Header graphic for print
Datenschutz News & Trends
Rubrik: Datenschutz Allgemein, Datenschutz International, Datensicherheit

Aktuelles zum Entwurf der EU-Datenschutzverordnung

Gesetzgeber, Industrie und Anwälte diskutierten den Entwurf der EU-Datenschutzverordnung auf dem „IAPP Europe Data Protection Congress“ vom 13. bis 15. November in Brüssel. Hogan Lovells war mit einem Team von Anwälten aus Washington, Paris, London, Madrid und Deutschland vertreten.

Die größte internationale Vereinigung von Datenschützern, die International Association of Privacy Professionals (IAPP) veranstaltete ihren europäischen Kongress dieses Jahr in Brüssel mit dem Schwerpunkt EU-Datenschutzverordnung. Mit Spannung erwarteten alle die Stellungnahmen der an der Gesetzgebung Beteiligten:

Françoise Le Bail, die Generaldirektorin Justiz der Europäischen Kommission verteidigte den Entwurf insbesondere im Hinblick auf die Erleichterungen für kleine und mittlere Unternehmen, die 99% aller Unternehmen in der EU ausmachen. Sie seien insofern begünstigt, als die Pflichten zur Ernennung eines Datenschutzbeauftragten und zur Durchführung einer Folgenbewertung (Impact Assessment) nicht für sie gelten. Stark im Mittelpunkt der Diskussion standen die delegierten Rechtsakte, die nach Verabschiedung der Verordnung der Kommission die Möglichkeit geben, Detailfragen zu regeln. Hierbei verteidigte sie dieses Instrument wegen der notwendigen Flexibilität, kündigte aber an, dass man bis zu 40% der Fälle, die im Entwurf zurzeit vorgesehen seien, noch im weiteren Verlauf der Beratungen streichen könnte. Wichtig seien die Strafen, die nach der Verordnung bis zu 2% des globalen Jahresumsatzes erreichen könnten: Die Kommission wolle Datenschutzbehörden „mit Zähnen“. Wer jedoch aus Versehen gegen Datenschutz verstoße, müsse nicht mit einem Bußgeld rechnen.

Jan Philipp Albrecht, MEP und Berichterstatter des Europäischen Parlamentes für den Verordnungsentwurf, berichtete, dass in den Beratungen ein Konsens zu einigen Bereichen wachse: Dies betreffe etwa die Tatsache, dass eine Verordnung (die unmittelbar anwendbar ist) anstelle einer Richtlinie (die noch der nationalen Umsetzung bedarf) gewählt wurde. Diese müsse allerdings präzise sein, damit die Bürger und Unternehmen Rechtssicherheit haben. Der Inhalt von Definitionen dürfe nicht den delegierten Rechtsakten überlassen werden. Ein wichtiger Punkt für ihn sei die Pseudonymisierung der Daten: Zwar würden diese geschützt wie personenbezogene Daten, dennoch soll die Verordnung einen Anreiz für die Pseudonymisierung geben. Die aufwendigen Regelungen zu einer Folgenbewertung (Impact Assessment) sollten den „riskanten“ Aktivitäten vorbehalten bleiben, also dort, wo die Technik deutliche Fortschritte macht, wie etwa bei der Gesichtserkennung. Die Diskussion warf dann auch auf, warum ausgerechnet der Datenschutz im Internet, der bislang durch die e-Privacy Richtlinie geregelt wurde, ausgeklammert blieb. Albrecht betonte, dass ihm dieses Thema sehr wichtig sei. Sein Ziel sei, dass die Datenschutzverordnung selbst mit etwaigen Widersprüchen umgehen sollte. So könnten Datenschutzlecks oder die Pseudonymisierung von Daten in der Onlinewelt vorrangig von der Datenschutz-Grundverordnung geregelt und die entsprechenden Vorschriften der Richtlinie dann verdrängt werden.

Jacob Kohnstamm, der Vorsitzende der Art. 29 Datenschutzgruppe verwies auf die Bedeutung der Einwilligung. Für ihn sei nach wie vor unabdinglich, dass die Einwilligung ausdrücklich („explicit“) erfolgt. Eine stillschweigende Einwilligung könne keine Eingriffe in Grundrechte rechtfertigen:

The basic principle of data protection in the private sector is consent. Legitimate interest, and other basis for processing, should be the exception. Consent is the core. The aim is that data subjects be fully informed and then choose. Afterwards, data subjects can run naked through the Internet, if they want. But information and consent has to be the starting point.“

Im Hinblick auf die Profilbildung von Nutzern sei die Verordnung noch nicht ausreichend. Er kündigte an, dass die Art. 29 Datenschutzgruppe bald eine Empfehlung hierfür verabschieden werde.

Schlussfolgerungen aus den Diskussionen in Brüssel sind:

  • Es wird wohl bei der unmittelbar anwendbaren Verordnung in weiteren Rechtssetzungsverfahren bleiben.
  • Die teilweise drakonischen Strafen werden wohl im Entwurf bleiben.

Viele praktische Auswirkungen werden in Zukunft von den delegierten Rechtsakten abhängen, also sogar erst nach Inkrafttreten der Verordnung.

 

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu