PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Neue Stellungnahme der Art. 29-Gruppe zur Datenschutz-Grundverordnung



Peter Schaar
15.10.2012, 18:09
Am 5. Oktober 2012 hat die Art. 29-Gruppe (http://ec.europa.eu/justice/data-protection/article-29/index_en.htm) (das Gremium, in dem die Datenschutzbeauftragten der EU-Mitgliedstaaten zusammenarbeiten) eine zweite Stellungnahme (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp199_en.pdf) zum Entwurf einer Datenschutz-Grundverordnung abgegeben. Ich will hier über die wesentlichen Aussagen dieser bisher nur in englischer Sprache vorliegenden umfangreichen Stellungnahme berichten.

Ausgangspunkt der Stellungnahme sind die laufenden Diskussionen im Europäischen Parlament (EP) und im Rat (Gremium der Regierungen der EU-Mitgliedstaaten). Die Art. 29-Gruppe befasst sich mit drei zentralen Konzepten des Verordnungsentwurfs (http://www.bfdi.bund.de/SharedDocs/EU/ModernisierungDSRecht/EntwurfDSGrundverordnung.pdf?__blob=publicationFil e), die im EP und Rat kontrovers diskutiert werden: Der Definition des personenbezogenen Datums, den Anforderungen an eine wirksame Einwilligung und den Ermächtigungen zu delegierten Rechtsakten.

Personenbezogene Daten

Der Festlegung, wann und bei welchen Daten Personenbezug vorliegt, ist von entscheidender Bedeutung für die Reichweite des Datenschutzrechts. Je enger das personenbezogene Datum definiert wird, desto geringer ist die Reichweite des Datenschutzrechts, das ja nur personenbezogene Daten schützt.

In der Vergangenheit (etwa bei der Diskussion über die ePrivacy-Richtlinie (http://ec.europa.eu/justice/data-protection/law/files/recast_20091219_en.pdf)) hat es immer wieder – zum Glück erfolglose - Versuche gegeben, die Reichweite des Datenschutzrechts dadurch einzuschränken, dass man den Begriff des personenbezogenen Datums auf die direkt identifizierbaren Daten beschränkt und indirekt (etwa über die IP-Adresse oder eine Cookie-ID) zuordenbare Daten aus dem Schutzbereich des Datenschutzrechts ausnimmt.

Auch im Zusammenhang mit der Diskussion über das Datenschutzpaket der Kommission ist die Frage, wie man den Begriff des personenbezogenen Datums definiert, erneut aufgeworfen worden. Die Art. 29 Gruppe positioniert sich hier eindeutig: Aus ihrer Sicht muss die bisherige weite Definition personenbezogener Daten beibehalten werden. Weiterhin sollen also auch solche Daten geschützt bleiben, die sich auf eine (indirekt) identifizierbare Person beziehen.

Die Gruppe schlägt vor, in Art. 4 Abs. 2 der Verordnung und in den Erwägungsgründen 23 und 24 ausdrücklich festzulegen, dass Daten mit technischen Identifizierungsmerkmalen und Lokalisierungsdaten im Regelfall als personenbezogene Daten anzusehen sind.

Damit bewegt sich die Art. 29-Gruppe voll im Einklang mit den jüngsten Beschlüssen des 69. Deutschen Juristentags (http://www.djt.de/fileadmin/downloads/69/120921_djt_69_beschluesse_web_rz.pdf):
IT-Recht, Nr. 22: Als „personenbezogen“ sind Daten anzusehen, bei denen im Sinne eines abstrakten Gefährdungspotentials, selbst auf Grund theoretisch möglicher Verknüpfungen, ein – auch nur entfernter - Personenbezug hergestellt werden kann. Ob und inwieweit solche Verknüpfungen unter praktischen Gesichtspunkten vorgenommen werden, sollte unberücksichtigt bleiben.

Einwilligung

Im Hinblick darauf, dass nach Art. 6 Abs. 1 des Verordnungsentwurfs die Einwilligung des Betroffenen weiterhin der erste Rechtfertigungsgrund für die Verarbeitung personenbezogener Daten darstellen soll, werden die Bedingungen für eine wirksame Einwilligung in der Verordnung konkretisiert.

Bereits jetzt enthalten Art. 4 Abs. 8 und Art. 7 Abs. 1 des Verordnungsentwurfs Bedingungen für wirksame Einwilligungen, die von der Art. 29-Gruppe begrüßt werden. So hat die für die Verarbeitung personenbezogener Daten verantwortliche Stelle das Vorhandensein einer Einwilligung nachzuweisen. Außerdem sieht der Entwurf schon jetzt vor, dass bei wesentlichen Ungleichgewichten zwischen der verantwortlichen Stelle und dem Betroffenen mangels tatsächlicher Freiwilligkeit die Verarbeitung personenbezogener Daten nicht auf Basis der Einwilligung erfolgen darf. Diese Vorgaben werden von der Arbeitsgruppe ausdrücklich begrüßt.

Der 69. Deutschen Juristentag hat hierzu folgendes beschlossen:
9. a) ... Soweit die Verarbeitung von Daten das Einverständnis des Betroffenen voraussetzt, liegt es in der Entscheidung des Betroffenen, ob und unter welchen Voraussetzungen Dritte diese Daten verwenden dürfen.
b) Eine wirksame Einwilligung liegt vor, wenn die Einwilligung freiwillig erfolgt und die Einwilligende ausreichende Vorstellung davon hat, dass im Internet veröffentlichte Informationen verarbeitet werden und an Dritte gelangen können.

Zudem schlägt die Art. 29-Gruppe vor, die Stellung der Betroffenen bei der Erteilung einer Einwilligung zu stärken, indem vorgegeben wird, dass die Einwilligung nur dann wirksam ist, wenn sie explizit, also ausdrücklich von den Betroffenen abgegeben wurde. Dies soll in Art. 4 Abs. 8 der Verordnung soll klargestellt werden werden.

Auch dies liegt voll auf der Linie des Juristentags:
11. c) Eine wirksame Einwilligung kann nur durch aktives Tun (Ankreuzen einer Erklärung, Auslösen eines Zustimmungs-Buttons etc.) des Nutzers erklärt werden (opt-in). Opt-out-Modelle sind unzureichend.

Delegierte Rechtsakte

Der Verordnungsentwurf enthält eine Vielzahl von Befugnissen zum Erlass delegierter Rechtsakte. Diese Rechtsakte, die in etwa mit Rechtsverordnungen im deutschen Recht zu vergleichen sind, dienen nach Auffassung der Kommission der Flexibilität bei der Anpassung an neue Herausforderungen.

Der Umfang der delegierten Rechtsakte ist insbesondere von Datenschutzseite als überzogen kritisiert worden. So fordert die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in ihrer Entschließung (http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DSBundLaender/83DSK_EU_Rechtsrahmen.pdf?__blob=publicationFile)v om 21./22. März 2012:
Für besonders problematisch hält die Konferenz die vorgesehenen zahlreichen Ermächtigungen der Europäischen Kommission für delegierte Rechtsakte, die dringend auf das unbedingt erforderliche Maß zu reduzieren sind. Alle für den Grundrechtsschutz wesentlichen Regelungen müssen in der Verordnung selbst bzw. durch Gesetze der Mitgliedsstaaten getroffen werden.

In dem vorliegenden Arbeitspapier geht die Art. 29-Gruppe die einzelnen im Entwurf vorgesehenen Delegationsbefugnisse durch und schlägt vor, auf eine Reihe der Delegationsbefugnisse zu verzichten. Wie mit den einzelnen Delegationsbefugnissen verfahren werden soll, wird im ausführlichen Anhang zu der Stellungnahme dargestellt.


Es ist zu hoffen, dass diese Vorschläge bei den weiteren Diskussionen über die EU-Datenschutzreform berücksichtigt werden.

Ihr
Peter Schaar