Leitlinien zum Entwurf für eine europäische Datenschutz-Grundverordnung Berlin, 8. September 2015 eco - Verband der deutschen Internetwirtschaft e.v. ist Interessenvertreter und Förderer aller Unternehmen, die mit oder im Internet wirtschaftliche Wertschöpfung betreiben. Der Verband vertritt derzeit mehr als 800 Mitgliedsunternehmen. Hierzu zählen unter anderem ISP (Internet Service Provider), Carrier, Hard- und Softwarelieferanten, Contentund Service-Anbieter sowie Kommunikationsunternehmen. eco ist der größte nationale Internet Service Provider-Verband Europas. A. Einleitung Am 25. Januar 2012 stellte die Europäische Kommission ihren Vorschlag für ein neues europäisches Datenschutzrecht vor. Eine in allen Mitgliedsstaaten unmittelbar geltende allgemeine Datenschutz- Grundverordnung soll die derzeit geltende Datenschutz-Richtlinie 95/46/EG aus dem Jahre 1995 ersetzen 1. Mit einem auf Vollharmonisierung angelegten, horizontalen Rechtsrahmen sollen Umsetzungs- und Anwendungsunterschiede des bisherigen Datenschutzrechts beseitigt werden. Die Europäische Kommission möchte auf diesem Weg die Datenschutzrechte bzw. das Recht auf informationelle Selbstbestimmung der europäischen Bürger insgesamt verbessern. Außerdem soll so die Grundlage für eine moderne Datenwirtschaft im Europäischen Digitalen Binnenmarkt geschaffen werden, um die Europäische Union fit für den Wettbewerb um die digitalen Märkte der Zukunft zu machen. 1 Die sogenannte E-Privacy Richtlinie (2002/58/EG), welche die Datenschutzbestimmungen der Richtlinie 95/46/EG in Bezug auf elektronische Kommunikation ergänzt, soll im Nachgang zum Gesetzgebungsverfahren zur Datenschutz-Grundverordnung ebenfalls überprüft und ggf. angeglichen werden. Seite 1 von 10
Die Bedeutung des Vorhabens ist kaum zu unterschätzen. Schlagworte und Phrasen wie Cloud-Computing, Big Data, Internet of Things sowie Daten als das neue Öl der Weltwirtschaft zeugen von den umfangreichen Interessen, die bei diesem Gesetzgebungsvorhaben berücksichtigt werden sollen und müssen. So bedeutend das Vorhaben ist, genauso komplex ist es auch. Kaum ein anderes europäisches Gesetzgebungsverfahren in diesem Bereich ist politisch so kontrovers diskutiert worden und hat eine derartige mediale Aufmerksamkeit erzeugt. Das Europäische Parlament nahm am 12. März 2014 einen Änderungsentwurf des Verordnungsvorschlags der Kommission an, der umfangreiche Änderungsanträge enthielt. Die Vorstellungen des Parlaments und der Mitgliedsstaaten weichen ebenfalls sehr stark voneinander ab. Am 15. Juni 2015 einigte sich der Rat der Justiz- und Innenminister der Mitgliedsstaaten schließlich auf einen allgemeinen Ansatz für einen gemeinsamen Vorschlag. In diesem Zuge erteilten die Mitgliedsstaaten der Ratspräsidentschaft das Mandat für den offiziellen Trilog, also die Verhandlungen zwischen den europäischen Institutionen, der Kommission, dem Parlament und dem Rat der Europäischen Union (sog. EU-Ministerrat). Bis zum Ende des Jahres 2015 soll die Verordnung fertiggestellt sein. Diese soll dann nach einer Übergangsfrist von 2 Jahren in den Mitgliedsstaaten unmittelbare Anwendung finden. Der deutsche Gesetzgeber wird daher, nach Verabschiedung der Verordnung, in naher Zukunft mit einer umfassenden Überprüfung und erforderlichenfalls Überarbeitung des deutschen Datenschutzrechts befasst sein. Die Reform wird große Auswirkungen auf Bürger, Wirtschaft, Staat und Verwaltung haben. eco möchte die Gelegenheit der nun bevorstehenden, abschließenden Trilog-Verhandlungen nutzen, um die aus Sicht der Internetwirtschaft notwendigen Leitlinien für dieses Gesetzgebungsverfahren darzulegen: Seite 2 von 10
B. Leitlinien eco ist der Auffassung, dass die Modernisierung des europäischen Datenschutzrechts die Chance bietet, Umsetzungs- und Anwendungsunterschiede des bestehenden Rechtsrahmens zwischen den Mitgliedsstaaten zu beseitigen. So könnte die Datenschutz-Grundverordnung eine tragende Säule bei der Verwirklichung eines Digitalen Binnenmarktes darstellen. Ein effektives und modernes Datenschutzrecht kann auch das Vertrauen in die Nutzung der Technik Internet insgesamt stärken und so einen Standortvorteil im Wettbewerb um die digitalen Märkte der Zukunft bilden. eco begrüßt daher den Ansatz für ein neues modernes Datenschutzrecht in der Europäischen Union. In den noch anstehenden Trilog-Verhandlungen sollten die europäischen Institutionen dabei folgende Leitlinien beachten, damit das Gesetzgebungsvorhaben den erwünschten Erfolg bringen kann: Notwendig ist eine sachgerechte Balance zwischen Datenschutz und innovativer, wirtschaftlicher Datenverarbeitung Unnötige bürokratische Belastungen für Unternehmen müssen vermieden werden Anerkennung des gesellschaftlichen Wertes und des wirtschaftlichen Nutzens pseudonymer Daten Erlaubnistatbestand des legitimen Interesses erhalten Trennung der datenschutzrechtlichen Verantwortlichkeit bei der Auftragsdatenverarbeitung beibehalten Datentransfer an Drittstaaten muss bei Gewährleistung von Adäquanz weiterhin möglich bleiben Zugriffe drittstaatlicher Strafverfolgungsbehörden nicht unilateral, sondern zwischenstaatlich regeln Neuregelung der Datenschutzaufsicht (One-Stop-Shop) bietet Chancen, den Rechtsschutz für Bürger sowie für Unternehmen zu verbessern Bürger vor ungerechtfertigter Profilbildung schützen Balance zwischen Datenschutz und Kommunikationsfreiheiten herstellen Seite 3 von 10
C. Erläuterung der Leitlinien Notwendigkeit einer sachgerechten Balance zwischen Datenschutz und innovativer, wirtschaftlicher Datenverarbeitung eco begrüßt die Bestrebungen mit einer in allen europäischen Mitgliedsstaaten unmittelbar anwendbaren Grundverordnung einen modernen und gemeinsamen Rechtsrahmen für den Datenschutz im Digitalen Binnenmarkt schaffen zu wollen. Ein gemeinsames europäisches Datenschutzrecht kann einen Standortvorteil im Wettbewerb um die digitalen Märkte der Zukunft darstellen, wenn ein sach- und interessengerechter Ausgleich zwischen Bürgerrechten und wirtschaftlicher Datenverarbeitung gefunden wird. eco ist bewusst, dass ein fairer, sachund interessengerechter Ausgleich eine gesetzgeberische Herausforderung ist. Aus Sicht der Internetwirtschaft muss der Gesetzgeber sicherstellen, dass der Rechtsrahmen zukunftsfähig und innovationsoffen ausgestaltet wird sowie Konsistenz und Kohärenz der Regelungen gewährleistet sind. Vermeidung unnötiger bürokratischer Belastungen für Unternehmen durch am Risiko orientierte Erlaubnistatbestände Aus Sicht der Internetwirtschaft ist es notwendig, flexible und zukunftssichere Regelungen zu schaffen. Unnötige bürokratische Belastungen müssen vermieden werden. So sollte beispielsweise die Forderung nach einer ausdrücklichen Einwilligung bei jedem Datenverarbeitungsvorgang grundsätzlich überdacht werden. Wir halten ein pauschales Verbot mit Erlaubnisvorbehalt für wenig zukunftstauglich und auch im Hinblick auf eine effektive Stärkung des informationellen Selbstbestimmungsrechts der europäischen Bürger nicht für sinnvoll. Ein risikobasierter Ansatz, wie ihn der Rat zuletzt eingebracht hat, bietet hier wesentlich flexiblere Lösungen. Statt alle Daten gleich zu behandeln, sollte ein am Risiko für den Bürger orientierter Ausgangspunkt gewählt werden. Eine solche Einordnung bietet die Möglichkeit, einerseits den Schutz des informationellen Selbstbestimmungsrechts des Bürgers gewährleisten zu können, zugleich aber unnötig bürokratische Seite 4 von 10
Belastungen zu vermeiden. So können beide Ziele des Gesetzgebungsverfahrens erreicht werden. Insgesamt sollten die möglichen Auswirkungen auf die europäische digitale Wirtschaft und den Digitalen Binnenmarkt im Rahmen einer aktualisierten Bürokratiefolgenabschätzung geprüft und in die Überlegungen einbezogen werden. Anerkennung des gesellschaftlichen Wertes und des wirtschaftlichen Nutzens pseudonymer Daten Im Hinblick auf moderne, innovative und zukunftsweisende Technologien der Datenanalyse und ihrer gesamtgesellschaftlichen Nutzung (Big Data und Co.), beispielsweise im Bereich Gesundheit, muss die Anerkennung des gesellschaftlichen Wertes sowie des wissenschaftlichen und wirtschaftlichen Nutzens pseudonymer Daten 2 in der Verordnung abgebildet werden. Daher muss die Verordnung hinreichend innovationsoffen ausgestaltet werden, damit die Entwicklung und Anwendung zukunftsweisender Techniken nicht außerhalb der Europäischen Union erfolgt. Ein Beispiel für in diesem Zusammenhang notwendige Verbesserungen der Verordnung ist der Widerspruch zwischen dem Grundsatz der Datensparsamkeit und den auf große Datenmengen angewiesenen Big Data-Techniken. Zur Auflösung dieses Zielkonfliktes stellt aus Sicht der Internetwirtschaft der risikoorientierte Ansatz eine praxistaugliche Lösungsmöglichkeit dar. Mit einer abgestuften und feingranulierten Einordnung könnte sowohl ein starker Schutz des Rechts auf informationelle Selbstbestimmung als auch Innovationsoffenheit gewährleistet werden. 2 Pseudonymisieren ist gemäß 3 Abs. 6a BDSG das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Seite 5 von 10
Erlaubnistatbestand des legitimen Interesses erhalten Der bisher im Rahmen der Richtlinie 95/46/EG und auch im deutschen Bundesdatenschutzgesetz (BDSG) enthaltene datenschutzrechtliche Erlaubnistatbestand des legitimen Interesses muss unbedingt erhalten bleiben. Ohne einen solchen Erlaubnistatbestand ist eine flexible, technologie-neutrale und damit langfristige Anwendung kaum möglich. Der Vorschlag des Europäischen Parlaments ist in dieser Hinsicht zu restriktiv. Gerade die Flexibilität der Generalklausel hat sich in der Vergangenheit bewährt und kann einen starken Beitrag im Hinblick auf Zukunftsfähigkeit und Technologieneutralität der Verordnung leisten und muss vielmehr noch weiterentwickelt werden. Um gleichzeitig den Interessen des Einzelnen gerecht werden zu können, sollte dem Recht auf Datenverarbeitung bei legitimen Interessen ein am Grundsatz der Verhältnismäßigkeit orientiertes Widerspruchsrecht bei legitimen Gründen gegenübergestellt werden. So kann eine Balance zwischen dem Datenschutzrecht des Einzelnen und dem wirtschaftlichen und gesamtgesellschaftlichen Interesse an einer modernen Datennutzung regulatorisch abgebildet werden. Trennung der datenschutzrechtlichen Verantwortlichkeit bei der Auftragsdatenverarbeitung aufrechterhalten Die auch im deutschen Datenschutzrecht verankerte und bewährte Trennung 3 der datenschutzrechtlichen Verantwortlichkeit im Rahmen der Auftragsdatenverarbeitung zwischen der sog. verantwortlichen Stelle und dem Auftragnehmer muss aufrechterhalten werden. In Zeiten der durch den technischen Fortschritt getriebenen, stetig wachsenden Vernetzung und der immer weiter zunehmenden organisationalen Differenzierung, ist es nicht sinnvoll, die Verantwortlichkeit für Datenverarbei- 3 Siehe 11 BDSG. Seite 6 von 10
tungsvorgänge in nicht sachgerechter Weise auszudehnen. Wir weisen auf die in diesem Zusammenhang schon 2010 von der Artikel 29 Datenschutzgruppe aufgeworfenen Bedenken 4 und die dort enthaltenen Alternativvorschläge hin, die einen wesentlich praxistauglicheren Lösungsansatz aufzeigen. Als einen Schritt in die richtige Richtung werten wir auch den zuletzt von den Mitgliedsstaaten eingebrachten Ansatz. Die kommenden Verhandlungsrunden bieten die Gelegenheit, diesen weiterzuentwickeln. Datentransfer in Drittstaaten muss bei Gewährleistung von Adäquanz weiterhin möglich bleiben Der Datentransfer in Drittstaaten muss auch nach Inkrafttreten der Verordnung weiterhin möglich sein. Im Zeitalter des Internet und weltweiter Datenströme besteht über die Notwendigkeit eines verlässlichen, internationalen Datenaustausches grundlegender Konsens. Aus Sicht des eco sollten die Rahmenbedingungen für diesen legitimen Datenaustausch so flexibel und unbürokratisch wie möglich ausgestaltet werden. Der Abbau unnötiger bürokratischer Verpflichtungen bietet zusätzlich den Vorteil, dass neue Marktteilnehmer bzw. Start-Ups leichter am Wettbewerb um das Vertrauen der Nutzer teilnehmen können. Die Sicherstellung eines effektiven und angemessenen Datenschutzes muss dabei selbstverständlich beibehalten werden. Das Ziel muss eine Stärkung des internationalen Datenaustausches und keine Begrenzung desselben sein. Dabei muss der Schwerpunkt der gesetzgeberischen Bestrebungen in der Gewährleistung der Sicherheit der Daten vor ungewollten Zugriffen liegen. Derzeit praktizierte Abkommen und Mechanismen zum internationalen Datenaustausch (z.b. Safe Harbor ) sollten grundsätzlich erhalten bleiben und gegebenenfalls an die durch die Datenschutz- Grundverordnung einhergehenden Änderungen angepasst werden. Dabei sollte die Schaffung unnötiger Rechtsunsicherheiten für betroffene Unternehmen vermieden werden. eco unterstützt die im Gesetzgebungsprozess eingebrachten Vorschläge zur Verbesserung des Verfahrens der Adäquanzfeststellung. Begrüßenswert wäre eine stärkere An- 4 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf Seite 7 von 10
erkennung des rechtlichen Status von Binding Corperate Rules (BCRs) und die Unterstützung unternehmensübergreifender Zusammenarbeit in diesem Bereich. eco begrüßt die in den Entwurfsfassungen der Kommission 5 sowie der des Rates 6 vorgesehene Regelung zur Erleichterung von Datenflüssen im Konzern (sog. Konzernprivileg ). Der Datenaustausch zwischen verbunden Unternehmen ist für die effiziente Unternehmensführung von erheblicher Bedeutung und aus unserer Sicht daher unerlässlich. Auch wenn wir davon ausgehen, dass die Anwendung der Regelung, insbesondere im Hinblick auf die Voraussetzungen der internen Verwaltungszwecke im Detail große Herausforderungen bereithalten wird, unterstützt eco die Regelung und tritt dafür ein, dass eine solche Eingang in die Verordnung findet. Es wäre sicher hilfreich und in der Konsequenz der Verordnung auch sinnvoll, diese Erleichterung auch auf Unternehmensteile in Drittländern auszudehnen, wenn und soweit das angemessene Datenschutzniveau gewährleistet ist. Zugriffe drittstaatlicher Strafverfolgungsbehörden nicht unilateral, sondern zwischenstaatlich regeln Im Hinblick auf die Regelung rechtsstaatlich gebotener Zugriffe drittstaatlicher Behörden sollten unilaterale gesetzliche Regelungen 7 unbedingt vermieden werden. Grenzüberschreitend tätige Unternehmen würden sonst in unlösbare Konflikte aus nationalstaatlichen Verpflichtungen gestürzt und wären enormen Rechtsunsicherheiten ausgesetzt. Hier müssen politische Lösungen durch zwischenstaatliche Vereinbarungen gefunden bspw. das vorhandene Instrument des Rechtshilfegesuches an die digitale Zeit angepasst werden. 5 Art. 22 Abs. 3 lit. 3a. 6 Recital 38a. 7 Siehe Art. 43a des Verordnungsentwurfs des Europäischen Parlaments vom 12. März 2014. Seite 8 von 10
Neuregelung der Datenschutzaufsicht (One-Stop-Shop) bietet Chancen, den Rechtschutz für Bürger sowie für Unternehmen zu verbessern eco unterstützt die Bestrebungen zur Schaffung eines echten One- Stop-Shop Mechanismus bei der Datenschutzaufsicht. Eine einzige Anlaufstelle bzw. ein einziger Ansprechpartner für die datenschutzrechtliche Aufsicht wäre für den einzelnen Bürger eine erhebliche Erleichterung bei der Rechtsdurchsetzung. Auch für Unternehmen, insbesondere solche die grenzüberschreitend tätig sind, wäre ein einziger Ansprechpartner eine signifikante bürokratische Erleichterung. Dies gilt vor allem auch für kleine und mittelständische Unternehmen. Schutz der Bürger vor ungerechtfertigter Profilbildung eco erkennt die Notwendigkeit eines verstärkten Schutzes der europäischen Bürger vor dem Risiko und den Gefahren ungerechtfertigter Profilbildung. In einer Informationsgesellschaft müssen Mittel zur Verfügung gestellt werden, um Bürger vor negativen Konsequenzen ungerechtfertigter Datenverarbeitung zu schützen. Wichtig ist aber auch, dass Sanktionen verhältnismäßig ausgestaltet werden. Vorteile der Profilbildung müssen in die gesetzgeberischen Überlegungen einbezogen werden, um die Nutzung der positiven Möglichkeiten dieser Technik zu ermöglichen. Profilbildung erfolgt heute vielfach auf Wunsch und im Sinne der Nutzer digitaler Dienste, die personalisierte Services und Produkte erwarten und diese häufig zusätzlich gemäß ihrer Präferenzen weiter zur ihrem eigenen Komfort oder Nutzen optimieren. Balance zwischen Datenschutz und Kommunikationsfreiheiten sicherstellen Der Gesetzgeber muss sicherstellen, dass gegenüber dem Persönlichkeitsschutz gleichrangige Rechtsgüter nicht in den Hintergrund gerückt werden. Insbesondere die Meinungs-, Informations- und Medienfreiheit Seite 9 von 10
müssen, angesichts ihrer Bedeutung für demokratische Teilhabe in einer Informationsgesellschaft, etwa bei der Ausgestaltung des Rechts auf Vergessenwerden 8, angemessen berücksichtigt werden. Löschansprüche in der Datenschutz-Grundverordnung sollten grundsätzlich bzw. primär beim Ursprung der Information, also beim Informationsanbieter und nicht beim Informationsvermittler durchgesetzt werden müssen. Es muss sichergestellt werden, dass der Informationsanbieter grundsätzlich von Löschbegehren gegenüber dem Informationsvermittler Kenntnis erlangt, sodass die sekundäre Verantwortlichkeit des Informationsvermittlers im Grundsatz erhalten bleibt und so eine Trennung zwischen der Rechtmäßigkeit einer Äußerung und der Rechtmäßigkeit des Zugänglichmachens der Äußerung leichter vermieden werden kann. 8 Siehe hierzu ausführlich: eco Positionspapier zum Recht auf Vergessenwerden in der Datenschutz-Grundverordnung vom 3. August 2015. Seite 10 von 10