Stellungnahme der Berliner Datenschutzrunde Initiative für einen modernen Datenschutz

Transkript

1 Stellungnahme der Berliner Datenschutzrunde Initiative für einen modernen Datenschutz European Commission Directorate-General Justice Unit C3 data protection Mme. Marie-Hélène Boulanger Rue du Luxembourg Brussels BELGIEN Berlin, den 14. Januar 2011 per an: Mitteilung der Europäischen Kommission Gesamtkonzept für den Datenschutz in der Europäischen Union Anmerkungen der Berliner Datenschutzrunde Sehr geehrte Frau Boulanger, gerne nimmt die Berliner Datenschutzrunde Stellung zur Mitteilung der Europäischen Kommission Gesamtkonzept für den Datenschutz in der Europäischen Union (COM(2010)609), wobei wir uns auf die für uns relevanten Aspekte beschränken möchten. In der Berliner Datenschutzrunde haben sich auf Initiative von Herrn Helmut Graf, Vorstand der Verlag für die Deutsche Wirtschaft AG, seit dem Jahr 2009 knapp 200 mittelständische Unternehmer, Vertreter von Spendenorganisationen sowie Datenschutzbeauftragte aus Deutschland zusammengeschlossen, um gemeinsam für einen modernen Datenschutz einzutreten. Hierbei möchte die Initiative vorrangig einen sachgerechten Interessensausgleich zwischen Wirtschaftlichkeit und Verbraucherschutz fördern und schaffen.

2 Wir würden uns sehr freuen, wenn unsere Anregungen im weiteren Verfahren aufgegriffen werden. Gerne stehen wir auch zu einem persönlichen Gespräch zur Verfügung, um diese Aspekte vertiefend zu erörtern. Mit freundlichen Grüßen Dr. Stefan Drewes Rechtsanwalt im Auftrag der Initiatoren der Berliner Datenschutzrunde - Helmut Graf, Vorstand der Verlag für die Deutsche Wirtschaft AG - Johannes Bausch, Schatzmeister und Vorstandsmitglied des Deutschen Fundraising Verband e.v. - Alexander Holzmann, Verleger Holzmann Medien GmbH & Co. KG - Roman Maczkowsky, Vorstandsmitglied Berufsverband der Datenschutzbeauftragten Deutschlands e.v. - Christine Rust, Leiterin der Abteilung Direktmarkting SOS-Kinderdorf e.v. - Hartmut Scheffler, Vorstandsvorsitzender des ADM Arbeitskreis Deutscher Marktund Sozialforschungsinstitute e.v. - Günter Stallecker, Justitiar der K Mail Order GmbH & Co. KG (Versandhaus Klingel)

3 Stellungnahme der Berliner Datenschutzrunde Initiative für einen modernen Datenschutz Stellungnahme zur Mitteilung der Europäischen Kommission Gesamtkonzept für den Datenschutz in der Europäischen Union Bevor wir im Einzelnen auf die von der Europäischen Kommission in ihrer strategischen Mitteilung aufgeworfenen Fragen eingehen und unsere Vorschläge zur Präzisierung einiger Richtlinienbestimmungen vorstellen (Punkt II.), möchten wir vorab den Anpassungsbedarf des europäischen Datenschutzrechts kritisch hinterfragen (Punkt I.). I. Anpassungsbedarf des EU-Datenschutzrechts Diverse neue technologische Entwicklungen, wie etwa das Internet der Dinge (Ubiquitous Computing) oder das Cloud Computing führen zu ganz neuen datenschutzrechtlichen Herausforderungen. Eine grundlegende Überprüfung, ob und in welchem Umfang diese Entwicklungen einen Anpassungsbedarf der bestehenden datenschutzrechtlichen Rahmenbedingungen hervorrufen, ist daher zu begrüßen. 1. Änderungsbedarf durch technologische Entwicklungen oder Umsetzungsdefizit? Ein Großteil der von der Kommission vorgeschlagenen Maßnahmen wird nicht durch neue technologische Entwicklungen bedingt. Die wesentlichen Änderungsvorschläge sind auf zwei Problemkomplexe zurückzuführen: eine mangelhafte Umsetzung der bestehenden Bestimmungen der europäischen Datenschutzrichtlinie 95/46/EG durch die Mitgliedstaaten sowie eine divergierende Auslegung dieser Richtlinie in den einzelnen Mitgliedstaaten. Da die europäische Datenschutzrichtlinie 95/46/EG grundsätzlich technikneutral ausgestaltet ist, muss genau geprüft werden, ob tatsächlich ein Anpassungsbedarf aufgrund neuer technologischer Entwicklungen besteht. Häufig lassen sich die neuen Fragestellungen bereits durch eine Auslegung des bestehenden Rechts lösen. In den meisten Fällen führen zudem die nationalen Abweichungen von der Datenschutzrichtlinie überhaupt erst zu Problemen bei der Anwendung des Datenschutzrechts auf neue Technologien. Als deutsches Beispiel kann hier auf die Spick-mich -Entscheidung des Bundesgerichtshofs verwiesen werden (vgl. BGH, Urt. v VI ZR 196/08). Die Berliner Datenschutzrunde schlägt daher folgende Ansätze zur Überarbeitung des europäischen Datenschutzrechts vor: - Maßnahmen zur einheitlichen Auslegung und verbesserten Umsetzung der Vorgaben der Datenschutzrichtlinie 95/46/EG (siehe I.2.) - Erfassung der durch die neuen technologischen Entwicklungen hervorgerufenen datenschutzrechtlichen Probleme in einer bereichsspezifischen Regelung (siehe I.3.). 1

4 2. Stärkung der Artikel-29-Gruppe Die Artikel-29-Gruppe sollte verstärkt zu einer einheitlichen Auslegung des EU- Datenschutzrechts insbesondere hinsichtlich technischer Neuerungen beitragen. Die Stellungnahmen der Artikel-29-Gruppe sollten deshalb für alle nationalen Aufsichtsbehörden de facto verbindlich sein. Hier sollte die Europäische Kommission die Aufsichtsbehörden der Mitgliedstaaten zu einer Meldung auffordern, ob und wie sie die Vorgaben der Artikel-29- Gruppe im nationalen Recht umsetzen können. Dann kann die Kommission auf dieser Grundlage die Mitgliedstaaten zu einer Anpassung der nationalen Datenschutzgesetze bewegen, notfalls unter Durchführung eines Vertragsverletzungsverfahrens. Die Datenschutzgruppe sollte außerdem aufgefordert werden, ihre Stellungnahmen detaillierter zu begründen. Die Berliner Datenschutzrunde regt zudem an, hierbei Vertreter von Verbraucherschutzorganisationen sowie betroffenen Unternehmen und Organisationen beratend mit einzubeziehen. Diese Stärkung der Artikel-29-Gruppe lässt sich aus unserer Sicht auch ohne eine Anpassung der Richtlinie 95/46/EG durchführen und könnte einen wertvollen Beitrag zur Beseitigung der Probleme der praktischen Umsetzung der europäischen Datenschutzrichtlinie leisten (in diesem Sinne siehe auch: Europäische Kommission Schlussbericht der Vergleichenden Studie über Verschiedene Ansätze zur Bewältigung neuer Herausforderungen für den Schutz der Privatsphäre, insbesondere aufgrund technologischer Entwicklungen, S. 49). 3. Datenschutzrechtliche Herausforderungen durch technologische Entwicklungen Zur datenschutzrechtlichen Erfassung neuer technologischer Entwicklungen sollten soweit erforderlich zuallererst bereichsspezifische Regelungen geschaffen werden. Dies könnte etwa auch durch eine Anpassung der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG) erfolgen. Aus unserer Sicht müsste aber bei den von der EU-Kommission angesprochenen Punkten zunächst weitere Grundlagenforschung betrieben werden. Viele neue Technologien basieren auf der Erfassung des Nutzungsverhaltens Einzelner, um den gewünschten Zusatznutzen zu erbringen. Dies ist z.b. beim Internet der Dinge dem Ubiquitous Computing der Fall. Hier lässt sich der gewünschte Zusatznutzen häufig nur bei Zugriff auf umfassende Nutzungsprofile erstellen. Dies widerspricht aber der von der Kommission vorgesehenen Stärkung des Grundsatzes der Datensparsamkeit. Grundlagenforschung hinsichtlich neuer Techniken erforderlich Soziale Netzwerke etwa führen zu einer dezentralen und dynamisch organisierten Datenverarbeitung, die nicht mehr auf klar definierten Systemen basiert. Hier entstehen ganz neue Strukturen, die auch im Datenschutz berücksichtigt werden müssen. Dies setzt schon bei der Frage an, wer bei neuen Anwendungen im Web 2.0 tatsächlich als verantwortliche Stelle anzusehen und daher zur Umsetzung der Datenschutzgesetze verpflichtet ist. Hier wurde in Gutachten, die für die Europäische Kommission erstellt worden sind, ein 2

5 abgestuftes System der Verantwortlichkeit gefordert. Insbesondere soll hier über zivilrechtliche Sanktionsmechanismen eine angemessene Antwort gefunden werden (vgl. Europäische Kommission Verschiedene Ansätze zur Bewältigung neuer Herausforderungen für den Schutz der Privatsphäre, insbesondere aufgrund technologischer Entwicklungen Zusammenfassung ). Diese Aspekte werden in der von der Kommission vorgelegten Mitteilung jedoch nicht hinreichend berücksichtigt. Neue Problem- und Fragestellungen sollten besser herausgearbeitet werden Selbst einer der Erfinder des Rechts auf informationelle Selbstbestimmung in Deutschland, Prof. Lutterbeck, ist der Auffassung, dass derzeit kein überzeugendes juristisches Konzept zum Schutz der Privatsphäre besteht (vgl. Lutterbeck: Das informationelle Selbstbestimmungsrecht auf dem Prüfstand ). Die vorhandenen Gestaltungskonzepte sind gerade vor dem Hintergrund der neuen technologischen Entwicklungen überholt und nicht mehr ausreichend, um den Herausforderungen des modernen Informationszeitalters des 21. Jahrhunderts zu begegnen. Deshalb bedarf es neuer datenschutzrechtlicher Ansätze, um diesen gerecht zu werden. Auch vor dem Hintergrund des auf europäischer Ebene nun festgeschriebenen Grundrechts auf Datenschutz ist die Entwicklung neuer juristischer Ansätze und Konzepte wünschenswert. Entwicklung neuer juristischer Konzepte zum Schutz der Privatsphäre im modernen Informationszeitalter erforderlich II. Zu den aufgeworfenen Fragen der Europäischen Kommission Zu einigen der von der Europäischen Kommission in Kapitel 2 ihrer Mitteilung aufgeworfenen Fragen möchten wir ergänzend wie folgt Stellung nehmen. zu 2.1. Stärkung der Rechte des Einzelnen zu Angemessener Schutz des Einzelnen in allen Situationen Die Frage, wann personenbeziehbare Daten vorliegen, wird derzeit insbesondere am Beispiel von IP-Adressen kontrovers diskutiert. Aus Sicht der Berliner Datenschutzrunde sind klare Vorgaben erforderlich, wann für Unternehmen Daten als personenbeziehbar zu klassifizieren sind und wann eine Anonymität vorliegt, da hiervon die Anwendbarkeit der Datenschutzgesetze abhängt. Insbesondere bedarf es hier einer klaren Einordnung, wann pseudonymisierte Daten für Unternehmen als personenbeziehbar anzusehen sind. Unternehmen und Organisationen können dem Anspruch der Bürger auf Achtung ihres Rechts auf informationelle Selbstbestimmung nur dann gerecht werden, wenn sie auch wissen, wann die Datenschutzgesetze anwendbar sind. 3

6 Der bislang anerkannte Grundsatz der Relativität des Personenbezugs der Daten bedarf einer ausdrücklichen Verankerung und Präzisierung in der Datenschutzrichtlinie 95/46/EG. Bei der Frage nach der Personenbeziehbarkeit von Daten sollte es maßgeblich darauf ankommen, ob das jeweils betroffene Unternehmen bzw. die Organisation mit den zur Verfügung stehenden sowie legal erhältlichen Mitteln den Personenbezug der Daten herstellen kann. Aus Sicht der Berliner Datenschutzrunde sollte dagegen nicht berücksichtigt werden, ob irgendjemand den Personenbezug der Daten herstellen könnte. Bei der Festlegung der Kriterien, die zur Bestimmung der Personenbeziehbarkeit heranzuziehen sind, führt eine Bezugnahme auf Dritte nur zu Rechtsunsicherheiten und erschwert die Anwendbarkeit der Regelung. Denn letztlich sind nur die von Unternehmen vernünftigerweise einsetzbaren Mittel relevant. Zu diesen Mitteln zählen aber regelmäßig nicht die anderen Unternehmen zur Verfügung stehenden Befugnisse. Insofern ist es auch in der Praxis für die Frage der Personenbeziehbarkeit von Daten regelmäßig irrelevant, dass Dritte den Personenbezug herstellen können, wenn es das betroffene Unternehmen selbst nicht kann (vgl. etwa OLG Hamburg, Urt. v W 126/10). Eine unbegrenzte Ausweitung des Anwendungsbereichs der Datenschutzgesetze ist daher zu vermeiden. Relativität des Personenbezugs von Daten eindeutig festschreiben zu Mehr Transparenz für die von der Verarbeitung Betroffenen Die Datenschutzrichtlinie 95/46/EG benennt den Umfang der Informationspflichten bei einer Datenerhebung (vgl. Artikel 10 und 11 95/46/EG). Nach dieser Regelung können die Mitgliedstaaten jedoch weitere Ergänzungen aufnehmen, was zu europaweit höchst unterschiedlichen Informationspflichten geführt hat. Hier sollte im Fall der Überarbeitung der Richtlinie der Umfang der Informationspflichten gesetzlich abschließend vorgegeben werden. Zur adäquaten Umsetzung der Informationspflichten aus der Datenschutzrichtlinie 95/46/EG hat die Artikel-29-Gruppe in ihrem Arbeitspapier Nr. 100 (WP 100) bereits Stellung genommen. Auch Standardmuster für eine solche gesetzeskonforme Umsetzung wurden in diesem Zusammenhang erstellt. Insbesondere das dort eingeführte Konzept der abgestuften Information ist zur adäquaten Umsetzung von Informationspflichten bei neuen technologischen Entwicklungen ein wichtiger Aspekt, der sich in der Praxis auch schon durchgesetzt hat. Dieser Aspekt sollte beibehalten und könnte in der Richtlinie verankert werden. Informationspflichten abschließend benennen und das Konzept der abgestuften Information festschreiben Hinsichtlich des Vorschlags zur Einführung einer allgemeinen Anzeigenpflicht bei Datenschutzverstößen sollte eine Begrenzung auf besonders schutzwürdige Daten vorgenommen werden, wie etwa Bankverbindungsdaten oder andere besonders schützenswerte Daten (sensitive Daten). Andernfalls ist zu befürchten, dass in den tatsächlich wichtigen Fällen der Appell- und Warneffekt beim Betroffenen nicht eintritt. Denn ggf. hat er in mehreren einfach gelagerten Fällen bereits Hinweise auf mögliche 4

7 Datenschutzverstöße erhalten und es ist daher bereits eine gewisse Abstumpfung eingetreten. Meldepflicht bei Datenverlust auf besonders schutzwürdige Daten begrenzen zu Bessere Kontrolle des Betroffenen über seine Daten Das Prinzip der Datensparsamkeit ist bereits in Artikel 6 Abs. 1c) der Datenschutzrichtlinie 95/46/EG enthalten. Die erhobenen Daten müssen für die Erreichung der vorab festgelegten, eindeutigen und rechtmäßigen Zwecke erheblich sein und dürfen nicht darüber hinausgehen. Von einer weitergehenden Ausformulierung bzw. Präzisierung der Vorgabe etwa in Form eines ggf. einklagbaren Rechts auf Datensparsamkeit raten wir vor diesem Hintergrund ab. Viele neue technologische Entwicklungen etwa im Bereich des Internet der Dinge bauen gerade auf der Auswertung von Verhaltensmustern auf, um den Betroffenen im Alltag zu unterstützen. Dieser Aspekt wird von den Befürwortern einer Stärkung des Rechts auf Datensparsamkeit bislang ignoriert. Zudem wäre ein solcher Grundsatz der Datensparsamkeit auch bei der Ausgestaltung von Einwilligungsklauseln zu berücksichtigen. Da solche Einwilligungsklauseln der sogenannten AGB-Kontrolle unterliegen, ist ein Abweichen von den wesentlichen Grundgedanken der gesetzlichen Regelung unzulässig (vgl. 307 Abs. 2 BGB). Ein solches Abweichen kann zur Unwirksamkeit der Einwilligungsklausel führen (vgl. BGH, Urteil v III ZR 213/83). Grundsätzlich müssen bei der Formulierung von Einwilligungsklauseln daher auch die Wertentscheidungen des Gesetzes beachtet werden, so dass der Gestaltungsspielraum unverhältnismäßig eingeschränkt würde. Daher ist zu befürchten, dass eine Verschärfung des Rechts auf Datensparsamkeit die Entwicklung neuer, im Interesse der Betroffenen liegender Technologien verhindern könnte. Keine weitere Ausformulierung eines Rechts auf Datensparsamkeit notwendig Nach den Vorschlägen der Europäischen Kommission sollen Betroffene ihre Rechte auf Auskunft bzw. Löschung ihrer Daten besser wahrnehmen können. Artikel 12a der Datenschutzrichtlinie 95/46/EG sieht jedoch bereits jetzt vor, dass eine Auskunft ohne unzumutbare Verzögerung erteilt werden muss. Eine weitergehende Regelung in der Datenschutzrichtlinie 95/46/EG ist daher nicht erforderlich. Aus Sicht der Berliner Datenschutzrunde besteht hier primär ein Umsetzungsdefizit. Abhilfe könnte hier durch verbindliche Stellungnahmen der Artikel-29-Gruppe verbunden mit einer konsequenten Umsetzung der Vorgaben der Richtlinie in den Mitgliedstaaten geschaffen werden. Bereits hinreichende Regelung des Auskunftsanspruchs vorhanden Außerdem soll nach den Vorschlägen der Kommission ein Recht auf Vergessen eingeführt werden. Die Betroffenen sollen eine Löschung ihrer Daten verlangen können, wenn sie nicht mehr für einen rechtmäßigen Zweck gebraucht werden. Diesen Aspekt regelt bereits Artikel 6e Datenschutzrichtlinie 95/46/EG. Danach dürfen Daten nicht länger 5

8 weiterverarbeitet werden als für die Realisierung der Zwecke erforderlich ist, für die sie erhoben wurden. In der Praxis zeigen sich hinsichtlich dieser Vorgaben einerseits Umsetzungs- und Vollzugsdefizite in den Unternehmen und Organisationen, auch aufgrund steuerrechtlicher Aufbewahrungspflichten. Andererseits ist ein Recht auf Vergessen auch technisch derzeit nicht umsetzbar, insbesondere im Internet. Bei den auftretenden Problemen im Bereich der Sozialen Netzwerke geht es dagegen häufig um Fragen des allgemeinen Persönlichkeitsrechts, z.b. wenn Betroffene unerwünschte Äußerungen Dritter zu ihrer Person unterbinden möchten. Dies wird meist durch zivilrechtliche Unterlassungsansprüche gelöst. Hierbei bedarf es jedoch regelmäßig auch einer Abwägung mit dem Recht auf freie Meinungsäußerung. Dieses Recht darf nicht einfach durch einen datenschutzrechtlichen Löschungsanspruch unterlaufen werden. Die Aufklärung der Nutzer sowie die Verbesserung ihrer Medienkompetenz sind nach Ansicht der Berliner Datenschutzrunde erfolgversprechendere Ansätze zur Lösung dieser Probleme. Kein Regelungsdefizit hinsichtlich eines Rechts auf Vergessen, aber Aufklärung der Nutzer erforderlich zu Gewährleistung der Einwilligung ohne Zwang und in Kenntnis der Sachlage Die Anforderungen in Artikel 2h Datenschutzrichtlinie 95/46/EG sind hinreichend präzise und bedürfen vor allem der klaren und eindeutigen Umsetzung in den einzelnen Rechtsordnungen der Mitgliedstaaten. Nach Ansicht der Berliner Datenschutzrunde kommt der präzisen Umsetzung der Anforderungen an eine Einwilligung gerade hinsichtlich neuer Dienstleistungen eine wesentliche Bedeutung zu. Schon jetzt fordern Aufsichtsbehörden für die Anwendung neuer Dienste im Bereich des Internet der Dinge eine Einwilligung, da hier Kundenprofile angelegt werden. Sollte hierfür tatsächlich eine Einwilligung erforderlich sein, muss sichergestellt werden, dass der Betroffene hier ohne formalistischen Aufwand seine Zustimmung auf einfache Art und Weise erteilen kann. Mit diesen Vorgaben wäre es nicht vereinbar, wenn eine Einwilligung etwa grundsätzlich nur schriftlich erteilt werden kann. Da die Aufsichtsbehörden gesetzliche Bestimmungen als geeignete Rechtsgrundlagen für eine Datenverarbeitung tendenziell eher ablehnen und Unternehmen bzw. Organisationen auf die Einholung einer Einwilligung verweisen, zwingen sie diese zu langen und detaillierten Einwilligungsklauseln. Der Betroffene hat aber häufig überhaupt kein Interesse an derart langen Einwilligungsklauseln, sondern will vor allem die neue Technik nutzen. Insofern nimmt der Nutzer den Inhalt der Klausel häufig gar nicht zur Kenntnis. Daher sollte die Einwilligung besser nicht so häufig als Rechtsgrundlage für Datenverarbeitungen herangezogen werden, sondern die gesetzlichen Zulässigkeitstatbestände als oftmals einfacher handhabbare Rechtsgrundlage. Einfache und transparente Informationsklauseln verbunden mit einer Widerspruchsmöglichkeit des 6

9 Betroffenen könnten so zu Lösungen führen, die den Interessen der Betroffenen eher gerecht werden können. Praxisgerechte und europaweit einheitliche Regelungen zur Einwilligung schaffen und vermehrt gesetzliche Rechtsgrundlagen statt einer Einwilligung anwenden zu Wirksame Rechtsbehelfe und Sanktionen Wirksame Eingriffsbefugnisse der nationalen Aufsichtsbehörden sind für einen effektiven Vollzug der Regelungen wichtig. Gerade das Beispiel Deutschland zeigt, dass Aufsichtsbehörden zwischenzeitlich vermehrt von ihren neu geschaffenen Kompetenzen Gebrauch machen. Daher sehen wir hier aktuell kein Regelungsdefizit der Datenschutzrichtlinie 95/46/EG. Vielmehr müssten alle Mitgliedstaaten ihrerseits der vorgegebenen Verpflichtung zur Einführung effektiver Sanktionsmechanismen nachkommen. Ergänzend weisen wir auf die bereits jetzt bestehenden Klagebefugnisse der Verbraucherverbände durch das Wettbewerbsrecht hin. Diverse Verstöße gegen Datenschutzbestimmungen durch Unternehmen stellen auch einen Verstoß gegen die EU- Richtlinie 2005/29/EG über unlautere geschäftliche Praktiken dar und können daher abgemahnt werden. Vor diesem Hintergrund ist ein weiterer Ausbau der Sanktionsmechanismen nicht erforderlich. Keine Verschärfung der Sanktionsmechanismen erforderlich zu 2.2. Stärkung der Binnenmarktdimension Der von der Datenschutzrichtlinie 95/46/EG angestrebte freie Verkehr personenbezogener Daten zwischen den Mitgliedstaaten ist eine nach wie vor wichtige Herausforderung. Derzeit ist dies durch die mangelhafte Umsetzung der Vorgaben der Richtlinie durch die einzelnen nationalen Datenschutzbestimmungen nur eingeschränkt verwirklicht. Hier bedarf es einer weitergehenden Harmonisierung der nationalen Datenschutzbestimmungen, wozu die Europäische Kommission selbst einen wichtigen Beitrag leisten kann. Dies gilt auch für die Frage der Anwendbarkeit der nationalen Rechtsordnungen. Die derzeitigen Vorgaben der Datenschutzrichtlinie sind unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofes eindeutig. Neue Anwendungen wie das Cloud Computing zeigen aber die Schwierigkeiten bei der Bestimmung des anwendbaren nationalen Rechts deutlich auf. Gerade kleine und mittlere Unternehmen wollen diese neue Entwicklung zur eigenen Entlastung nutzen und sind insofern auf klare Vorgaben zur Anwendbarkeit von nationalen Rechtsordnungen angewiesen. Daher sollte in der Datenschutzrichtlinie deutlicher herausgearbeitet werden, dass bei der Frage nach dem anwendbaren Recht lediglich auf den Sitz der verantwortlichen Stelle abzustellen ist. Harmonisierung des nationalen Rechts verbessern und klare Vorgaben zur Bestimmung des anwendbaren Rechts schaffen 7

10 In vielen mittelständischen Unternehmensgruppen erfolgt aus Effizienzerwägungen heraus eine Zusammenlegung der Personaldatenverarbeitung. In diesem Zusammenhang sollte auch überlegt werden, ein sogenanntes Konzernprivileg oder Gruppenprivileg für die Datenverarbeitung einzuführen. Angesichts eines noch stärker harmonisierten Datenschutzrechts wäre dies auch vertretbar. Insbesondere im Bereich der Verarbeitung und Nutzung von Beschäftigtendaten wäre eine solche Klausel für Unternehmen und Organisationen sehr hilfreich. Datenverarbeitung innerhalb von Unternehmensgruppen privilegieren Bei vielen neuen Anwendungen etwa im Web 2.0 stellt sich zudem häufig die Frage, wer der eigentliche Adressat der datenschutzrechtlichen Vorgaben ist. Die Bestimmung der sogenannten verantwortlichen Stelle (Controller) bereitet den Beteiligten sehr häufig Schwierigkeiten. Der bisherige Ansatz ist grundsätzlich beizubehalten, sollte aber ggf. präzisiert werden. Wichtig wäre aus Sicht der Berliner Datenschutzrunde hingegen die Abgrenzung zur Datenverarbeitung im Auftrag (Processor). Hier werden von Aufsichtsbehörden bei einer Abgrenzung zur sogenannten Funktionsübertragung teilweise recht restriktive Ansichten vertreten, die mit dem ursprünglichen Ansatz einer Auslagerung von Datenverarbeitungen auf Dienstleister nicht vereinbar sind. Klare Definition und Abgrenzung von Controller und Processor vornehmen zu Mehr Verantwortung der für die Verarbeitung Verantwortlichen Bereits jetzt muss die verantwortliche Stelle nach Artikel 6 Abs. 2 Datenschutzrichtlinie 95/46/EG für die Einhaltung der Grundsätze der Datenverarbeitung Sorge tragen. Dies ist ein offener Rechtsbegriff, der der Auslegung bedarf. Hierzu hat die Artikel-29-Gruppe bereits Ansätze herausgearbeitet - wie etwa das Accountability-Prinzip. Eine angemessene und wirksame Umsetzung der datenschutzrechtlichen Anforderungen in den Unternehmen und Organisationen hängt von diversen Faktoren ab: der Größe des Unternehmens bzw. der Organisation, dem Umfang der Datenverarbeitungen und der Art der zu verarbeitenden Daten. Große Unternehmen nehmen die Umsetzung der datenschutzrechtlichen Bestimmungen in ihr unternehmensinternes Compliance-Programm auf. Die Unternehmen sind zudem aus den gesellschaftsrechtlichen Vorgaben (AktG, GmbhG) zu entsprechenden Maßnahmen verpflichtet. Daher bedarf es für diese Unternehmen keiner weitergehenden Regelungen. Für kleine und mittlere Unternehmen hingegen wäre die verpflichtende Einführung von Compliance-Richtlinien zum Datenschutz oder die Beachtung eines Accountability-Prinzips eine unverhältnismäßige Belastung. Hier ist es häufig der betriebliche Datenschutzbeauftragte, der auf die Einhaltung der Vorgaben zum Datenschutz hinwirkt und entsprechende Maßnahmen vorschlägt. Vor diesem Hintergrund sind keine weitergehenden Regelungen erforderlich. Ausreichende Verpflichtungen zur Umsetzung von datenschutzrechtlichen Maßnahmen in Unternehmen und Organisationen bestehen bereits 8

11 Von den Aufsichtsbehörden wird derzeit sehr häufig die Einführung von Privacy by design gefordert. Eine explizite Regelung zu Privacy by design in der Datenschutzrichtlinie lehnen wir ab. Die Richtlinie bezieht sich ausschließlich auf Unternehmen und Organisationen, die personenbezogene Daten verarbeiten und nutzen. Ohne eine Verarbeitung und Nutzung personenbezogener Daten ist der Anwendungsbereich der Richtlinie gar nicht eröffnet. Der Grundsatz des Privacy by design richtet sich aber an Unternehmen, die Produkte zur Datenverarbeitung herstellen. Daher wäre die Richtlinie auf diese Unternehmen gar nicht anwendbar. Die EU-Kommission sollte aus Sicht der Berliner Datenschutzrunde daher überlegen, ob der Grundsatz des Privacy by design nicht auf anderem Weg gefördert werden kann. So könnte z.b. der Einsatz von datenschutzfreundlichen Techniken (Privacy by design) im Rahmen einer Vergabe von Datenschutzgütesiegeln honoriert werden. Keine ausdrückliche Regelung von Privacy by design in der Richtlinie Die Bestellung eines betrieblichen Datenschutzbeauftragten hat sich in der Praxis als sehr vorteilhaft erwiesen. Daher sollte überlegt werden, in allen Mitgliedstaaten die gesetzlichen Grundlagen für eine solche Bestellung eines betrieblichen Datenschutzbeauftragten zu schaffen. Unklar hingegen ist die Frage, welche Qualifikationen ein betrieblicher Datenschutzbeauftragter aufweisen muss und in welchem Umfang nationale Regelungen Befreiungen für kleinere und mittlere Unternehmen vorsehen können. Dies sollte detailliert in einer Richtlinie geregelt werden. Bei der Bestimmung von Ausnahmen von der Bestellpflicht eines betrieblichen Datenschutzbeauftragten sollte insbesondere auch die Schutzwürdigkeit der Daten beachtet werden. So sollte etwa im nationalen Recht keine Aufhebung der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten für kleine Unternehmen erfolgen, um z.b. Apotheken oder Ärzte herauszunehmen, da gerade in diesen Bereichen ständig sensitive Daten verarbeitet werden. Anforderungen an die Qualifikation der betrieblichen Datenschutzbeauftragen präzisieren und klare Regelungen für die Ausnahme von der Bestellpflicht bei kleinen und mittleren Unternehmen schaffen zu Förderung von Initiativen zur Selbstregulierung und Möglichkeit der Zertifizierung durch die EU Mit dem Vorschlag der Förderung der Selbstregulierung und der Einführung von europäischen Zertifizierungsregelungen greift die EU-Kommission einen sehr wichtigen Punkt auf: den Wettbewerb zwischen Unternehmen und Organisationen um die Einhaltung der Datenschutzbestimmungen. Aus Sicht der Berliner Datenschutzrunde ist die mangelnde Umsetzung der datenschutzrechtlichen Vorgaben die größte aktuelle Herausforderung im Datenschutz. Hier setzen Gütesiegel an und prämieren die Einhaltung der datenschutzrechtlichen Bestimmungen, so dass der Kunde bei seiner Auswahlentscheidung das Unternehmen bzw. die Organisation vorziehen kann, die die 9

12 Einhaltung der datenschutzrechtlichen Bestimmungen auch nach außen hin belegt. Hierdurch lassen sich in vielen Bereichen Vollzugsdefizite beseitigen. Die Europäische Kommission sollte die Vergabe von Datenschutzgütesiegeln verstärkt fördern und ein europaweit einheitliches Verfahren bei der Kommission bzw. bei der Artikel-29-Gruppe etablieren. Hier wurden schon gute Vorarbeiten durch nationale Aufsichtsbehörden im Rahmen des European-Privacy-Seal-Verfahrens (EuroPriSe) geleistet, auf die aufgebaut werden könnte. Gütesiegelvergabe zur Beseitigung des Vollzugsdefizites fördern III. Zusammenfassung Aus Sicht der Berliner Datenschutzrunde sollten bei der anstehenden Novellierung der Datenschutzrichtlinie insbesondere folgende Aspekte berücksichtigt werden: Die grundlegenden Prinzipien der europäischen Datenschutzrichtlinie 95/46/EG haben sich bewährt und sollten beibehalten werden. Ein Großteil der angeführten praktischen Schwierigkeiten beruht auf einer mangelhaften Umsetzung der europäischen Datenschutzrichtlinie durch die Mitgliedstaaten, so dass hier effektive Maßnahmen zur Verbesserung der Umsetzung zu treffen sind. Ergänzend hierzu sollten die Stellungnahmen der Artikel-29-Gruppe für die nationalen Aufsichtsbehörden verbindlich sein. Die Mitgliedstaaten sollten der Europäischen Kommission eine mangelhafte Umsetzung der Stellungnahmen melden müssen. Bei der Anpassung der Richtlinie an neue technologische Entwicklungen bedarf es eines sachgerechten Interessensausgleichs zwischen den Interessen der betroffenen Verbraucher und denen der betroffenen Unternehmen und Organisationen. Hierzu haben wir zu den konkreten Punkten einige Aspekte aufgezeigt. Berlin, den 14. Januar 2011 Dr. Stefan Drewes Rechtsanwalt im Auftrag der Initiatoren der Berliner Datenschutzrunde - Helmut Graf, Vorstand der Verlag für die Deutsche Wirtschaft AG - Johannes Bausch, Schatzmeister und Vorstandsmitglied des Deutschen Fundraising Verband e.v. - Alexander Holzmann, Verleger Holzmann Medien GmbH & Co. KG - Roman Maczkowsky, Vorstandsmitglied Berufsverband der Datenschutzbeauftragten Deutschlands e.v. 10

13 - Christine Rust, Leiterin der Abteilung Direktmarkting SOS-Kinderdorf e.v. - Hartmut Scheffler, Vorstandsvorsitzender des ADM Arbeitskreis Deutscher Marktund Sozialforschungsinstitute e.v. - Günter Stallecker, Justitiar der K Mail Order GmbH & Co. KG (Versandhaus Klingel) Die Auf Initiative von Herrn Helmut Graf, Vorstand der Verlag für die Deutsche Wirtschaft AG, haben sich im Jahr 2009 knapp 200 mittelständische Unternehmer, Vertreter von Spendenorganisationen sowie Datenschutzbeauftragte in der Initiative Berliner Datenschutzrunde zusammengeschlossen. Als Wissensträger und offene Dialogplattform möchte die Initiative einen sachgerechten Interessensausgleich zwischen Wirtschaftlichkeit und Verbraucherschutz fördern und schaffen. Zentrales Ziel der Initiative ist eine grundlegende Modernisierung des Datenschutzrechtes, die den Herausforderungen der modernen Informationsgesellschaft des 21. Jahrhunderts gerecht wird. 11