Der LIBE-Ausschuss des Europäischen Parlaments (Committee on Civil Liberties, Justice and Home Affairs) hat gestern Abend über einen neuen Entwurf einer Datenschutz-Grundverordnung abgestimmt. Der Vorschlag enthält an vielen Stellen Änderungsvorschläge gegenüber dem Entwurf der Kommission vom 25.1.2012 (KOM(2012) 11 endg.). Der Ausschuss präsentiert damit sein Ergebnis der geführten Diskussionen um den Kommissionsvorschlag.

Die Pressemitteilung dazu hebt insbesondere die Regelungen zum Datentransfer in Nicht-EU-Staaten hervor, als Reaktion auf die massenhafte Überwachung die im Juni 2013 aufgedeckt wurde. Außerdem werden die verschärften Sanktionen, ein umfassendes Recht auf Löschung , das Erfordernis einer ausdrücklichen Einwilligung und das die Einführung dews Begriffs „Profiling“  betont.

Vorab wurden bereits der Abstimmungstext im Interent bekannt.

Ohne Anspruch auf Vollständigkeit möchte ich an dieser Stelle einige Änderungen hervorheben, die bei einem ersten Überfliegen des LIBE-Vorschlags auffallen:

Befugnisse der Europäischen Kommission

Zu begrüßen ist zunächst, dass die Befugnisse der Kommission weniger weitreichend sein sollen, als es die Kommission noch selbst für sich in Anspruch genommen hatte. Zwar soll es gemäß Art. 86 DS-GVO bei der Befugnis bleiben, dass die Kommission per delegierten Rechtsakt datenschutzrechtliche Regelungen erlassen darf. Der Kommissionsvorschlag nahm hierzu Bezug auf insgesamt 26 Stellen in der DS-GVO. Von diesen Verweisen sind jedoch nur noch fünf übrig geblieben (Art. 17 Abs. 9; Art. 43 Abs. 3; Art. 79 Abs. 7, Art. 81 Abs. 3 und Art. 82 Abs. 3 DS-GVO). Wobei vor Erlass eines delegierten Rechtsaktes teilweise der noch einzurichtende Europäische Datenschutzausschuss gehört werden muss. Die Frist zum in Kraft treten soll zudem auf sechs Monate verlängert werden.

Um die daraus resultierenden etwaigen Lücken einer Konkretisierungsmöglichkeit zu schließen, versucht der Vorschlag nunmehr selbst eine höhere Regelungsdichte zu erreichen (z.B. Art. 23 DS-GVO – Date protection by design) oder den Europäischen Datenschutzausschuss mit der Ausarbeitung von Leitlinien, Empfehlungen und bewährten Praktiken gemäß  Art. 66 Abs. 1(b) DS-GVO zu beauftrage (z.B. Art. 30 DS-GVO – Sicherheit der Verarbeitung) .

Befugnisse des Europäischen Datenschutzausschuss

Damit soll die Einrichtung eines Europäischen Datenschutzausschusses zu Lasten der Kommission weiter gestärkt werden. Jener soll nunmehr nicht nur die Kommission beraten, sondern die Einrichtungen der Union (Art. 66 Abs. 1(a) DS-GVO, und den Dialog zwischen den einzelnen Interessengruppe verstärken (Erwägungsgrund 110). Die Aufgabenbereiche in Art. 66 DS-GVO wurden demzufolge ausgeweitet. Hierzu gehört etwa ausdrücklich die Einrichtung eines öffentlich-elektronischen Registers aus dem sich die Gültigkeit oder Ungültigkeit von Datenschutzzertifikaten ergibt (Art. 39 Abs. 8; Art. 66 Abs. 1 DS-GVO).

Personenbezogene Daten

Wenn es um die Definition des Begriffs der „personenbezogenen Daten“ in Art. 4 Abs. 1 DS-GVO geht, scheint es so, als wenn man sich vom absoluten Personenbezug verabschieden wollte. Die Formulierung der Kommission für die Bestimmbarkeit, mit Mitteln,

„die der für die Verarbeitung Verantwortliche oder jede sonstige natürliche oder juristische Person nach allgemeinem Ermessen aller Voraussicht nach einsetzen würde, […]“

wurde gestrichen. Allerdings nur, um eine ähnliche Formulierung in Erwägungsgrund 23 wieder aufzunehmen. Damit wird erneut eine klare Definition des Personenbezuges vermieden. Immerhin wird darauf hingewiesen, dass es bei der Frage der Bestimmbarkeit auch darauf ankommt, welche Kosten und welche Zeit für eine Identifizierung objektiv aufgewendet werden müssen. Außerdem sind verfügbare Technologien und die technische Entwicklung zu berücksichtigen.

In diesem Zusammenhang wurde auch eine Bestimmung der Begriffe pseudonymisierte Daten und verschlüsselte Daten sowie des Begriffs „Profiling“ vorgenommen.

Datenschutz-Grundsätze

Bemerkenswert ist die kleine Änderung von „Personal data must be:“ zu „Personal data shall be:“. Mit dieser Formulierung wird ausnahmsweise eine begründete Abweichung von den Datenschutzgrundsätzen ermöglicht, was einen (un-)gewissen Spielraum ermöglicht.

Neu aufgenommen wurde der Effektivitätsgrundsatz. Damit soll sicher gestellt werden, dass die Verarbeitung von personenbezogenen Daten derart erfolgt, dass der Betroffene seine Rechte im Hinblick auf diese Daten auch wirksam wahrnehmen kann.

Verbotsprinzip

Auch der neue Vorschlag hält am Verbotsprinzip ohne Differenzierungen fest (Art. 6 DS-GVO). Die Mitgliedstaaten können allerdings Vorschriften erlassen, welche eine rechtmäßige Datenverarbeitung konkretisieren.

Einwilligung

Auch das Erfordernis einer ausdrücklichen Einwilligung als grundlegender Pfeiler des Verbotsprinzips bleibt  erhalten. Zu begrüßen ist, dass eine „significant imbalance“ der Einwilligung nicht mehr die Legitimation nehmen kann, wie es der Kommissionsvorschlag noch vorgesehen hatte (Art. 7 Abs. 4 DS-GVO).

Stärkung der Meinungsfreiheit

Der Kommissionsvorschlag ging davon aus, dass Abweichungen von der Verordnung möglich sind, wo dies zu journalistischen, künstlerischen oder literarischen Zwecken erforderlich ist, um den Schutz der Privatsphäre mit der Freiheit auf Meinungsäußerung in Einklang zu bringen (Art. 80 DS-GVO). Die Begrenzung auf die genannten Zwecke wurde nun zugunsten der Meinungsfreiheit weggelassen. Dies ist zu begrüßen. Das der Vorschlag sich jedoch selbst nicht einem notwendigen Ausgleich zwischen Meinungsfreiheit und Datenschutz umfassend annimmt, bleibt weiterhin unbefriedigend.

Kein Recht auf Vergessenwerden

Besonders zu begrüßen ist, dass sich der Vorschlag von einem Recht auf Vergessenwerden verabschiedet und nur noch auf ein Löschungsrecht beschränkt. Dies spiegelt sich insbesondere in Art. 17 Abs. 2 DS-GVO wieder. Dort heißt es nun nur noch, dass derjenige, der unrechtmäßig personenbezogene Daten veröffentlicht hat, alle vertretbaren Schritte unternimmt, damit die Daten, einschließlich durch Dritte, gelöscht werden. Im Kommissionsvorschlag war noch die Rede davon, dass der Verantwortliche, unabhängig von einer ursprünglich rechtmäßigen oder rechtswidrigen Veröffentlichung, handeln muss, um Dritte zur Löschung zu bewegen. Zudem waren seine Handlungspflichten nicht auf vertretbare Schritte begrenzt, sondern umfassten auch solche technischer Art. Insbesondere sollte auf eine Löschung von Links, Kopien oder Replikationen bei Dritten hingewirkt werden. Angesichts der ständigen Verlinkungsvorgänge im Internet ist eine Streichung mehr als zwingend gewesen.

Damit bleibt von einem Recht auf Vergessenwerden nur noch die Speicherfrist in Art. 17 Abs. 8b DS-GVO, die allerdings keine automatische Löschung nach Ablauf verlangt.

Eingefügt wurde zudem, dass die Löschungspflicht nur zur Anwendung kommt, wenn der Verantwortliche  prüfen kann, ob der jeweils tatsächlich Betroffene die
Löschung verlangt.

 

Der neue Vorschlag enthält weit aus mehr Änderungen und Anpassungen, als die bisher hier genannten. Diese werde  in der nächsten Zeit reichliche Gelegenheit zu Stellungnahmen und Diskussionen bieten. Zu begrüßen ist aber schon jetzt die Abkehr vom Recht auf Vergessenwerden und die Umverteilung der Befugnisse.