Header graphic for print
Datenschutz News & Trends
Rubrik: Datenschutz Allgemein, Datenschutz International, Datensicherheit, Kundendatenschutz

Der Albrecht-Entwurf für die neue Datenschutz-Verordnung

Der Berichterstatter für den Innenausschuss des Europäischen Parlaments, Jan-Philipp Albrecht, stellte am 8. Januar 2013 seine Änderungen zu dem Entwurf der EU-Datenschutzverordnung vor. Dieser Vorschlag war lange erwartet worden, da Albrecht intensive Gespräche mit vielen Industrie- und sonstigen Interessengruppen geführt hat.

Hintergrund des Albrecht-Entwurfs

Die Kommission hatte den Entwurf der Datenschutz-Grundverordnung im Januar 2012 veröffentlicht. Noch für den April 2013 wird nun mit einer Abstimmung im Europäischen Parlament gerechnet. Das ambitionierte Ziel der Europäischen Kommission ist es, bis zum Ende der irischen EU-Ratspräsidentschaft am 30. Juni 2013 im Trialog mit der Kommission und dem Ministerrat eine politische Einigung über die Datenschutz-Grundverordnung erreichen zu können.

Wenn die Datenschutz-Grundverordnung in Kraft tritt, wird sie unmittelbar anwendbares Recht in allen Mitgliedsstaaten sein. Das BDSG würde durch sie verdrängt werden, wie auch andere Spezialgesetze, die denselben Regelungsbereich haben. Nach der Präsentation des Vorschlags von Jan-Philipp Albrecht ist zwar unklar, wie die endgültige Datenschutz-Grundverordnung aussehen wird. Eindeutig aber ist, dass die neue europäische Regelung die Rechtsform einer Verordnung (unmittelbar geltendes Recht) haben wird, und nicht mehr die jetzige Form einer bloßen Richtlinie (die noch der Umsetzung in den einzelnen Mitgliedsstaaten bedarf). Da Albrecht eine Reihe von Kritikpunkten aufgriff, die im Laufe des letzten Jahres an dem Entwurf der Kommission geäußert wurden, hat sein Bericht große Relevanz für die endgültige Fassung der Verordnung.

Räumliche und territoriale Geltung

Die Verordnung soll nicht nur für Datenverarbeitungen auf dem Gebiet der EU gelten. Vorausgesetzt sie betrifft Daten von in der EU ansässigen betroffenen Personen und die Verarbeitung zielt darauf ab, diesen Personen Waren- oder Dienstleistungen (auch kostenlos) anzubieten oder ihr Verhalten zu beobachten. Viele Datenverarbeitungsvorgänge durch Anbieter von Internet-Diensten außerhalb der EU würden damit in den Anwendungsbereich des EU-Rechts hineingezogen werden.

Interessenabwägung

Häufigstes Mittel der Rechtfertigung für Datenerhebungen und -verarbeitungen in Deutschland ist die Interessenabwägung. Im Vergleich zu dem Kommissionsentwurf will Albrecht ihre Bedeutung verringern So soll sie vor allem hinter dem maßgeblichen Rechtfertigungsmittel der Einwilligung des Betroffenen zurücktreten. Zudem sind Unternehmen verpflichtet, betroffene Personen ausdrücklich und gesondert über eine vorgenommene Interessenabwägung zu informieren und dabei die Gründe zu veröffentlichen, nach denen sie ihre eigenen Interessen über die der jeweiligen betroffenen Person stellen. Der Albrecht-Entwurf listet für die Vornahme einer Interessenabwägung Regelfälle auf, die das Ergebnis der Interessenabwägung in die ein oder andere Richtung vorgeben: So soll die Interessenabwägung zwangsläufig zu Gunsten einer betroffenen Person ausfallen, wenn ihre Daten gegenüber einer großen Anzahl von Personen zugänglich gemacht werden oder es sich um große Mengen von Daten handelt oder große Mengen von Daten einer betroffenen Person mit anderen Daten verbunden werden. In diesen Fällen verbleibt nur die Einwilligung.

Einwilligung

Die Anforderungen an die Einwilligung sollen nach dem Albrecht-Entwurf höher liegen: So muss ausdrücklich und eindeutig eingewilligt werden, und zwar für einen oder mehrere spezifische Zwecke. Neu im Albrecht-Entwurf ist auch, dass eine ausdrückliche Einwilligung nicht über Auswahl-Felder mit vorgegebener Einstellung (pre-ticked boxes) erteilt werden kann. Eine Erleichterung wird nur bei pseudonymer Nutzung gesehen. Der Albrecht-Entwurf versucht zwar stärker noch als der ursprüngliche Entwurf, die pseudonyme Nutzung zu regeln, da auch sie als gefährlich für den Betroffenen angesehen wird. Allerdings kann hier die Einwilligung einfacher erklärt werden, insbesondere durch anerkannte technische Standards im Sinne einer Nutzung von Cookie-IDs und einem Do-Not-Track Verfahren.

Freiwilligkeit der Einwilligung

Der Kommissionsentwurf von 2012 hatte bereits die Freiwilligkeit ausgeschlossen, wenn ein Ungleichgewicht vorlag – etwa in einem Arbeitsverhältnis. Dies wird im Albrecht-Entwurf noch ausgeweitet: Ein solches Ungleichgewicht besteht auch bei einem „Customer Lock-in“: Danach ist die Einwilligung unfreiwillig und somit unwirksam, wenn die betroffene Person Änderungen von Geschäftsbedingungen zwingend akzeptieren muss, sofern die Person nicht auf die Nutzung eines Onlinedienstes verzichten will, in das sie wesentliche Zeit investiert hat (etwa durch Anlage eines Profils, das über die Jahre mit vielen Bildern und persönlichen Informationen kombiniert wurde).

Einwilligung mit Verfallsdatum

Neu im Albrecht-Entwurf ist ebenfalls, dass die Einwilligung nach einiger Zeit unwirksam wird, und zwar sobald die Verarbeitung der Daten für die ursprünglichen Zwecke nicht mehr notwendig ist. Damit bekommt die Einwilligung ein „Verfallsdatum“, das die verarbeitende Stelle mit weiterer Unsicherheit belastet.

Right To Be Forgotten

Viel Aufregung in der Presse hatte bereits der Kommissionsentwurf mit dem neu geschaffenen „Recht auf Vergessenwerden“ (Right To Be Forgotten) erlangt. Hier erkennt Albrecht dogmatisch richtig, dass dies nur ein Unterfall des bereits bestehenden Löschungsanspruchs ist. Er sieht eine pragmatischere Lösung als der Kommissionsentwurf vor, als nur dann eine Pflicht besteht, notwendige Schritte zur Löschung auch bei Dritten (z.B. Internet-Suchmaschinen) zu ergreifen, wenn diese Daten unberechtigt öffentlich gemacht wurden.

Dokumentationspflichten

Der Kommissionsentwurf war heftig dafür kritisiert worden, dass auf die Unternehmen umfangreiche Informations- und Dokumentationspflichten zukommen. Der Albrecht-Entwurf vereinfacht diese, in dem er die Dokumentations- und Informationspflichten zusammenfasst und harmonisiert – eine deutliche Erleichterung für Unternehmen. Gleichzeitig wird aber die Ausnahme für kleinere und mittlere Unternehmen (KMUs) mit weniger als 250 Beschäftigten, die die Kommission noch vorgeschlagen hatte, wieder gestrichen. Damit würden nun doch auch KMUs den Informations- und Dokumentationspflichten der Verordnung unterliegen.

KMUs

Der ursprüngliche Kommissionsentwurf sah weitere Erleichterungen für KMUs vor. Der Albrecht-Entwurf betont, dass nicht die Anzahl der Mitarbeiter darüber entscheidet, welche Gefahren für Betroffene bestehen. Erleichterungen für KMUs sollen daher nur gelten, sofern diese Daten zu 500 oder weniger Datensubjekten pro Jahr verarbeiten. Darunter dürften aber nur noch wenige Unternehmen fallen, da wohl Kunden- und Zulieferdatenbanken sehr schnell eine Größe erreichen, die 500 Kontakte überschreitet.

Hersteller von DV-Systemen

Der Albrecht-Entwurf will erstmals Hersteller von Datenverarbeitungssystemen unmittelbar in die Pflicht nehmen: Diese sollen die Systeme so planen und umsetzen müssen, dass der Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen gewährleistet wird.

Datenpannen

Bereits der Kommissionsentwurf hatte eine allgemeine, wenn auch sehr kurze Benachrichtigungsfrist von 24 Stunden bei Datenpannen vorgesehen. Hier schlägt der Albrecht-Entwurf eine pragmatischere Lösung von 72 Stunden („nach Möglichkeit“) vor. Ferner, so der Albrecht-Entwurf, soll die Aufsichtsbehörde ein öffentliches Register führen.

Safe Harbor und Standardvertragsklauseln

Nach dem Vorschlag von Albrecht sollen die bisherigen Entscheidungen der Kommission, die die sichere Übermittlung von Daten in Drittstaaten betreffen, wie etwa zu dem Safe-Harbor-Regime in den USA oder die Vorschläge der Standardvertragsklauseln, nur zwei Jahre nach Inkrafttreten der Verordnung gelten. Bis dahin müssten neue Entscheidungen vorliegen.

One-Stop-Shop Aufsichtsbehörde

Eine wesentliche Neuerung des Kommissionsentwurfes war die Zuständigkeit nur noch einer einzigen Aufsichtsbehörde innerhalb der EU. Diese sollte als One-Stop-Shop für alle Verarbeitungen in der Union zuständig und grundsätzlich diejenige Behörde sein, die am Ort der Hauptniederlassung des Unternehmens zuständig ist. Dies wurde von Albrecht nun dahingehend aufgeweicht, dass diese zwar als „Lead Authority“ der Hauptkontakt für das Unternehmen ist, dass jedoch jede nationale Aufsichtsbehörde für die Überwachung der Verarbeitung im eigenen Mitgliedstaat und von Daten der Angehörigen dieses Mitgliedsstaates zuständig bleibt. Zwischen dieser „Datenschutzbehörde des Betroffenen“ und der „Datenschutzbehörde des Unternehmens“ wird dann ein Alternativer Mechanismus für die Koordination und Konsultation vorgesehen. Damit würde wohl ein wesentlicher Vorteil des One-Stop-Shop Konzeptes wieder aufgeweicht.

Zusammenfassung und Bewertung

Der Albrecht-Entwurf versucht einerseits, die Betroffenen stärker zu schützen als der Kommissionsentwurf. Andererseits schlägt er an einigen Stellen deutlich pragmatischere Lösungen vor, welche die Belastungen für datenverarbeitende Unternehmen wesentlich minimieren würden. Aufgrund dieser Diskrepanzen ist in den nächsten Wochen mit umfangreichen Abstimmungen zwischen Parlament, Kommission und Ministerrat zu rechnen. Es bleibt nur zu raten, die weiteren Entwicklungen aufmerksam zu verfolgen, über Interessenverbände weiterhin Einfluss auf die Gesetzgebung zu nehmen und im Falle einer Verabschiedung der Verordnung die dann verbleibende Umsetzungsfrist von zwei Jahren sinnvoll zu nutzen.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu