarität führt die Kommission nun genauer an, weshalb ein Rechtsakt auf EU-Ebene notwendig ist. Zum einen verpflichte Art. 8 Grundrechtscharta zu einem EU-weit einheitlichen Datenschutz. Weiterhin ließe sich grenzüberschreitender Datentransfer sonst kaum handhaben. Auch wären die Mitgliedsstaaten derzeit kaum in der Lage, die Probleme für sich alleine zu lösen. Letztlich sei EU-Gesetzgebung hier auch einfach effektiver.

Die Erwägungsgründe

Die Erwägungsgründe sind lang, in dem Entwurfsdokument füllen die 118 Erwägunggründe 18 Din A4-Seiten. Ein kurzer Überblick:

• Die Verordnung soll auch dann gelten, wenn ein EU-Datenerheber oder -verarbeiter außerhalb der EU verarbeitet (EWG 13).

• Die Verordnung soll auch dann gelten, wenn ein nicht-EU-Datenerheber Daten verarbeitet, die EU-Bürger betreffen (EWG 14 und 15).

• Technologieneutralität der Verordnung ist weiter erklärtes Ziel (EWG 17).

• Datenverarbeitung durch die EU selbst wird nicht erfasst (EWG 18).

• Private oder häusliche Datenverarbeitung wird grundsätzlich nicht erfasst. Werden solche Daten aber einer ungrenzten Anzahl von Leuten verfügbar gemacht (etwa Internet) entfällt diese Ausnahme (EWG 19).

• Auch eine Profilerstellung anhand einer IP-Adresse u.ä. löst die Geltung der Verordnung aus (EWG 23).

• Eine Einwilligung muss ausdrücklich gegeben werden (EWG 24).

• Datensparsamkeit, Datenvermeidung und Zweckbindung werden betont (EWG 28).

• Der Datenerheber hat die Beweispflicht bezüglich der Einwilligung (EWG 30).

• Es gilt der Grundsatz der Zweckbindung. Falls keine Ausnahme greift, muss eine explizite Einwilligung vorliegen (EWG 32-34).

• Das „right to be forgotten“, gewissermaßen als Weiterentwicklung der strikten Zweckbindung (EWG 46-47).

• Ein Anspruch auf Datenportabilität (der Transfer von einem automatischen System in ein anderes) und Bereitstellung einer elektronischen Kopie der Daten bei automatisch gesammelten Daten (EWG 48).

• Die Bürger erhalten ein Abwehrrecht gegen „Profiling” (entspricht wohl dem, was wir in Deutschland Scoring nennen). Sie können einen „menschlichen Eingriff” in ein automatisches Profiling zu verlangen. Profiling von Kindern ist verboten (EWG 51).

• Falls ein Nicht-EU Datenerheber Daten von EU-Bürgern verarbeitet, muss er einen Repräsentanten als Kontaktperson für Aufsichtsbehörden benennen (EWG 55).

• Unternehmen sind verpflichtet, Datenlecks unverzüglich Aufsichtsbehörden und Betroffenen mitzuteilen (EWG 58).

• Das Notifizierungsverfahren wird abgeschafft (EWG 60).

• Aufsichtsbehörden müssen eine adäquate Infrastruktur erhalten (EWG 79).

• Falls die Datenverarbeitung sich über mehrere EU-Mitgliedsstaaten erstreckt ist nur eine Aufsichtsbehörde zuständig (im Staat der Hauptniederlassung, „One-Stop-Shop“) (EWG 82, 83).

• Ein „European Data Protection Board” wird geschaffen. Dieses bildet sich aus den Vorsitzenden der einzelnen nationalen Datenschutzbehörden und ersetzt die Art. 29 Working Party (EWG 94).

• Datenschutzorganisationen erhalten ein Verbandsklagerecht (EWG 97).

Erwägungsgründe sind natürlich nicht bindend, fungieren aber als Auslegungshilfe für den Gesetzestext und artikulieren häufig sehr präzise die Stoßrichtung des Rechtsakts.

Der Gesetzestext selbst

Art. 2 definiert den Anwendungsbereich der Verordnung. Interessant ist vor allem die folgende Stelle:

2. This Regulation applies to the processing of personal data of data subjects residing in the Union not carried out in the context of the activities of an establishment of a controller in the Union, where the processing activities are directed to such data subjects, or serve to monitor the behaviour of such data subjects.

Art. 3 definiert unter (8) die Einwilligung der betroffenen Person („Data Subject”):

(8) ‚the data subject’s consent‘ means any freely given specific, informed and explicit indication of his or her wishes by which the data subject signifies agreement to personal data relating to them being processed;

In Art. 7 werden die Voraussetzungen für die Einwilligung definiert:

Article 7 – Conditions for consent

1. The controller shall bear the burden of proving that the data subject has given consent for the processing of their personal data for specified purposes.
2. If the data subject’s consent is to be given in the context of a written declaration on another matter, it must be made distinguishable in its appearance from this other matter.
3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.
4. Consent shall not provide a legal basis for the processing, where there is a significant imbalance in the form of dependence between the position of the data subject and the controller.
5. Consent shall not provide a legal basis for the processing
(a) by public authorities in the performance of their tasks; or
(b) for the purposes of carrying out the obligations and exercising specific rights of the controller in the field of employment law.
6. Consent of a child shall only be valid when given or authorized by the child’s parent or custodian.

Wichtig dürfte hier vor allem Nr. 4 sein, der eine Einwilligung wirkungslos macht sollte ein signifikantes Ungleichgewicht zwischen Betroffenem und Datenerheber bestehen.

Rechte und Pflichten

Gemäß Art. 13 Nr. 2 können Betroffene eine Kopie der verarbeiteten Daten verlangen

2. The data subject shall have the right to obtain from the controller a copy of the personal data undergoing processing.

Das „Right to be forgotten“ findet sich schließlich in Art. 15. Dort finden sich in Art. 15 Nr. 1 zunächst Maßnahmen, die im deutschen Recht nicht neu sind: Daten sind zu löschen, wenn der Zweck ihrer Speicherung fortgefallen ist, wenn die betroffene Person ihre Einwilligung widerrufen hat oder die Speicherung aus anderen Gründen nicht mehr statthaft ist.

Neu und auch sehr weitgehend ist hingegen die Verpflichtung des Datenerhebers jegliche öffentlich-zugängliche Version der Daten zu beseitigen (Art. 15 Nr. 2):

2. Where the controller referred to in paragraph 1 has made the data public, it shall in particular ensure the erasure of any public Internet link to, copy of, or replication of the personal data relating to the data subject contained in any publicly available communication service which allows or facilitates the search of or access to this personal data.

Art. 15 ergänzt dann noch ausführliche Bestimmungen zu Fällen, in denen eine Löschung der Daten nicht sinnvoll wäre und diese statt dessen nur zu sperren sind. Die Kommission erhält die Möglichkeit, in Form eines abgeleiteteten Rechtsakts (vergleichbar unserer Rechtsverordnungen) die Maßgaben des „Rechts auf Vergessenwerden” weiter zu spezifizieren.

Entstammen die Daten einem automatisierten Vorgang hat das Datensubjekt gemäß Art. 16 das Recht, seine Daten in portierbarer Form zu erhalten. Er soll sie also z.B. von einem Social Network in ein anderes transferieren können.

Art. 17 und 18 beschäftigen sich schließlich mit dem bereits oben angesprochenen Profiling. Art. 20 bestärkt die Prinzipien „Data Protection by Design and by Default“. Art. 22 beschäftigt sich mit der Notwendigkeit, einen Repräsentanten zu benennen, sollten von einem nicht-EU-Datenerheber Daten von EU-Bürgern gezielt erhoben werden. Die Mitteilung von Datenlecks gegenüber der Aufsichtsbehörde und Datensubjekt findet sich in Art. 28, respektive Art. 29.

Das „Data Protection Impact Assessment“ welches das Notifizierungsverfahren ersetzt, wird in Art. 30 erläutert. Art. 31 gibt vor wann eine vorherige Erlaubnis oder Konsultation mit der Aufsichtsbehörde erforderlich ist. Art. 32 setzt fest wann ein Datenschutzbeauftragter erforderlich ist, dies ist der Fall: bei öffentlich-rechtlichen Institutionen, bei Unternehmen mit mehr als 250 unbefristet Beschäftigten sowie bei Datenerhebern und Datenverabeitern die sich schwerpunktmäßig mit der Erfassung von Datensubjekten beschäftigen.

Grenzüberschreitender Datenverkehr

Art. 36 regelt schließlich den Transfer von Daten in Drittstaaten oder an internationale Organisationen. Art. 37 definiert genauer, wie und ob ein Drittland bzw. eine internationale Organisation ein adäquates Schutzniveau bieten. Art. 39 erläutert notwendige Schutzmechanismen bezüglich Datenschutz, diese müssen rechtlich verbindlich sein. Art. 41 formuliert Ausnahmen von der Adäquanzerfordernis an Drittstaaten oder Institutionen.

Wenn kein Amtshilfe-Vertrag oder ein internationales Übereinkommen vorliegt, verbietet Art. 42 die Herausgabe von Daten aufgrund einer Entscheidung eines Drittstaaten-Gerichts oder des Beschlusses einer Drittstaaten-Behörde:

Article 42 – Disclosures not authorized by Union law

1. No judgment of a court or tribunal and no decision of an administrative authority of a third country requiring a controller or processor to disclose personal data shall be recognized or be enforceable in any manner, without prejudice to a mutual assistance treaty or an international agreement in force between the requesting third country and the Union or a Member State.

Aufsichtsbehörden und European Data Protection Board

Art. 46 betont die Unabhängigkeit der Aufsichtsbehörden. Dies geht insbesondere auf die EuGH-Entscheidung Kommission/Deutschland (Rs. C-518/07, Slg. 2010, I-01885) zurück. Die genauen Befugnisse der Aufsichtsbehörde ergeben sich aus Art. 52. In Art. 55 wird die Möglichkeit für sogenannte Joint Operations eröffnet, also gemeinsame Einsätze von Aufsichtsbehörden aus verschiedenen Mitgliedsstaaten.

Das European Data Protection Board wird in Art. 63 genauer definiert, es soll die Art. 29 Working Party ersetzen. Die Aufgaben ergeben sich aus Art. 65.

Verfahrensregeln

Datenschutzorgansiationen sollen ein Verbandsklagerecht erhalten, Art. 73. Dieses Recht bezieht sich unter anderem auch auf Datenlecks:

2. Any body, organisation or association which aims to protect data subjects‘ rights and interests concerning the protection of their personal data and has been properly constituted according to the law of a Member State shall have the right to lodge a complaint with a supervisory authority in any Member State on behalf of one or more data subjects if it considers that a data subject‚Äôs rights under this Regulation have been infringed as a result of the processing of personal data.
3. Any body, organisation or association referred to in paragraph 2 shall have the right to lodge a complaint with a supervisory authority in any Member State also on its own behalf, if it considers that Articles 28 or 29 have been infringed as a result of the processing of personal data.

Entscheidungen der Aufsichtsbehörden sind nach Art. 74 rechtlich angreifbar. Art. 75 eröffnet die Möglichkeit, auch gegen den Datenerheber oder -verarbeiter direkt gerichtlich vorzugehen. Der Rechtsweg hierbei ist nicht geklärt, man wird für Deutschland wohl aber von dem Verwaltungsrechtsweg ausgehen können. Art. 75 besagt im Volltext:

Article 75 – Right to a judicial remedy against a controller or processor

1. Without prejudice to any available administrative remedy, including the right to lodge a complaint with a supervisory authority as referred to in Article 73, every person shall have the right to a judicial remedy if he or she considers that his or her rights under this Regulation have been infringed as a result of the processing of his or her personal data in non-compliance with this Regulation.
2. Proceedings against a controller or a processor may be brought either before the courts of the Member State where the controller or processor has an establishment or before the courts of the Member State where the data subject has the habitual residence.
3. Where proceedings are pending in the consistency mechanism referred to in Article 56, which concern the same measure, decision or practice, a court may suspend the proceedings brought before it, except where the urgency of the matter for the protection of the data subject’s rights does not allow to wait for the outcome of the procedure in the consistency mechanism.
4. The Member States shall enforce final decisions by the courts referred to in this Article.

Aus Art. 77 Nr. 3 lässt sich wohl eine Verschuldensvermutung gegen den Datenerheber bzw. -verarbeiter im Fall einer Haftung für rechtswidrige Datenverarbeitung herauslesen:

3. The controller or the processor may be exempted from this liability, in whole or in part, if the controller or the processor proves that they are not responsible for the event giving rise to the damage.

Die Strafregeln für Verletzungen der Verordnung werden gemäß Art. 78 von den Mitgliedsstaaten selbst festgelegt. Als Mindestmaß ist hier aber Art. 79 maßgeblich. Anstatt einer fixen Maximalstrafe besteht jetzt auch die Möglichkeit bei Unternehmen ein Bußgeld in Höhe von 1%, 3% oder 5% des jährlichen, weltweiten Umsatzes je nach Verstoß zu verhängen.

Fazit

Die „General Data Protection Regulation“ genießt streng genommen nur Anwendungsvorrang gegegenüber dem deutschen Datenschutzrecht. Sie wird dadurch faktisch aber wohl weite Teile unseres momentanen BDSG ersetzen, sollte sie in dieser oder ähnlicher Form den europäischen Gesetzgebungsprozess durchlaufen. Vieles, was in der Verordnung verankert ist, findet sich in ähnlicher Form aber bereits im deutschen Datenschutzrecht, z.B. die Grundsätze der Datenvermeidung und -sparsamkeit sowie der Zweckbindung. Auch die Einwilligung wird als solche gestärkt und nicht mehr zum Allheilmittel für Unternehmer. Insbesondere die Beweispflicht des Datenerhebers bei einer Einwilligung könnte hier Wunder wirken.

Interessant ist vor allem der Ansatz der Kommission, in jedem Fall Herr über die Datenverarbeitung von EU-Bürger-Daten werden zu wollen. Die Kommission hat insbesondere mit dem Repräsentantensystem und dem EU-Bürger-Datenbezug versucht, möglichen Umgehungen des EU-Datenschutzes entgegenzuwirken. Ob sich Facebook und ähnliche Unternehmen daran halten würden, bleibt abzuwarten.

Die hohen Bußgelder, die sich nach dem weltweiten Umsatz richten, werden auf jeden Fall einige Unternehmen härter treffen und auch dafür sorgen, dass kleine EU-Staaten nicht einfach ignoriert werden. Auch die Verbandsklagenmöglichkeit wird helfen, dem Datenschutz in Europa, den Status zu verleihen den er verdient. Die Möglichkeit, nicht nur gegen die Aufsichtsbehörden, sondern auch den Datenerheber oder -verarbeiter selbst gerichtlich vorzugehen, erhöht die Sensibilität bei kommerzieller wie öffentlich-rechtlicher Datenverarbeitung.

Die Regelungen bezüglich der Datenlecks sind durchaus begrüßenswert. Die Aufsichtsbehörden unverzüglich zu benachrichtigen sorgt auch für entsprechende Expertise im Krisenfall.

Problematisch wird wohl beim „right to be forgotten“ die Löschung sämtlicher öffentlich-zugänglicher Abrufmöglichkeiten, insbesondes bei Suchmaschinen. Fraglich ist, wie sich so ein Anspruch durchsetzen lässt und gegen wen er sich richtet. Den ursprünglichen Datenerheber, den Suchmaschinenbetreiber? Wird der ursprüngliche Datenerheber zu einem Vorgehen z.B. gegen Google gezwungen?

Die Regelungen zum Profiling sind überaus positiv, allerdings werden auch diese Regeln wohl nicht das Problem lösen, dass viele Bürger gar nicht bemerken, dass sie Gegenstand von Profiling-Techniken geworden sind.

Bei der Infrastruktur der Aufsichtsbehörden ist immer noch unklar, wie was genau eine „adäquate Ausstattung” sein soll. Deutschen Datenschutzbehörden fehlt schon heute die entsprechende Manpower um ihrem Auftrag vernünftig nachzukommen. Zudem könnten sich Probleme beim „one-stop-shop“ der Aufsichtsbehörde ergeben, hier ist insbesondere „forum shopping“ denkbar.
Interessant werden dürfte vor allem die Verhinderung der Herausgabe von Daten an Drittstaatengerichte oder -behörden. Dies dürfte aber alsbald durch Übereinkommen aufgeweicht werden, man denke nur an die PNR-Übereinkommen.

Insgesamt ist die Verordnung ein durchaus lobenswerter und durchdachter Entwurf. Allerdings bleibt zu hoffen, dass die Verordnung auch so kohärent erhalten bleibt. Sollte das Ganze im Gesetzgebungsverfahren auseinandergenommen werden dürften zumindest wir Deutschen spürbare Einbußen im Datenschutz erwarten.

Die Verordnung in der geleakten Version.