EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012SC0073
COMMISSION STAFF WORKING PAPER EXECUTIVE SUMMARY OF THE IMPACT ASSESSMENT
ARBEITSDOKUMENT DER KOMMISSIONSDIENSTSTELLEN ZUSAMMENFASSUNG DER FOLGENABSCHÄTZUNG
ARBEITSDOKUMENT DER KOMMISSIONSDIENSTSTELLEN ZUSAMMENFASSUNG DER FOLGENABSCHÄTZUNG
/* SEC/2012/0073 endg. */
ARBEITSDOKUMENT DER KOMMISSIONSDIENSTSTELLEN ZUSAMMENFASSUNG DER FOLGENABSCHÄTZUNG /* SEC/2012/0073 endg. */
ARBEITSDOKUMENT DER
KOMMISSIONSDIENSTSTELLEN ZUSAMMENFASSUNG DER FOLGENABSCHÄTZUNG Begleitunterlage zu der Verordnung des Europäischen
Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr
(Datenschutz-Grundverordnung) und
der Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen
Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von
Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr
1.
Einführung
Seit 1995, als die
derzeit geltenden Datenschutzvorschriften der EU verabschiedet wurden, sind
infolge der raschen Veränderungen in Technologie und Wirtschaft neue
Herausforderungen für den Datenschutz entstanden. Datenaustausch und
Datenerfassung haben sich exponentiell entwickelt. Die Technik macht es
möglich, dass Privatwirtschaft und Staat in einem noch nie dagewesenen Umfang
auf personenbezogene Daten zugreifen. Gleichzeitig stellen immer mehr Personen
ihre persönlichen Daten weltweit öffentlich zur Verfügung, ohne sich alle
Risiken bewusst zu machen. Um die
wirtschaftliche Entwicklung zu sichern, muss Vertrauen in die Online-Umgebung
geschaffen werden. Mangelt es Verbrauchern an Vertrauen, meiden diese
Online-Einkäufe und ‑Dienste, darunter auch elektronische
Verwaltungsdienste. Wenn nichts geschieht, wird das mangelnde Vertrauen die
Entwicklung innovativer Anwendungen neuer Technologien weiter hemmen, das
Wirtschaftswachstum behindern und eine sinnvolle Digitalisierung der
behördlichen Dienste verhindern. Darüber hinaus
wurde mit dem Vertrag von Lissabon in Artikel 16 AEUV eine neue
Rechtsgrundlage für ein moderneres und umfassendes Konzept für den Datenschutz
und den freien Verkehr personenbezogener Daten geschaffen, das auch den Bereich
der polizeilichen und justiziellen Zusammenarbeit in Strafsachen abdeckt.
2.
Problemstellung
Die
Folgenabschätzung befasst sich mit drei Hauptproblemen:
2.1.
Problem 1: Hindernisse für Wirtschaft und Behörden
durch Unterschiede in den Rechtsregelungen, Rechtsunsicherheit und
uneinheitliche Durchsetzung
Ungeachtet der Zielsetzung der Richtlinie, in
der EU ein gleichmäßiges Datenschutzniveau zu gewährleisten, sind die Vorschriften
der Mitgliedstaaten nach wie vor sehr uneinheitlich. Daher kommt es vor, dass
die für die Verarbeitung Verantwortlichen in der EU mit 27 unterschiedlichen
Regelungen und Anforderungen konfrontiert sind. Die dadurch bedingte
Zersplitterung des Rechtsrahmens hat zu Rechtsunsicherheit und ungleichem
Datenschutz geführt. Für die Wirtschaft ist dies mit unnötigen Kosten und einem
Verwaltungsaufwand (mit Kosten in Höhe von rund 3 Mrd.
EUR pro Jahr im Basisszenario) verbunden, und es könnte Unternehmen;
darunter KMU, im Binnenmarkt von einer Expansion über Grenzen hinweg abhalten. Darüber hinaus bestehen erhebliche
Unterschiede zwischen den Mitgliedstaaten, was die Ressourcen und Befugnisse
der für den Datenschutz zuständigen nationalen Behörden anbelangt. In manchen
Fällen sind sie nicht in der Lage, ihren Durchsetzungsauftrag zufriedenstellend
auszuführen. Auch gewährleistet die Zusammenarbeit zwischen den Behörden auf
europäischer Ebene – über die bestehende Beratergruppe
(Artikel-29-Datenschutzgruppe) – nicht immer, dass die Bestimmungen einheitlich
angewandt werden. Sie muss daher verbessert werden.
2.2.
Problem 2: Schwierigkeiten bei der Kontrolle der
eigenen personenbezogenen Daten
Wegen der unzulänglichen Harmonisierung der
einzelstaatlichen Datenschutzvorschriften und der unterschiedlichen Befugnisse
der nationalen Datenschutzbehörden hat es der Einzelne in manchen
Mitgliedstaaten schwerer als in anderen, seine Datenschutzrechte ‑
besonders im Internet ‑ wahrzunehmen. Hinzu kommt, dass der Einzelne keine richtige
Kontrolle mehr über seine eigenen Daten hat, da täglich immens viele Daten
ausgetauscht werden und er oft nicht einmal weiß, dass seine personenbezogenen
Daten erfasst werden. Zwar sind viele Europäer der Meinung, dass eine
zunehmende Weitergabe personenbezogener Daten im modernen Leben normal ist[1], doch haben 72 % der
Internetbenutzer in Europa immer noch Vorbehalte, wenn sie nach zu vielen
personenbezogenen Daten gefragt werden. Sie wissen oft nicht, wie sie im
Internet ihre Rechte wahrnehmen können.
2.3.
Problem 3: Datenschutzlücken und Unstimmigkeiten
beim Datenschutz im Bereich der polizeilichen und justiziellen Zusammenarbeit
in Strafsachen
Die polizeiliche
und justizielle Zusammenarbeit in Strafsachen war ausdrücklich vom
Geltungsbereich der Richtlinie ausgenommen, deren Rechtsgrundlage auf den
Binnenmarkt ausgelegt ist. Was den Rahmenbeschluss von 2008 über den
Datenschutz im Bereich der polizeilichen und justiziellen Zusammenarbeit in
Strafsachen anbelangt, so spiegelt dieser die frühere Säulenstruktur der EU
wider. Sein Geltungsbereich ist beschränkt und er enthält
verschiedene andere Lücken, die bei Einzelpersonen und
Strafverfolgungsbehörden zu Rechtsunsicherheit und daneben zu praktischen
Umsetzungsproblemen führen. Darüber hinaus lässt der Rahmenbeschluss einen
erheblichen Spielraum für Ausnahmen von den Datenschutzgrundsätzen auf
nationaler Ebene, so dass eine Harmonisierung ausbleibt. Dadurch könnten nicht
nur diese Grundsätze ausgehöhlt werden – mit negativen Folgen für das
Grundrecht des Einzelnen auf den Schutz seiner personenbezogenen Daten in
diesem Bereich –, sondern könnte auch der Austausch personenbezogener Daten
zwischen den zuständigen nationalen Behörden behindert werden.
3.
Subsidiarität und Verhältnismäßigkeit
Im Hinblick auf
die beschriebene Problematik zeigt die Subsidiaritätsanalyse, dass aus
folgenden Gründen Maßnahmen auf EU-Ebene notwendig sind: ·
Das Recht auf Schutz personenbezogener Daten ist in
Artikel 8 der Charta der Grundrechte verankert. Rechtsgrundlage für
Datenschutzvorschriften der EU ist Artikel 16 AEUV; ·
personenbezogene Daten können immer schneller über
Grenzen hinweg (zu anderen EU-Staaten und zu Drittländern) weitergegeben
werden. Daneben stellen sich praktische Herausforderungen bei der Durchsetzung
der Datenschutzvorschriften. Auch ist eine Zusammenarbeit zwischen den
Mitgliedstaaten und ihren Behörden erforderlich. In diesem Bereich besteht
Handlungsbedarf auf EU-Ebene, damit Kohärenz und ein hohes Maß an Datenschutz
in der Union gewährleistet werden können; ·
die Mitgliedstaaten können der derzeitigen Probleme
– besonders im Zusammenhang mit der Uneinheitlichkeit der einzelstaatlichen
Bestimmungen zur Umsetzung der EU-Datenschutzvorschriften ‑ nicht allein
Herr werden. ·
Auch wenn die Mitgliedstaaten Maßnahmen ergreifen
können, um Datenschutzverstöße zu unterbinden, bestünde ohne gemeinsame
EU-Vorschriften die Gefahr, dass der Datenschutz in den Mitgliedstaaten nicht
in gleichem Maße gewährleistet ist, was den grenzüberschreitenden Verkehr
personenbezogener Daten behindern würde. Die geplanten
Maßnahmen entsprechen dem Verhältnismäßigkeitsgrundsatz: Sie fallen in den
Zuständigkeitsbereich der Union nach den Verträgen und sind notwendig, um die
einheitliche Anwendung der EU-Vorschriften sowie einen wirksamen und gleichmäßigen
Schutz der Grundrechte von Einzelpersonen sicherzustellen. Um weiterhin für
einen glaubwürdigen, hohen Anforderungen genügenden Datenschutz in der
globalisierten Welt zu sorgen, ohne den freien Datenverkehr zu beeinträchtigen,
ist es notwendig, auf EU-Ebene Maßnahmen zu ergreifen. Wenn der Binnenmarkt
reibungslos funktionieren soll, müssen die Vorschriften gleiche
Wettbewerbsbedingungen für Unternehmen gewährleisten.
4.
Ziele
Die drei Hauptziele sind: ·
Vertiefung der Binnenmarktdimension des Datenschutzes durch Abbau der Unterschiede in den Regelungen, Verbesserung der
Kohärenz und Vereinfachung des Regelungsumfelds, damit unnötige Kosten
vermieden werden und der Verwaltungsaufwand verringert wird; ·
Stärkung des Grundrechts auf Datenschutz und
Übertragung der Kontrolle über die Daten an die Betroffenen; ·
Stärkung der Kohärenz der
EU-Datenschutzvorschriften – auch im Bereich der
polizeilichen und justiziellen Zusammenarbeit in Strafsachen ‑ unter
voller Berücksichtigung des Inkrafttretens des Vertrags von Lissabon.
5.
Optionen
5.1.
Option 1: Weiche Maßnahmen
Hierbei handelt es sich hauptsächlich um Mitteilungen
der Kommission zur Auslegung der Rechtsvorschriften, technische Hilfsmittel und
finanzielle Unterstützung – sowie um Maßnahmen zur Förderung der Standardisierung
und Selbstregulierung –, wodurch die für die Datenverarbeitung
Verantwortlichen dazu angehalten werden sollen, die geltenden Regeln in der
Praxis anzuwenden, und die Bevölkerung sensibilisiert werden soll. Die
Kommission würde nur in sehr begrenztem Umfang Änderungen an den
Rechtsvorschriften vorschlagen, um Konzepte der Richtlinie klarzustellen
und bestimmte Fragen anzugehen, die auf anderem Wege nicht wirksam gelöst
werden können. Die Option käme nur für die Probleme 1 und 2 in Frage. Bei einer begrenzten Änderung der
Rechtsvorschriften würden der Transparenzgrundsatz und das Prinzip der
Datensparsamkeit ausdrücklich festgeschrieben und eine Rechtsgrundlage für
verbindliche unternehmensinterne Vorschriften für internationale Datentransfers
eingeführt werden.
5.2.
Option 2: Aktualisierung der Regelung
Die Kommission würde Rechtsvorschriften zur
weiteren Harmonisierung der materiellrechtlichen Vorschriften vorschlagen,
um bestimmte Vorschriften klarer zu formulieren und Inkohärenzen aufgrund
unterschiedlicher Ansätze in den Mitgliedstaaten zu beseitigen. Diese
Vorschläge könnten eine Lösung für die Probleme 1 und 2 bieten, da einerseits
der Datenverkehr innerhalb der EU und zwischen der EU und Drittländern
erleichtert würde und andererseits die Rechte des Einzelnen (darunter
das Auskunftsrecht, das Recht auf Vergessenwerden, klarere
Modalitäten für die Einwilligung und für die Meldung von Datenschutzverstößen) klar
dargelegt und gestärkt werden würden und den für die Datenverarbeitung
Verantwortlichen und den Auftragsverarbeitern mehr Verantwortung –
verbunden mit einer strengeren Rechenschaftspflicht – übertragen werden
würde (z. B. gegebenenfalls durch die Einführung der Pflicht zur
Ernennung von Datenschutzbeauftragten oder zur Durchführung von Datenschutz-Folgenabschätzungen).
Diese Option würde insbesondere eine „zentrale Anlaufstelle“ für die für
die Verarbeitung Verantwortlichen vorsehen (d. h. eine einzige zuständige
Datenschutzbehörde im Rahmen einer einheitlichen Rechtsregelung). Die
allgemeinen Meldeanforderungen würden vereinfacht („einfache Dokumentierung“).
Auch würden die Datenschutzbehörden unabhängiger gemacht und ihre Befugnisse
harmonisiert werden. Vorgesehen wären außerdem eine engere Zusammenarbeit
und gegenseitige Unterstützung der Datenschutzbehörden unter anderem durch ein
neues Kohärenzverfahren, in das sowohl ein neu zu schaffendes
europäisches Datenschutzgremium als auch die Kommission eingebunden werden
sollen. Für den Datenschutz im Bereich der
polizeilichen und justiziellen Zusammenarbeit in Strafsachen (Problem 3) würde
die Kommission Vorschläge zur Ersetzung des Rahmenbeschlusses durch ein neues
Instrument mit erweitertem Geltungsbereich vorlegen und die wichtigsten
Lücken und Mängel angehen, um unter Berücksichtigung der Besonderheiten des
Strafverfolgungsbereichs sowohl die Rechte des Einzelnen zu stärken als auch
die Zusammenarbeit zwischen den Strafverfolgungsbehörden zu fördern.
5.3.
Option 3: Detaillierte Rechtsregelung auf
EU-Ebene
Diese Option würde sämtliche Elemente der Option 2
sowie eine sehr viel detailliertere EU-Rechtsregelung beinhalten,
darunter sektorspezifische Vorschriften (z. B. für das Gesundheitswesen)
sowie eine zentralisierte Durchsetzungsstruktur auf EU-Ebene (d. h.
Einrichtung einer Datenschutzbehörde der EU). Sie würde auch die Abschaffung
der allgemeinen Meldeanforderungen (mit Ausnahme der Vorabkontrolle bei einer
risikobehafteten Datenverarbeitung), die Einrichtung einer EU-weiten
Zertifizierungsregelung für Verfahren und Produkte, die die Datenschutzanforderungen
erfüllen, sowie die Definition EU-weit harmonisierter strafrechtlicher
Sanktionen für Datenschutzverstöße vorsehen. Die Einwilligung würde als
hauptsächliche Grundlage für eine Datenverarbeitung gelten. Bei der polizeilichen und justiziellen Zusammenarbeit
in Strafsachen würde diese Option neben den materiellrechtlichen Maßnahmen der
Option 2 die Einführung ausführlicher Regeln für das (stets direkte)
Auskunftsrecht von Einzelpersonen umfassen. Zudem würden die einschlägigen
Bestimmungen in allen geltenden Rechtsvorschriften der früheren dritten Säule geändert
und ganz an die neuen, ausgeweiteten harmonisierten Regeln angepasst werden.
6.
Folgenabschätzung
6.1.
Option 1: Weiche Maßnahmen
Mitteilungen der Kommission zur Auslegung von
Bestimmungen der Richtlinie wären nicht verbindlich und hätten somit nur
eine begrenzte Auswirkung, was die Rechtsunsicherheit und die Kosten
anbelangt. Eine umfassendere Selbstregulierung auf EU-Ebene könnte den für
die Verarbeitung Verantwortlichen in bestimmten Sektoren mehr rechtliche
Klarheit geben, sie würde aber eine wirksame, kohärente Anwendung der
Bestimmungen mangels einer klaren, harmonisierten EU-Regelung an der Basis
nicht gewährleisten können. Sensibilisierungskampagnen würden dazu
beitragen, Personen besser über ihre Datenschutzrechte
und die Wahrnehmung dieser Rechte in der Praxis aufzuklären. Dadurch kann
allerdings nicht garantiert werden, dass der Einzelne seine Rechte
wahrnehmen kann, wenn diese Rechte in den Rechtsvorschriften nicht klar
definiert sind. Klarstellungen in den Rechtsvorschriften, was die
Grundsätze der Transparenz, der Datensparsamkeit und der Angemessenheit sowie
verbindliche unternehmensinterne Datenschutzregelungen anbelangt, brächten
Fortschritte in Bezug auf die Harmonisierung und die Rechtssicherheit für den
Einzelnen und die Wirtschaft. Hinsichtlich der Durchsetzung könnte die Kommission anhand von Mitteilungen die Vorbehalte der
Mitgliedstaaten gegen eine dahingehende Änderung der innerstaatlichen
Vorschriften nicht ausräumen, dass die Datenschutzbehörden unabhängiger gemacht
und ihnen die gleichen Befugnisse wie in den anderen Ländern erteilt werden.
Eine bessere Koordinierung mit der WP29 und ein Austausch zwischen den
Datenschutzbehörden gäben positive Impulse für eine kohärentere Durchsetzung
der Regeln. Sollten die Vorschriften jedoch weiterhin voneinander abweichen
und unterschiedlich ausgelegt werden, würde dies den Nutzen einer verbesserten
Zusammenarbeit zwischen den Datenschutzbehörden schmälern. Die erwarteten finanziellen und
wirtschaftlichen Auswirkungen dieser Option sind begrenzt, die ermittelten
Probleme würden weitgehend bestehen bleiben.
6.2.
Option 2: Aktualisierung der Regelung
Die
Rechtsunsicherheit wird für Privatunternehmen und Behörden erheblich
abnehmen. Problematische Bestimmungen werden klargestellt. Durch eine
Einschränkung des Auslegungsspielraums sowie durch Durchführungsmaßnahmen
und/oder delegierte Rechtsakte der Kommission wird die Kohärenz erhöht. Indem die allgemeine Meldung der Verarbeitung
personenbezogener Daten durch ein vereinfachtes harmonisiertes
„Dokumentierungssystem“ ersetzt und die Vorabkontrolle bei sensiblen Daten
und einer risikobehafteten Datenverarbeitung beibehalten wird, fällt eine
Pflicht der für die Datenverarbeitung Verantwortlichen weg, die derzeit
uneinheitlich umgesetzt wird. Die Einhaltung der Vorschriften kann leichter
gewährleistet und nachgewiesen werden, wenn die für die Verarbeitung
Verantwortlichen und die Auftragsverarbeiter durch die Ernennung von
Datenschutzbeauftragten – in bestimmten Fällen und mit klar definierten,
gezielten Kriterien –, die Einführung von Datenschutz-Folgenabschätzungen und
des Grundsatzes des Datenschutzes durch Technik mehr Verantwortung erhalten. Durch eine EU-weit einheitliche, klare und
vereinfachte Regelung und durch die Einführung einer zentralen Anlaufstelle für
die Überwachung des Datenschutzes wird der Binnenmarkt gestärkt, wozu auch die Angleichung der Verwaltungsformalitäten der
Datenschutzbehörden beiträgt. Allein durch die daraus resultierende Verminderung
des Verwaltungsaufwands können jährlich rund 2,3 Mrd. EUR
eingespart werden. Eine einheitlichere Durchsetzung wird auch
dadurch gewährleistet, dass die Datenschutzbehörden
mehr und einheitlichere Befugnisse erhalten, ein solides Verfahren für Zusammenarbeit
und gegenseitige Amtshilfe für Fälle mit einer EU-Dimension eingeführt wird und
die administrativen Strafen harmonisiert werden. Eine EU-weit harmonisierte Pflicht zur
Meldung von Datenschutzverstößen wird den Einzelnen besser schützen, sektorübergreifend
für Kohärenz sorgen und Wettbewerbsnachteile vermeiden. Die Rechte der Betroffenen und die
Kontrolle des Einzelnen über seine Daten würden durch
die Einführung neuer Rechte sowie durch die Verbesserung und Klärung der
bestehenden Rechte erheblich gestärkt. Kinder werden durch spezielle
Bestimmungen besonders geschützt. Die Handhabe der Verbände, was die
Unterstützung von Betroffenen bei der Wahrnehmung ihrer Datenschutzrechte
allgemein und vor Gericht anbelangt, wird gestärkt. Die Anwendung allgemeiner
Datenschutzgrundsätze auf die Bereiche der polizeilichen und der justiziellen
Zusammenarbeit in Strafsachen würde den EU-Datenschutzrahmen insgesamt
kohärenter machen, ohne die Besonderheiten der Strafverfolgung außer Acht zu
lassen. Die Rechte des Einzelnen würden vor allem dadurch gestärkt, dass auch
die inländische Verarbeitung in den Geltungsbereich der einschlägigen
Datenschutzregeln einbezogen wird, indem Bedingungen für das Auskunftsrecht
festgelegt und strengere Regeln für die Zweckbindung vorgegeben werden. Die finanziellen und wirtschaftlichen
Kosten, die mit der Verpflichtung größerer Unternehmen (mit mehr als
250 Angestellten) zur Benennung eines Datenschutzbeauftragten verbunden
sind, werden nicht unverhältnismäßig sein, da sehr viele dieser
Unternehmen bereits Datenschutzbeauftragte haben. Die Kosten der Einhaltung
würden 320 Mio. EUR pro Jahr betragen. Diese Pflicht würde für die
erforderliche Mindestzahl von für die Datenverarbeitung Verantwortlichen
gelten, da KMU in der Regel von dieser Pflicht ausgenommen sind, es sei denn,
deren Datenverarbeitungsaktivitäten sind mit erheblichen Datenschutzrisiken
verbunden. Behörden und andere öffentliche Stellen könnten je nach
Organisationsstruktur für mehrere Einrichtungen einen gemeinsamen
Datenschutzbeauftragten bestellen (z. B. für mehrere Zweigstellen,
Abteilungen, Dienststellen). Die Vereinfachung der Regeln für den
internationalen Datentransfer (beispielsweise die Ausweitung des
Geltungsbereichs verbindlicher unternehmensinterner Vorschriften) würde sich
auch positiv auf die Wettbewerbsfähigkeit der EU-Unternehmen auf dem Weltmarkt
auswirken. Allerdings wäre die Stärkung der Befugnisse
und der Unabhängigkeit der Datenschutzbehörden in Verbindung mit der
Verpflichtung der Mitgliedstaaten, ausreichende Mittel zur Verfügung zu
stellen, für die Behörden, die zur Zeit noch keine ausreichenden Befugnisse und
Mittel haben, mit Zusatzkosten verbunden. Zudem entstehen den nationalen
Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) durch
das neue Verfahren für Zusammenarbeit und gegenseitige Amtshilfe für die
Datenschutzbehörden Zusatzkosten. So würden die zusätzlichen Aufgaben des EDSB,
der die Sekretariatsaufgaben des die Artikel-29-Datenschutzgruppe der EU
ersetzenden Europäischen Datenschutzausschusses wahrnehmen soll, insbesondere
seine Aufgabe im Kohärenzverfahren eine jährliche Aufstockung seiner Mittel –
darunter der Mittel für zusätzliches Personal (10 zusätzliche VZE) – um
durchschnittlich 3 Mio. EUR in den ersten sechs Jahren erfordern.
6.3.
Option 3: Detaillierte Rechtsregelung auf EU-Ebene
Durch
präzisere, sektorspezifische Bestimmungen, die die in Option 2 dargelegten
Maßnahmen umfassen, aber darüber hinausgehen, ließen sich die Unterschiede
zwischen den Mitgliedstaaten weitestgehend beseitigen. Allerdings hätten
die Mitgliedstaaten unter Umständen zu wenig Spielraum zur Berücksichtigung
ihrer nationalen Gegebenheiten. Die völlige
Abschaffung der Meldepflicht – außer bei Vorabkontrollen – würde das
Regelungsumfelds erheblich vereinfachen und den Verwaltungsaufwand verringern. Die Einrichtung einer Europäischen
Datenschutzbehörde würde die Durchsetzung wesentlich kohärenter
machen und in Fällen mit klarer EU-Dimension Unstimmigkeiten beseitigen, doch
könnten die Befugnisse einer solchen EU-Behörde den Rahmen des EU-Rechts
sprengen. Diese Option käme der EU jedoch sehr teuer. Harmonisierte
strafrechtliche Sanktionen würden ebenfalls eine kohärente Durchsetzung
fördern. Jedoch kann davon ausgegangen werden, dass die Mitgliedstaaten dies
entschieden ablehnen. Die Rechte der betroffenen Personen, darunter
auch die Rechte der Kinder, würden beispielsweise durch die Erweiterung der
Begriffsbestimmung von sensiblen Daten um die Daten von Kindern, biometrische
und finanzielle Daten gestärkt werden. Durch die Einführung des Rechts auf
Verbandsklagen könnte die Rechtsdurchsetzung vor Gericht maximale Wirkung
erhalten. Zudem verspräche eine Harmonisierung der Sanktionen, darunter auch
der strafrechtlichen Sanktionen, auf EU-Ebene auch eine Stärkung der Rechte des
Einzelnen. Eine explizite Änderung aller Instrumente im
Sinne einer Ausdehnung der allgemeinen Datenschutzregeln auf den Bereich der
polizeilichen und justiziellen Zusammenarbeit in Strafsachen würde sich positiv
auf die Kohärenz der Regeln in diesem Bereich und auf die Rechte des Einzelnen
auswirken. Ein solch tiefgreifender Ansatz träfe jedoch bei den Mitgliedstaaten
auf Widerstand und wäre politisch schwer durchsetzbar.
7.
Vergleich der Optionen
Option 1
wäre mit geringen Einhaltungs‑ und Verwaltungskosten verbunden, besonders
für die Verantwortlichen für die Verarbeitung in der Privatwirtschaft, da die
Zusatzkosten größtenteils von nationalen Behörden und Behörden der EU zu tragen
wären. Jedoch wären auch die positiven Auswirkungen begrenzt: nur
schwer ließen sich Probleme ermitteln und Ziele erreichen. Was die politische Durchsetzbarkeit anbelangt,
dürfte diese – in keiner Weise kontroverse – Option bei den interessierten
Kreisen wegen der begrenzten Reichweite und Wirkung auf Widerstand stoßen und
würde als nicht ehrgeizig genug betrachtet werden. Option 2 wird die Unterschiede beim Datenschutz und die Rechtsunsicherheit
erheblich verringern. Sie wäre wesentlich wirksamer, was die Ermittlung von
Problemen und die Erreichung von Zielen anbelangt. Die mit dieser Option
verbundenen Kosten der Einhaltung dürften angesichts des Nutzens und der
Einsparungen beim Verwaltungsaufwand in Höhe von mehr als 2,3 Mrd.
EUR pro Jahr verhältnismäßig sein. Und das ist für Unternehmen sehr wichtig.
Diese Option wird insgesamt zu einer besseren und einheitlicheren Durchsetzung
führen. Die Abschaffung der Meldepflicht zugunsten eines viel weniger
aufwendigen einfachen Dokumentierungssystems würde zudem das Regelungsumfeld
vereinfachen und die Verwaltungslast verringern. Was die Akzeptanz durch die interessierten
Kreise anbelangt, würde diese Option von den Unternehmen und Behörden allgemein
begrüßt werden, da die Kosten der Einhaltung, insbesondere die durch die
derzeitigen unterschiedlichen Regelungen bedingten Kosten, insgesamt sinken
werden. Die Interessengruppen, die sich für den Datenschutz einsetzen,
insbesondere die Datenschutzbehörden, würden die Stärkung der Datenschutzrechte
befürworten. Hinsichtlich des dritten allgemeinen Ziels würde diese Option
durch die Aufhebung und „Lissabonnisierung“ des Rahmenbeschlusses und durch die
Schließung von Lücken, insbesondere durch die Einbeziehung der innerstaatlichen
Verarbeitung in die Regelung, helfen, das Ziel kohärenterer
Datenschutzbestimmungen im Bereich der polizeilichen und justiziellen
Zusammenarbeit in Strafsachen zu erreichen. Option 3
umfasst die meisten Maßnahmen der Option 2, geht aber in mehreren Punkten viel
weiter. Sie hätte daher infolge der Senkung der durch die unterschiedlichen
Rechtsregelungen bedingten Kosten und der Stärkung der Rechte des Einzelnen
eine durchschlagende positive Auswirkung. Zudem würde eine optimale
Kohärenz der Datenschutzregeln in der ehemaligen dritten Säule erreicht und der
Datenschutz in diesem Zusammenhang erhöht. Einige der Maßnahmen dieser Option
wären jedoch mit übermäßigen Einhaltungskosten verbunden oder werden aller
Wahrscheinlichkeit nach bei den interessierten Kreisen auf starken Widerstand
stoßen. Darüber hinaus wäre es sehr schwierig und
politisch umstritten, alle Instrumente der ehemaligen dritten Säule
gleichzeitig ändern zu wollen. Bevorzugte Option: Die bevorzugte Option ist Option
2 in Verbindung mit folgenden Maßnahmen: –
Abschaffung der Meldepflicht, wie in Option 3
vorgesehen, und –
einige „weiche“ Maßnahmen der Option 1: Förderung
von Technologien zum Schutz der Privatsphäre und Einführung der Zertifizierung
sowie Sensibilisierungskampagnen Mit der bevorzugten Option dürften sich die
politischen Ziele ohne übermäßige Einhaltungskosten und mit erheblich
reduziertem Verwaltungsaufwand am ehesten erzielen lassen. Die verstärkten Datenschutzregeln dürften mit
einigen Zusatzkosten für die Einhaltung verbunden sein, besonders wenn es sich
um für eine risikobehaftete Datenverarbeitung Verantwortliche handelt. Jedoch
kann eine starke Datenschutzregelung der Wirtschaft der EU einen
Wettbewerbsvorteil bringen, da der bessere Datenschutz und der erwartete
Rückgang von Datenschutzverletzungen das Vertrauen der Verbraucher stärken
können. Wenn Unternehmen gezwungen werden, strenge Datenschutzstandards
einzuführen, kann dies langfristig für europäische Unternehmen positiv sein:
sie könnten bei Technologien zum Schutz der Privatsphäre oder Lösungen des
integrierten Datenschutzes eine Führungsposition auf dem Weltmarkt erringen und
Unternehmen, Arbeitsplätze und Kapital anziehen. Darüber hinaus wird eine verstärkte
Harmonisierung die grenzüberschreitende Verarbeitung personenbezogener Daten
vereinfachen und billiger machen. Dadurch dürften die betreffenden Unternehmen
erheblichen Anreiz haben, sich die Vorteile des Binnenmarktes zunutze zu machen
und ins Ausland zu expandieren, was sowohl für Verbraucher als auch für die
europäische Wirtschaft insgesamt von Nutzen wäre. Die bevorzugte Option bietet auch eine ausgewogene Lösung für das
Problem 3, da sie die Rechte des Einzelnen stärkt, Lücken schließt und
Unvereinbarkeiten beim Datenschutz im Bereich der polizeilichen und
justiziellen Zusammenarbeit in Strafsachen beseitigt und gleichzeitig die
Zusammenarbeit bei der Rechtsdurchsetzung verbessert. Dabei werden auch die
Besonderheiten dieses Bereichs und der operative Bedarf berücksichtigt.
8.
Monitoring und Evaluierung
Beim Monitoring und bei der Evaluierung der
Auswirkungen der bevorzugten Option werden Elemente wie die Verwendung neuer,
durch die Reform eingeführter Instrumente, die Befugnisse und Ressourcen der
nationalen Datenschutzbehörden, die Sanktionen bei einer Verletzung von
Datenschutzvorschriften, der Zeitaufwand und die Kosten der Einhaltung durch
die für die Verarbeitung Verantwortlichen sowie der Aufbau von Vertrauen in den
Schutz personenbezogener Daten im Internet im Mittelpunkt stehen. [1] Siehe Eurobarometer Spezial 359 – „Attitudes on
Data Protection and Electronic Identity in the European Union“, Juni 2011,
S. 23.