{"id":992,"date":"2015-12-16T12:12:38","date_gmt":"2015-12-16T12:12:38","guid":{"rendered":"http:\/\/www.eaid-berlin.de\/?p=905"},"modified":"2015-12-16T12:12:38","modified_gmt":"2015-12-16T12:12:38","slug":"eu-datenschutz-nach-der-reform-beginnt-die-arbeit","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=992","title":{"rendered":"EU-Datenschutz: Nach der Reform beginnt die Arbeit"},"content":{"rendered":"

(Anm. d.V. Verweise zu den beschlossenen Texten werden eingef\u00fcgt, sobald sie offiziell verf\u00fcgbar sind)<\/em><\/p>\n

Das von den Vertretern der EU-Institutionen (Europ\u00e4isches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten gibt es zuk\u00fcnftig ein gemeinsames Datenschutzgesetz, die \u201eDatenschutzgrundverordnung\u201c (DSGVO). Beachten m\u00fcssen es nicht nur die hier ans\u00e4ssigen Unternehmen, sondern auch Konzerne, die ihre Hauptniederlassung au\u00dferhalb der EU haben, aber hier gesch\u00e4ftlich t\u00e4tig sind (\u201eMarktortprinzip\u201c). Die Einhaltung der Regeln wird von unabh\u00e4ngigen Datenschutzbeh\u00f6rden \u00fcberwacht, die s\u00e4mtlich \u00fcber dieselben, wirksamen Sanktionsm\u00f6glichkeiten verf\u00fcgen. Bei schweren Verst\u00f6\u00dfen k\u00f6nnen Sie Bu\u00dfgelder in H\u00f6he von bis zu 4% des Jahresumsatzes verh\u00e4ngen – das l\u00e4sst sich nicht mehr aus der Portokasse bezahlen. Schlie\u00dflich sind eine Reihe von Versuchen gescheitert, die Datenschutzvorgaben praktisch in letzter Minute in zentralen Punkten abzuschw\u00e4chen, etwa beim Anwendungsbereich (im Hinblick auf die Definition personenbezogener Daten) oder bei der Zweckbindung. Hier bleibt es bei strengen Regelungen, die Zweck\u00e4nderungen an sehr enge Bedingungen kn\u00fcpfen.<\/p>\n

Trotzdem gibt es auch Bereiche, in denen das Ergebnis weniger positiv ausf\u00e4llt als erhofft. So hat sich das EP nicht mit seiner Forderung durchsetzen k\u00f6nnen, dass die Einwilligung in die Verarbeitung personenbezogener Daten generell explizit erkl\u00e4rt werden muss – lediglich bei den \u201ebesonderen Kategorien personenbezogener Daten\u201c (Art. 9) – etwa \u00fcber die Gesundheit – wird eine ausdr\u00fcckliche Einwilligung gefordert, und nicht blo\u00df eine \u201ezweifelsfreie\u201c: (Definition in Art. 2: \u201e\u2019the data subject’s consent‘ means any freely given, specific, informed and unambiguous indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;\u201c).<\/p>\n

Auch die Regelungen zum Profiling bleiben hinter den Forderungen der Datensch\u00fctzer zur\u00fcck, denn die entsprechenden Vorgaben beschr\u00e4nken sich auf solche Profilbildungen, die zu verbindlichen automatisierten Entscheidungen zuungunsten der Betroffenen f\u00fchren.<\/p>\n

Grunds\u00e4tzliche Kritik richtete sich in den letzten Monaten dagegen, dass durch die Datenschutzgrundverordnung das deutsche Datenschutzniveau abgesenkt werde. Diese Bef\u00fcrchtung trifft nur zum Teil zu, etwa im Hinblick auf die strengeren Datenschutzbestimmungen im Telemediengesetz. Andererseits ist das deutsche Datenschutzniveau gerade hier nur in der Theorie hoch, aber de facto nicht. Das zeigte sich etwa am Beispiel Facebook: Deutsche Datenschutzbeh\u00f6rden sind mit Klagen dagegen gescheitert, Facebook – dessen Europazentrale in Dublin liegt – zur Einhaltung der deutschen Datenschutzbestimmungen zu verpflichten. Das h\u00e4ufig beschworene „hohe deutsche Datenschutzniveau“ blieb hier also reine Theorie. In Zukunft gilt aber: Jedes Unternehmen, das in Europa Gesch\u00e4fte macht, muss sich an die einheitlichen europ\u00e4ischen Datenschutzregeln halten. Das ist ein echter Fortschritt, auch wenn die gemeinsamen europ\u00e4ischen Regeln in bestimmten Bereichen hinter dem nationalen Recht zur\u00fcckbleiben. Zudem gibt es andere Bereiche – etwa das Melderecht – in denen die neue EU-Regelung strenger ist als der deutsche Gesetzgeber. Die voraussetzungslose Datenweitergabe der zwangsweise erhobenen Melderegisterdaten an jedermann ist mit der Datenschutzgrundverordnung nicht vereinbar und muss beendet werden.<\/p>\n

Licht und Schatten gibt es schlie\u00dflich auch bei der Bestimmung \u00fcber die betrieblichen bzw. beh\u00f6rdlichen Datenschutzbeauftragten. Einerseits verpflichtet Art. 35 staatliche Stellen und solche Unternehmen, deren Kerngesch\u00e4ft in der \u00dcberwachung oder der Bewertung personenbezogener Daten besteht – etwa Auskunfteien – oder in der Verarbeitung von sensiblen Daten (etwa Gesundheitsdaten oder genetischen Informationen), zu Bestellung eines internen Datenschutzbeauftragten. Allerdings wurden die deutlich strengeren Vorgaben des deutschen BDSG nicht in die DSGVO \u00fcbernommen. Der beschlossene Text enth\u00e4lt aber eine \u00d6ffnungsklausel, die es dem deutschen Gesetzgeber erm\u00f6glicht, an der weitergehenden Bestellungspflicht betrieblicher Datenschutzbeauftragter festzuhalten. (Art. 35 (4): \u201eIn cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. \u2026\u201c<\/p>\n

Auch wenn, wie zu erwarten, die nun beschlossenen Bestimmungen – neben der Datenschutzgrundverordnung auch die Datenschutzrichtlinie f\u00fcr Polizei und Justiz (JI-Richtlinie) – demn\u00e4chst das formelle EU-Gesetzgebungverfahren passieren, bleibt auf europ\u00e4ischer und auf nationaler Ebene bis zu deren Inkrafttreten 2018 viel zu tun: In der EU muss die Kompatibilit\u00e4t anderer europarechtlicher Vorschriften mit der Grundverordnung \u00fcberpr\u00fcft werden. Dies gilt insbesondere f\u00fcr die Datenschutzrichtlinie zur elektronischen Kommunikation (\u201eePrivacy-Richtlinie\u201c). Die Regierungen und Parlamente der Mitgliedstaaten sind gehalten, das nationale Recht zu durchforsten. Dies gilt insbesondere f\u00fcr Deutschland mit seinen vielen bereichsspezifischen Datenschutzbestimmungen. Viele m\u00fcssen \u00fcberarbeitet werden, manche m\u00fcssen wegfallen. Eine besondere Aufgabe kommt auf den Bundestag in Sachen Besch\u00e4ftigtendatenschutz zu. Art. 82 DSGVO enth\u00e4lt die M\u00f6glichkeit, den Umgang mit Besch\u00e4ftigtendaten detailliert zu regeln. (\u201eMember States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees‘ personal data in the employment context, \u2026\u201c). Bund und L\u00e4nder m\u00fcssen sich zudem mit der Frage auseinandersetzen, inwieweit die gesetzlichen Bestimmungen f\u00fcr Polizei und Justiz den Vorgaben der JI-Richtlinie angepasst werden m\u00fcssen. Schlie\u00dflich m\u00fcssen Unternehmen und \u00f6ffentliche Stellen ihre Praxis an die neuen Bestimmungen anpassen. Neue Prozesse m\u00fcssen initiiert, bestehende Verfahren m\u00fcssen ge\u00e4ndert werden \u2026<\/p>\n

Die Europ\u00e4ische Akademie f\u00fcr Informationsfreiheit und Datenschutz (EAID) wird sich in den kommenden Jahren schwerpunktm\u00e4\u00dfig mit den Auswirkungen der neuen EU-Datenschutzregelungen besch\u00e4ftigen. F\u00fcr 2016 planen wir Workshops f\u00fcr Entscheider in Wirtschaft, Politik und Verwaltung zur Umsetzung der EU-Bestimmungen und zur Identifizierung des Reformbedarfs im nationalen Recht.<\/p>\n

Mit freundlichen Gr\u00fc\u00dfen, Peter Schaar<\/p>\n","protected":false},"excerpt":{"rendered":"

(Anm. d.V. Verweise zu den beschlossenen Texten werden eingefügt, sobald sie offiziell verfügbar sind) Das von den Vertretern der EU-Institutionen (Europäisches Parlament, Kommission und Rat) am 15. Dezember 2015 erzielte Verhandlungsergebnis zum Datenschutz-Reformpaket ist ein wichtiger Meilenstein auf dem Weg in die globale Informationsgesellschaft: Statt 28 unterschiedlicher Datenschutzgesetze der Mitgliedstaaten<\/p>\n","protected":false},"author":17,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[194,207,858,5,859,860,849,861,143,760,6,3,7,862,863,4,12,17,864,193,256,202,15,16,14,8,205],"tags":[],"class_list":["post-992","post","type-post","status-publish","format-standard","hentry","category-beschaeftigtendaten","category-beschlagnahmeschutz","category-betrieblicher-datenschutzbeauftragter","category-bsi","category-bundesdatenschutzgesetz","category-datenschutzgrundverordnung","category-einwilligung","category-eprivacy-rl","category-eu","category-europaeische-union","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-ji-richtlinie","category-justiz","category-notfallmanagement","category-penetrationstest","category-penetrationstests","category-personenbezogene-daten","category-peter-schaar-der-blog","category-polizei","category-profiling","category-risikomanagement","category-unternehmen","category-veranstaltungen","category-zertifizierung-audit","category-zweckbindung"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/992","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/17"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=992"}],"version-history":[{"count":2,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/992\/revisions"}],"predecessor-version":[{"id":996,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/992\/revisions\/996"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=992"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=992"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=992"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}