Navigation path

Left navigation

Additional tools

Europäische Kommission

MITTEILUNG

Brüssel, 28. Januar 2013

Datenschutzreform – Stand der Arbeiten nach einem Jahr

Vor einem Jahr schlug die Europäische Kommission eine umfassende Reform der aus dem Jahr 1995 stammenden EU-Datenschutzvorschriften vor, um die Rechte des Einzelnen auf Wahrung der Privatsphäre im Internet zu stärken und die digitale Wirtschaft in Europa anzukurbeln (IP/12/46). Der technische Fortschritt und die Globalisierung haben die Art und Weise, wie Daten erhoben, abgerufen und verwendet werden, grundlegend verändert. Außerdem haben die 27 Mitgliedstaaten der EU die Vorschriften von 1995 unterschiedlich umgesetzt, was zu Unterschieden bei ihrer Durchsetzung geführt hat. Eine einheitliche Regelung soll daher jetzt der bestehenden Fragmentierung und dem hohen Verwaltungsaufwand ein Ende bereiten und den Unternehmen auf diese Weise Einsparungen von etwa 2,3 Mrd. EUR jährlich ermöglichen. Zudem sollen das Vertrauen der Verbraucher in Online-Dienste gestärkt und so dringend benötigte Impulse für mehr Wachstum, Arbeitsplätze und Innovationen in Europa gegeben werden.

Wie kann die Datenschutzreform zum Wirtschaftswachstum beitragen?

Wirtschaftswachstum ist inzwischen ohne Datenaustausch nicht mehr denkbar. Dabei schließen Schutz der Privatsphäre und freier Datenverkehr einander nicht aus, sondern ergänzen sich.

Ohne Vertrauen kann die digitale Wirtschaft nicht wachsen. Viele wollen ihre persönlichen Daten nicht online übermitteln, weil sie kein Vertrauen in die Sicherheit der Datenübermittlung haben. Sie sind daher weniger geneigt, Online-Dienste und ähnliche Technologien zu nutzen. Einer GSMA-Studie zufolge befürchten 9 von 10 Smartphone-Nutzern, dass Mobil-Apps ihre Daten ohne ihre Zustimmung erfassen könnten. Sie wollen wissen, wann Daten aus ihrem Smartphone an Dritte weitergegeben werden.

Strenge, verlässliche und einheitlich angewandte Regeln machen die Datenverarbeitung sicherer und kostengünstiger und stärken das Vertrauen der Nutzer. Vertrauen wirkt wachstumsfördernd. Diese Erkenntnis hat sich weltweit durchgesetzt. In einem Schreiben an das Europäische Parlament haben 25 große Verbraucherverbände aus den USA das Reformpaket zum Datenschutz nachdrücklich begrüßt, da „strengere Datenschutznormen in Europa den Verbrauchern weltweit zugute kommen werden“.

Was bringt die Reform für die Wirtschaft?

Die vorgeschlagene Datenschutzreform trägt auf dreierlei Weise zum Wirtschaftswachstum bei:

Erstens: Das derzeitige Patchwork der Datenschutzvorschriften in Europa wird durch eine einheitliche Regelung für alle 27 Mitgliedstaaten ersetzt, was Kosten spart und die Rechtssicherheit erhöht.

Der Verwaltungsaufwand wird verringert, da sich Unternehmen in Datenschutzangelegenheiten künftig nur noch an eine einzige Stelle wenden müssen, und zwar an die Datenschutzbehörde des EU-Mitgliedstaats, in dem sie ihre Hauptniederlassung haben.

Auch sind sie nicht länger verpflichtet, den Datenschutzbehörden jeden einzelnen Verarbeitungsvorgang zu melden.

All dies wird den Unternehmen Einsparungen in Höhe von rund 2,3 Mrd. EUR jährlich ermöglichen.

Zweitens: Die Reform wirkt wachstumsfördernd, weil sie auch bei den Kosten ansetzt, die durch Missachtung der Datenschutzvorschriften verursacht werden. Ein Verstoß gegen den Datenschutz kann enorme Kosten zur Folge haben. Ein Hacker-Angriff auf Sony, der sich gegen 100 Millionen Kundenkonten richtete, kostete das Unternehmen Berichten zufolge zwischen 1 und 2 Mrd. USD. Die Garantie, dass Kunden unverzüglich benachrichtigt werden, wenn ihre Daten – z. B. Kreditkartendaten – gestohlen wurden, schafft Vertrauen und gibt Verbrauchern die nötige Sicherheit, um Geschäfte online zu tätigen.

Drittens: Die Kommissionsvorschläge bieten Unternehmen mehr Möglichkeiten, um nachzuweisen, dass sie bei der Übermittlung personenbezogener Daten in Drittstaaten hohen Datenschutzanforderungen genügen. Die Liste ist lang. Für Unternehmen, die in der ganzen Welt tätig sind, gibt es Vorschriften, die klar regeln, wie verbindliche unternehmensinterne Datenschutzregelungen (Binding Corporate Rules - BCR) und Standardvertragsklauseln für die sichere Übermittlung personenbezogener Daten genutzt werden können.

Beseitigt werden auch die vielen aufwendigen Vorabgenehmigungsverfahren. Die Übermittlung von Daten in Länder außerhalb der Union wird danach unter bestimmten Voraussetzung auch auf der Grundlage von Verhaltenskodizes möglich sein. „Safe-Harbour-Regelungen“ sind nicht betroffen.

Die vorgeschlagene Regelung zur Angemessenheit des Datenschutzes anderer Länder trägt den dortigen Datenschutzvorschriften in vollem Umfang Rechnung. Es geht nicht darum, dieselben Datenschutzvorschriften wie die EU zu haben, sondern darum, in der Praxis dasselbe Datenschutzniveau zu garantieren. Die Erfahrung hat gezeigt, dass dieses Konzept funktioniert.

Was bringt die Reform für den Einzelnen?

Die vorgeschlagene EU-Datenschutzregelung trägt in dreifacher Hinsicht dazu bei, dass die Bürger die Kontrolle über ihre Daten erlangen und Online-Diensten mehr Vertrauen entgegenbringen.

Erstens: Das „Recht auf Vergessenwerden“ (d. h. das bereits bestehende Recht, die Löschung nicht länger benötigter Daten zu verlangen) soll gestärkt werden, damit Datenschutzrisiken im Netz für den Einzelnen kontrollierbar sind: Jeder soll seine Daten löschen können, wenn keine legitimen Gründe für deren Vorhaltung bestehen. Der Zugriff auf eigene Daten wird erleichtert ebenso wie der Transfer dieser Daten auf einen anderen Dienstleistungsanbieter.

Zweitens: Bei einwilligungsbedürftigen Verarbeitungsvorgängen muss die Einwilligung ausdrücklich erteilt werden und darf nicht, wie dies heute mitunter der Fall ist, stillschweigend vorausgesetzt werden. Das Einwilligungserfordernis ist nach wie vor nur eines von mehreren Kriterien für die Rechtmäßigkeit der Datenverarbeitung. Die Verarbeitung kann auch auf eine vertragliche oder rechtliche Verpflichtung, ein öffentliches Interesse oder ein berechtigtes Interesse des Verarbeitungsverantwortlichen gestützt werden. Ist die Verarbeitung einwilligungsbedürftig, muss die Einwilligung allerdings ausdrücklich erteilt werden: Schweigen ist nicht mit einem „Ja“ gleichzusetzen.

Die Einwilligung muss nicht unbedingt schriftlich erteilt werden: Das Anklicken der Schaltfläche oder das Markieren eines Feld auf einer Webseite kann bereits als Einwilligung gelten. Das bedeutet nicht, dass der Nutzer bei jedem einzelnen Vorgang seine Einwilligung erteilen muss. Die Einwilligung kann sich auf eine ganze Reihe von Vorgängen erstrecken.

Drittens: Die neuen Vorschriften sollen die Zahl der Datenschutzverstöße reduzieren. Wenn Nutzerdaten verloren gehen, gestohlen oder gehackt werden, sollten die Geschädigten zudem so rasch wie möglich benachrichtigt werden. Ein rasches Einschreiten schreckt Kriminelle ab, nicht gesetzestreue Unternehmer. Warum sollten Datenschutzverstöße nicht innerhalb von 24 Stunden gemeldet werden, wenn dies möglich ist? Mehr wird im Kommissionsvorschlag nicht verlangt. Statistiken zeigen, dass in Ländern, die eine rasche Meldung verlangen, weniger Datenschutzverstöße auftreten. Strengere Vorschriften halten Unternehmen ganz klar dazu an, vorsichtiger mit personenbezogenen Daten umzugehen.

Was bedeutet das „Recht, vergessen zu werden“?

Diejenigen, die hoffen, dass ihnen das Recht, vergessen zu werden, eine Löschung ihrer Kredithistorie erlaubt, werden enttäuscht sein.

Grundlage ist das bereits bestehende Recht, die Löschung personenbezogener Daten zu verlangen, wenn sie nicht länger für rechtmäßige Zwecke benötigt werden. Dieses Recht ist in vielen Alltagssituationen von Belang. Beispielsweise verstehen Kinder und Jugendliche nicht unbedingt, warum sie bestimmte persönliche Informationen besser nicht ins Netz stellen sollten; wenn sie älter sind, bedauern sie es vielleicht. Sie sollten diese Informationen löschen können, wenn sie es wollen.

Wird die Geschichte mit dem Recht auf Vergessenwerden neu geschrieben?

Beim Recht auf Vergessenwerden geht es nicht darum, die Geschichte neu zu schreiben. Im Vorschlag der Kommission sind die Meinungsfreiheit und die Freiheit der Medien sowie die historische und wissenschaftliche Forschung ausdrücklich geschützt (Artikel 17 und 80).

Personenbezogene Daten können so lange aufbewahrt werden, wie dies zur Erfüllung einer vertraglichen oder rechtlichen Verpflichtung nötig ist. Das Recht auf Vergessenwerden ist kein absolutes Recht.

Auch die Rechte von Unternehmen sind geschützt. Wenn personenbezogene Daten veröffentlicht wurden (beispielsweise im Internet), muss sich das Unternehmen ernsthaft bemühen, Dritte über den Antrag auf Löschung der Daten zu informieren. Natürlich ist es für ein Unternehmen nicht möglich, alle Spuren in Suchindexen zu löschen. Das wird im EU-Entwurf auch nicht verlangt. Unternehmen sollten aber alle zumutbaren Vorkehrungen treffen, um sicherzustellen, dass Dritte, an die Daten weitergeleitet wurden, darüber informiert werden, dass die betroffene Person diese Daten löschen lassen will. In den meisten Fällen bedarf es dazu nicht mehr als einer E-Mail.

Bietet das Reformpaket der Kommission einen Freibrief für neue Bestimmungen?

Die Durchführungsbefugnisse der Kommission, die im Reformpaket vorgesehen sind, gelten nicht unbegrenzt. Die Kommission darf nur die nicht wesentlichen Elemente des Datenschutzrechts an die neuen Entwicklungen anpassen. Darüber wachen das Europäische Parlament und der Ministerrat. Ohne diese Flexibilität, die eine Anpassung an technologische Veränderungen erlaubt, wäre die neue Regelung unweigerlich zu präskriptiv und weniger offen für Innovationen. Die neuen Bestimmungen wären rasch veraltet. Die Kommission wird - wie gewohnt - alle Beteiligten konsultieren, bevor sie von ihren Befugnissen Gebrauch macht.

Durchführungsbefugnisse dieser Art sind im EU-Recht nicht ohne Grund vorgesehen: Sie sollen gewährleisten, dass die technischen Bestimmungen rasch angepasst werden können, ohne das ganze für den Erlass neuer Regelungen erforderliche langwierige Gesetzgebungsverfahren durchlaufen zu müssen.

Schwächen die neuen Bestimmungen die internationale Zusammenarbeit im Kampf gegen die Kriminalität?

Der Datenaustausch zwischen den Strafverfolgungsbehörden wird nicht erschwert. Nur die Vereinbarungen, die den Austausch personenbezogener Daten zum Gegenstand haben und keine geeigneten Datenschutzgarantien vorsehen, kommen auf den Prüfstand.

Wie geht es weiter?

Die europäischen Gesetzgeber, d. h. das Europäische Parlament und der Ministerrat, in dem die nationalen Fachminister vertreten sind, müssen dem Legislativentwurf noch zustimmen. Die für die Datenschutzreform zuständigen Berichterstatter des Europäischen Parlaments haben ihre Berichtsentwürfe vorgelegt (MEMO/13/4), die jetzt in den Parlamentsausschüssen erörtert werden. Eine Abstimmung im Parlament wird für Ende April erwartet.

Der irische EU-Vorsitz, der in den nächsten sechs Monaten die Ratstagungen leiten und lenken wird, hat den Datenschutz zur Priorität erklärt und strebt bis zum Ende seines Mandats (Juni 2013) eine politische Einigung an. Die Arbeiten sind auf der informellen Tagung der Justizminister am 18. Januar gut vorangekommen (siehe SPEECH/13/29).

Die Europäische Kommission wird wie bisher sehr eng mit dem Europäischen Parlament und dem Rat zusammenarbeiten, um das Parlament und den irischen Ratsvorsitz in ihren Bemühungen zu unterstützen und das Datenschutzpaket noch vor Jahresende durchzubringen.

Weitere Informationen

Pressemappe Datenschutzreform:

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Europäische Kommission – Datenschutz:

http://ec.europa.eu/justice/data-protection/index_de.htm

Homepage von Viviane Reding, Vizepräsidentin und Justizkommissarin der Europäischen Kommission: http://ec.europa.eu/commission_2010-2014/reding/index_de.htm

Generaldirektion Justiz – Neuigkeiten:

http://ec.europa.eu/justice/newsroom/index_de.htm

Folgen Sie der Vizepräsidentin auf Twitter: @VivianeRedingEU


Side Bar

My account

Manage your searches and email notifications


Help us improve our website