2015/08/25 EU-Datenschutzgrundverordnung - zentrale Konfliktpunkte im Trilog (Teil II)
Philipp Hochstöger
Die Trilog-Verhandlungen haben begonnen - eine Gegenüberstellung der Verhandlungspositionen von EU-Kommission, EU-Parlament und Rat in 8 zentralen Punkten - Explizite vs. eindeutige Einwilligung - Das Ende der Zweckbindung? - Kommt der „one-stop-shop“? - Bedeutet die Grundverordnung das Ende der Meldepflicht?
Explizite vs. eindeutige Einwilligung
Die Datenschutz Grundverordnung legt in Artikel 6 fest, wann die Verarbeitung personenbezogener Daten rechtmäßig ist. So müssen beispielweise Internet-User der Weiterverarbeitung ihrer Daten zustimmen, wenn nicht eine der übrigen Bedingungen erfüllt ist (z.b. Verarbeitung ist für die Erfüllung einer gesetzlichen Verpflichtung notwendig). Fehlt eine Einwilligung und ist auch nicht eine der übrigen Bedingungen erfüllt, ist die Verarbeitung der Daten nicht rechtmäßig.
Es ist daher von zentraler Bedeutung, was unter einer Einwilligung zu verstehen ist. So könnte man eine Einwilligung zur Datenverarbeitung als ausreichend empfinden, die gleichsam mit den AGB abgehakt wird. Nutzerfreundlicher wäre, wenn jeder Nutzer einer Datenverarbeitung explizit zustimmen muss. Dadurch sind die Rechte der Nutzer am besten gewahrt.
Die am Trilog beteiligten Institutionen, haben unterschiedliche Auffassung davon, was unter einer Einwilligung zu verstehen ist: Während im Entwurf der Kommission und Parlament von der „expliziten“ Einwilligung die Rede ist, hat der Rat eine eher unklare Formulierung gewählt. Demnach soll eine Verarbeitung rechtmäßig sein, wenn der Betroffene seine „eindeutige“ Einwilligung gegeben hat. Insbesondere im Hinblick auf Zustimmungserklärungen im Internet wäre eine userfreundliche Regelung wünschenswert, um Datenverarbeitern mit versteckten Einwilligungserklärungen keinen Spielraum zu gewähren.
Das Ende der Zweckbindung?
Nach § 6 Abs. 1 Z 2 DSG dürfen Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden (Prinzip der Zweckbindung). Der Grundsatz der Zweckbindung setzt einerseits Auftraggebern Grenzen bei der Ermittlung von Daten, da diese nur für vorher festgelegte Zwecke gesammelt werden dürfen. Andererseits bietet der Grundsatz auch gewisse Flexibiltät, indem er die Weiterverwendung der Daten für Zwecke erlaubt, die mit den vorher festgelegten Zwecken vereinbar sind.
Durch den Vorschlag des EU-Rats wird der Grundsatz der Zweckbindung ausgehöhlt. Im Gegensatz zur bisherigen Rechtslage, sieht der der Entwurf des Rats die Möglichkeit vor, Daten zu Zwecken zu verarbeiten, die mit den ursprünglichen Zwecken unvereinbar sind. Voraussetzung dafür ist, dass für die Weiterverarbeitung für den unvereinbaren Zweck eine gesonderte Rechtsgrundlage vorhanden ist.
Vor allem der letzte Satz des Artikel 6 Abs. 4 des Rat-Entwurfs zur Datenschutzgrundverordnung untergräbt das Prinzip der Zweckbindung. Danach ist die Weiterverarbeitung für den Auftraggeber für unvereinbare Zwecke rechtmäßig, wenn der Auftraggeber ein überwiegendes berechtigtes Interesse hat.
Interessant ist der Ansatz des EU-Rats vor allem für Unternehmen, deren Geschäftsmodell die Auswertung großer Datenmengen mittels Big Data-Analyse ist. Eine Datenverarbeitung, die losgelöst vom ursprünglichen Zweck möglich ist, könnte der Türöffner für dubiose Geschäftsmodelle sein.
Der Entwurf des EU-Parlaments sieht eine Weiterverarbeitung bei einer Unvereinbarkeit mit dem ursprünglichen Zweck nicht vor. Das EU-Parlament hält am Zweckbindungsgrundsatz fest, in der Grundlage zu den Verhandlungen zum Trilog wurde Artikel 6 Abs. 4 gestrichen. Findet die Position des EU-Rats und der EU-Kommission ihren Weg in die Datenschutzgrundverordnung, würde das eine deutliche Abschwächung des Datenschutzniveaus im Vergleich zur derzeitigen rechtlichen Lage bedeuten. Man darf also gespannt sein, ob der Rat seine Position schlussendlich durchsetzen kann.
Kommt der „one-stop-shop“?
Unter dem Regime der Datenschutzrichtlinie war die Rechtslage für Unternehmen, die in mehreren Staaten der EU Niederlassungen unterhalten und dort Daten verarbeiten, kompliziert. Zuständig war bis dato die Datenschutzbehörde des jeweiligen Mitgliedsstaates. Dieser Umstand wird sich künftig mit dem „one-stop-shop“-Mechanismus ändern. Unternehmen werden es künftig einfacher haben, da sie nur mehr mit der Datenschutzbehörde jenes Mitgliedstaats kooperieren müssen, in dem sich der Hauptsitz des Unternehmens befindet. Darüber sind sich die EU-Kommission, das EU-Parlament und der Rat einig. Über die Art und Weise der Ausgestaltung des Prinzips einer zentralen Anlaufstelle, sind die EU-Institutionen jedoch geteilter Meinung:
Die Kommission schlägt in ihrem Entwurf vor, dass für die Verarbeitungstätigkeit eines Auftraggebers oder eines Dienstleisters, der in mehreren EU-Mitgliedstaaten Niederlassungen unterhält, die Aufsichtsbehörde zuständig ist, in dem sich die Hauptniederlassung des Auftraggebers befindet. Der Ansatz der Kommission wurde kritisiert, weil er zwar für Unternehmen sehr vorteilhaft sei, über die Rechte betroffener Bürger jedoch eine ausländische Aufsichtsbehörde zu entscheiden hätte. Diese Kritik ist zwar berechtigt, vergessen wird aber, dass Beschwerden betroffener Bürger dennoch bei der nationalen Datenschutzbehörde eingebracht werden.
Das EU-Parlament und der Rat waren mit dem Vorschlag der Kommission nicht einverstanden, halten aber prinzipiell an der Idee einer zentralen Anlaufstelle fest. Neu eingeführt in den Gesetzestext wird der Begriff der „federführenden Behörde“. Als federführende Behörde fungiert die Aufsichtsbehörde der Hauptniederlassung des Auftraggebers. Im Unterschied zum Vorschlag der Kommission, ist die Aufsichtsbehörde des Mitgliedstaats, in der die Hauptniederlassung des Auftraggebers liegt, jedoch nicht alleine zuständig. Die nationalen Datenschutzbehörden werden bei der Entscheidungsfindung in unterschiedlicher Weise eingebunden. Vorgesehen sind Konsultationspflichten und Einspruchsrechte der nationalen Aufsichtsbehörden. Im Entwurf des Rates ist beispielweise eine Zuständigkeit des Europäischen Datenschutzausschusses vorgesehen, wenn eine betroffene nationale Aufsichtsbehörde, gegen einen Beschlussentwurf der federführenden Behörde, begründet Einspruch erhebt. Betroffene Datenschutzbehörden sollen also an der Entscheidungsfindung der federführenden Behörde mitwirken. Der Entwurf von EU-Parlament und Rat ist grundsätzlich zu begrüßen. Fraglich ist, ob komplizierte Verfahren mit vielen Beteiligten nicht zu einer unnötigen Verzögerung führen.
Das Ende der Meldepflicht?
Das DSG 2000 normiert in § 17 die Pflicht für Auftraggeber vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzbehörde zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Diese Pflicht zur Meldung beim DVR wird durch die Datenschutzgrundverordnung wegfallen und durch andere Pflichten ersetzt. Zusammengefasst kann man sagen, dass den Unternehmen insgesamt durch die Datenschutzgrundverordnung mehr Eigenverantwortung übertragen wird.
So werden beispielweise die Informationspflichten für Auftraggeber wesentlich erweitert. Unklar ist, wieweit die Informationspflichten gehen werden. Der Entwurf des Parlaments legt den Auftraggebern die weitestgehende Pflicht zur Information der Personen auf, von denen personenbezogene Daten erhoben werden: Mit leicht verständlichen Informationen und Symbolen soll den Verbrauchern klar gemacht werden, wie personenbezogene Daten verarbeitet und ob beispielweise Daten an Dritte weiterverkauft werden. Kommission und Rat fassen die Informationspflichten wesentlich enger.
Ersatz für die Meldepflicht sollen die vorgesehene Risikobewertung, eine Datenschutzfolgeabschätzung und weitreichende Dokumentationspflichten darstellen. Auch wenn es keine Meldepflicht mehr gibt, bestimmt die Datenschutzgrundverordnung, dass Unternehmen eine Pflicht zur Dokumentation trifft. Sowohl die Kommission, als auch der Rat und das EU-Parlament sind sich einig, dass eine Dokumentationspflicht kommen wird. Unklar ist jedoch, wie weit diese Pflicht gehen soll und ob diese Dokumentationspflicht jedes Unternehmen treffen wird.
Während das EU-Parlament den Unternehmen möglichst wenig Bürokratie auferlegen will, schlagen Rat und EU-Kommission weitreichende Dokumentationspflichten vor. Nach deren Vorschlag müssen Unternehmen beispielweise Aufzeichnungen über die Kategorien betroffener Personen und Übermittlungsempfänger personenbezogener Daten führen.
Allerdings sollen die Dokumentationspflichten - geht es nach Kommission und Rat - nicht für alle Unternehmen gelten: Erst ab 250 Mitarbeitern soll die Verpflichtung zur Dokumentation der Verarbeitungsvorgänge bestehen. Beschäftigt ein Unternehmen weniger als 250 Mitarbeiter, soll die Regelung nicht zur Anwendung kommen. Der Entwurf des Parlaments sieht keine derartige Grenze vor.
|
