Unterrichtung durch die Europäische Kommission
Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Gesamtkonzept für den Datenschutz in der Europäischen Union KOM (2010) 609 endg.

Der Bundesrat wird über die Vorlage gemäß § 2 EUZBLG auch durch die Bundesregierung unterrichtet.

Hinweis: vgl.
Drucksache 690/90 = AE-Nr. . 902297 und 960499,
Drucksache 862/07 (PDF) = AE-Nr. 070936 und AE-Nr. 011577 Brüssel, den 4.11.2010 KOM (2010) 609 endgültig

Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss den Ausschuss der Regionen
Gesamtkonzept für den Datenschutz in der Europäischen Union

1. neue Herausforderungen für den Datenschutz

Die Datenschutzrichtlinie von 19951 war ein Meilenstein in der Entwicklung der Datenschutzpolitik der Europäischen Union. Die Richtlinie bestätigt zwei der ältesten, gleichermaßen wichtigen Ziele des europäischen Integrationsprozesses: einerseits den Schutz der Grundrechte und der Grundfreiheiten des Einzelnen, insbesondere des Grundrechts auf Datenschutz, und andererseits die Vollendung des Binnenmarktes - in diesem Fall den freien Verkehr personenbezogener Daten.

Diese beiden Ziele sowie die Grundsätze der Richtlinie gelten fünfzehn Jahre später unverändert. Die Welt um uns herum hat sich hingegen infolge der raschen technologischen Entwicklung und der Globalisierung tiefgreifend verändert, was den Datenschutz vor neue Herausforderungen stellt.

Moderne Technologien ermöglichen es dem Einzelnen, in einem nie zuvor dagewesenen Ausmaß im Handumdrehen Informationen über seine Verhaltensweisen und Vorlieben weiterzugeben und sie öffentlich und weltweit zugänglich zu machen. Soziale Netzwerke, denen Hunderte Millionen Mitglieder aus aller Welt angehören, sind vielleicht das augenfälligste, aber nicht das einzige Beispiel für dieses Phänomen. "Cloud-Computing" - also die Datenverarbeitung über das Internet, bei der sich Software, Ressourcen und Informationen auf andernorts untergebrachten Servern ("in the cloud", also "in der Wolke") befinden - könnte ebenfalls Datenschutzrisiken bergen: der Einzelne könnte die Kontrolle über potenziell sensible Informationen zu seiner Person verlieren, wenn er Daten mit Programmen abspeichert, die auf den Rechnern anderer Personen installiert sind. Einer aktuellen Studie zufolge besteht inzwischen unter den Datenschutzbehörden, Unternehmensverbänden und Verbraucherorganisationen weitgehend Einigkeit darüber, dass mit den Online-Aktivitäten zunehmende Risiken für den Schutz der Privatsphäre und personenbezogener Daten verbunden sind .2

Gleichzeitig werden die Verfahren zur Erfassung personenbezogener Daten immer raffinierter und lassen sich immer schwerer aufspüren. So können Unternehmen durch die Beobachtung des Verhaltens von Internetbenutzern mithilfe ausgeklügelter Programme Personen individuell ansprechen. Auch die zunehmende Verwendung von Verfahren, bei denen Daten automatisch erfasst werden, wie elektronische Fahrausweise, elektronische Straßengebührenerhebung oder elektronische Standortbestimmungsinstrumente, erleichtert die Bestimmung des Aufenthaltsortes einer Person, weil diese einen mobilen Datenträger oder ein mobiles Gerät mit sich führt. Zudem verwenden die Behörden u.a. über ihre elektronischen Verwaltungssysteme zunehmend personenbezogene Daten für verschiedene Zwecke, wie zur Auffindung von Personen beim Ausbruch einer ansteckenden Krankheit, zur wirksameren Terrorismus- und Verbrechensbekämpfung, zur Verwaltung von Sozialversicherungssystemen und zur Steuererhebung.

Das führt unausweichlich zu der Frage, ob die geltenden Datenschutzbestimmungen der EU diesen Herausforderungen standhalten.

Zur Beantwortung dieser Frage leitete die Kommission im Mai 2009 mit einer hochrangigen Konferenz zunächst eine Überprüfung der bestehenden Datenschutzregelung ein. Im Anschluss daran führte sie bis Ende 2009 eine öffentliche Konsultation durch.3 Außerdem wurden mehrere Studien in Auftrag gegeben.4

Die Ergebnisse bestätigen, dass die wesentlichen Grundsätze der Richtlinie nach wie vor Gültigkeit haben und ihre Technikneutralität beibehalten werden sollte. Allerdings wurde auch festgestellt, dass einige Aspekte problematisch sind und spezifische Probleme aufwerfen. Hierzu gehören:

- Beherrschung der Auswirkungen neuer Technologien

Aus den Antworten im Rahmen der Konsultation sowohl von Privatpersonen als auch von Organisationen konnte gefolgert werden, dass die Anwendung der Datenschutzgrundsätze auf neue Technologien präzisiert und spezifiziert werden muss, um sicherzustellen, dass personenbezogene Daten unabhängig von der zur Datenverarbeitung verwendeten Technologie wirksam geschützt werden, und dass sich die für die Verarbeitung Verantwortlichen der Auswirkungen neuer Technologien auf den Datenschutz voll und ganz bewusst sein müssen. Die Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation)5, die die Bestimmungen der allgemeinen Datenschutzrichtlinie auf den Bereich der elektronischen Kommunikation überträgt und ergänzt6, regelt diese Aspekte teilweise.

- Binnenmarktdimension des Datenschutzes

Ein Aspekt, der vielen Befragten, besonders multinationalen Unternehmen, die meisten Probleme bereitet, ist die trotz der gemeinsamen EU-Regelung unzureichende Harmonisierung der verschiedenen Datenschutzvorschriften der Mitgliedstaaten. Nach Ansicht der Befragten müssen die Rechtssicherheit erhöht, der Verwaltungsaufwand verringert und gleiche Bedingungen für die Unternehmen und die anderen für die Datenverarbeitung Verantwortlichen gewährleistet werden.

- Umgang mit der Globalisierung und Verbesserung internationaler Datentransfers

Mehrere Beteiligte wiesen darauf hin, dass durch die zunehmende Praxis der Vergabe von Datenverarbeitungsaufträgen, sehr oft an Auftragnehmer außerhalb der EU, Unklarheiten bezüglich des für die Verarbeitung geltenden Rechts und der Zuweisung der Verantwortung zutage treten. Viele Organisationen gaben an, dass die derzeitigen Regelungen unzulänglich seien, dass sie überarbeitet und miteinander abgestimmt werden müssten, um internationale Datentransfers einfacher und weniger aufwändig zu machen.

- Verstärkter institutioneller Rahmen für die wirksame Durchsetzung der Datenschutzvorschriften

Alle Beteiligten sind sich darüber einig, dass die Datenschutzbehörden mehr Befugnisse erhalten sollten, damit die Einhaltung der Datenschutzvorschriften besser durchgesetzt werden kann. Einige Organisationen forderten auch mehr Transparenz in der Tätigkeit der Datenschutzgruppe (vgl. 2.5) und klare Informationen über deren Aufgaben und Befugnisse.

- Kohärentere Regelung für den Datenschutz

Im Zuge der öffentlichen Konsultation vertraten alle beteiligten Kreise die Ansicht, dass es einer übergreifenden Regelung bedarf, die für die Datenverarbeitung in sämtlichen Sektoren und Politikbereichen der Union gilt. So ließe sich ein einheitlicher Ansatz und ein nahtloser, kohärenter und wirksamer Schutz gewährleisten.7

Die vorstehend aufgeführten Herausforderungen verlangen von der EU ein umfassendes, kohärentes Konzept, das die lückenlose Einhaltung des Grundrechts des Einzelnen auf Schutz seiner Daten in der EU und anderswo garantiert. Mit dem Vertrag von Lissabon wurden in der EU zusätzliche Instrumente eingeführt, mit denen dies erreicht werden kann. Die EU-Charta der Grundrechte, in deren Artikel 8 das Recht jeder Person auf Schutz der sie betreffenden Daten anerkannt wird, wurde rechtsverbindlich. Außerdem wurde eine neue Bestimmung eingeführt8, die die Grundlage für die Schaffung einer umfassenden, kohärenten Regelung der EU zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bildet. Gestützt auf die neue Rechtsgrundlage kann die EU den Datenschutz einheitlich regeln, auch in den Bereichen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen. Die Gemeinsame Außen- und Sicherheitspolitik fällt nur teilweise unter Artikel 16 AEUV, da die Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung von Daten durch die Mitgliedstaaten für diesen Bereich durch einen Beschluss des Rates erlassen werden müssen, der sich auf eine andere Rechtsgrundlage stützt.9

Die Kommission wird diese neuen rechtlichen Möglichkeiten nutzen und dabei der Beachtung des Grundrechts auf Datenschutz in der gesamten EU und in der gesamten Politik der EU höchste Priorität einräumen. Gleichzeitig wird sie der Binnenmarktdimension mehr Gewicht geben und den freien Verkehr personenbezogener Daten fördern. Bei der Gewährleistung des Grundrechts auf den Schutz personenbezogener Daten ist auch weiteren einschlägigen Grundrechten der Charta und weiteren Zielen der Verträge umfassend Rechnung zu tragen.

In der vorliegenden Mitteilung legt die Kommission ihr Konzept für eine Reform der EU-Vorschriften für den Schutz personenbezogener Daten in sämtlichen Tätigkeitsbereichen der EU unter besonderer Berücksichtigung der Herausforderungen der Globalisierung und der neuen Technologien dar, damit auch weiterhin ein hohes Schutzniveau für den Einzelnen bei der Verarbeitung personenbezogener Daten in sämtlichen Tätigkeitsbereichen der EU gewährleistet ist. So wird die EU treibende Kraft bei den Bemühungen um hohe Datenschutzstandards weltweit bleiben können.

2. Hauptziele des Gesamtkonzepts für den Datenschutz

2.1. Stärkung der Rechte des Einzelnen

2.1.1. Angemessener Schutz des Einzelnen in allen Situationen

Die derzeit geltende Datenschutzregelung der EU zielt darauf ab, die Achtung der Grundrechte natürlicher Personen, insbesondere des Grundrechts auf den Schutz personenbezogener Daten zu garantieren, wie es die EU-Charta der Grundrechte vorsieht.10

Der Begriff "personenbezogene Daten" ist ein Schlüsselkonzept der geltenden Datenschutzvorschriften der EU zum Schutz von Privatpersonen. Aus diesem Konzept leiten sich die Verpflichtungen ab, die den für die Datenverarbeitung Verantwortlichen und den Auftragsverarbeitern auferlegt wurden.11 Der Begriff "personenbezogene Daten" soll sämtliche Informationen im direkten oder indirekten Zusammenhang mit einer identifizierten oder identifizierbaren Person erfassen. Um festzustellen, ob eine Person identifizierbar ist, sollten "alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen" 12. Dieser vom Gesetzgeber bewusst gewählte Ansatz zeichnet sich durch seine Flexibilität aus: Er lässt sich auf verschiedene Situationen und Entwicklungen anwenden, die sich auf Grundrechte auswirken, auch auf solche, die bei Annahme der Richtlinie nicht vorhersehbar waren. Dieser hat jedoch auch dazu geführt, dass in vielen Fällen Unklarheit darüber besteht, wie die Richtlinie genau umzusetzen ist, ob Privatpersonen Anspruch auf Datenschutz haben und ob die Verantwortlichen für die Datenverarbeitung die durch die Richtlinie auferlegten Pflichten einzuhalten haben13.

In bestimmten Situationen werden bei einer Verarbeitung spezifische Daten verwendet, für die nach EU-Recht zusätzliche Maßnahmen erforderlich wären. Solche Maßnahmen wurden in einigen Fällen bereits eingeführt. So ist die Speicherung von Daten in Endgeräten (z.B. Mobiltelefonen) nur unter der Voraussetzung erlaubt, dass der Betroffene seine Zustimmung zur Verarbeitung seiner Daten gegeben hat. Eine entsprechende Regelung muss möglicherweise auf EU-Ebene eingeführt werden, beispielsweise auch für verschlüsselte Daten, Standortdaten, Datamining-Verfahren, bei denen Daten aus verschiedenen Quellen gleichzeitig verwendet werden, oder für Fälle, in denen die Vertraulichkeit und Integrität informationstechnischer Systeme14 gewährleistet werden muss.

Alle diese Aspekte müssen sorgfältig geprüft werden.

Die Kommission wird prüfen, wie eine kohärente Anwendung der Datenschutzvorschriften sichergestellt werden kann unter Berücksichtigung der Auswirkungen neuer Technologien auf die Rechte und Freiheiten von Personen mit dem Ziel, den freien Verkehr personenbezogener Daten im Binnenmarkt zu gewährleisten.

2.1.2. Mehr Transparenz für die von der Verarbeitung Betroffenen

Transparenz ist eine Grundvoraussetzung dafür, dass der Einzelne die Kontrolle über seine personenbezogenen Daten hat und ein wirksamer Datenschutz gewährleistet werden kann. Daher müssen die Betroffenen von den für die Verarbeitung Verantwortlichen umfassend, klar und in transparenter Weise darüber informiert werden, wie, von wem und aus welchem Grund ihre Daten erfasst und verarbeitet werden, wie lange sie aufbewahrt werden und ob sie Zugriff auf ihre Daten haben und die Berichtigung oder Löschung der Daten verlangen können. Die Bestimmungen über die Informationen, die dem von der Verarbeitung Betroffenen erteilt werden müssen15, reichen nicht aus.

Transparenz setzt voraus, dass die Informationen leicht zugänglich, verständlich sowie klar und einfach abgefasst sind. Das ist für die Online-Umgebung besonders relevant, wo die Datenschutzhinweise oft unklar, schwer zu finden, wenig transparent16 und nicht immer mit den geltenden Vorschriften vereinbar sind. Als Beispiel könnte die verhaltensorientierte Internetwerbung angeführt werden, bei der sowohl die große Zahl der Beteiligten als auch die Komplexität der dazu nötigen Technik es dem Einzelnen schwer machen zu wissen und nachzuvollziehen, ob, von wem und zu welchem Zweck seine Daten erfasst werden.

Kinder müssen dabei besonderen Schutz genießen, da sie sich der Risiken, Folgen, Garantien und Rechte bei der Verarbeitung personenbezogener Daten weniger bewusst sein dürften17.

Die Kommission wird folgende Maßnahmen in Erwägung ziehen:

Wichtig ist auch, dass Personen informiert werden, wenn ihre Daten versehentlich oder unrechtmäßig gelöscht oder geändert wurden, wenn sie verlorengegangen sind oder wenn Unbefugte darauf zugegriffen oder sie weitergegeben haben. Bei der kürzlich vorgenommenen Überarbeitung der Datenschutzrichtlinie für elektronische Kommunikation wurde die Mitteilung einer Verletzung des Datenschutzes zur Pflicht gemacht, allerdings nur für den Bereich der Telekommunikation. Da aber auch in anderen Sektoren (z.B. Finanzsektor) die Gefahr der Verletzung des Datenschutzes besteht, wird die Kommission prüfen, inwiefern die Pflicht zur Mitteilung einer Verletzung des Datenschutzes auch für andere Sektoren eingeführt werden kann. Die Kommission hatte dies 2009 in einer Erklärung vor dem Europäischen Parlament im Zusammenhang mit der Reform des Rechtsrahmens für elektronische Kommunikationsnetze und -dienste bereits angesprochen. 18 Die Datenschutzrichtlinie für elektronische Kommunikation, die spätestens am 25. Mai 2011 in innerstaatliches Recht umgesetzt sein muss19, wird nicht in diese Prüfung einbezogen. Auch für diese Aspekte bedarf es eines konsequenten kohärenten Ansatzes.

Die Kommission wird

2.1.3. Bessere Kontrolle des Betroffenen über seine Daten

Zwei wichtige Voraussetzungen für ein hohes Datenschutzniveau sind, dass der für die Datenverarbeitung Verantwortliche Daten nur zu ganz bestimmten Zwecken verarbeiten darf (Prinzip der Datensparsamkeit) und der von der Verarbeitung Betroffene weiterhin die Kontrolle über seine eigenen Daten hat. In Artikel 8 Absatz 2 der Charta heißt es: "Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken." Jede Person sollte stets auf seine Daten zugreifen, sie berichtigen, löschen oder sperren können, wenn es keine legitimen gesetzlichen Gründe gibt, die dagegen sprechen. Diese Rechte sind bereits in der geltenden Regelung garantiert. Jedoch ist die Wahrnehmung dieser Rechte in der Praxis nicht einheitlich geregelt; in einigen Mitgliedstaaten ist es einfacher, diese Rechte auszuüben, als in anderen. Darüber hinaus wird die Gewährleistung dieser Rechte besonders in der Online-Umgebung immer schwieriger, weil die Daten dort oft ohne Wissen und/oder ohne Zustimmung des Betroffenen gespeichert werden.

Vor allem sind in diesem Zusammenhang die sozialen Online-Netzwerke anzuführen, da die Frage der Kontrolle des Einzelnen über seine personenbezogenen Daten hier besonders problematisch ist. Einige Personen haben sich an die Kommission gewandt und sich darüber beklagt, dass es ihnen nicht immer gelang, ihre personenbezogenen Daten (beispielsweise Bilder) von Online-Diensteanbieter zurückzuerhalten, und dass sie daher ihr Recht auf Zugang zu ihren Daten, auf deren Berichtigung und Löschung nicht wahrnehmen konnten.

Solche Rechte sollten daher expliziter und klarer formuliert und gegebenenfalls gestärkt werden.

Die Kommission wird daher Möglichkeiten prüfen, um - das Prinzip der Datensparsamkeit zu stärken;

2.1.4. Bewusstsein fördern

Transparenz ist gewiss von wesentlicher Bedeutung, doch ist es darüber hinaus erforderlich, die Allgemeinheit, insbesondere junge Leute, besser über die Risiken der Verarbeitung personenbezogener Daten aufzuklären. Eine Eurobarometer-Umfrage von 2008 in den EU-Mitgliedstaaten erbrachte, dass es nach Meinung der großen Mehrheit der Bevölkerung in ihrem Land an Datenschutzbewusstsein mangelt.20 Daher sollte die Aufklärung von verschiedenen Seiten verstärkt gefördert und propagiert werden, beispielsweise durch Behörden der Mitgliedstaaten, insbesondere Datenschutzbehörden und für Bildung zuständige Stellen, sowie durch die für die Verarbeitung Verantwortlichen und Verbände der Zivilgesellschaft. In diesem Zusammenhang sollten auch nichtlegislative Maßnahmen ergriffen werden wie Informationskampagnen in den Print- und den Online-Medien und die Bereitstellung leserfreundlicher Informationen auf Websites, aus denen die Rechte der von der Verarbeitung Betroffenen und die Pflichten der für die Verarbeitung Verantwortlichen klar ersichtlich sind.

Die Kommission wird Folgendes sondieren:

2.1.5. Gewährleistung der Einwilligung ohne Zwang und in Kenntnis der Sachlage

Wenn die Einwilligung in Kenntnis der Sachlage verlangt wird, muss die betroffenen Person nach geltendem Recht ihren Willen zur Verarbeitung ihrer Daten "ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage" bekunden; sie akzeptiert dadurch, dass die sie betreffenden personenbezogenen Daten verarbeitet werden. 21 Diese Bedingungen werden allerdings derzeit in den Mitgliedstaaten unterschiedlich ausgelegt. Manche verlangen generell eine schriftliche Einwilligung, andere gehen sogar so weit, die stillschweigende Einwilligung zuzulassen.

Darüber hinaus ist es in der Online-Umgebung - wegen der Undurchsichtigkeit der einschlägigen Datenschutzgrundsätze - oft für Einzelne besonders schwer, ihre Rechte zu kennen und eine Einwilligung in Kenntnis der Sachlage zu erteilen. Erschwerend kommt hinzu, dass es in manchen Fällen nicht einmal klar ist, was unter einer ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage gegebenen Einwilligung zur Datenverarbeitung zu verstehen ist. Ein Beispiel hierfür ist die verhaltensorientierte Internetwerbung, bei der die jeweiligen Einstellungen des Internet-Browsers nach Meinung einiger, aber nicht aller, die Einwilligung des Nutzers zum Ausdruck bringen.

Daher sollte geklärt werden, wann die Bedingungen für die Einwilligung des Betroffenen erfüllt sind, um zu garantieren, dass diese stets in Kenntnis der Sachlage gegeben wird und dass der Betroffene - wie Artikel 8 der Charta der Grundrechte der Europäischen Union verlangt - genau weiß, dass er seine Einwilligung zur Datenverarbeitung erteilt und was diese Verarbeitung genau beinhaltet. Wenn die wesentlichen Konzepte klar sind, kann dies auch Anreiz für Initiativen zur Selbstregulierung geben, so dass praktische Lösungen gefunden werden können, die mit dem EU-Recht vereinbar sind.

Die Kommission wird prüfen, wie die Bestimmungen über die Einwilligung präzisiert und gestärkt werden können.

2.1.6. Schutz sensibler Daten

Die Verarbeitung sensibler Daten, also von Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben, ist - mit wenigen Ausnahmen unter bestimmten Bedingungen und mit angemessenen Garantien - derzeit bereits generell verboten. 22 Angesichts der technologischen und gesellschaftlichen Entwicklungen müssen jedoch die Bestimmungen über den Schutz sensibler Daten insbesondere daraufhin überprüft werden, ob dies auch für andere Datenkategorien gelten sollte und ob die Voraussetzungen für die Datenverarbeitung präzisiert werden sollten. Das betrifft beispielsweise Gendaten, die bisher nicht ausdrücklich als sensible Datenkategorie eingestuft sind.

Die Kommission wird prüfen,

2.1.7. Wirksamere Rechtsbehelfe und Sanktionen

Für eine wirksame Durchsetzung der Datenschutzvorschriften bedarf es wirksamer Bestimmungen über Rechtsbehelfe und Sanktionen. Viele Fälle, in denen die Datenschutzrechte einer Person verletzt wurden, betreffen auch viele andere Personen in einer ähnlichen Situation.

Die Kommission wird

2.2. Stärkung der Binnenmarktdimension

2.2.1. Mehr Rechtssicherheit und gleiche Bedingungen für die Verantwortlichen für die Datenverarbeitung

Der Datenschutz in der EU hat eine ausgeprägte Binnenmarktdimension, d.h. im Binnenmarkt muss der freie Verkehr personenbezogener Daten zwischen den Mitgliedstaaten sichergestellt werden. Daher beschränkt sich die Richtlinie nicht auf eine Mindestharmonisierung der einzelstaatlichen Datenschutzvorschriften, sondern zielt vielmehr auf eine vollständige Harmonisierung.23

Gleichzeitig lässt die Richtlinie den Mitgliedstaaten in bestimmten Bereichen einen gewissen Spielraum und erlaubt ihnen, für bestimmte Situationen ihre Sonderbestimmungen beizubehalten oder solche einzuführen. 24 Dies und die Tatsache, dass die Richtlinie von manchen Mitgliedstaaten nicht ordnungsgemäß umgesetzt wurde, hat zu divergierenden Rechtsvorschriften in den Mitgliedstaaten geführt, die einem der Hauptziele der Richtlinie entgegenstehen, nämlich der Gewährleistung des freien Verkehrs personenbezogener Daten im Binnenmarkt. Das trifft auf viele Sektoren und Situationen zu, beispielsweise auf die Verarbeitung personenbezogener Daten im Personalwesen oder zum Zweck des Gesundheitsschutzes. Die mangelnde Harmonisierung ist in der Tat eines der Hauptprobleme, auf die private interessierte Gruppen, besonders Unternehmen, immer wieder hinweisen, weil ihnen dadurch Zusatzkosten und Verwaltungsaufwand entstehen. Besonders betroffen sind für die Verarbeitung Verantwortliche, die in mehreren Mitgliedstaaten Niederlassungen haben und sich an die Vorschriften und Praktiken aller dieser Staaten halten müssen. Darüber hinaus führen Unterschiede bei der Umsetzung der Richtlinie in den Mitgliedstaaten nicht nur für die Verantwortlichen für die Verarbeitung zu Rechtsunsicherheit, sondern auch für die von der Verarbeitung Betroffenen, wodurch ein gleichwertiger Schutz, den die Richtlinie eigentlich sicherstellen soll, möglicherweise nicht mehr gewährleistet werden kann.

Die Kommission wird Ansätze für eine weitere Harmonisierung der Datenschutzbestimmungen auf EU-Ebene prüfen.

2.2.2. Verringerung des Verwaltungsaufwands

Die Gewährleistung gleicher Bedingungen bedeutet, dass der für die Verarbeitung Verantwortliche mit weniger divergierenden einzelstaatlichen Bestimmungen konfrontiert ist, was den Verwaltungsaufwand für ihn erheblich reduzieren wird. Ein weiterer konkreter Schritt zur Verminderung der Verwaltungslasten und der Kosten für diesen Personenkreis bestünde in der Änderung und Vereinfachung der derzeitigen Melderegelung.25 Die für die Verarbeitung Verantwortlichen sind sich darüber einig, dass die derzeitige allgemeine Pflicht zur Meldung sämtlicher Verarbeitungsvorgänge bei den Datenschutzbehörden eine relativ hohe Belastung darstellt und nicht nennenswert zum Schutz personenbezogener Daten beiträgt. Darüber hinaus ist die Meldepflicht ein Beispiel der Bestimmungen, bei denen die Richtlinie den Mitgliedstaaten einen gewissen Spielraum bei Entscheidungen über Ausnahmen und Vereinfachungen sowie bei der Wahl der anzuwendenden Verfahren lässt.

Eine harmonisierte vereinfachte Regelung würde die Kosten wie auch den Verwaltungsaufwand vermindern, vor allem für die multinationalen Unternehmen, die in mehreren Mitgliedstaaten Niederlassungen haben.

Die Kommission wird verschiedene Möglichkeiten für eine Vereinfachung und Harmonisierung der derzeitigen Melderegelung prüfen, darunter die Einführung eines EU-weit einheitlichen Registrierungsformulars.

2.2.3. Klärung der Bestimmungen über das anwendbare Recht und der Verantwortung der Mitgliedstaaten

Bereits 2003 hatte die Kommission in ihrem ersten Bericht über die Durchführung der Datenschutzrichtlinie26 darauf hingewiesen, dass die Bestimmungen über das anwendbare Recht27 "in mehreren Fällen fehlerhaft [sind], wodurch genau die Art von Konflikten auftreten könnten, die durch diesen Artikel verhindert werden sollen". Dies ist seitdem nicht besser geworden. Wenn mehrere Mitgliedstaaten betroffen sind, ist es daher den für die Verarbeitung Verantwortlichen und den Datenschutzbehörden nicht immer klar, welcher Mitgliedstaat verantwortlich und welches Recht anwendbar ist. Dies ist vor allem dann der Fall, wenn der für die Verarbeitung Verantwortliche nicht übereinstimmende Bestimmungen verschiedener Mitgliedstaaten beachten muss, wenn ein multinationales Unternehmen Niederlassungen in mehreren Mitgliedstaaten hat oder wenn der für die Verarbeitung Verantwortliche nicht in der EU niedergelassen ist, aber Dienste für in der EU Ansässige erbringt.

Auch die Globalisierung und die technologische Entwicklung tragen zu mehr Komplexität bei: Die für die Verarbeitung Verantwortlichen, die oft rund um die Uhr Dienste und Unterstützungsleistungen anbieten, sind zunehmend in mehreren Mitgliedstaaten und Rechtsordnungen tätig. Das Internet erleichtert es ihnen, auch von außerhalb des Europäischen Wirtschaftsraums (EWR)28 aus großer Entfernung Dienstleistungen zu erbringen und personenbezogene Daten in der Online-Umgebung zu verarbeiten. Oft ist es sogar schwer, zu einem bestimmten Zeitpunkt personenbezogene Daten und die jeweils verwendeten Anlagen zu orten (z.B. bei Cloudcomputing-Anwendungen und -Diensten).

Nach Meinung der Kommission sollte die Tatsache, dass personenbezogene Daten von für die Datenverarbeitung verantwortlichen Personen verarbeitet werden, die in einem Drittland niedergelassen sind, den Betroffenen nicht den Schutz entziehen, auf den sie kraft der Grundrechtecharta und der EU-Datenschutzvorschriften Anspruch haben.

Die Kommission wird prüfen, wie die geltenden Vorschriften über das anwendbare Recht sowie die Kriterien zu dessen Bestimmung geändert und präzisiert werden können, um für mehr Rechtssicherheit zu sorgen, die Zuständigkeit der Mitgliedstaaten für die Anwendung der Datenschutzvorschriften zu klären und letztlich den von der Verarbeitung Betroffenen in der EU unabhängig vom geografischen Standort des für die Verarbeitung Verantwortlichen stets ein gleiches Schutzniveau zu garantieren.

2.2.4. Mehr Verantwortung der für die Verarbeitung Verantwortlichen

Die verwaltungstechnische Vereinfachung sollte nicht dazu führen, dass die für die Verarbeitung Verantwortlichen insgesamt weniger Verantwortung für den Datenschutz tragen. Nach Meinung der Kommission sollten die Pflichten vielmehr stärker rechtlich verankert werden, darunter auch durch Vorschriften über interne Kontrollverfahren und die Zusammenarbeit mit den Datenschutzbehörden. Darüber hinaus sollte sichergestellt werden, dass eine solche Verantwortung auch für die für die Verarbeitung Verantwortlichen, die beruflichen Geheimhaltungspflichten unterliegen (z.B. Anwälte), sowie in den immer häufigeren Fällen besteht, in denen für die Verarbeitung Verantwortliche Unteraufträge über die Datenverarbeitung vergeben (beispielsweise an Auftragsverarbeiter).

Die Kommission wird daher Möglichkeiten ausloten, wie sichergestellt werden kann, dass die für die Verarbeitung Verantwortlichen wirksame Maßnahmen und Verfahren einführen, mit denen die Einhaltung der Datenschutzvorschriften gewährleistet werden kann. Dabei wird sie der aktuellen Debatte über die mögliche Einführung des Rechenschaftsgrundsatzes ("accountability") Rechnung tragen. 29 Das sollte nicht zu einem zusätzlichen Verwaltungsaufwand für die Verantwortlichen für die Verarbeitung führen, da es darum geht, Garantien und Verfahren festzulegen, die die Einhaltung der Datenschutzbestimmungen erleichtern und gleichzeitig bestimmte Formalitäten abschaffen oder vereinfachen, beispielsweise die Meldeformalitäten (vgl. 2.2.2).

Die Technologien zum Schutz der Privatsphäre, für deren Förderung sich die Kommission bereits 2007 in einer Mitteilung ausgesprochen hat, sowie die Anwendung des Konzepts "Privacy by Design" ("mit eingebautem Datenschutz") könnten hierbei und für die Datensicherheit eine wichtige Rolle spielen. 30

Die Kommission wird folgende Maßnahmen prüfen, um die Verantwortung der für die Verarbeitung Verantwortlichen zu stärken:

2.2.5. Förderung von Initiativen zur Selbstregulierung und Möglichkeit der Zertifizierung durch die EU

Die Kommission ist nach wie vor der Meinung, dass Initiativen der für die Verarbeitung Verantwortlichen zur Selbstregulierung zu einer besseren Durchsetzung der Datenschutzvorschriften beitragen können. Bisher wurden die Bestimmungen der Datenschutzrichtlinie über die Selbstregulierung, die die Erstellung von Verhaltenskodizes vorsehen32, selten angewandt und werden von den privaten Gruppen als unzureichend gewertet.

Die Kommission wird zudem sondieren, ob EU-Zertifizierungsregelungen (z.B. Datenschutzsiegel) für Verfahren, Technologien, Produkte und Dienste, die hinsichtlich des Datenschutzes unbedenklich sind, eingeführt werden sollten. 33 Dies wäre nicht nur für Nutzer dieser Technologien, Produkte und Dienste eine Hilfe, sondern hätte auch Vorteile für die für die Verarbeitung Verantwortlichen: Durch die Wahl zertifizierter Technologien, Produkte und Dienste könnten sie nachweisen, dass sie ihren Pflichten nachgekommen sind (vgl. 2.2.3). Selbstverständlich müsste unbedingt die Zuverlässigkeit solcher Datenschutzsiegel gewährleistet und geprüft werden, ob sie mit den rechtlichen Pflichten und internationalen Techniknormen vereinbar sind.

Die Kommission wird

2.3. Änderung der Datenschutzvorschriften in den Bereichen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen

Die Datenschutzrichtlinie gilt für jegliche Verarbeitung personenbezogener Daten in den Mitgliedstaaten, und zwar sowohl für den öffentlichen als auch für den privaten Bereich. Ausgenommen ist jedoch die "Verarbeitung personenbezogener Daten, die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen", beispielsweise im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen. 34 Mit dem Vertrag von Lissabon wurde jedoch die frühere Säulenstruktur der EU abgeschafft und eine neue Rechtsgrundlage für den Schutz personenbezogener Daten in sämtlichen Politikbereichen der EU eingeführt.35 Vor diesem Hintergrund und unter Berücksichtigung der EU-Grundrechtecharta hat die Kommission in ihren Mitteilungen über das Stockholmer Programm und den Aktionsplan zur Umsetzung des Stockholmer Programms herausgestellt, dass es einer "einheitliche[n] Regelung zum Schutz personenbezogener Daten" bedarf und die "Position der EU bezüglich des Schutzes personenbezogener Daten bei allen EU-Maßnahmen, einschließlich jener in den Bereichen Strafverfolgung und Kriminalprävention" gestärkt werden müsse36.

Im Unionsrecht ist der Schutz personenbezogener Daten im Rahmen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen im Rahmenbeschluss 2008/977/J137 geregelt. Der Rahmenbeschluss ist ein wichtiger Fortschritt in diesem Bereich, in dem gemeinsame Datenschutzstandards dringend erforderlich sind. Darüber hinaus müssen aber noch weitere Schritte ergriffen werden.

Der Rahmenbeschluss gilt nur für den grenzüberschreitenden Austausch von personenbezogenen Daten innerhalb der EU, nicht aber für die Datenverarbeitung innerhalb der Mitgliedstaaten. In der Praxis ist eine Trennung dieser Verarbeitungsvorgänge schwierig; sie kann die Umsetzung und Anwendung des Rahmenbeschlusses erschweren.

Zudem ersetzt der Rahmenbeschluss nicht die auf EU-Ebene erlassenen sektorspezifischen Vorschriften über die polizeiliche und justizielle Zusammenarbeit in Strafsachen, 41 insbesondere nicht die Rechtsakte über Europol, Eurojust, das Schengener Informationssystem (SIS) und das Zollinformationssystem (ZIS)42, die entweder spezielle Datenschutzvorschriften enthalten und/oder auf die Datenschutzübereinkommen des Europarates verweisen. Im Bereich der polizeilichen und justiziellen Zusammenarbeit haben alle Mitgliedstaaten zugesagt, die Empfehlung R (87) 15 des Ministerkomitees des Europarates zu beachten, die die Grundsätze der Konvention Nr. 108 auf polizeiliche Angelegenheiten überträgt. Sie ist jedoch nicht rechtsverbindlich.

Dieser Sachstand kann sich direkt auf die Möglichkeiten auswirken, die Einzelpersonen zur Wahrnehmung ihrer Datenschutzrechte in diesem Bereich haben (z.B. das Recht zu wissen, dass ihre Daten verarbeitet oder weitergegeben werden, wer dies tut und zu welchem Zweck, wie sie ihre Rechte, beispielsweise ihr Recht auf Zugriff auf ihre Daten, durchsetzen können).

Wenn das Ziel einer umfassenden und kohärenten Regelung der EU, die auch gegenüber Drittländern gilt, erreicht werden soll, muss somit auch eine Änderung der geltenden Datenschutzregeln im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in Erwägung gezogen werden. Die Kommission betont, dass eine umfassende Datenschutzregelung besondere Bestimmungen für die Bereiche Polizei und Justiz innerhalb der allgemeinen Regelung nicht ausschließt, die dem spezifischen Charakter dieser Bereiche gebührend Rechnung tragen, wie in Erklärung Nr. 21 im Anhang zum Vertrag von Lissabon zum Ausdruck gebracht wurde. Das bedeutet beispielsweise, dass geprüft werden muss, inwieweit die Wahrnehmung bestimmter Datenschutzrechte im Einzelfall die Verhütung, Ermittlung, Feststellung oder Verfolgung von Straftaten oder die Vollstreckung strafrechtlicher Sanktionen beeinträchtigen würde.

Die Kommission wird

2.4. Die globale Dimension des Datenschutzes

2.4.1. Klärung und Vereinfachung der Bestimmungen über internationale Datentransfers

Der Transfer personenbezogener Daten in Länder außerhalb der EU und des EWR kann u.a. nach einer Angemessenheitsprüfung erlaubt werden. Die Angemessenheit des Datenschutzes in einem Drittland, also die Frage, ob das Drittland einen Schutz gewährleistet, den die EU als angemessen betrachtet, kann von der Kommission oder von den Mitgliedstaaten geprüft werden.

Bescheinigt die Kommission die Angemessenheit des Datenschutzes, dürfen personenbezogene Daten unbeschränkt und ohne weitere Garantien von den 27 EU-Mitgliedstaaten und den drei EWR-Staaten an dieses Land weitergegeben werden. Die Anforderungen für die Anerkennung eines angemessenen Datenschutzniveaus durch die Kommission sind allerdings bisher in der Datenschutzrichtlinie nicht genau genug geregelt. Darüber hinaus ist im Rahmenbeschluss eine solche Entscheidung der Kommission nicht vorgesehen.

In manchen Mitgliedstaaten wird beispielsweise die Angemessenheit von dem für die Verarbeitung Verantwortlichen, der die personenbezogenen Daten in ein Drittland übermittelt, geprüft, manchmal nimmt die Datenschutzbehörde eine Expost-Kontrolle vor. Dies kann dazu führen, dass bei der Prüfung der Angemessenheit des Datenschutzes in Drittländern oder in internationalen Organisationen unterschiedlich vorgegangen wird mit der Folge, dass der Schutz, der den von der Verarbeitung Betroffenen in einem Drittland gewährt wird, von Mitgliedstaat zu Mitgliedstaat unterschiedlich beurteilt wird. Auch enthalten die geltenden Rechtsakte keine genauen harmonisierten Bestimmungen darüber, welche Transfers als rechtmäßig einzustufen sind. Das führt zu einer uneinheitlichen Vorgehensweise in den Mitgliedstaaten.

Hinzu kommt, dass die Standardklauseln der Kommission für den Transfer personenbezogener Daten an für die Verarbeitung Verantwortliche43 und an Auftragsverarbeiter 44 in Drittländern, die keinen angemessenen Schutz gewährleisten, nicht auf Situationen anwendbar sind, die nicht durch Verträge geregelt sind, und beispielsweise für den Transfer zwischen Behörden nicht verwendet werden können.

Außerdem sehen internationale Abkommen, die die EU oder ihre Mitgliedstaaten schließen, oft die Einführung von Datenschutzgrundsätzen und spezifischen Bestimmungen vor. Das kann zu abweichenden, inkohärenten Bestimmungen und Unterschieden bei den Rechten führen, die zum Nachteil der von der Verarbeitung Betroffenen unterschiedlich ausgelegt werden können. Daher wird die Kommission, wie angekündigt, wesentliche Datenschutzbestimmungen für Abkommen zwischen der EU und Drittländern über die Strafverfolgung erarbeiten45.

Auch andere Methoden, die als Form der Selbstregulierung entwickelt wurden, wie verbindliche unternehmensinterne Vorschriften, 46 können nützliche Hilfsmittel für den rechtmäßigen Transfer personenbezogener Daten zwischen den einzelnen Unternehmen eines Konzerns sein. Bei der Konsultation wurde jedoch die Meinung vertreten, dass dieses Verfahren noch verbessert und seine Anwendung erleichtert werden könnte.

Zur Behebung der ermittelten Probleme müssen die bestehenden Verfahren für internationale Transfers personenbezogener Daten allgemein verbessert werden. Gleichzeitig muss sichergestellt werden, dass die personenbezogenen Daten beim Transfer und bei der Verarbeitung außerhalb der EU und des EWR angemessen geschützt werden.

Die Kommission wird prüfen, wie

2.4.2. Förderung universeller Grundsätze

Die Datenverarbeitung ist globalisiert. Daher müssen universell gültige Grundsätze für den Schutz von Personen bei der Verarbeitung personenbezogener Daten festgelegt werden.

Die Datenschutzregelung der EU war oft Vorbild für Drittländer, die ebenfalls Datenschutzbestimmungen einführen wollten. Durch ihre Geltung und ihre Auswirkungen in der EU und anderswo setzt sie maßgebende Standards. Die Europäische Union muss daher weiterhin treibende Kraft bei der Entwicklung und Förderung internationaler rechtlicher und technischer Normen im Bereich des Schutzes personenbezogener Daten sein, die sich auf die einschlägigen Rechtsinstrumente der EU und der EU-Mitgliedstaaten zum Datenschutz stützen sollten. Dies ist im Rahmen der Erweiterungspolitik der EU besonders wichtig.

Die Kommission ist der Meinung, dass ihre künftige Regelung und die internationalen technischen Normen von Normungsorganisationen unbedingt aufeinander abgestimmt werden müssen, um in der Praxis eine kohärente Anwendung der Datenschutzbestimmungen durch die für die Verarbeitung Verantwortlichen zu gewährleisten.

Die Kommission wird

2.5. Verstärkter institutioneller Rahmen für eine bessere Durchsetzung der Datenschutzvorschriften

Die Um- und Durchsetzung der grundlegenden Datenschutzbestimmungen und -regeln ist für den Schutz der Rechte des Einzelnen von grundlegender Bedeutung.

Dabei kommt den Datenschutzbehörden eine wesentliche Aufgabe zu. Sie sind unabhängige Hüter der Grundrechte und Grundfreiheiten im Bereich des Datenschutzes, auf die die Einzelnen vertrauen für die Gewährleistung des Schutzes ihrer personenbezogenen

Daten und die Rechtmäßigkeit der Datenverarbeitung. Aus diesem Grund sollte deren Rolle nach Dafürhalten der Kommission besonders in Anbetracht der jüngsten ständigen Rechtsprechung des EuGH zu deren Unabhängigkeit 47 gestärkt werden, und sie sollten die nötigen Befugnisse und Ressourcen erhalten, um ihren Auftrag in ihren Ländern und bei der Zusammenarbeit mit anderen Datenschutzbehörden erfüllen zu können.

Nach Meinung der Kommission sollten die Datenschutzbehörden außerdem enger zusammenarbeiten und ihre Tätigkeiten besser miteinander abstimmen, besonders dann, wenn sie mit Angelegenheiten befasst sind, die ihrer Natur nach grenzüberschreitenden Charakter haben. Das ist vor allem dann der Fall, wenn multinationale Unternehmen in mehreren Mitgliedstaaten Niederlassungen haben und in allen diesen Ländern aktiv sind oder wenn die Überwachungstätigkeiten mit dem Europäischen Datenschutzbeauftragten koordiniert werden müssen48.

Dabei kann die Datenschutzgruppe eine wichtige Rolle spielen 49; neben ihrer Beratungsfunktion 50 muss sie bereits jetzt sicherstellen helfen, dass die EU-Datenschutzvorschriften auf nationaler Ebene einheitlich angewendet werden. Da die EU-Bestimmungen von den Datenschutzbehörden allerdings weiterhin unterschiedlich angewandt und ausgelegt werden, auch wenn die Datenschutzproblematik in der gesamten EU die Gleiche ist, sollte die Rolle der Datenschutzgruppe bei der Koordinierung der Standpunkte der Datenschutzbehörden gestärkt werden, damit eine einheitlichere Anwendung auf Ebene der Mitgliedstaaten und somit ein einheitliches Datenschutzniveau gewährleistet werden kann.

Die Kommission wird prüfen,

3. Schlussfolgerung: das weitere Vorgehen

Mit der Technologie verändert sich auch die Art und Weise, wie personenbezogene Daten in unserer Gesellschaft verwendet und übermittelt werden. Das stellt die Gesetzgeber vor die Herausforderung, eine Regelung einzuführen, die solche Veränderungen überdauert. Nach der Reform sollten die europäischen Datenschutzvorschriften nach wie vor ein hohes Schutzniveau gewährleisten und gleichzeitig Privatpersonen, Behörden und Unternehmen im Binnenmarkt dauerhaft Rechtssicherheit bieten. Wie komplex die Situation und wie ausgeklügelt eine Technik auch sein mag, es muss klar sein, welches Recht und welche Standards die nationalen Behörden durchzusetzen und die Unternehmen und Entwickler neuer Technologien einzuhalten haben. Auch natürliche Personen müssen Klarheit über ihre Rechte haben.

Das umfassende Konzept der Kommission zur Lösung der Probleme und zur Erreichung der zentralen Ziele, die in dieser Mitteilungen dargelegt wurden, wird als Grundlage für die Diskussionen mit den anderen EU-Organen und interessierten Kreisen dienen und zu gegebener Zeit in konkrete Vorschläge und Maßnahmen legislativer und nichtlegislativer Art einfließen. Daher wünscht sich die Kommission Rückmeldung zu den in der Mitteilung angesprochenen Aspekten.

Auf dieser Grundlage wird die Kommission 2011 nach Durchführung einer Folgenabschätzung und unter Berücksichtigung der EU-Grundrechtecharta Rechtsvorschriften vorschlagen, um die Datenschutzvorschriften im Sinne des Anliegens der EU zu ändern, dass der Schutz personenbezogener Daten in allen Politikbereichen, auch bei der Strafverfolgung und der Kriminalitätsprävention, deren Besonderheiten zu berücksichtigen sind, gewährleistet wird. Gleichzeitig sind nichtlegislative Maßnahmen geplant. Beispielsweise soll die Selbstregulierung gefördert und die mögliche Einführung von EU-Datenschutzsiegeln geprüft werden.

In einem zweiten Schritt wird die Kommission prüfen, ob andere Rechtsakte an die neue allgemeine Datenschutzregelung angepasst werden müssen. An erster Stelle betrifft dies die Verordnung (EG) Nr. 045/2001, deren Vorschriften an diese neue Regelung angepasst werden müssten. Später müssen dann auch die Auswirkungen auf andere sektorspezifische Vorschriften sorgfältig geprüft werden.

Die Kommission wird zudem weiterhin für die zuverlässige Überwachung der Umsetzung des Unionsrechts in diesem Bereich sorgen und ihr Vertragsverletzungsinstrumentarium einsetzen, wenn die EU-Datenschutzbestimmungen nicht ordnungsgemäß umgesetzt und angewandt werden. Die derzeit laufende Überprüfung der Datenschutzbestimmungen berührt nicht die Verpflichtung der Mitgliedstaaten zur Umsetzung und Gewährleistung der ordnungsgemäßen Anwendung des geltenden Datenschutzrechts.52

Ein hohes einheitliches Datenschutzniveau in der EU ist die beste Methode zur Unterstützung und Verbreitung der EU-Datenschutzstandards auf internationaler Ebene.