18.12.2012   

DE

Amtsblatt der Europäischen Union

C 391/127

—

begrüßt die Vorschläge für eine Reform des europäischen Datenschutzrechts als Beitrag der Europäischen Union zur globalen Debatte um den angemessenen Schutz der Privatsphäre in einer digitalen Welt;

—

hält es für unverzichtbar, zentrale Fragen des Schutzes personenbezogener Daten im Rahmen des ordentlichen Rechtsetzungsverfahrens zu klären, das alleine Transparenz und demokratische Legitimation durch die umfassende Mitgestaltung durch den Rat der Europäischen Union und das Europäische Parlament sowie unter Beteiligung auch der Vertreter der europäischen regionalen und kommunalen Gebietskörperschaften gewährleistet;

—

weist darauf hin, dass sich ungeachtet offener Fragen zur Vereinbarkeit des Grundkonzepts der Verordnung mit dem Prinzip der Subsidiarität und dem Grundsatz der Verhältnismäßigkeit auch aus Detailregelungen weitere unangemessene Grenzziehungen für die Rechtsetzung der Mitgliedstaaten im Bereich der Datenverarbeitung durch Stellen der öffentlichen Verwaltung ergeben;

—

erachtet es außerdem für zweckdienlich, dass den Mitgliedstaaten bzw. gegebenenfalls den Regionen in dem Verordnungsvorschlag ein größerer Entscheidungsspielraum eingeräumt wird, um im Einklang mit innerstaatlichem Recht die allgemeinen Bedingungen für die Mitarbeiter der Aufsichtsbehörde festzulegen und deren Unabhängigkeit bei der Ausübung ihrer Aufgaben sicherzustellen.

Berichterstatterin

Ursula MÄNNLE (DE/EVP), Mitglied des Bayerischen Landtages

Referenzdokumente

Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Der Schutz der Privatsphäre in einer vernetzten Welt – Ein europäischer Datenschutzrahmen für das 21. Jahrhundert

COM(2012) 9 final

Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr

COM(2012) 10 final

Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung)

COM(2012) 11 final

1.

begrüßt die Vorschläge für eine Reform des europäischen Datenschutzrechts als Beitrag der Europäischen Union zur globalen Debatte um den angemessenen Schutz der Privatsphäre in einer digitalen Welt;

2.

erinnert an die entscheidende Rolle der lokalen und regionalen Gebietskörperschaften bei der Umsetzung der Empfehlungen der Digitalen Agenda für Europa. Sie sind die Triebfeder des Wirtschaftswachstums auf lokaler und regionaler Ebene und erzeugen, nutzen und verwalten viele Informatikprodukte und -dienste, die auf Datenbanken mit Informationen des öffentlichen Sektors beruhen. Daher müssen sie umfassend und wirksam Einfluss auf die Gesetze haben, die sich auf den Datenschutz in ihrem Zuständigkeitsbereich auswirken werden. Die Verordnung wird neue Verwaltungslasten und zusätzlichen finanziellen Aufwand für Kommunen und Regionen mit sich bringen, die nach Auffassung des Ausschusses in keinem Verhältnis zum Nutzen für die Bürgerinnen und Bürger stehen;

3.

unterstützt die allgemeinen Zielsetzungen des Reformpakets, in Übereinstimmung mit Artikel 8 der Grundrechtecharta sowie Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) auf EU-Ebene eine Harmonisierung des Schutzes von Einzelpersonen im Zusammenhang mit der Verarbeitung personenbezogener Daten sicherzustellen;

4.

weist darauf hin, dass eine Harmonisierung datenschutzrechtlicher Anforderungen im Wege verbindlicher allgemeiner Vorgaben dazu führt, dass Datenverarbeitungsverfahren von Unternehmen, Verwaltungseinrichtungen und Privaten trotz grundlegend unterschiedlicher Risikobedingungen und Handlungsumfelder denselben Anforderungen unterstellt werden. Nach Ansicht des Ausschusses beeinträchtigt die Verordnung öffentliche Stellen auf negative Weise und führt hinsichtlich ihrer Kompetenzen und den arbeitsrechtlichen Bereich zu Zweideutigkeiten. Die Verordnung enthält zudem eine Reihe von Verpflichtungen für öffentliche Stellen auf regionaler und lokaler Ebene (z.B. umfangreichere Dokumentation, die Pflicht zur Sicherstellung der Datenübertragbarkeit usw.), denen keine erkennbaren Verbesserungen für die Rechte der Betroffenen gegenüberstehen. Der Ausschuss weist darauf hin, dass der vorgeschlagene Rechtsakt in Form einer Verordnung aufgrund seines Abstraktionsgrads einem Missbrauch von Artikel 290 AEUV, durch den die Kommission die Befugnis zum Erlass weiterer Regeln – und zwar auch zu zentralen Fragestellungen – erhält, Tür und Tor öffnen könnte und deshalb nicht mit dem Prinzip der Subsidiarität und dem Grundsatz der Verhältnismäßigkeit in Einklang zu bringen ist. Der Ausschuss fordert daher dazu auf, die Verarbeitung personenbezogener Daten durch öffentliche Stellen und den arbeitsrechtlichen Bereich aus dem Anwendungsbereich der Verordnung auszunehmen, sodass die Verarbeitung personenbezogener Daten durch öffentliche Stellen und die arbeitsrechtlichen Aspekte auch weiterhin in einer Richtlinie geregelt werden;

5.

unterstreicht, dass die Hauptverantwortung für den Schutz personenbezogener Daten bei den unabhängigen Kontrollstellen liegt. Allerdings lässt sich in einer vernetzten Welt mit nahezu allgegenwärtigen Datenverarbeitungsverfahren ein hohes Datenschutzniveau nicht allein durch Bestrebungen zur Stärkung der ordnungsrechtlichen Aufgaben sicherstellen. Hierzu sind vielmehr zusätzliche Anreizinstrumente erforderlich, mit denen die Auftragsverarbeiter Datenschutzbemühungen honorieren können, indem etwa die Beweislast für Auftragsverarbeiter verringert wird, die sich strengen Selbstregulierungsnormen oder Verhaltenskodizes unterwerfen oder fakultative Datenschutz-Folgenabschätzungen durchführen;

6.

hält es für unverzichtbar, zentrale Fragen des Schutzes personenbezogener Daten im Rahmen des ordentlichen Rechtsetzungsverfahrens zu klären, das alleine Transparenz und demokratische Legitimation durch die umfassende Mitgestaltung durch den Rat der Europäischen Union und das Europäische Parlament sowie unter Beteiligung auch der Vertreter der europäischen regionalen und kommunalen Gebietskörperschaften gewährleistet;

7.

anerkennt das grundsätzliche Erfordernis, im Bereich der polizeilichen und justiziellen Zusammenarbeit verbindliche Regelungen zum Schutz personenbezogener Daten für den transnationalen Datenaustausch zu schaffen;

8.

warnt davor, in dem Bemühen um einen verstärkten Schutz personenbezogener Daten die Bürgerinnen und Bürger in der Ausübung ihres Rechts auf informationelle Selbstbestimmung übermäßig einzuschränken, indem ihnen die Einwilligungsmöglichkeit insbesondere gegenüber öffentlichen Stellen sowohl im Geltungsbereich der Datenschutz-Grundverordnung als auch der Datenschutzrichtlinie abgesprochen wird;

9.

hält es für erforderlich, auf Grundlage dieser Erwägungen folgende Einzelfragen im weiteren Gesetzgebungsverfahren zu berücksichtigen;

10.

ist der Auffassung, dass der Versuch, Teile des europäischen Datenschutzrechts vollständig durch den Wechsel zu einer Verordnungsregelung zu harmonisieren, im Bereich der privaten Wirtschaft mit guten Gründen zu rechtfertigen ist;

11.

weist jedoch darauf hin, dass das Gesamtpaket aus Datenschutz-Grundverordnung und Richtlinie für den Bereich von Polizei und Justiz bei gleichzeitiger Beibehaltung zahlreicher europäischer und nationaler Datenschutzregelungen gerade im Bereich der Telekommunikation im Konsultationsprozess immer wieder grundlegenden Einwänden hinsichtlich seiner Vereinbarkeit mit dem Prinzip der Subsidiarität und dem Grundsatz der Verhältnismäßigkeit begegnet. Die vorgetragenen Bedenken betreffen:

12.

betont, dass diese Bedenken die Vorbehalte zahlreicher europäischer regionaler oder lokaler Gebietskörperschaften gegen Regelungsvorschläge widerspiegeln, die z.B. nationale Besonderheiten beim Datenschutz im Sozialwesen unmöglich machen oder die Tätigkeit öffentlicher Verwaltungen mit Datenschutzanforderungen wie dem Recht auf Datenportabilität belasten, die lediglich für wirtschaftliche Datenverarbeitungsprozesse sachgerecht erscheinen können und die administrative Sanktionen in einer – gemessen an den wirtschaftlichen Möglichkeiten der lokalen Gebietskörperschaften – erheblichen Höhe vorsehen;

13.

ist der Auffassung, dass im Vorschlag für die Datenschutzverordnung deutlicher unterstrichen werden muss, dass die in Artikel 83 genannten Einschränkungen für die Verarbeitung personenbezogener Daten zu historischen oder statistischen Zwecken sowie zum Zwecke der wissenschaftlichen Forschung nicht die Möglichkeiten öffentlicher Stellen zur Aufbewahrung von Dokumenten gemäß den nationalen Vorschriften über Archive und über die Einsicht in Verwaltungsunterlagen beeinträchtigen dürfen;

14.

hält es deshalb für erforderlich, im weiteren Rechtsetzungsverfahren nochmals stärker als bisher die Entscheidung über die Rechtsform und die Grenzziehung zwischen den Anwendungsbereichen des Verordnungs- und des Richtlinienvorschlags im Hinblick auf mögliche Alternativen zu untersuchen, die dem Prinzip der Subsidiarität und dem Grundsatz der Verhältnismäßigkeit besser gerecht werden können als das vorliegende Gesamtpaket; zu diesen Alternativen zählt die Möglichkeit, die Verarbeitung personenbezogener Daten durch öffentliche Stellen sowie den arbeitsrechtlichen Bereich auch weiterhin in einer Richtlinie zu regeln, sodass die Verarbeitung personenbezogener Daten durch öffentliche Stellen und die Verarbeitung von Daten aus dem arbeitsrechtlichen Bereich aus dem Anwendungsbereich der Grundverordnung ausgenommen würden;

15.

unterstützt die Zielsetzung, auch für Informationsdienstleistungen globaler Anbieter die Beachtung europäischer Datenschutzstandards durchzusetzen;

16.

ist der Auffassung, dass die zeitgleich von der Regierung der Vereinigten Staaten von Amerika vorgestellte Initiative für einen Rechtsrahmen für den Schutz der Privatsphäre in der globalen IT-Wirtschaft die Chance bietet, in zentralen Bereichen des internationalen Datenverkehrs Reformansätze zu gemeinsamen Schutzstandards zusammenzuführen und dadurch nicht nur wirksame Datenschutzregelungen durchzusetzen, sondern auch unterschiedliche Wettbewerbsbedingungen effektiver als durch ein in seiner praktischen Durchsetzbarkeit begrenztes Marktortprinzip zu vermeiden;

17.

weist darauf hin, dass der Vorschlag der Datenschutz-Grundverordnung in seinem materiellen Kern auf den Prinzipien der Datenschutzrichtlinie 95/46/EG beruht, die nur in einzelnen Elementen wie dem Prinzip "Datenschutz durch Technik"/"privacy by design" fortentwickelt, im Übrigen aber allenfalls modifiziert werden. Anders als bei Entstehung der Datenschutzrichtlinie sind die Risiken für die Verarbeitung personenbezogener Daten in der Informationsgesellschaft sowohl bei privaten als auch öffentlichen Stellen nicht mehr durch 1:1-Beziehungen geprägt. Digitalisierung und Vernetzung schaffen vielmehr Systeme, in denen mehrere Stellen an der Verarbeitung von Daten beteiligt sind, z.B. beim Abgleich von Daten oder dem Informationsaustausch zwischen Behörden;

18.

betont, dass die dadurch aufgeworfenen Fragen nach dem Schutz personenbezogener Daten mit traditionellen bipolaren Konzepten wie dem Begriff des "für die Verarbeitung Verantwortlichen", einem "Recht, Vergessen zu werden" oder dem für das Verhältnis Staat-Bürger entwickelten Verbotsprinzip (Artikel 6 und Artikel 9 des Verordnungsvorschlags) kaum noch sachgerecht geklärt werden können. Einzelne Veränderungen gegenüber den Regelungen der Richtlinie wie z.B. die neu gefassten Definitionen für "personenbezogene Daten" oder die "Einwilligung" tragen mehr zur Verschärfung schon bestehender Rechtsunsicherheiten als zu ihrer Klärung bei;

19.

ist daher der Ansicht, dass – falls die Kommission an ihrem Wunsch nach einer Verordnung festhält – in der Verordnung deutlich zum Ausdruck kommen muss, dass ein Arbeitgeber Daten auf der Grundlage einer Einwilligung des Arbeitnehmers verarbeiten darf; gleiches gilt für öffentliche Stellen sowohl im Geltungsbereich der Datenschutz-Grundverordnung als auch der Datenschutzrichtlinie. Die Mitgliedstaaten können in Übereinstimmung mit der Verordnung per Gesetz die Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext regeln;

20.

hält es daher für erforderlich, soweit das weitere Rechtssetzungsverfahren nicht zu grundlegenden konzeptionellen Fortentwicklungen genutzt werden kann, die bisher zu strikt auf ordnungsrechtliche, ebenfalls bipolare Instrumente wie Anordnungen oder Sanktionen ausgerichteten Durchsetzungsmechanismen zu überdenken. Gerade aus Sicht der den Betroffenen am nächsten stehenden lokalen und regionalen Gebietskörperschaften können dabei:

21.

betont in diesem Zusammenhang, dass der Vorschlag der Datenschutz-Grundverordnung diesen im Wesentlichen durch die Aufsichtsbehörden wahrzunehmenden Aufgaben bislang nur nachrangigen Stellenwert z.B. im Rahmen des allgemeinen Informationsauftrags nach Artikel 52 Absatz 2 des Verordnungsvorschlags (DS-GRV) oder den Regelungen über Verhaltensregeln (Artikel 38 DS-GRV) einräumt;

22.

weist darauf hin, dass sich ungeachtet offener Fragen zur Vereinbarkeit des Grundkonzepts der Verordnung mit dem Prinzip der Subsidiarität und dem Grundsatz der Verhältnismäßigkeit auch aus Detailregelungen weitere unangemessene Grenzziehungen für die Rechtsetzung der Mitgliedstaaten im Bereich der Datenverarbeitung durch Stellen der öffentlichen Verwaltung ergeben;

23.

vertritt daher die Ansicht, dass die Verarbeitung personenbezogener Daten durch öffentliche Stellen und die arbeitsrechtlichen Aspekte auch weiterhin in einer Richtlinie geregelt werden sollten;

24.

ist daher für den Fall, dass die Kommission an ihrem Wunsch nach einer auch für öffentliche Stellen und den arbeitsrechtlichen Bereich geltenden Verordnung festhält, der Auffassung, dass

25.

hat große Sorge, dass die Konkretisierung und Fortentwicklung datenschutzrechtlicher Anforderungen mit Inkrafttreten der Verordnung in Verfahren verlagert wird, die anders als die Rechtsetzung der Mitgliedstaaten und der Europäischen Union oder der Vollzug des nationalen und europäischen Rechts durch parlamentarisch kontrollierte Verwaltungen der Mitgliedstaaten weder die Gewähr für Transparenz noch für hinreichende demokratische Legitimation bieten;

26.

begründet dies damit, dass der Verordnungsvorschlag durch stark abstrahierte Regelungen verbindliche und zugleich vereinheitlichte, sanktionierbare Verpflichtungen in einem für die Verwirklichung verschiedener Grundrechtspositionen zentralen Bereich schaffen soll, der bereits heute durch eine kaum überschaubaren Bandbreite unterschiedlicher Anwendungsfälle geprägt wird, die vom privaten Adressverzeichnis über öffentliche Einwohnerregister bis hin zum Datenbestand von sozialen Netzwerken oder Suchmaschinenanbieter reichen. Dabei nahezu unvermeidbare Defizite in Fragen der Normbestimmtheit, Rechtssicherheit und Vollzugstauglichkeit sollen einerseits durch eine Vielzahl von Ermächtigungen zum Erlass delegierter Rechtsakte kompensiert werden, die vielfach wesentliche Elemente des Regelungskonzepts betreffen wie dies z.B. die Ermächtigung in Artikel 6 Absatz 5 DS-GRV zeigt. Andererseits erhalten die unabhängigen Kontrollstellen weit über klassische Vollzugsaufgaben hinausgehende Befugnisse, im Rahmen allgemeiner Leitlinien zur Auslegung der Datenschutzverordnung im praktischen Ergebnis ebenfalls abstrakt-generelle Regelungen zu treffen. Sie werden dabei überdies im Rahmen des sog. Kohärenzmechanismus unangemessenen Einwirkungsrechten der Kommission unterworfen, die ihre durch Artikel 16 Absatz 2 2. Satz AEUV gewährleistete Unabhängigkeit in Frage stellen;

27.

hält es daher für geboten, die Mechanismen zur Beteiligung der Kommission im Rahmen des Kohärenzverfahrens zur Wahrung der Unabhängigkeit der Datenschutz-Aufsichtsbehörden, insbesondere ihre Befugnisse nach Artikel 60 und 62 Absatz 1 Buchstabe a) DS-GRV, sowie die in ebendiesen Artikeln gewählte Formulierung "wenn [die Kommission] ernsthaft bezweifelt", die zur Begründung eines Eingreifens dient, grundsätzlich zu modifizieren;

28.

erachtet es außerdem für zweckdienlich, dass den Mitgliedstaaten bzw. gegebenenfalls den Regionen in dem Verordnungsvorschlag ein größerer Entscheidungsspielraum eingeräumt wird, um im Einklang mit innerstaatlichem Recht die allgemeinen Bedingungen für die Mitarbeiter der Aufsichtsbehörde festzulegen und deren Unabhängigkeit bei der Ausübung ihrer Aufgaben sicherzustellen;

29.

ist darüber hinaus der Auffassung, dass die auch vom Europäischen Gerichtshof anerkannten Instrumente zur Steuerung der unabhängigen Aufsichtsbehörden z.B. im Rahmen von Berichten und anderen regelmäßigen Konsultationsverfahren mit den Gesetzgebungsorganen stärker ausgebaut werden sollten, um auch Europäischem Parlament und Rat sowie dem Ausschuss der Regionen im Rahmen seiner Beteiligungsrechte einen regelmäßigen Überblick über den Vollzug des europäischen Datenschutzrechts zu vermitteln und die Möglichkeit zu geben, Initiativen für seine Fortentwicklung einzuleiten. Daneben sollten in Anlehnung an den Grundsatz des rechtlichen Gehörs die Aufsichtsbehörden sowie der Europäische Datenschutzausschuss durch ergänzende Verfahrensregelung verpflichtet werden, z.B. durch Anhörungs- oder Konsultationsverfahren die von Entscheidungen grundsätzlicher Tragweite z.B. nach Artikel 58 Absatz 2 DS-GRV betroffenen Verbänden und Interessenvertretungen in einen transparenten Prozess der Konkretisierung und Fortentwicklung des Datenschutzrechts einzubeziehen;

30.

hat Zweifel, ob eine Regelung auch ausschließlich innerstaatlicher Datenverarbeitungen im Rahmen des Richtlinienvorschlags für Polizei und Justiz mit den Rechtsetzungskompetenzen der Europäischen Union vereinbar sowie nach dem Prinzip der Subsidiarität und dem Grundsatz der Verhältnismäßigkeit geboten ist. Außerhalb der Aufgaben bei der Bekämpfung von Terrorismus, organisierter Kriminalität oder Cyberkriminalität bestehen nach wie vor große Datenbestände der Polizei und der Strafverfolgungsbehörden, die ausschließlich auf nationaler Ebene verarbeitet werden und damit keine europäisierte Datenschutzregelung erfordern. Zu berücksichtigen bleibt außerdem, dass Regelungen des Datenschutzrechts unmittelbar auf das sonstige Polizei- und Strafverfahrensrecht zurückwirken und damit mittelbar auch dort zur Harmonisierung zwingen, obwohl hierfür keine ausreichende Kompetenz der Europäischen Union besteht;

31.

ist erstaunt darüber, dass die Organe und Einrichtungen der EU und insbesondere Eurojust und Europol vom Anwendungsbereich der Richtlinie ausgenommen sind;

32.

bittet ungeachtet dieser grundsätzlichen Vorbehalte im weiteren Rechtsetzungsverfahren zu prüfen,

33.

behält sich das Recht vor, eine weitere Stellungnahme und darin insbesondere konkrete Änderungsvorschläge vorzulegen, sobald die Positionen des Rates der Europäischen Union und des Europäischen Parlaments zu den aufgeworfenen Fragen im weiteren Rechtsetzungsverfahren erkennbar geworden sind.