DIE KOALITION EUROPÄISCHER ORGANISATIONEN ZUM DATENSCHUTZ

Transkript

1 DIE KOALITION EUROPÄISCHER ORGANISATIONEN ZUM DATENSCHUTZ Fortsetzung folgt AUSSAGEN ZUM GESCHÄFT - DER EINFLUSS DER DG Die abgefasste Datenschutz-Grundverordnung wird sich schädlich auf einige grundlegende Aspekte unserer Fähigkeiten zur Wertschöpfung für die europäischen Verbraucher, Unternehmen und die Wirtschaft als Ganzes auswirken. Dazu gehören Investitionsbereitschaft, Innovation, Ertragsentwicklung, Kostenbasis, Leistungsfähigkeit und Wettbewerbsfähigkeit. Als Koalition haben wir herausgefunden, dass diese schädlichen Auswirkungen vorherrschend in Verbindung mit fünf Elementen des Verordnungsentwurfs auftreten: Zentrale Anlaufstelle Die Mitglieder der Koalition möchten praktische Beispiele dafür anführen, welchen Einfluss die oben erkannten Probleme auf ihr tägliches operatives Geschäft haben. Da jedes Unternehmen seinen individuellen Standpunkt dargestellt hat, vertreten diese Beiträge nicht die gemeinsame Auffassung der Koalition. Unternehmen A - das führende E-Commerce-Unternehmen in Zentral- und Osteuropa Zentrale Anlaufstelle Der Vorschlag einer zentralen Anlaufstelle würde durch Aushebelung bestehender Errichtungen und Compliance- Infrastrukturen die Expansion in neue Mitgliedstaaten schwierig machen. Eine unzureichend klare und grob vereinfachte zentrale Anlaufstelle wird die Initiative des Unternehmens zur Reduzierung technischer Plattformen behindern, um Effizienzen für eine größere Wettbewerbsfähigkeit gegenüber großen multinationalen Akteuren zu generieren. Die Organisationsstruktur ändert sich ebenso. Anforderungen zur ausdrücklichen Zustimmung der Nutzer zur Verarbeitung der Daten drängen KMUs zu Compliance-Optionen, welche das Kundenerlebnis vereinfachen und für viele verschiedene Zwecke Zugang zu personenbezogenen Daten gewähren (Anmelde- und Login-Modelle), was für große multinationale Marken einfacher ist. Wenn das Profiling durch Anforderungen der ausdrücklichen Zustimmung, zusätzliche Benachrichtigungen oder Abmeldeaufwendungen erschwert wird, würden KMUs dies im Vergleich zu multinationalen Mitwettbewerbern 1

2 weniger gut beherrschen können und die Möglichkeiten zur Expansion außerhalb Europas würden wesentlich beschränkt sein. Der Anreiz für die Nutzung pseudonymisierter Daten durch Empfehlung des Gebrauchs des berechtigten Interesses als Rechtsgrundlage würde greifen. Unternehmen B - eine gemeinnützige Organisation Die Verordnung würde die Kosten für die Interaktion mit vorhandenen und neuen Spendern erhöhen, welche für die Spendensammlung von zentraler Bedeutung ist. Weniger Spendensammlungen mindern die Finanzierung der Forschung und verringern die Möglichkeiten, Beratungs- und Unterstützungsdienstleistungen für Familien zu erbringen. Einfluss auf die Leistungsfähigkeit Die Fähigkeit alle Kinder mit der Diagnose Krebs sowie den Therapien, die sie erhalten haben, zu erfassen, zu analysieren und in einem Profil zusammenzufassen ist ein wichtiger Erfolgsfaktor in unserer Aufklärungsarbeit. Allzu starke Durchnormierung vermindert die Effektivität unserer Forschung, was zu mehr Todesfällen und weniger geretteten Leben führt! Unternehmen C - ein führender Anbieter von Technologie und Dienstleistungen Die Bestimmung bezüglich der gemeinsamen Haftung der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter reduziert das Volumen des Datenverarbeitungsmarkts (Outsourcing) und führt zu höheren Preisen für Datenverarbeitungsdienstleistungen und einer niedrigeren Nachfrage. Das Beurteilen und Sicherstellen der Einhaltung der Verordnung durch den für die Verarbeitung Verantwortlichen führt zu einer erhöhten Kostenstruktur sowie zur Notwendigkeit, das potenzielle Risiko der gemeinsamen Haftung einzupreisen. Geringerer Anreiz zur Zusammenarbeit mit Anbietern/Ko-Bearbeitern von innovativer KMU-Nischentechnologie aufgrund des höheren Risikos der gemeinsamen Haftung. Ohne ein berechtigtes Interesse als Schutz für internationale Datentransfers, wird die Fähigkeit, bei der Erschließung nationaler Märkte von der globalen Präsenz zu profitieren, reduziert. Steigende Verarbeitungskosten führen zu höheren Preisen und sinkender Nachfrage sowie Einnahmeverlusten. Ein aufgrund der Beschränkungen des Datentransfers auf nationaler/regionaler Ebene zersplittertes Geschäftsfeld führt zu höheren Servicekosten. Eine Beschränkung des Datenflusses von Rechtsordnungen außerhalb der EU bedeutet weniger Gelegenheit, um innerhalb des Unternehmens und zwischen unabhängigen Unternehmen innovative und gemeinschaftliche Anstrengungen zu Forschung und Entwicklung zu bündeln. 2

3 Weniger Anreiz, unternehmerische Risiken in Bezug auf datengestützte Innovationen einzugehen, was zu verzögerter Markteinführung und Verlust des Erstanbietervorteils führt. Verminderte Wettbewerbsfähigkeit großer und diversifizierter Unternehmen mit hohem Umsatz (welcher als Basis zur Berechnung der Geldstrafe genutzt wird). Datengestützte Innovationen in von Risikokapitalgebern finanzierten Unternehmensgründungen (ohne oder mit sehr niedrigem Umsatz) gehen ein unverhältnismäßig niedrigeres Risiko ein, selbst wenn der Umfang der Datenverarbeitung potenziell sehr hoch sein kann. Die Unsicherheit auf der Ebene der Harmonisierung von und Geldstrafen erhöht das Risiko und die Geschäftskosten. Verminderte Anreize bezüglich neuer datengestützter Innovationen bzw. Forschung und Entwicklung innerhalb des Territoriums der EU Risiken einzugehen, höhere Anreize Forschung und Entwicklung aus der EU zu verlagern. Die verminderten Anreize auf EU-Märkten neue datengestützte Dienstleistungen einzuführen, führen zu Erstanbietervorteilen und/oder frühe Markterprobungen in nicht EU-Territorien. Unternehmen D - ein weltweit führender Hersteller von Motorgeräten für den Außenbereich Die vom Rat vorgenommene Erweiterung des berechtigten Interesses als Rechtsgrundlage, um internationale Datentransfers zu erlauben, ist eine Vorbedingung für unsere Wettbewerbsfähigkeit. Ohne Förderung grenzübergreifender Datenflüsse zur Ermöglichung von Innovationen würden globale Investitionen innerhalb der EU gefährdet, was zu einer Senkung unseres Nettoertrags und einer verringerten Steuerbemessungsgrundlage führt. Allzu stark durchnormierte Anforderungen und hoher Verwaltungsaufwand sind kontraproduktiv, da weniger Ressourcen für das sachgemäße Management der verarbeiteten personenbezogenen Daten zur Verfügung stehen. Es werden Ressourcen von Entwicklung und Innovation umgelenkt, was Hürden für die Expansion des Geschäfts in der EU schafft sowie zur Verlagerung von Investitionen und Jobs von Europa in andere Teile der Welt führt. Unternehmen E - ein Anbieter von Cloud-Dienstleistungen für den öffentlichen Sektor Die vom Gesetzgeber auferlegte gemeinsame und strengere Haftung macht es für KMU-Cloud-Anbieter (Auftragsverarbeiter) zu mühsam und kostspielig, Verträge mit für die Verarbeitung Verantwortlichen abzuschließen. Anbieter von Infrastructure as a Service (IaaS) sind nicht in der Lage, den Datenschutz- Verhaltenskodex (Artikel 38) zu unterzeichnen, welcher Unsicherheiten bezüglich der Beziehung zwischen dem Auftragsverarbeiter und dem für die Verarbeitung Verantwortlichen mit sich bringt. Obwohl dieser Verhaltens- Kodex "freiwillig" ist, glauben wir, dass er als Gesetz betrachtet wird. Eine Nichtunterzeichnung würde Auswirkungen auf unseren Ertrag im Vereinigten Königreichs haben und Pläne zur Expansion auf dem europäischen Markt blockieren. Es ist entscheidend, dass künftig in allen geplanten Rechtsinstrumenten, die Rolle des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters getrennt bleibt und keine strenge gemeinsame Haftung auferlegt wird. 3

4 Die gemeinsame Haftung gemäß Artikel 77 der DG wird in Kombination mit dem Verhaltenskodex wahrscheinlich zum Schrumpfen des gegenwärtigen europäischen Cloud-Processing-Marktes führen und einen Nachteil für IaaS- Anbieter darstellen. Im Cloud-Computing und insbesondere bei IaaS ist digitale Innovation verwurzelt, was Innovatoren die Flexibilität verleiht, ICT-Umgebungen auf On-demand-Basis einzusetzen und abzuziehen. Wenn IaaS in Europa nicht gefördert wird, können Innovatoren woanders hingehen. Allzu stark durchnormierte Anforderungen und der zugehörige Verwaltungsaufwand werden zur Notwendigkeit führen, Ressourcen aus ertragschaffenden Aktivitäten abzuziehen, um neue Verfahren einzubetten. Die Kosten für einen Datenschutzbeauftragten (DPO) für 2 Jahre betragen im Vereinigten Königreich mindestens EURO und wir erwarten, dass die Nachfrage nach DPOs das Angebot überschreiten und die Kosten in die Höhe treiben wird, was uns und andere KMU-IaaS-Anbieter dazu zwingen wird, die Preise zu erhöhen und was den sich entwickelnden europäischen Markt für Infrastructure as a Service (IaaS) zugunsten globaler multinationaler Unternehmen in Schieflage bringen wird. Wie bereits aufgezeigt, wird die Einführung und Einhaltung des Datenschutz-Verhaltenskodex aufgrund der erforderlichen Verfahren und Gebühren in Verbindung mit der Zertifizierung für KMUs sehr kostspielig sein, wobei weltweit tätige Unternehmen wieder im Vorteil sind. Wenn KMUs aufgrund übermäßiger bürokratischer Kosten auf dem digitalen Markt nicht wettbewerbsfähig sein können, könnte das digitale Wachstum erstickt werden. Unternehmen F - ein Anbieter nachhaltiger Transportlösungen Komplizierte und detailreiche Regelungen, die in Bezug auf Information, Zustimmung und Widerspruch von Datensubjekten nicht an das Geschäft des Unternehmens angepasst sind, werden sowohl für das Unternehmen als auch für dessen Kunden zur Erhöhung der Kosten führen. Erhöhte Belastungen aus Verpflichtungen hinsichtlich der Information, Warnsysteme und Zustimmung in Bezug auf einen individuellen Fahrer (Datensubjekt). Erhöhte Kosten für das Unternehmen werden nachteilige Auswirkungen auf die wirtschaftliche Rechtfertigung der Entwicklung von auf der Nutzung von Daten beruhender, neuer verbesserter Produkte und Dienstleistungen haben. Die möglichen stehen in keinem Verhältnis zum Risiko des Missbrauchs der im operativen Fahrzeuggeschäft erfassten Daten. Das Risiko eines unbeabsichtigten Verstoßes gegen die Regelungen der Verordnung darf im operativen Geschäft mit Nutzfahrzeugen nicht unterschätzt werden. Im reinen Firmenkundengeschäft wäre eine Verordnung geeigneter, die klar festlegt, was nicht zulässig ist. Weniger Anreiz für datengestützte Innovationen Risiken für das Unternehmen einzugehen, was zu verzögerter Vermarktung und zum Verlust des Wettbewerbsvorteils gegenüber Mitwettbewerbern außerhalb der EU führt. 4

5 Aufgrund des Risikos von besteht für Kunden ein geringerer Anreiz, neue Dienstleistungen zu nutzen. Dadurch wird der Anreiz für das Unternehmen, neue kundenorientierte Erfindungen zu entwickeln, unterminiert. Die durch Innovation vorangetriebene Verbesserung von Produkten und Dienstleistungen des Unternehmens sowie des operativen Geschäfts des Kunden wird gefährdet. Unternehmen G - das führende Unternehmen für hoch entwickelte Mobilfunkdienste Wenn der Auftragsverarbeiter der Daten eine gemeinsame Haftung mit dem für die Verarbeitung der Daten Verantwortlichen übernehmen muss, müssen Mehrkosten berücksichtigt werden, wie die potenziellen Risiken, die der Auftragsverarbeiter der Daten mit dieser neuen Verantwortlichkeit eingeht. Diese Risiken können zur Erhöhung der Versicherungskosten des Auftragsverarbeiters der Daten sowie anderer variabler Kosten führen. Einfluss auf die Investitionsbereitschaft Gemeinsame Haftung verwischt die Rollen und Verantwortlichkeiten der für die Verarbeitung der Daten Verantwortlichen und der Auftragsverarbeiter der Daten, was für die Auftragsverarbeiter der Daten zu Rechtsunsicherheit bei der durch Innovation vorangetriebenen Verbesserung von Produkten und Dienstleistungen des Unternehmens führt. Das operative Geschäft des Kunden wird ebenso gefährdet. sollten auf den Schaden für den Endnutzer oder die Verletzungen geschützter Rechte zugeschnitten sein. Die spanische Datenschutzbehörde verhängt in vielen Fällen, welche keine direkte Beziehung zu dem Schaden haben, den die Nutzer erlitten haben. Eine Strafzahlung aufgrund einer geringfügigen, formalen Verletzung des Gesetzes (bis zu EUR) steht in keinem Zusammenhang mit dem Schaden, den die Endbenutzer erlitten haben, zum Beispiel bei Aktivitäten in Verbindung mit kommerzieller Kommunikation mit Nutzern. Unternehmen H ein Technologie-, Software- und Dienstleistungsunternehmen Wo dem Auftragsverarbeiter direkt per Gesetz Verpflichtungen auferlegt werden, kann sich der Auftragsverarbeiter nicht mehr auf die Aussagen des für die Verarbeitung Verantwortlichen bezüglich der Natur der Daten verlassen (welche für den Auftragsverarbeiter eigentlich nicht zugänglich sein dürfen). Somit kann das Bedürfnis entstehen, das Datensubjekt "kennen" zu wollen. Dieses Verwischen der Trennlinien zwischen den Rollen der beiden Parteien würde unnötige zusätzliche Belastungen mit sich bringen und gegenwärtige Geschäftspraktiken unmöglich machen. Die durch diese Überschneidung und überflüssige Verpflichtungen erzeugte Unklarheit wird zu bedeutend höheren Kosten führen und weitere Komplexität erzeugen, wodurch bestehende Vertragsgestaltungen unterminiert werden, ohne dass ein Vorteil oder zusätzlicher Schutz für das Datensubjekt entsteht. Durch den Verlust der Anreize (durch eine gemeinsame und mehrheitliche Haftung) für die für die Verarbeitung Verantwortlichen bezüglich der sorgfältigen Auswahl eines zuverlässigen und konformen Auftragsverarbeiters, kommt es zu einem Unterbietungswettlauf bei der Preisgestaltung. Dies ist nachteilig für das Datensubjekt und die europäischen IT-Anbieter, welche in den meisten Fällen teurer sind als Anbieter von außerhalb der EU. Die Erleichterung des freien grenzüberschreitenden Datenflusses ist entscheidend, um sicherzustellen, dass europäische Unternehmen Zugang zu schnell wachsenden Märkten innerhalb und außerhalb der EU haben. Nützlich wäre ein Ansatz, welcher internationale Transfers weiter erleichtert, wie die Verbesserung der verbindlichen unternehmensinternen Vorschriften (BCRs), um externe Subunternehmer einzubinden. Wir 5

6 benötigen mehr Flexibilität, um die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter die organisatorischen Maßnahmen bestimmen zu lassen, die notwendig sind, um außerhalb der EU den entsprechenden Schutz personenbezogener Daten zu sichern sowie Kunden auf der ganzen Welt zu bedienen und das europäische Geschäft global wachsen zu lassen. Die Etablierung des berechtigten Interesses als Rechtsgrundlage für das kurzzeitige Transferieren von Daten (keine Massendaten und keine häufig auftretenden Daten) für die für die Verarbeitung Verantwortlichen und für die Auftragsverarbeiter in Fällen, wo die Übertragung personenbezogener Daten an sich nebensächlich, für die Durchführung von Support- und Fehlerbeseitigungs-Funktionen oder Routinekontrollen aber notwendig ist, ist für unser Geschäft sehr wichtig. Einfluss auf die Kosten Das Angebot der Kommission trägt nur bedingt den tatsächlichen Gegebenheiten bei internationalen Transfers, insbesondere solcher in Zusammenhang mit Cloud-Computing, Rechnung, da es die verbindlichen unternehmensinternen Vorschriften (BCRs) nicht effektiv unterstützt und es ihm an Klarheit mangelt. Der Anwendungsbereich der BCRs erscheint zurzeit zu eng (Verwendung nur bei Transfers innerhalb der Group) und deren Umsetzung zu langwierig sowie zu kostspielig, um in Bezug auf die Erleichterung des Datentransfers von eindeutigem, zusätzlichem Nutzen zu sein. 6

7 ÜBER DIE KOALITION Unsere Koalition besteht aus zwanzig europäischen Unternehmen, von KMUs bis hin zu weltweit tätigen multinationalen Unternehmen und gemeinnützigen Organisationen, welche in verschiedenen Sektoren sowie im nationalen, regionalen und globalen Maßstab agieren. Unser Profil mit einem Gesamtumsatz (2013) von mehr als 158 Milliarden Euro und etwa Arbeitnehmern weltweit ermöglicht uns Wachstum, Fortschritt und Jobs für die Wirtschaft der EU zu generieren. Zu uns gehören ein weltweit führendes Unternehmen in der Energie- und Automationslösungen das führende E-Commerce-Unternehmen in Zentral- und Osteuropa ein Anbieter von Produktivitätslösungen, wie Kompressoren, Vakuumlösungen sowie Bau- und Bergbauausrüstung eine gemeinnützige Organisation, die Geldspenden sammelt, um Krebserkrankungen bei Kindern zu verhindern und zu bekämpfen ein weltweit führender Hersteller von Haushaltsgeräten zwei Anbieter von Kommunikationstechnologie und -dienstleistungen ein Designer, Entwickler, Hersteller und Händler von Motorgeräten für den Außenbereich eine Investmentgesellschaft ein KMU, das Online-Vermarktung durch Suchmaschinenmarketing, Konversion und Leadgenerierung anbietet... ein E-Commerce-Unternehmen, welches Zahlungsdienstleistungen für Online-Shops bietet eine in den Sektoren Werkzeugbearbeitung, der Werkstofftechnologie, Bergbau und Bauwesen tätige Engineering-Gruppe eine Gesellschaft für Unternehmenssoftware ein globaler Anbieter von schweren Lkws und Bussen sowie Motoren und Dienstleistungen ein Anbieter von sicheren Cloud-Dienstleistungen für den öffentlichen Sektor des Vereinigten Königreichs ein globaler Anbieter von regenerativen Lösungen in den Bereichen Verpackung, Biomaterialien, Holz und Papier die führende Universität bei Technologie und Programmen für digitale Kunst ein Anbieter von Geschäftssoftware und Dienstleistungen für mehr als Geschäfte in Skandinavien ein Hersteller und Händler von Lkws, Bussen und Baumaschinen das führende Unternehmen für hoch entwickelte Mobilfunkdienste. Unsere Geschäfte sind äußerst verschieden, aber dennoch eng verbunden durch das Bedürfnis nach klaren Rollen und Verantwortlichkeiten, offenen grenzüberschreitenden Datenflüssen, ausgewogenen kodifizierten Sanktionsrichtlinien, einer effektiven zentralen Anlaufstelle und Ausbleiben allzu stark durchnormierter Regelungen als Grundbedingungen für langfristiges Wachstum, Wettbewerbsfähigkeit und Wohlstand sowohl für uns als auch für die Wirtschaftsbereiche, in denen wir agieren. Für weitere Informationen oder Anmerkungen besuchen Sie bitte: oder nehmen Sie Kontakt mit uns auf: 7