"Datenschutz in Schleswig-Holstein, in Europa und in einer weltweiten Informationsgesellschaft"

Transkript

1 30 Jahre Datenschutz in Schleswig-Holstein Kiel, 14. Juli 2008 "Datenschutz in Schleswig-Holstein, in Europa und in einer weltweiten Informationsgesellschaft" Peter Hustinx Europäischer Datenschutzbeauftragter Meine Damen und Herren! Es ist mir ein Vergnügen, heute hier zu sein und einige Überlegungen zum Datenschutz in Schleswig-Holstein, in Europa und in einer globalisierten Informationsgesellschaft mit Ihnen zu teilen. Lassen Sie mich zunächst Dr. Thilo Weichert und seinem Team zum 30. Jahrestag des Inkrafttretens des ersten Datenschutzgesetzes des Landes Schleswig-Holstein gratulieren. Seine beiden Vorgänger im Amt des Landesbeauftragten für den Datenschutz sind heute hier anwesend. Zusammen stehen sie für eine bemerkenswerte Geschichte der Entwicklung von Effizienz beim Datenschutz. In meiner vorherigen Rolle als Datenschutzbeauftragter in den Niederlanden hatte ich das Vergnügen, mit Dr. Helmut Bäumler enger zusammenzuarbeiten. Ich habe den größten Respekt vor seiner Vision und seiner Entschlossenheit beim Gestalten seines Kurses hin zu dem, was heute das "Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein" ist. Lassen Sie mich hier fairerweise sagen, dass das gewählte Modell immer noch alles andere als üblich in der Datenschutz-Gemeinschaft ist, aber es ist ein interessantes und recht erfolgreiches Modell, das Datenschutzbehörden stets an die Notwendigkeit erinnert, effektiv zu sein bei ihrer Interaktion mit einer sich ändernden Wirklichkeit um uns herum der Entwicklung einer Informationsgesellschaft. Sie sind nicht die einzige Datenschutzaufsichtsbehörde, die dieses Jahr ein 30-jähriges Jubiläum feiert. Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die französische Datenschutzaufsichtsbehörde CNIL werden

2 im Rahmen ihrer eigenen 30-jährigen Jubiläen die 30. Internationale Konferenz der Datenschutzbeauftragten in Straßburg ausrichten, und ich bin sicher, dass es noch mehr Datenschutz-Jubilare gibt, sowohl in Deutschland als auch anderswo. Schließlich fand die erste Welle der Datenschutzgesetzgebung in Europa außer in Hessen und Schweden ungefähr vor 30 Jahren statt. Um genau zu sein, geschah dies vor der Verabschiedung der Europarats-Konvention im Jahr 1981 und auch vor dem berühmten Volkszählungsurteil des Bundesverfassungsgerichts 1983 und natürlich lange vor der Annahme der EU- Datenschutz-Richtlinie im Jahr 1995, die nun 13 Jahre später immer noch das wichtigste rechtliche Rahmenwerk für Datenschutz in Europa darstellt. Daher die Frage: Wie geht es dem Datenschutz in der heutigen Welt, in der Veränderung zu einem der wenigen beständigen Merkmale wird? Lassen Sie mich diese Frage als Ausgangspunkt für meine weiteren Ausführungen nehmen. Wir leben heute in einer Gesellschaft, in der sich die Verarbeitung personenbezogener Daten zunehmend ausbreitet und in der Informationstechnologien eine stets wichtigere Rolle im Alltag spielen. Unsere Gesellschaft wird immer abhängiger von der sich verbreitenden Nutzung der Informationstechnologien, so dass von einigen bereits argumentiert wird, wir befänden uns auf dem Weg in eine "Überwachungsgesellschaft". Sollte dies der Fall sein, so würde dies meiner Ansicht nach die Bedeutung des Datenschutzes nicht mindern; im Gegenteil: der Datenschutz würde an Bedeutung gewinnen. Auch zur Wahrung der Grundwerte unserer Gesellschaft wird ein gut funktionierender Datenschutz stets wichtiger werden. Daher werden wir erforderlichenfalls dafür sorgen müssen, dass Daten in der Praxis wirksamer geschützt werden. Die Europäische Kommission hat kürzlich die Ergebnisse zweier Umfragen unter Bürgern Europas und Verantwortlichen in Organisationen über ihre Meinung zum Datenschutz veröffentlicht. Daraus geht hervor, dass 64% der EU-Bürger über den Datenschutz besorgt bis sehr besorgt sind. Dies ist der europäische Durchschnitt in einigen Ländern liegt der Prozentsatz höher; so sind in Österreich und Deutschland 86% der Bürgerbesorgt oder sehr besorgt. 2

3 Knapp die Hälfte der Befragten (48%) denkt, dass die personenbezogenen Daten im eigenen Land hinreichend geschützt sind. Eine große Mehrheit (77%) schätzt das Bewusstsein der EU-Bürger im Bereich des Datenschutzes für gering ein. Die für die Verarbeitung personenbezogener Daten verantwortlichen Personen sind sich weitgehend (91%) darin einig, dass gesetzliche Datenschutzbestimmungen erforderlich sind, um ein hohes Verbraucherschutzniveau und die Grundrechte der Bürger zu gewährleisten. Dennoch sind nicht wenige (63%) der Auffassung, dass die geltenden Gesetze in verschiedenen Punkten verbesserungsbedürftig sind. Der erhöhte Stellenwert des Datenschutzes kommt auch im Vertrag von Lissabon zum Ausdruck. Zu diesem Zeitpunkt hoffe ich weiterhin, dass der Vertrag von allen Mitgliedstaaten ratifiziert wird und Anfang nächsten Jahres in Kraft tritt. Dann wird Artikel 6 des überarbeiteten EU-Vertrags zu einem besseren Schutz der Grundrechte und Grundfreiheiten in der EU beitragen. Die Grundrechtecharta der EU wird verbindlich auch für Mitgliedstaaten, wenn sie Unionsrecht umsetzen oder anwenden. Die Artikel 7 und 8 der EU-Charta sehen das Recht auf Achtung des Privatlebens und ein gesondertes Recht auf Schutz personenbezogener Daten vor. Artikel 16 des Vertrags über die Arbeitsweise der EU schafft ebenfalls eine allgemeine Rechtsgrundlage für den Erlass von Bestimmungen zum Schutz personenbezogener Daten in der EU. Angesichts dieser Entwicklungen sehe ich mindestens fünf strategische Herausforderungen: 1. Die Zukunft der Datenschutzrichtlinie 95/46/EG, wobei sich die Wahl zwischen einer Überarbeitung oder einer besseren Umsetzung stellt; auf jeden Fall geht es um die Frage, wie auch weiterhin ein wirksamer Datenschutz gewährleistet werden kann. 2. Wie ist das Zusammenspiel von Datenschutz und technologischen Neuerungen zu gestalten? 3. Wie kann für einen angemessenen Schutz personenbezogener Daten im Rahmen der Strafverfolgung und der polizeilichen und justiziellen Zusammenarbeit in Strafsachen (auch als "dritte Säule" der EU bezeichnet) gesorgt werden? 4. Wie lässt sich ein stärkerer weltweiter Schutz der Privatsphäre und der personenbezogenen Daten in diesen verschiedenen Bereichen erreichen? 5. Wie können die neuen Bestimmungen des Vertrags von Lissabon nach dessen Inkrafttreten auf bestmögliche Weise genutzt werden? 3

4 Lassen Sie mich zu jedem dieser Themen einige wichtige Punkte herausgreifen: Die Europäische Kommission hat vor einigen Jahren eine erste Evaluierung der Richtlinie 95/46/EG vorgenommen. Im Jahr 2003 kam sie zu dem Schluss, dass es noch verfrüht sei, Änderungen zu erwägen, und dass der Nachdruck auf eine bessere Durchführung der Richtlinie gelegt werden sollte. Sodann brachte sie ein Arbeitsprogramm auf den Weg, das bilaterale Gespräche mit den Mitgliedstaaten vorsah, um bestimmte Unzulänglichkeiten in den nationalen Rechtsvorschriften zu beseitigen, und eine Reihe spezifischer Themen behandelte, wie die Notwendigkeit, stärkeren Nachdruck auf die Durchsetzung der Rechtsvorschriften zu legen, die Vereinfachung der Meldeverfahren und der Information betroffener Personen, einer Straffung der Verfahren für internationale Datenübermittlungen und die verstärkte Nutzung von Technologien zum Schutz der Privatsphäre (Privacy Enhancing Technologies, PET). Im März 2007 veröffentlichte die Europäische Kommission eine Mitteilung, in der sie zu dem Schluss kam, dass sich die Durchführung der Richtlinie verbessert habe. Dennoch, so wurde ausgeführt, gebe es immer noch Probleme in bestimmten Mitgliedstaaten. Insgesamt gesehen habe die Richtlinie nach Auffassung der Kommission ihren Zweck erfüllt nämlich ein besseres Funktionieren des Binnenmarkts und die Bestimmungen der Richtlinie seien weiterhin im Wesentlichen als angemessen anzusehen. Folglich stellte sie sich erneut auf den Standpunkt, dass eine Überarbeitung der Richtlinie sich erübrige und die Aufmerksamkeit weiterhin ihrer besseren Durchführung gelten sollte. Die Kommission kündigte an, sie erwäge die Einleitung von Vertragsverletzungsverfahren bei Mängeln auf nationaler Ebene. Das erste Verfahren wurde gegen Deutschland eingeleitet und hatte die Unabhängigkeit der Kontrollstellen auf Länderebene zum Gegenstand. Diese Rechtssache ist nun vor dem Europäischen Gerichtshof anhängig, und ich habe einen Antrag auf Zulassung als Streithelfer zur Unterstützung der Anträge der Kommission eingereicht. Bei dieser Rechtssache geht es meines Erachtens um einen zentralen Aspekt des Datenschutzes, nämlich die völlige Unabhängigkeit der Kontrollstellen; das Urteil wird nicht nur für Deutschland, sondern für alle Mitgliedstaaten die alten wie die neuen wichtig sein. 4

5 Die Kommission nannte auch die Möglichkeit der Vorlage einer Mitteilung zu Auslegungsfragen betreffend bestimmte Kernbestimmungen der Richtlinie. Sie stellte fest, dass das 2003 aufgelegte Arbeitsprogramm unter Mitwirkung der Datenschutzgruppe "Artikel 29" weitergeführt werden sollte. Sie ging auch auf die möglicherweise notwendige Erstellung von Leitlinien für den Umgang mit neuen Technologien ein. Schließlich kündigte die Kommission an, sie werde diese Fragen zu gegebener Zeit erneut prüfen, nannte jedoch kein genaues Datum. In meiner Stellungnahme vom Juli 2007 zu der Kommissionsmitteilung stimmte ich der wichtigsten Schlussfolgerung der Kommission zu, der zufolge zum jetzigen Zeitpunkt keine Überarbeitung der Richtlinie vorgenommen werden sollte. Die vorhandene Kapazität sollte meiner Meinung nach tatsächlich zur verbesserten Durchführung der Richtlinie eingesetzt werden. Gleichzeitig habe ich deutlich gemacht, dass gewisse Änderungen unumgänglich sind. Der relevante Kontext der Richtlinie sowohl in sozialer wie in technologischer Hinsicht ist im ständigen Wandel begriffen, so dass Anpassungen notwendig sind, um sicherzustellen, dass die Richtlinie weiterhin wirksamen Schutz bietet. Daher wäre es auch wichtig, ein genaues Datum für diese Überarbeitung festzulegen und mit der Planung zu beginnen. Die Kommission hat kürzlich erste Schritte in diese Richtung getan. Im Mai 2008 veröffentlichte sie eine Ausschreibung für eine "Vergleichsstudie über verschiedene Ansätze zur Bewältigung neuer Herausforderungen in Zusammenhang mit dem Datenschutz, insbesondere im Hinblick auf technologische Entwicklungen". Im letzten Monat veröffentlichte sie ferner eine Aufforderung zur Interessenbekundung im Hinblick auf die Einsetzung einer Expertengruppe, die Überlegungen über den Rechtsrahmen für den Datenschutz in der Europäischen Union anstellen soll. Beide Initiativen würden es der Kommission ermöglichen, Schlussfolgerungen zu ziehen und gegebenenfalls Vorschläge innerhalb der nächsten drei Jahre zu unterbreiten. Auch auf nationaler Ebene gibt es einige interessante Entwicklungen. In der vergangenen Woche gab der britische Datenschutzbeauftragte eine Studie über die fortdauernde Wirksamkeit des EU-Datenschutzrechts in Auftrag, um mit seinen europäischen Amtskollegen auf der Frühjahrskonferenz in Edinburgh im April

6 über dieses Thema zu beraten. Ähnliche Beratungen finden derzeit in Deutschland statt, und ich begrüße alle Initiativen dieser Art, die sich vorrangig darauf konzentrieren, dem Datenschutz eine größere Relevanz und Wirksamkeit zu verleihen. Wenn es um die Auslegung der Kernbestimmungen geht, so möchte ich auf den wichtigen Beitrag der Datenschutzgruppe "Artikel 29" in ihrer im Juni 2007 angenommenen Stellungnahme zum Begriff der personenbezogenen Daten (WP 136) hinweisen. Die Datenschutzgruppe hat kürzlich beschlossen, sich auch mit den Begriffen "für die Verarbeitung Verantwortlicher" (controller) und "Auftragsverarbeiter" (processor) und mit der hiermit verbundenen Frage des anzuwendenden Rechts zu befassen. Wir werden uns an dieser Zusammenarbeit eng beteiligen. Klärungsbedürftig sind meiner Meinung nach auch die Bestimmungen zu den "unvereinbaren Zweckbestimmungen", zur "eindeutigen Einwilligung", zu den "berechtigten Interessen" sowie zu den Befugnissen der Kontrollstellen. Was diesen letzten Punkt anbelangt, so möchte ich die Notwendigkeit "wirksamer Eingriffsbefugnisse" unterstreichen. Meiner Ansicht nach wäre es inakzeptabel, wenn die Datenschutzbehörden über keinerlei wirksames Mittel zur Durchsetzung der Bestimmungen verfügten, falls ihre ablehnenden Stellungnahmen in der Praxis ignoriert werden. Selbstverständlich entscheidet letztendlich das zuständige Gericht, aber ein System der gegenseitigen Kontrollen kann nur funktionieren, wenn hinreichende Mechanismen vorhanden sind, die entsprechende Entscheidungen ermöglichen. Die Frage des Zusammenspiels von Datenschutz und neuen Technologien stellte sich kürzlich im Zusammenhang mit drei unterschiedlichen Themenbereichen. Zum einen handelte es sich um die Nutzung der RFID-Technologie zur Identifikation von Waren als ersten Schritt hin zum "Internet der Dinge". Dies könnte ohne die erforderlichen Beschränkungen und Sicherheitsmaßnahmen weit reichende Folgen für die Privatsphäre der Nutzer haben. In einer Stellungnahme vom Dezember 2007 habe ich einige relevante Aspekte hervorgehoben. Hierzu zählt die Frage, ob und in welchem Umfang die Richtlinie auf den Einsatz der RFID-Technik Anwendung 6

7 finden wird und welche Konsequenzen sich daraus ergeben könnten. Die Kommission hat unlängst den Entwurf einer Empfehlung zur Behandlung einiger dieser Konsequenzen veröffentlicht. Es freut mich, dass diese Empfehlung in die richtige Richtung geht. Ich halte es für unerlässlich, dass die Verbraucher am Verkaufsort ein wirkliches und wirksames Recht auf vorherige Zustimmung ("Opt in") erhalten und dass anderenfalls jede RFID-Fähigkeit zur Erfassung des Verbraucherverhaltens konsequent deaktiviert wird. In meiner Stellungnahme habe ich mich auch mit der Frage befasst, ob zusätzliche Maßnahmen erforderlich sind. Dies ist meiner Ansicht nach durchaus der Fall, damit sichergestellt werden kann, dass das Prinzip des "eingebauten Datenschutzes" ("privacy by design") Anwendung findet, und angemessene Spezifikationen vorgegeben werden können, falls Selbstregulierungsmaßnahmen sich als nicht wirksam genug erweisen sollten. Ich habe auch auf Fragen der Verwaltung hingewiesen, die sich stellen werden, wenn RFID-Technologien mehr und mehr genutzt werden. Diese Fragen werden demnächst im Anschluss an eine vom französischen EU-Vorsitz im Oktober 2008 organisierte Konferenz auf der Tagesordnung stehen. Ein zweiter Punkt ist die Überarbeitung der auch als Datenschutzrichtlinie für elektronische Kommunikation bezeichneten Richtlinie 2002/58/EG. Die wohl wichtigste Frage in diesem Kontext ist die obligatorische Benachrichtigung über Sicherheitsverletzungen. In meiner vor einigen Monaten veröffentlichten Stellungnahme habe ich mich entschieden für diese Maßnahme ausgesprochen, gleichzeitig aber auch empfohlen, ihren Anwendungsbereich auf Anbieter von Diensten der Informationsgesellschaft, wie z.b. Online-Banken, Online-Anbieter von Gesundheitsdiensten und sonstige Online-Unternehmen außerhalb der engen Grenzen öffentlicher Telekommunikationsdienste, auszudehnen. Zu einem späteren Zeitpunkt sollte dies in eine allgemeine Verpflichtung zur Gewährleistung einer angemessenen Sicherheit in einem noch umfassenderen Bereich als dem von der genannten Richtlinie erfassten Bereich münden. Die Benachrichtigung über Sicherheitsverletzungen ist nunmehr ein wichtiger Diskussionspunkt im Rat und im Parlament. Der Grundsatz der Benachrichtigung 7

8 scheint allgemein akzeptiert zu werden, aber die Bedingungen sind noch nicht in allen Einzelheiten geklärt. Ich habe vor, nach dem Sommer diese Frage erneut zu prüfen und eine zweite Stellungnahme zu veröffentlichen beziehungsweise zusätzliche Bemerkungen im Hinblick auf eine etwaige zweite Lesung zu unterbreiten. Der rechtliche Status von IP-Adressen und die Rolle von Internet-Diensteanbietern bei der Strafverfolgung sind weitere wichtige Themen, die gegebenenfalls vertieft werden müssen. Ein dritter Aspekt, auf den ich nur kurz eingehen werde, betrifft die Stellung von Suchmaschinen. Dieses Thema wurde in einer Stellungnahme der Datenschutzgruppe "Artikel 29" vom April 2008 behandelt. Ein wesentlicher Punkt ist, dass die EU- Datenschutzvorschriften wahrscheinlich auch für Anbieter von Suchmaschinen gelten werden, sogar auch dann, wenn sie außerhalb der EU niedergelassen sind; dies wird zu engeren Grenzen für die Speicherung von Nutzerdaten durch Suchmaschinen führen. Die Datenschutzgruppe wird sich im Laufe dieses Jahres mit den Folgemaßnahmen zu dieser Stellungnahme befassen. Eine weitere Herausforderung ergibt sich durch die Notwendigkeit, im Rahmen der Strafverfolgung für einen angemessenen Schutz personenbezogener Daten zu sorgen; Gleiches gilt für die polizeiliche und justizielle Zusammenarbeit in Strafsachen (auch als die "dritte Säule" der EU bezeichnet). Im Verlauf des Jahres 2007 habe ich kritisch zu Initiativen zur Verbesserung der polizeilichen Zusammenarbeit Stellung genommen, wie z. B. den auf den Prümer Vertrag gestützten Initiativen, die von Deutschland mit Nachdruck unterstützt wurden. In diesem Zusammenhang habe ich den vorsichtigen Ansatz des Verfügbarkeitsgrundsatzes begrüßt, jedoch auch bemängelt, dass dieser sich auf nationale Rechtsvorschriften ohne ausreichende Harmonisierung stützt. Beim Vorschlag für einen Rahmenbeschluss über den Datenschutz in der dritten Säule sind einige Fortschritte zu verzeichnen die möglicherweise im weiteren Verlauf des Jahres zu seiner Annahme führen werden aber das Ergebnis wird sicherlich enttäuschen. Der Beschluss wird einen beschränkten Anwendungsbereich haben so werden lediglich Datenübermittlungen an andere Mitgliedstaaten erfasst und seine Bestimmungen gewährleisten nicht den gewünschten Schutz. 8

9 Folglich ergibt sich beim Datenschutz in der dritten Säule auch weiterhin allgemein eine nicht zufrieden stellende Situation, sowohl in qualitativer Hinsicht als auch im Hinblick auf die Kohärenz. Dies ist bedauerlich in Anbetracht der bevorstehenden Herausforderungen, wie beispielsweise der zu wahrenden Ausgewogenheit zwischen den Interessen der Sicherheit, der Mobilität und der Privatsphäre im nächsten Mehrjahresprogramm im Bereich der Freiheit, der Sicherheit und des Rechts. Das grundlegende Problem besteht darin, dass der Rat gegenwärtig nur einstimmig beschließen kann und nur eine begrenzte Beteiligung des Europäischen Parlaments vorgesehen ist. Mit dem Inkrafttreten des Vertrags von Lissabon wird sich dies und nicht nur dies ändern. Dadurch wird es zu besseren Beschlüssen und einem besseren Schutz personenbezogener Daten kommen. Erforderlich ist auch ein stärkerer weltweiter Schutz der Privatsphäre und personenbezogener Daten. Große Aufmerksamkeit galt in den letzten Jahren Fragen des transatlantischen Datenschutzes. In einigen Fällen, wie beispielsweise beim US- Konzept des "sicheren Hafens", konnten nach langen Gesprächen annehmbare Lösungen gefunden werden; in anderen Fällen, so bei den Fluggastdaten ("PNR") waren die Ergebnisse weniger zufrieden stellend. Erstrebenswert wären allgemeine Rahmenregelungen, sofern sie den qualitativen Ansprüchen genügen und gegebenenfalls auch der Spezifizität Rechnung tragen sowie geeignete Aufsichtsmechanismen vorsehen. Vor kurzem erst wurde der Schlussbericht der hochrangigen Kontaktgruppe EU-USA zu Datenschutz und Datenaustausch veröffentlicht. Daraus geht eindeutig hervor, dass erhebliche Fortschritte bei der Verständigung über wesentliche Grundsätze erzielt wurden. Allerdings sind noch einige wichtige Fragen offen, wie beispielsweise die Notwendigkeit von Rechtsmitteln, und es fehlt weiterhin an jeglichem gemeinsamen Konzept im Hinblick auf die Spezifizität und eine angemessene Datenschutzaufsicht. Daher wird noch mehr Zeit benötigt werden, um zu einem bedeutsamen Abkommen über den transatlantischen Datenschutz zu gelangen, selbst auch im Strafverfolgungsbereich. Unterdessen sollte die Halbzeitüberprüfung bestehender Abkommen (z.b. des Fluggastdatenabkommens mit den USA) dazu genutzt werden, den Einhaltungsgrad zu messen und die Erfahrungen auszuwerten. Allerdings besteht auch über den transatlantischen Bereich hinaus ein zunehmender 9

10 Bedarf an einem umfassenderen Schutz der Privatsphäre und der personenbezogenen Daten. Es ist eine Tatsache, dass es mehr und mehr globale Transaktionen gibt. Daher bedarf es auch globaler Normen. Dies wird aus förmlicher Sicht das heißt im Wege internationaler Übereinkünfte nicht einfach umzusetzen sein, obwohl bestimmte Normen bereits aufgestellt wurden. Eine interessante Alternative könnte darin bestehen, auf eine datenschutzkonforme Praxis hinzuarbeiten, die auf verbindlichen unternehmensinternen Vorschriften (binding corporate rules BCR) oder vergleichbaren Mechanismen beruht. Diesem Ansatz liegt der Gedanke zugrunde, dass globale Akteure über einzelstaatliche oder europäische Grenzen hinaus rechenschaftspflichtig gemacht werden müssen. Diese Herangehensweise fügt sich gut in den Grundgedanken der "Londoner Initiative" ein, die die Datenschutzbeauftragten auf ihrer internationalen Konferenz im November 2006 in London eingeleitet haben und die auf einen wirksameren Datenschutz abzielt. Hier möchte ich erwähnen, das die Datenschutzgruppe "Artikel 29" vor kurzem ein deutliches Zeichen zugunsten der BCR gesetzt hat, als sie diese als die für globale Unternehmen beste Lösung für einen rechtlich abgesicherten internationalen Datenverkehr innerhalb der Unternehmensgruppe bezeichnet hat. Die Datenschutzgruppe hat eine Reihe neuer Instrumente zur Förderung der Annahme von BCR entwickelt und wird sich zudem bald mit der Notwendigkeit zur Verbesserung des Annahmeprozesses befassen. Lassen Sie mich abschließend kurz darlegen, wie meiner Ansicht nach auf der Grundlage der neuen Datenschutzbestimmungen des Vertrags von Lissabon vorgegangen werden sollte. Alle Detailfragen beiseite lassend würde ich meine Ausgangsposition dahingehend umschreiben, dass eine Überarbeitung der Grundsätze nicht erforderlich ist, aber über flexiblere Regelungen hinsichtlich der praktischen Anwendung der bestehenden Grundsätze nachgedacht werden muss, um ihre Wirksamkeit zu verbessern. Die Datenschutzvorschriften sollten auch weiterhin einen weiten Anwendungsbereich haben und alle Verarbeitungen personenbezogener Daten erfassen und sich auch auf die polizeiliche und justizielle Zusammenarbeit in Strafsachen erstrecken. Erforderlichenfalls könnten weitere Differenzierungen vorgenommen werden, und die Datenschutzbehörden sollten ihre eigenen Prioritäten festlegen können und umfassendere Durchsetzungsbefugnisse erhalten. Weitere Regelungen für einen weltweiten Datenschutz und mehr Wirksamkeit bei den neuen Technologien wären wesentliche Elemente dieses Ansatzes. Ganz klar bedarf es weiterer Überlegungen, aber ich hoffe, dass ich Ihnen zumindest 10

11 darlegen konnte, welches die wichtigsten Herausforderungen sind, die es zu bewältigen gilt, und welche Lösungsansätze sich hierfür anbieten. Ich danke Ihnen für Ihre Aufmerksamkeit 11