Peter Schaar Bundesbeauftragter für den Datenschutz und die Informationsfreiheit

Transkript

1 Peter Schaar Bundesbeauftragter für den Datenschutz und die Informationsfreiheit POSTANSCHRIFT Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Postfach 1468, Bonn Ihrer Exzellenz der Vizepräsidentin der Europäischen Kommission Frau Dr. Viviane Reding Europäische Kommission B-1049 Brüssel HAUSANSCHRIFT Husarenstraße 30, Bonn VERBINDUNGSBÜRO Friedrichstraße 50, Berlin TELEFON (0228) TELEFAX (0228) INTERNET DATUM Bonn, Per 5 Jahre Recht auf Information beim Bund - Aktengeheimnis ade Konsultation zur Mitteilung der Europäischen Kommission "Gesamtkonzept für den Datenschutz in der EU", KOM(2010) 609 endg., vom HIER Konsultationsbeitrag BfDI / LfD BETREFF Sehr geehrte Frau Dr. Reding, beigefügt übersende ich einen mit den Landesbeauftragten für den Datenschutz abgestimmten Beitrag zur Konsultation der Europäischen Kommission zur Mitteilung Gesamtkonzept für den Datenschutz in der EU, KOM(2010) 609 endg. vom Der Konsultationsbeitrag behandelt folgende Themenbereiche: - Stärkung des Grundrechtsschutzes und Stärkung der individuellen Rechtsposition - Verstärkter Rechtsschutz im Internet und Schutz vor Profilbildung - Anwendbarkeit des nationalen Rechts - Besondere Kategorien personenbezogener Daten ( sensitive Daten ) - Form des künftigen EU-Rechtsrahmens - Betrieblicher Datenschutzbeauftragter - Datenschutz in den Bereichen Polizei und Strafjustiz - Globale Dimension des Datenschutzes - Verbindliche unternehmensinterne Vorschriften (BCR) - Stärkung der Datenschutzbehörden 1322/2011 ZUSTELL- UND LIEFERANSCHRIFT VERKEHRSANBINDUNG Husarenstraße 30, Bonn Straßenbahn 61, Finanzministerium

2 SEITE 2 VON 10 Ich würde es sehr begrüßen, wenn die Europäische Kommission die in dem Beitrag aufgeführten Punkte in ihre Überlegungen für die Neufassung des Rechtsrahmens für den Datenschutz einbeziehen würde. Mit vorzüglicher Hochachtung

3 SEITE 3 VON 10 Anhang Konsultationsbeitrag zur Mitteilung Gesamtkonzept für den Datenschutz in der Europäischen Union, KOM(2010) 609 endg. I. Stärkung des Grundrechts auf Datenschutz und Stärkung der individuellen Rechtsposition 1. Die Datenschutzbeauftragten des Bundes und der Länder begrüßen den Leitgedanken der Europäischen Kommission für die Reform des EU-Datenschutzrechts, das Grundrecht auf Datenschutz nach Artikel 8 der EU-Grundrechte-Charta vollumfänglich zur Geltung zu bringen. 2. Ebenfalls begrüßt werden die Vorstellungen der Europäischen Kommission im Hinblick auf eine Verbesserung des Individualrechtsschutzes. Hierzu zählen unter anderem die in der Mitteilung vorgeschlagene Einführung eines allgemeinen Transparenzgrundsatzes, die Stärkung der Informationspflichten von Verantwortlichen gegenüber Betroffenen, die Verbesserung der Modalitäten für die Wahrnehmung der Rechte auf Zugang, Berichtigung, Löschung oder Sperrung von Daten im Internet auf elektronischem Wege, die Einführung eines Rechts auf Vergessen ( right to be forgotten ), die Einführung des Grundsatzes Privacy-by-Design sowie die Einführung von Zertifizierungsregelungen für datenschutzfreundliche Verfahren, Technologien und Produkte. II. Verstärkter Rechtsschutz im Internet und Schutz vor Profilbildung 3. Die Datenschutzbeauftragten des Bundes und der Länder sind der Auffassung, dass der bestehende EU-Rechtsrahmen vor allem mit Blick auf das Internet und die zunehmende Gefährdung des Persönlichkeitsrechts durch neuartige Formen der Datenverarbeitung, wie z.b. die Erstellung von Profilen oder unerwünschte Weiterleitung von Daten, wie -Adressen aus Kontaktdaten Dritter, überarbeitet werden muss. 4. Das Thema Profilbildung findet in der Mitteilung nur unzureichenden Anklang. Aus Sicht der Datenschutzbeauftragten von Bund und Ländern sind folgende Maßnahmen für den Schutz des Einzelnen vor unzulässigem Profiling erforderlich: Die Erstellung

4 SEITE 4 VON 10 von Profilen sollte nur auf einer konkreten gesetzlichen Grundlage zulässig sein, die dem besonderen Gefährdungspotential der Profilbildung Rechnung trägt, oder auf Basis der informierten Einwilligung des Betroffenen. Eine wirksame Einwilligung setzt eine umfassende Information über Umfang und Herkunft der verwandten Daten, Zweck und Verwendung des Profils, die verantwortliche Stelle und die vorgesehene Löschungsfrist voraus. Die Einwilligung muss freiwillig und jederzeit widerrufbar sein. Der Widerruf muss die sofortige Löschung des Profils zur Folge haben, auch bei den Stellen, an die es übermittelt worden ist. 5. Auf EU-Ebene könnten die Voraussetzungen, unter denen Daten zum Zwecke der Profilbildung verarbeitet werden dürfen, z.b. im Kontext sensitiver Daten im Sinne des Artikels 8 der Datenschutzrichtlinie 95/46 geregelt werden (s. hierzu u. IV.). Hierbei sollten auch die Bedingungen des technischen Datenschutzes wie Anonymisierung und Pseudonymisierung und die Datensicherheit im Allgemeinen berücksichtigt werden. Erforderlich ist zudem ein gesetzliche Definition der Profilbildung, die unterschiedliche Profile, wie Verhaltens-, Nutzer- oder Bewegungsprofile, umfasst. III. Anwendbarkeit des nationalen Rechts 6. Ein zentrales Thema der Richtlinienüberarbeitung stellt die Regelung des anwendbaren Rechts im Sinne des Artikels 4 der Richtlinie 95/46 dar. Die Datenschutzbeauftragten des Bundes und der Länder stimmen der in der Mitteilung geschilderten Zielrichtung der Kommission zu, Betroffenen in der EU ein gleich hohes Schutzniveau auch dann zu gewährleisten, wenn ihre personenbezogenen Daten außerhalb der EU verarbeitet werden. 7. Da führende Internetdiensteanbieter mit Sitz in Drittstaaten sich gegenwärtig nicht an das hiesige Recht gebunden sehen, bedarf es zur Effektivierung der Anwendbarkeit des EU- und des nationalen Rechts der Hinzufügung eines Anknüpfungspunktes, der weiter geht als die bisherigen in Art. 4 der Richtlinie 95/46 enthaltenen Kriterien der Niederlassung und des Mittels. Ein solches (zusätzliches) Anknüpfungskriterium für Sachverhalte mit Drittlandsbezug könnte etwa das zielgerichtete Erbringen eines kommerziellen oder sonstigen Dienstes der Informationsgesellschaft an Personen sein, die innerhalb des betreffenden Mitgliedstaates wohnhaft oder niedergelassen sind. Durch ein derartiges, dienstebezogenes Kriterium würden sämtliche Online-Angebote oder

5 SEITE 5 VON 10 Dienste einschließlich sozialer Netzwerke erfasst, die sich gezielt an Nutzer in den EU- Mitgliedstaaten richten, wobei das Kriterium des Wohnortes oder der Niederlassung verhindern würde, dass der Anwendungsbereich des nationalen Rechts auf Sachverhalte ohne Inlandsbezug ausufern würde. IV. Besondere Kategorien personenbezogener Daten ( sensitive Daten ) 8. Die Datenschutzbeauftragten des Bundes und der Länder befürworten ebenfalls eine Änderung des Artikels 8 der Richtlinie 95/46 zu besonderen Kategorien personenbezogener Daten. Die Norm sollte nicht nur im Hinblick auf die Aufnahme zusätzlicher Datenkategorien (wie z.b. genetische Daten) geändert, sondern grundsätzlich überarbeitet werden, um künftige Entwicklungen neuer Daten erfassen zu können. So werden genetische und biometrische Daten, die erst seit wenigen Jahren in dieser Form verfügbar sind, heute nach einhelliger Auffassung als besonders sensibel angesehen. Es ist wahrscheinlich, dass sich auf Grund der technologischen und wissenschaftlichen Entwicklung auch in Zukunft neue Datenarten herausbilden werden, die in einem auf dem heutigen Erkenntnisstand eingefrorenen Datenkatalog nicht enthalten sein können. 9. Zur Erreichung größerer Flexibilität sollte daher in der künftigen Regelung auf die abschließende Auflistung bestimmter Datenkategorien verzichtet werden, für die ein generelles Verarbeitungsverbot besteht, dass jedoch durch umfängliche und in den Mitgliedstaaten zum Teil unterschiedlich umgesetzte Ausnahmetatbestände eingeschränkt werden kann. Stattdessen wird angeregt, in den künftigen Rechtsakt eine an Erwägungsgrund Nr. 33, 1. Halbs. der Richtlinie 95/46 ( Daten, die aufgrund ihrer Art geeignet sind, die Grundfreiheiten oder die Privatsphäre zu beeinträchtigen ) orientierte allgemeine Definition des Begriffs sensitiver Daten aufzunehmen und spezifische Datenarten nur als Regelbeispiele zu nennen. Die Definition sollte durch das zusätzliche Kriterium des Verwendungszusammenhangs der Datenverarbeitung ergänzt werden. Konkret genannte Datenkategorien sollten im Sinne eines einheitlichen Verständnisses der Mitgliedstaaten legal definiert werden. 10. Durch einen derartigen Ansatz würden auch solche Datenkategorien erfasst, die aufgrund ihres Verarbeitungskontextes eine erhebliche Eingriffsintensität bewirken können. Dies gilt z.b. für neue Phänomene der Datenverarbeitung, wie die bereits erwähnte Profilbildung oder Gesichtserkennungsdienste im Internet, es gilt aber auch für staatli-

6 SEITE 6 VON 10 che Maßnahmen, wie etwa die vorratsmäßige Speicherung von Telekommunikationsverbindungsdaten. Da sich aus derartigen Datensammlungen bis in die Intimsphäre hineinreichende inhaltliche Rückschlüsse ziehen lassen, sollte ihre Verarbeitung nur zum Schutze überragender Allgemeinwohlinteressen oder hochrangiger Rechtsgüter des Betroffenen oder eines Dritten und zudem nur unter spezifischen Schutzvorkehrungen zulässig sein. V. Form des künftigen EU-Rechtsrahmens 11. Der künftige Rechtsrahmen darf keinesfalls zu einer Absenkung bereits erreichter Standards auf mitgliedstaatlicher Ebene im Sinne eines Minimalkonsenses oder gar zu neuer Bürokratisierung in Teilbereichen, wie z.b. den Meldepflichten (hierzu nachfolgend VI.), führen. Die Datenschutzbeauftragten des Bundes und der Länder sind der Auffassung, dass diesem Ziel angesichts der gewachsenen Traditionen und Rechtsstandards in den Mitgliedstaaten und der eingeschränkten Rechtsetzungskompetenz der EU in Bezug auf innerstaatliche Datenverarbeitungsvorgänge im öffentlichen Bereich am Wirksamsten durch eine Richtlinie Rechnung getragen werden kann. VI. Betrieblicher Datenschutzbeauftragter 12. Der von der Europäischen Kommission erstrebte höhere Harmonisierungsgrad darf insgesamt keine Einschränkung bewährter Verfahren in den Mitgliedstaaten zur Folge haben. So darf auf die seit vielen Jahren erfolgreich in Deutschland praktizierte Datenschutzkontrolle durch betriebliche Datenschutzbeauftragte nicht verzichtet werden. 13. Dieses zweistufige Kontrollsystem der internen Kontrolle durch den betrieblichen Datenschutzbeauftragten und der externen Kontrolle durch die staatlichen Datenschutzaufsichtsbehörden hat sich bewährt. Mit dem betrieblichen Datenschutzbeauftragten erhält das Unternehmen wertvolle Expertise für die immer komplexer werdenden Anforderungen des Datenschutzes. Der Datenschutzbeauftragte leistet daher einen wichtigen Beitrag zur Datenschutzkonformität des Unternehmens und ist Ansprechpartner für die Unternehmensleitung, Mitarbeiter, Aufsichtsbehörden und Betroffene. 14. Deshalb begrüßen die Datenschutzbeauftragten des Bundes und der Länder den Vorschlag der Europäischen Kommission, die Benennung eines unabhängigen Datenschutzbeauftragten künftig verpflichtend vorzuschreiben, sofern hiermit auch künftig

7 SEITE 7 VON 10 zugleich die Möglichkeit einer Vereinfachung oder gänzlichen Abschaffung der Meldepflichten im Sinne der Artikel 18, 19 der Richtlinie 95/46 verbunden ist. VII. Datenschutz in den Bereichen Polizei und Strafjustiz 15. Die Datenschutzbeauftragten des Bundes und der Länder begrüßen den Grundansatz, vor dem Hintergrund des Wegfalls der Säulenstruktur und der Einführung einer einheitlichen Rechtsgrundlage für den Datenschutz durch den Vertrag von Lissabon in Artikel 16 des Vertrages über die Arbeitsweise der Union (AEUV) den Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in den Anwendungsbereich der allgemeinen Datenschutzbestimmungen einzubeziehen. 16. Die Datenschutzbeauftragten des Bundes und der Länder fordern die Europäische Kommission auf, sich dafür einzusetzen, dass die Grundsätze des künftigen EU- Rechtsrahmens in kohärenter Weise auch für internationale Sachverhalte (im Verhältnis EU-Drittstaaten und im Verhältnis Mitgliedstaaten-Drittstaaten) gelten. 17. Die Absicht der Europäischen Kommission, bestehende sektorspezifische EU- Vorschriften für die polizeiliche und justizielle Zusammenarbeit in Strafsachen an den neuen Rechtsrahmen anzupassen, wird daher begrüßt. Es wäre allerdings wünschenswert, wenn der Anpassungsprozess anders, als von der Kommission in der Mitteilung erwähnt nicht nur langfristig, sondern zeitnah im Zuge der Richtlinienreform begonnen und von Seiten der Kommission durch entsprechende Initiativen auf EU-Ebene befördert würde. 18. Ein weiteres wichtiges Thema stellt die künftige Organisation und rechtliche Verankerung der datenschutzrechtlichen Kontroll- und Beratungsinstanzen im Bereich der ehemaligen 3. Säule dar. Das europäische Recht der polizeilichen Datenverarbeitung stellt insoweit nicht nur ein schwer überschaubares und inkohärentes Nebeneinander verschiedener Datenschutzregime dar, sondern hat ebenso ein komplexes Nebeneinander unterschiedlicher Kontroll- und Beratungsgremien geschaffen. Das Überwinden der alten Säulenstruktur bliebe daher unvollendet, wenn nicht sichergestellt würde, dass auch für den Bereich der ehemaligen 3. Säule ein beratendes Gremium auf europäischer Ebene existierte. Aus Sicht der Datenschutzbeauftragten des Bundes und der Länder sollte diese Aufgabe in Zukunft konsequenterweise durch die Art. 29-Arbeitsgruppe wahrgenommen werden.

8 SEITE 8 VON Ebenso erforderlich ist die Steigerung der Effizienz der Kontrolltätigkeiten der Gemeinsamen Kontrollinstanzen von Europol, Eurojust, SIS und ZIS. Die Europäische Kommission kündigt in der Mitteilung an, zu diesem Thema in 2011 eine Konsultation durchzuführen. Ungeachtet des zu diesem Thema noch bestehenden Beratungsbedarfs erscheint es aus Sicht der Datenschutzbeauftragten des Bundes und der Länder vorzugswürdig, die Kontrolltätigkeiten zu den verschiedenen Informationssystemen und Einrichtungen in einer Gemeinsamen Kontrollinstanz zu bündeln. VIII. Globale Dimension des Datenschutzes 20. Die Datenschutzbeauftragten des Bundes und der Länder stimmen mit der Kommission darin überein, dass bestehende Verfahren und Instrumente des internationalen Datentransfers verbessert und besser aufeinander abgestimmt werden müssen. Es muss ebenso wie im Bereich der ehemaligen 3. Säule dafür Sorge getragen werden, dass sämtliche bestehenden internationalen Vereinbarungen der EU- und der Mitgliedstaaten mit dem künftigen Rechtsrahmen übereinstimmen. 21. Ein wirksamer Individualrechtsschutz sollte konsequenterweise mit entsprechenden Durchsetzungsmöglichkeiten auf internationaler Ebene einhergehen. Da diese gegenwärtig faktisch nicht existieren, wäre es umso wichtiger, dass sich die Europäische Kommission für die Stärkung der von der Internationalen Datenschutzkonferenz in Madrid im Jahre 2009 verabschiedeten International Standards und mittelfristig für den Abschluss international verbindlicher Datenschutzabkommen einsetzt. Gerade im Verhältnis der EU zu den USA ist insoweit auch eine Stärkung des Safe-Harbor- Regimes und der Abschluss eines tragfähigen Datenschutzabkommens im Bereich der Strafverfolgung, das sich nicht nur auf die Verwaltungszusammenarbeit beschränkt, sondern individuell durchsetzbare Rechtspositionen vorsieht und das auch auf bereits bestehende bilaterale Vereinbarungen der Mitgliedstaaten anwendbar ist, von besonderer Bedeutung. IX. Verbindliche unternehmensinterne Datenschutzregeln (BCR) 22. Im Zusammenhang mit der Überprüfung bestehender Verfahren für den internationalen Datentransfer steht auch die Frage, wie rechtsverbindliche Instrumente und verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules BCR) verbessert und besser koordiniert werden können. In der Mitteilung bezieht sich die Europäische Kom-

9 SEITE 9 VON 10 mission insoweit auf die Stellungnahme der Artikel 29-Datenschutzgruppe und der Arbeitsgruppe Polizei und Justiz vom 1. Dezember 2009 (WP168). In Ziffern 37, 38 dieser Stellungnahme werden für den neuen Rechtsrahmen u.a. Vorschriften befürwortet, die BCR als passendes Mittel zur Bereitstellung angemessener Schutzmaßnahmen anerkennen. Damit wären BCR den in Artikel 26 Abs. 2 EU-Datenschutzrichtlinie genannten Vertragsklauseln ausdrücklich gleichgestellt, was von den Datenschutzbeauftragten des Bundes und der Länder befürwortet wird. 23. Zusätzlich sollte eine Vorschrift aufgenommen werden, die bewirkt, dass Daten übermittelnde Stellen zeitnah Sicherheit über die Akzeptanz der Entscheidung über die Anerkennung von BCR in einem Mitgliedstaat die durchaus in Kooperation mit zwei anderen Mitgliedstaaten als Partner gefunden sein sollte durch alle anderen Mitgliedstaaten erlangen. Daher sollte eine Formalisierung des bisherigen Verfahrens, das allein auf unverbindlichen Absprachen zwischen den Datenschutzbehörden beruht, geprüft werden. Hierzu könnte insbesondere eine angemessene kurze Frist für einen Widerspruch gemäß Art. 26 Abs. 3 S. 3 der Datenschutzrichtlinie vorgesehen werden, nach deren Ablauf eine unterbliebene Äußerung als Zustimmung zu konkreten BCR gewertet wird. Eine solche explizite Regelung des befristeten Widerspruchs würde zu einer Vereinfachung des EU-weiten Anerkennungsprozesses führen und inkohärente Entscheidungen vermeiden. 24. Eine weitere Erleichterung internationaler Datentransfers könnte dadurch erreicht werden, dass die Kommission die Möglichkeit erhält, eine Entscheidung über vorgelegte Standard-BCR zu treffen. Denn dann wären darauf beruhende Datenübermittlungen wie bei Standardvertragsklauseln genehmigungsfrei. Dieser Ansatz wird seit Jahren in Deutschland sowohl in Datenschutz- als auch in Wirtschaftskreisen diskutiert. Die Europäische Kommission hat ihn bisher deshalb unter Berufung auf den eindeutigen Wortlaut von Artikel 26 Abs. 4 Datenschutzrichtlinie nicht weiterverfolgt, weil dieser sich im Gegensatz zu Artikel 26 Abs. 2 ausdrücklich nur auf Vertragsklauseln bezieht. 25. Zunehmend nutzen global tätige Konzerne sog. Mehrparteienverträge (Intra Group Agreements), die sich aus Elementen der Standardvertragsklauseln und solchen von bereits anerkannten BCR zusammensetzen. Auch diese (im Umfang mit BCR vergleichbaren) Verträge müssen derzeit formal von jeder einzelnen betroffenen Aufsichtsbehörde

10 SEITE 10 VON 10 in Europa aufwendig geprüft und als mit ausreichenden Datenschutzgarantien versehen anerkannt werden. 26. Zur Vermeidung divergierender Entscheidungen der Aufsichtsbehörden und zur Beschleunigung der Anerkennung von Mehrparteienverträgen in Europa wäre es sachgerecht, wenn auch sie (wie BCR) grundsätzlich einer gegenseitigen Anerkennung unterlägen. Ebenso wie für BCR sollte die Europäische Kommission auch in Bezug auf Mehrparteienverträge die Möglichkeit erhalten, Entscheidungen über vorgelegte Standardmehrparteienverträge zu treffen. X. Stärkung der Datenschutzbehörden 27. Die Datenschutzbeauftragten des Bundes und der Länder begrüßen die Absicht der Kommission, die Rechtsstellung und die Befugnisse der nationalen Datenschutzbehörden zu stärken und zu präzisieren und den Grundsatz der völligen Unabhängigkeit uneingeschränkt durchzusetzen.