Schriftliche Information gemäß 6 EU InfoG. Legislativverfahren:

Transkript

1 Schriftliche Information gemäß 6 EU InfoG Legislativverfahren: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung DSGV) [KOM (2012) 11 endg] 1. Inhalt und Ziel der Vorlagen Geltende Rechtslage Das allgemeine europäische Datenschutzrecht ist derzeit sekundärrechtlich in der Richtlinie 95/46/EG Datenschutzrichtlinie (DSRL) geregelt. Für den Bereich Justiz und Inneres regelt der Rahmenbeschluss 2008/977/JI des Rates (RB) die Verarbeitung personenbezogener Daten. Seit Inkrafttreten des Vertrags von Lissabon hat die Union gemäß Art. 16 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) die Kompetenz, gemäß dem ordentlichen Gesetzgebungsverfahren Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union sowie durch die Mitgliedstaaten im Rahmen der Ausübung von Tätigkeiten, die in den Anwendungsbereich des Unionsrechts fallen, und über den freien Datenverkehr zu erlassen. Ausgenommen hievon ist die Erlassung datenschutzrechtlicher Vorschriften im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik. Überdies statuiert Art. 16 Abs. 1 AEUV das Recht jeder Person auf Schutz der sie betreffenden Daten. Art. 8 der EU-Grundrechtecharta (EU-GRC) sieht den Schutz personenbezogener Daten als Grundrecht vor. Der von der Europäischen Kommission (EK) nunmehr vorgelegte Verordnungsentwurf für eine Datenschutz-Grundverordnung DSGV [KOM (2012) 11 endg] soll die DSRL ersetzen. Für den Bereich Justiz und Inneres hat die Kommission zeitgleich einen Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zweck der Verhütung, Aufdeckung, Untersuchung oder

2 Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr [KOM (2012) 10 endg] vorgelegt, welche den Rahmenbeschluss 2008/977/JI des Rates ersetzen soll. Vorschlag der EK Mit dem gegenständlichen, sehr umfassenden Verordnungsvorschlag ist erstmals ein einheitlicher und bedingt durch die gewählte Rechtsaktform der Verordnung gemäß Art. 288 Abs. 2 AEUV in jedem Mitgliedstaat unmittelbar gültiger und anwendbarer Rechtsrahmen im Bereich des allgemeinen Datenschutzes intendiert und würde zu einer Vollharmonisierung in diesem Bereich führen. Der EK würde eine weitreichende Kompetenz zur Erlassung delegierter Rechtsakte eingeräumt. Der Vorschlag sieht aber vor, dass in einigen in dem Verordnungsvorschlag explizit genannten Bereichen dennoch nationale Regelungen zulässig sein sollen bzw. sogar erforderlich sein werden. Dies betrifft etwa die Einrichtung und Organisation unabhängiger Datenschutzbehörden (Kapitel VI, Abschnitt 1, Art. 46 ff), Regelungen zur Zulässigkeit von Profiling (Auswertung bestimmter Merkmale einer Person; Kapitel III, Abschnitt 4, Art. 20), mögliche Beschränkungen von Betroffenenrechten (Kapitel III, Abschnitt 5, Art. 21) oder Vorschriften für besondere Datenverarbeitungssituationen (Kapitel IX, Art. 80 ff). Folgende Neuerungen können im Vergleich zur derzeit geltenden DSRL beispielhaft hervorgehoben werden, wobei sich die in der nachfolgenden Auflistung genannten Artikelbezeichnungen jeweils auf die vorgeschlagene Datenschutz-Grundverordnung beziehen: Geänderte oder neue Begriffsbestimmungen (etwa Definition von Begriffen wie Unternehmen, Hauptniederlassung, Kind, genetische und biometrische Daten oder Gesundheitsdaten; Kapitel I, Abschnitt 2, Art. 4); Beschränkung der Möglichkeit der Zustimmung von Kinder zur Datenverwendung vor Vollendung des 13. Lebensjahrs in Zusammenhang mit Diensten der Informationsgesellschaft (Kapitel II, Art. 8); Erweiterung der besonderen Kategorie von personenbezogenen Daten ( sensible Daten ) um genetische Daten und Daten über Strafurteile (Kapitel II, Art. 9); 2

3 allgemeine Pflicht von Auftraggebern zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden und die Betroffenen (sog. Data Breach Notification ; Kapitel IV, Abschnitt 2, Art. 31 und 32); grundsätzlicher Entfall der allgemeinen Verpflichtung zur Meldung von Datenanwendungen in einem Registrierungsverfahren; Einführung einer verpflichtenden Datenschutz-Folgenabschätzung bei risikobehafteten Datenverarbeitungen (Kapitel IV, Abschnitt 3, Art. 33); Zu Rate-Ziehen der Aufsichtsbehörde in bestimmten Fällen der Verarbeitung von Daten wohl als Ersatz für das derzeit geltende Prinzip der Vorabkontrolle (Kapitel IV, Abschnitt 3, Art. 34); verpflichtende Einsetzung eines Datenschutzbeauftragten für den öffentlichen Sektor sowie im privaten Sektor für Großunternehmen (ab einer Mitarbeiterzahl von 250 oder mehr) und in jenen Fällen, in denen die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragverarbeiters aus Datenverarbeitungsvorgängen besteht, die eine regelmäßige, systematische Beobachtung von betroffenen Personen erforderlich machen (Kapitel IV, Abschnitt 4, Art. 35 ff); Stärkung der Unabhängigkeit der nationalen Aufsichtsbehörden und Ausbau ihrer Befugnisse (Kapitel VI, Art. 46 ff); Kompetenz der Aufsichtsbehörde ziffernmäßig in der Datenschutz-Grundverordnung grundgelegte Verwaltungsstrafen bei Verstößen gegen die Datenschutz- Grundverordnung zu verhängen (Kapitel VIII, Art. 79); Einrichtung eines Europäischen Datenschutzausschusses, bestehend aus den Leitern der nationalen Aufsichtsbehörden und dem Europäischen Datenschutzbeauftragten (Kapitel VII, Abschnitt 3, Art. 64 ff). 2. Stand des Verfahrens auf europäischer Ebene Der Vorschlag für eine Datenschutz-Grundverordnung wurde von der EK am 25. Jänner 2012 der Öffentlichkeit präsentiert. Das Bundeskanzleramt-Verfassungsdienst hat mit Schreiben vom 3. Februar 2012 den Verordnungsentwurf (gemeinsam mit dem zeitgleich präsentierten Richtlinienvorschlag für den Bereich Justiz und Inneres) zur allgemeinen Begutachtung und mit dem Ersuchen um Stellungnahme versendet (vgl. GZ BKA /0006-V/3/2012). In der Sitzung der Ratsarbeitsgruppe (RAG) DAPIX (Datenschutz und Informationsaustausch) von Februar 2012 wurden die EK-Vorschläge für den neuen Datenschutzrechtsrahmen (Verordnungs- und Richtlinienentwurf) erstmals behandelt und eine Generaldebatte unterzogen sowie eine Debatte zu den Art. 1 bis 5 des Verordnungsentwurfs geführt. Die dänische Ratspräsidentschaft hat noch drei weitere Doppeltage für die Behandlung des Vorschlags zum neuen Datenschutzrechtsrahmen 3

4 auf der Ebene der RAG DAPIX angekündigt, um die geschäftsmäßige Behandlung des Verordnungsentwurfes zügig voranzutreiben und dem Europäischen Parlament noch vor den Parlamentswahlen Mitte 2014 Zeit zur Behandlung zu geben. Das Protokoll dieser Sitzung wurde vom Bundeskanzleramt-Verfassungsdienst am 6. März 2012 u.a. an die Parlamentsdirektion, an alle Ministerien und betroffenen Interessensvertretungen und sonstige datenschutzrechtlich relevante Stellen zur Kenntnis und allfälligen Stellungnahme versendet (vgl. GZ BKA /0012-V/3/2012). Die nächsten Sitzungen der RAG DAPIX sind von März, von April und von Mai geplant. Österreichische Position Eine konsolidierte österreichische Position liegt auf Grund der kurzen Zeitspanne seit der Vorlage des Verordnungsvorschlags durch die EK noch nicht vor. Unmittelbar nach Vorlage der EK-Vorschläge für den neuen Datenschutzrechtsrahmen (Verordnungsund Richtlinienentwurf) wurde der Verordnungsvorschlag versandt und um Stellungnahme zum Zwecke der Erstellung einer koordinierten österreichischen Position ersucht. Die Erstellung einer koordinierten und umfassenden Verhandlungsposition wird noch einige Zeit in Anspruch nehmen, da es sich beim Verordnungsentwurf um ein äußerst umfassendes Dokument (139 Erwägungsgründe, 91 Artikel) handelt. Letztlich wird die Akkordierung im Detail im Zuge der innerstaatlichen Vorbereitung der jeweiligen Sitzungen auf Ratsarbeitsgruppenebene im Lichte der jeweils von der EU- Ratspräsidentschaft dafür vorgegebenen Tagesordnung erfolgen. Österreich hat sich vertreten durch das innerstaatlich zuständige Bundeskanzleramt bei der RAG DAPIX von Februar 2012 grundsätzlich positiv zum Vorschlag der Regelung des allgemeinen Datenschutzes in Form einer Verordnung geäußert. Klärungsbedürftig ist jedoch, inwieweit auf nationaler Ebene noch die Möglichkeit besteht, Daten juristischer Personen die vom Verordnungsentwurf der EK (so wie auch von der derzeit geltenden DSRL) nicht erfasst sind, vom derzeitigen DSG 2000 hingegen schon zu schützen. 4

5 Aus österreichischer Sicht ist wesentlich, dass das derzeit durch das DSG 2000 gewährleistete und inhaltlich durch die DSRL determinierte Datenschutzniveau auch im Falle der Erlassung einer Unionsverordnung erhalten bleibt und keine Verschlechterung beim Schutz personenbezogener Daten für die Betroffenen eintritt. 3. Auswirkungen auf die österreichische Gesetzeslage Die vorgeschlagene Datenschutz-Grundverordnung wäre bedingt durch die gewählte Rechtsaktform der Verordnung gemäß Art. 288 Abs. 2 AEUV in Österreich unmittelbar gültig und anwendbar und bedürfte daher keiner nationalen Umsetzung. Allerdings müsste das DSG 2000 weitgehend geändert werden. Da der Verordnungsentwurf einige Bereiche vorsieht, in denen die Mitgliedstaaten nationale Vorschriften zu erlassen haben (siehe oben Punkt 1), müssten diese jedenfalls in einem entsprechenden Ausführungsgesetz geregelt werden bzw. müssten Ausführungsbestimmungen in bestehende Materiengesetze aufgenommen werden. Aus der ebenfalls vorgeschlagenen Datenschutzrichtlinie für den Bereich Justiz und Inneres ergibt sich eine innerstaatliche Umsetzungsverpflichtung. 4. Finanzielle Auswirkungen Die Vereinheitlichung des allgemeinen Datenschutzes in der EU sowie der Entfall der Meldepflicht von Datenanwendungen würden allgemein zu noch nicht bezifferbaren Einsparungseffekten bei Unternehmen und öffentlichen Stellen führen. Die EK geht davon aus, dass durch eine einheitliche Regelung das Vertrauen der Konsumenten in den elektronischen Handel steigt und dieser dadurch mit positivem Effekt für die Wirtschaft wächst. Dem stünde die im öffentlichen Bereich jedenfalls, im unternehmerischen Bereich teilweise zu erfüllende Verpflichtung zur Einführung von unabhängigen Datenschutzbeauftragten gegenüber. Zu berücksichtigen werden auch die Kosten für die allgemeine Dokumentationspflicht der Auftraggeber sowie die Kosten für die Datenschutz-Folgenabschätzungen sein. Die Verpflichtung zur Einrichtung und ausreichenden Ausstattung der unabhängigen Aufsichtsbehörde würde sich nur im Rahmen nunmehr neu übertragener Aufgaben finanziell auswirken, zumal eine 5

6 derartige Aufsichtsbehörde in Form der Datenschutzkommission schon aufgrund der DSRL verpflichtend einzurichten war und auch eingerichtet wurde. 5. Subsidiaritätsprüfung Die EK hat die Subsidiarität und die Verhältnismäßigkeit geprüft. Darüber hinaus ergibt sich Folgendes: Der Verordnungsvorschlag gründet sich auf Art. 16 Abs. 2 (und Art. 114 Abs. 1) AEUV, der die Union zur Regelung des Datenschutzes und Datenverkehrs in den Mitgliedstaaten ermächtigt, soweit es Tätigkeiten betrifft, die in den Anwendungsbereich des Unionsrechts fallen. Ausgenommen hievon sind Tätigkeiten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik. Das Recht auf Schutz personenbezogener Daten, das in Art. 8 der EU-Grundrechte- Charta verankert ist, verlangt ein unionsweit einheitliches Datenschutzniveau. Ohne harmonisierte unionsrechtliche Vorschriften zum Datenschutz bestünde die Gefahr, dass der Datenschutz in den Mitgliedstaaten nicht in gleichem Maße gewährleistet ist, was insbesondere im Hinblick auf die zunehmende grenzüberschreitende Datenverwendung und Vernetzung aus datenschutzrechtlicher und datenschutzpolitischer Sicht nicht tragbar erscheint und aus Binnenmarktsicht den grenzüberschreitenden Verkehr personenbezogener Daten zwischen Mitgliedstaaten mit unterschiedlichen Datenschutzanforderungen behindern würde. Der Transfer personenbezogener Daten sowohl in andere EU-Mitgliedstaaten als auch in Drittstaaten nimmt rasant zu. Die praktischen Schwierigkeiten bei der Durchsetzung der Datenschutzvorschriften und die hierzu notwendige Zusammenarbeit zwischen den Mitgliedstaaten und ihren Behörden erfordern ein Regelwerk auf EU-Ebene, das die einheitliche Anwendung des Unionsrechts gewährleistet. Die EU ist auch die geeignete Ebene, um sicherzustellen, dass alle Betroffenen bei der Übermittlung personenbezogener Daten in Drittländer effektiv in gleichem Maße geschützt sind. Die Mitgliedstaaten können die derzeitigen Probleme vor allem die trotz Vorhandensein der DSRL durch die Uneinheitlichkeit der nationalen Umsetzungsvorschriften bedingten Probleme nicht allein überwinden. Es besteht daher ein be- 6

7 sonderer Bedarf an einer harmonisierten, kohärenten Regelung, die einen reibungslosen Transfer personenbezogener Daten innerhalb der EU ermöglicht und gleichzeitig EU-weit allen Betroffenen einen wirksamen Datenschutz garantiert. Dies scheint effektiv letztlich nur in Form einer Verordnung erfüllbar. Wegen Art und Umfang der dargelegten Probleme, die nicht auf einen oder mehrere Mitgliedstaaten beschränkt sind, werden die vorgeschlagenen Legislativmaßnahmen der EU daher auch unter dem Blickwinkel des Subsidiaritäts- und Verhältnismäßigkeitsprinzips prima vista als erforderlich erachtet. 7