rating service  security service privacy service
2015/08/11 EU-Datenschutzgrundverordnung - zentrale Konfliktpunkte im Trilog (Teil I)
Philipp Hochstöger
Die Trilog-Verhandlungen haben begonnen - eine Gegenüberstellung der Verhandlungspositionen von EU-Kommission, EU-Parlament und Rat in 8 zentralen Punkten - Was sind personenbezogene Daten? - Kommt der betriebliche Datenschutzbeauftragte? - Welche Rolle spielt der europäische Datenschutzausschuss? - Ausgestaltung der Sanktionen?

Am 14. Juli. 2015 fand die erste inhaltliche Verhandlungsrunde zwischen EU-Kommission, EU-Parlament und Rat statt. Themen waren der räumlichen Anwendungsbereich der Datenschutzgrundverordnung, sowie der Transfer von personenbezogenen Daten in Drittstaaten. Im September sollen die Verhandlungen weitergeführt und Ende 2015 abgeschlossen werden. Beim Trilog-Verfahren geht es darum, einen Ausgleich zwischen den Interessen zu schaffen und sich auf ein Gesetz zu einigen. Dass dies ein schwieriges Unterfangen sein kann, zeigt sich, wenn man einen Blick auf die verschiedenen Vorschläge von EU-Kommission, EU-Parlament und Rat wirft. Obwohl in einigen Punkten durchwegs Einigung besteht, haben die Institutionen in zentralen Datenschutzaspekten unterschiedliche Vorstellungen von der Ausgestaltung der Grundverordnung.

Welche Institution ihre Interessen in welchen Angelegenheiten durchsetzen kann, wird sich zeigen. In einer zweiteiligen Analyse wird auf acht wichtige Punkte näher eingegangen und die Unterschiede und Gemeinsamkeiten in den Positionen der EU-Institutionen herausgearbeitet.


Was sind personenbezogene Daten?

Zentral für den Anwendungsbereich und die Reichweite der Datenschutzgrundverordnung ist die Frage, was unter personenbezogenen Daten zu verstehen ist.

In diesem Punkt besteht, entgegen früherer Tendenzen (indirekt personenbezogene Daten aus dem Schutzbereich herauszunehmen), weitgehend Übereinstimmung. Geschützt werden alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, einschließlich pseudonomisierter Daten. Ebenso besteht Einigung darüber, dass Online-Kennungen wie IP-Adressen oder Cookie-Kennungen personenbezogene Daten darstellen, wenn sich diese auf bestimmte oder bestimmbare Personen beziehen. Die Verordnung soll nicht die Verarbeitung anonymiserter Daten betreffen.


Verpflichtender Datenschutzbeauftragter für Unternehmen?

Es besteht Uneinigkeit darüber, ob und unter welchen Voraussetzungen ein betrieblicher Datenschutzbeauftragter zu bestellen ist:

Die Kommission ist für einen verpflichtenden betrieblichen Datenschutzbeauftragten, wenn ein Unternehmen mehr als 250 Mitarbeiter beschäftigt.

Im Gegensatz zur Kommission, stellt das Parlament in seinem Vorschlag nicht auf die Anzahl der Beschäftigten ab. Maßgeblich ist, ob eine juristische Person eine Verarbeitung durchführt, die sich innerhalb eines Zeitraumes von zwölf aufeinanderfolgenden Monaten auf mehr als 5000 Personen bezieht. Darüber hinaus ist ein betrieblicher Datenschutzbeauftragter für Unternehmen vorgesehen, deren Kernaktivität die Verarbeitung von sensiblen Daten ist.

Die Position des Rats sieht keinen verpflichtenden Datenschutzbeauftragten vor, ein Unternehmen kann jedoch einen Datenschutzbeauftragten ernennen. Der Rat will den Gesetzgebern der Mitgliedstaaten die Entscheidung überlassen, ob sie einen verpflichtenden betrieblichen Datenschutzbeauftragten vorsehen oder nicht.

Im Zentrum der Überlegungen zur Grundverordnung sollte das Interesse stehen, einen Datenschutzstandard zu schaffen, der einheitlich in der ganzen EU gilt. Damit hängt notwendigerweise die Frage zusammen, ob dieses Ziel durch unterschiedliche mitgliedstaatliche Regelungen betreffend der verpflichtenden Bestellung eines betrieblichen Datenschutzbeauftragten erreicht werden kann. Eine Vorgabe durch den EU-Gesetzgeber wäre wünschenswert und förderlich für das Erreichen eines angemessenen Datenschutzniveaus innerhalb der gesamten EU.


Einheitliche Rechtsdurchsetzung: Europäischer Datenschutzausschuss

Einig sind sich die am Trilog beteiligten Institutionen in der grundsätzlichen Ausgestaltung des sogenannten europäischen Datenschutzausschusses. Dieser soll aus den Leitern bzw. Vertretern der nationalen Aufsichtsbehörden und dem europäischen Datenschutzbeauftragten bestehen. Der europäische Datenschutzausschuss hat sicherzustellen, dass die Verordnung einheitlich angewandt wird. Zu diesem Zweck prüft der Ausschuss von sich aus, auf Antrag seiner Mitglieder (nationale Aufsichtsbehörden oder europäischer Datenschutzbeauftragter) oder auf Ersuchen der Kommission, Fragen betreffend die Anwendung der Verordnung. Es sind zur Sicherstellung einer einheitlichen Anwendung der Verordnung, Leitlinien und Empfehlungen auszuarbeiten. Ziel ist das Erreichen eines einheitlichen Datenschutzniveaus in Europa.

Maßgeblich ist, welche Rechtsqualität die Beschlüsse des europäischen Datenschutzausschuss haben werden. Während aus der Position des Rats hervorgeht, dass die Beschlüsse bindend sein sollen, ist dies aus den Vorschlägen der Kommission und des Parlaments nicht unmittelbar ersichtlich.

Unklar ist außerdem, welche Konsequenzen den nationalen Datenschutzbehörden bei Nichtbefolgung der Beschlüsse des europäischen Datenschutzausschusses drohen. Der Entwurf der Kommission sieht eine Kompetenz der Kommission vor, wenn sich eine nationale Aufsichtsbehörde weigert, einer Empfehlung des europäischen Datenschutzausschusses nachzukommen. Das Parlament äußert sich dazu nicht. Man wird aber davon ausgehen können, dass Rat und Parlament den Einfluss der Kommission gering halten wollen. Dadurch wird die Unabhängigkeit der nationalen Aufsichtsbehörden am besten gewahrt.


Strafen bei Verstößen

Die Effektivität eines Gesetzes hängt auch von dem Sanktionsmechanismus ab, wenn das Gesetz nicht eingehalten wird. Zu geringe Strafen führen dazu, dass Unternehmen Datenschutzverstöße ganz einfach einkalkulieren, zu hohe Strafen können kleinere Unternehmen unverhältnismäßig stark treffen.

Die Strafkompetenz wird in die Kompetenz der nationalen Aufsichtsbehörden fallen. Klar ist: Strafen bei Datenschutzverstößen werden sich im Vergleich zur derzeitigen Situation in den Mitgliedstaaten drastisch erhöhen. Uneinigkeit besteht über die Höhe der Strafen.

Die Kommission spricht sich in ihrem Vorschlag für Geldbußen bis zu 1 Million Euro oder 2% des weltweiten Jahresumsatzes aus. Der Rat schließt sich diesem Vorschlag an.

Empfindlichere Strafen hat das Parlament vorgesehen. In dem Verordnungsentwurf sieht es Strafen bis zu 100 Millionen Euro oder 5% vor.


Lesen Sie Teil II!

Im zweiten Teil der Serie zur Datenschutzgrundverordnung werden wiederum 4 zentrale Punkte beleuchtet und auf die Unterschiede in den Positionen des EU- Parlaments, der Kommission und des Rats eingegangen. Thema wird unter anderem der in der Grundverordnung vorgesehene "one-stop-shop"-Ansatz sein. Bürger und Unternehmen werden sich in Zukunft nur an eine Datenschutzbehörde wenden.

mehr --> Entwicklung der EU Datenschutz-Grundverordnung (DS-GVO)

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2017webmaster