15
Sep
2017
Europa

Digitaler Binnenmarkt – Datenschutz innerhalb der europäischen Institutionen

Bereits im vergangenen Monat haben wir einen kurzen Blick darauf geworfen, was aus dem Data Economy Package geworden ist, welches die Europäische Kommission am 10. Januar 2017 vorgestellt hat. In unserem ersten Blog haben wir dabei vorrangig den Entwurf der ePrivacy Verordnung ins Visier genommen. Nachstehend möchten wir nun näher beleuchten, welches Echo die Verordnung über die Verarbeitung personenbezogener Daten durch die Organe und Institutionen der Europäischen Union (COM 2017, 8 final) bislang gefunden hat. Die entsprechende Regelung soll an die Stelle der Verordnung 45/2001/EG vom 18. Dezember 2000 treten. Ziel der Verordnung soll es sein, Personen, deren personenbezogene Daten von den Organen und Einrichtungen der Union verarbeitet werden, zu schützen.

Stellungnahme des Europäischen Datenschutzbeauftragten

Am 15. März 2017 hat zunächst der Europäischen Datenschutzbeauftragten (EDSB) als erste Institution eine Stellungnahme zum Verordnungsentwurf abgegeben. In dieser bescheinigt der EDSB dem Verordnungsentwurf, dass das hohe Schutzniveau bei Datenverarbeitungen durch die Institutionen der Union generell gewahrt werde. Es sollen grundsätzlich auch für die Behörden und Einrichtungen der Europäischen Union die gleichen Grundprinzipien gelten, die auch der Datenschutzgrundverordnung (DSGVO) zugrunde liegen. Gewisse Ausnahmen seien zwar notwendig, um den Besonderheiten des öffentlichen Sektors gerecht zu werden. Dies müssten aber auf das notwendige Maß beschränkt bleiben, so der EDSB. Auch betont er, dass es – um den Erfolg des ehrgeizigen Projekts nicht zu gefährden – zwingend erforderlich sei, das gesamte Datenschutzregelwerk der Union kohärent und vor allem ab dem gleichen Zeitpunkt anzuwenden.

Die Stellungnahme enthält auch den einen oder anderen Änderungsvorschlag. So soll beispielsweise Art. 25 Abs. 1 des Entwurfs dahingehend geändert werden, dass eine Beschneidung von Grundrechten nur in Anwendung von Rechtsvorschriften möglich ist, die auf der Grundlage der europäischen Verträge angenommen wurden. Durch eine derartige Formulierung würden für die Organe und Einrichtungen der Union die gleichen Normen gelten wie sie die DSGVO für die Mitgliedstaaten vorsieht. Des Weiteren weist der EDSB darauf hin, dass, soweit Einschränkungen des Art. 34 VO-E (Vertraulichkeit der elektronischen Kommunikation) vorgesehen sind, zwingend darauf hinzuwirken ist, dass auch für die Organe der Europäischen Union die gleichen Normen gelten. Zudem bestehe im Bereich der Einschränkung von Betroffenenrechten noch Nachbesserungsbedarf. Dies gelte auch für die Möglichkeit, in bestimmten Situationen auch Zertifizierungsverfahren zu nutzen. Zu seiner eigenen Rolle führt der EDSB aus, dass er die konkrete Festlegung seines Aufgabengebiets in Art. 42 VO-E ausdrücklich begrüße.

Stellungnahme der Artikel 29-Gruppe

Die Artikel-29-Gruppe äußerte sich in einer Stellungnahme vom 5. April 2017 zu dem Verordnungsentwurf. Auch diese fiel grundsätzlich positiv aus. Entscheidend sei, dass die Reform der Verordnung45/2001/EG im Einklang mit der DSGVO erfolge. Dies gelte insbesondere für etwaige Beschneidungen der Betroffenenrechte.

Weiter wird die Notwendigkeit einer klaren Abgrenzung der Rolle des Europäischen Datenschutzausschusses (Art. 68 DSGVO) und des Datenschutzbeauftragten betont – dies insbesondere mit Blick auf das gemeinsam genutzte Sekretariat. Zudem fordert die Gruppe eine Überarbeitung von Art. 42 Abs. 2 VO-E. Die Kommission soll bei Rechtsakten, die für den Schutz der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten von besonderer Bedeutung sind, den Europäischen Datenschutzausschuss konsultieren müssen. Bislang handelt es sich um eine Kann-Regelung.

Breiten Raum in der Stellungnahme nimmt auch das im Verordnungsentwurf angelegte Modell für eine koordinierte Aufsicht ein (vgl. ErwG 65 sowie Art. 62 VO-E). Hierbei soll die Aufsicht in koordinierter Weise auf den Schultern sowohl des Europäischen Datenschutzbeauftragten als auch der nationalen Aufsichtsbehörden liegen. Die Artikel-29-Gruppe kritisiert die vorgesehenen Bestimmungen als zu vage und inhaltlich unklar. Insbesondere gehe nicht klar hervor, ob der Europäische Datenschutzausschuss – entsprechend dem Europol-Vorbild – die letztendliche Aufsicht innehaben oder die nationalen Aufsichtsbehörden – gerade im Bereich Inneres und Justiz – eine stärkere Rolle einnehmen sollen. Die Gruppe spricht sich daher für eine Herangehensweise von Fall zu Fall aus, bei der spezifisch geschaut werden soll, welches Aufsichtsmodell Sinn macht. Ein solcher Ansatz sollte nach dem Willen der Gruppe auch in Erwägungsgrund 65 und Art. 62 VO-E niedergelegt werden.

Stellungname des Wirtschafts- und Sozialausschusses

Am 31. Mai 2017 hat auch der Wirtschafts- und Sozialausschuss (EWSA) eine Stellungnahme veröffentlicht. In dieser begrüßt der EWSA eine Vielzahl der Inhalte des Verordnungsentwurfs. So wird die Kohärenz mit weiteren Rechtsinstrumenten wie der DSGVO, dem Verordnungsentwurf zum Schutz der Privatsphäre in der elektronischen Kommunikation (COM(2017) 10 final) und der KommissionsmitteilungAufbau einer europäischen Datenwirtschaft“, ausdrücklich befürwortet. Zudem wird die Berücksichtigung eines Nachweises für die Einhaltung des Subsidiaritätsprinzips, des Grundsatzes der Verhältnismäßigkeit und des Grundsatzes der Rechenschaftspflicht („accountability“) ausdrücklich  gut geheißen.

Jedoch findet sich auch Kritik an dem Entwurf. So wiederholt der EWSA seine bereits zur DSGVO geäußerten Kritik an der zu langen Umsetzungsfrist. Diese führe dazu führe, dass neben der Erhöhung der Risiken einer missbräuchlichen Verarbeitung der Daten, die Verordnung bei Inkrafttreten im Mai 2018 wegen technischer Fortschritte bereits überholt sei. Zudem reiche der allgemeine Verweis auf die Vertraulichkeit der Kommunikation in Art. 34 VO-E nicht aus. Vielmehr bedürfe es spezifischer Regelungen, die die Sicherheit der IT-Systeme für die Datenverarbeitung und die Garantien gegen Cyberangriffe und missbräuchliche Nutzung personenbezogener Daten respektive den Verlust dieser Daten konkretisieren, um dadurch die Technologieneutralität sicherzustellen und diesen Regelungskomplex nicht den einzelnen Dienststellen zu überlassen. Es wird zudem vorgeschlagen, die Anforderungen an Kompetenzen, Ausbildung und persönliche Zuverlässigkeit konkret festzulegen, die für die Ernennung zum Datenschutzbeauftragten, zum Verantwortlichen und zum Auftragsverarbeiter in sämtlichen Organen und Einrichtungen der Union erforderlich sind.