12
Feb
2017
Europa
Dr. Christian Tinnefeld
Datenschutz und Datensicherheit, IT-Recht, Internetrecht, Urheberrecht / Hamburg
E-Mail: christian.tinnefeld@hoganlovells.com
Telefon: +49 40 41993 238
» zur Autorenseite
& Dr. Christian Tinnefeld

Data Economy Package (III) – Verordnungsentwurf zur Datenverarbeitung durch die EU

Am 10. Januar 2017 hat die Europäische Kommission ihr Gesetzespaket zur Verwirklichung des digitalen Binnenmarktes auch im Bereich des elektronischen Datenverkehrs der Öffentlichkeit vorgestellt (Pressemitteilung). In zwei Beiträgen haben wir die Eckpunkte dieses „Data Economy Packages“ wie auch die Mitteilung zur Schaffung einer europäischen Datenwirtschaft (COM(2017) 9 final) vorgestellt. Im Folgenden möchten wir nun den Verordnungsentwurf zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Institutionen der Europäischen Union. Jene Regelung soll an die Stelle der Verordnung 45/2001/EG vom 18. Dezember 2000 treten.

Hintergrund

Im Vorfeld der Veröffentlichung des Data Economy Packageshatte die Kommission eine Befragung europäischer Datenschutzbeauftragter durchgeführt, Interessenvertreter konsultiert und eine Folgenabschätzung veröffentlicht. All dies diente (auch) dem Ziel, den Änderungsbedarf hinsichtlich der in die Jahre gekommenen Verordnung 45/2001/EG zu eruieren. Herzstück der Untersuchung war eine Evaluierung, deren Ergebnisse bereits am 8. Juni 2015 vorgelegt wurden. Diese zeigten, dass (1) die besagte Verordnung durch das Verhängen von Sanktionen besser durchgesetzt werden und (2) eine verstärkte Nutzung der Befugnisse durch die Aufsichtsbehörden zu einer besseren Umsetzung der Datenschutzbestimmungen führen könnte, (3) die bestehenden Regelungen in Kapitel IV der Verordnung 45/2001/EG über den Telekommunikationssektor veraltet wirken und es notwendig ist, dieses Kapitel an die ePrivacy-Richtlinie anzupassen, (4) einige wichtige Definitionen wie jene der Kontrollstellen und Empfänger der Klärung bedürfen und (5) die Regulierung von Meldungen und Vorabkontrollen vereinfacht werden müssen, um die Effizienz zu erhöhen und den Verwaltungsaufwand zu senken.

Gründe und Ziele des Verordnungsentwurfs

Die vorstehenden Erwägungen haben nunmehr Eingang in den Verordnungsentwurf der Kommission gefunden. Vorrangiges Ziel ist es, Personen, deren personenbezogene Daten von den Organen und Einrichtungen der Union verarbeitet werden – beispielsweise weil sie von diesen Institutionen und Einrichtungen beschäftigt werden – zu schützen. Denn das Recht auf Schutz personenbezogener Daten aus Art. 8 Abs. 1 der EU-Grundrechtecharta gilt auch für die Verarbeitung von Daten durch Organe, Einrichtungen, Ämter und Agenturen der EU.

Mit dem aktuellen Vorschlag sollen die Bestimmungen der Verordnung 45/2001/EG in erster Linie an die in der Datenschutz-Grundverordnung 2016/679/EU (DSGVO) festgelegten Grundsätze und Regeln angeglichen werden, um ein starkes und vor allem kohärentes Datenschutzsystem in der Union zu schaffen. Die beiden Verordnungen sollen homogen ausgelegt werden.

Die Bestimmungen im Einzelnen

Nach Art. 2 des Entwurfs gilt die neue Verordnung für die Verarbeitung personenbezogener Daten auf automatisierte manuelle oder andere Weise durch Organe und Einrichtungen der EU, sofern jene Verarbeitung bei der Ausübung von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Unionsrechts fallen, durchgeführt wird. Im Einzelnen sieht die Verordnung beispielsweise folgende neue Regelungen vor:

Art. 4 des Entwurfs enthält die Grundsätze der Verarbeitung personenbezogener Daten, die denen des Art. 5 DSGVO entsprechen und fügt gegenüber der Verordnung 45/2001/EG die neuen Grundsätze der Transparenz und der Integrität als auch Vertraulichkeit hinzu. Art. 6 verdeutlicht die Bedingungen für die Verarbeitung zu einem anderen verträglichen Ziel gemäß Art. 6 Absatz 4 DSGVO und sieht im Vergleich zu Art. 6 der Verordnung 45/2001/EG mehr Flexibilität und Rechtssicherheit hinsichtlich der Weiterverarbeitung zu kompatiblen Zwecken vor. Ebenfalls neu eingeführt wird auf Grundlage von Art. 12 DSGVO die Verpflichtung, transparente, leicht zugängliche und verständliche Informationen sowie Verfahren und Mechanismen für die Wahrnehmung der Rechte der betroffenen Person, gegebenenfalls auch für elektronische Anträge, zur Verfügung zu stellen.

In Art. 20 des Entwurfs wird des Weiteren das Recht implementiert, die Verarbeitung in bestimmten Fällen zu beschränken, um die in der Verordnung 45/2001/EG verwendete ambivalente Terminologie „Blockierung“ zu vermeiden und die Kohärenz mit der neuen Terminologie gemäß Art. 18 DSGVO zu gewährleisten. Art. 26 des Entwurfs baut ferner auf Art. 24 DSGVO auf und führt den Grundsatz der Rechenschaftspflicht ein, indem er die Verpflichtung der Überwachungsbehörde beschreibt, dieser Verordnung nachzukommen und die Einhaltung der erforderlichen technischen und organisatorischen Maßnahmen und gegebenenfalls internen Richtlinien sicherzustellen.

Der Verordnungsentwurf ist zwischenzeitlich im ordentlichen Gesetzgebungsverfahren. Parlament und Rat werden ihn prüfen und ihre Änderungsvorschläge einbringen. Wann es zur endgültigen Fassung kommen wird, bleibt abzuwarten.