Die EU-Kommission hat vor kurzem ihre strategische Ausrichtung in Bezug auf die Neufassung der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) vorgestellt. Die geplanten Änderungen umfassen mehrere Punkte, die bereits zu früheren Gelegenheiten von EU-Justizkommissarin Viviane Reding erwähnt worden waren.
Modernisierung der Datenschutzrichtlinie
Die Richtlinie muss aktualisiert werden, damit sie der stetig fortschreitenden technischen Entwicklung und der Globalisierung Rechnung tragen kann. Tatsächlich hat sich unser Umfeld in den vergangenen Jahren stark verändert, und diese Veränderungen stellen auch in Sachen Datenschutz eine Herausforderung dar.
Das Verfahren zur Neufassung wurde im Jahr 2009 gestartet. Die bei einer Ende 2009 abgeschlossenen öffentlichen Befragung sowie in mehreren Studien erhaltenen Ergebnisse zeigen, dass die Grundsätze von 1995 nach wie vor relevant sind, die Richtlinie jedoch einer Überarbeitung bedarf, da zum Zeitpunkt ihres Inkrafttretens Phänomene wie die weltweite Verbreitung des Internet oder Technologien wie soziale Online-Netzwerke, Geolokalisierung, RFID-Chips, Videoüberwachung, Cloud Computing oder persönlich zugeschnittene Online-Werbung noch nicht existierten oder noch in den Kinderschuhen steckten.
Zielsetzungen zur Verbesserung des Datenschutzes und einer besseren Datenkontrolle durch die Bürger
Die EU-Kommission hat zur Verbesserung und Modernisierung der bestehenden Datenschutz-Gesetzgebung einige Denkansätze vorgegeben:
Die Stärkung der Rechte des Einzelnen
Die EU-Kommission möchte, dass die Erhebung und Verarbeitung von Daten sich auf genau festgelegte Zweckbestimmungen und auf ein notwendiges Mindestmaß beschränken (Prinzip der Datensparsamkeit). Die für die Datenverarbeitungen verantworlichen Stellen müssen die betroffenen Personen auf zutreffende und klare Weise und in aller Transparenz informieren, damit die Personen Kenntnis darüber haben, wer ihre Daten sammelt und verarbeitet, auf welche Weise diese Verarbeitung stattfindet, weshalb sie durchgeführt wird und wie lange dies der Fall ist. Die verantwortlichen Stellen müssen auch dafür sorgen, dass die Bürger ihre Rechte in Bezug auf die Einsicht, Berichtigung und Löschung der sie betreffenden Daten kennen.
Eine weitere Maßnahme, um die Daten verarbeitenden Stellen verstärkt in die Verantwortung zu ziehen, besteht in der obligatorischen Meldung von Verletzungen der Sicherheit oder Vertraulichkeit bei Datenverarbeitungen.
Beim Surfen im Internet müssten die Nutzer die Möglichkeit haben, ihre „Zustimmung in Kenntnis der Sachlage“ zur Verarbeitung von Daten in Bezug auf ihre Person zu geben ; darüber hinaus müsste für sie im Netz auch ein „Recht vergessen zu werden“ gelten, wenn diese Daten nicht mehr erforderlich sind oder falls die Personen eine Löschung verlangen. In diesem Zusammenhang prüft die EU-Kommission, auf welche Weise die Möglichkeit einer solchen Dateneinsicht, -berichtigung und -löschung verbessert werden könnte.
Stärkung der Binnenmarktdimension
Die EU-Kommission prüft auch, wie die Angleichung der Datenschutzregeln in den einzelnen EU-Staaten verbessert werden kann. Unterschiedliche Auslegungen der einzelnen Länder bei der Umsetzung der EU-Datenschutzvorschriften und der Zuständigkeit eines Landes bei bestimmten Datenverarbeitungen stellen ein Hindernis für den freien Datenverkehr innerhalb des EU-Binnenmarktes dar und führen zu Kostensteigerungen. Eine Vereinfachung des aktuellen Systems würde eine wesentliche Verringerung des Verwaltungsaufwands mit sich bringen.
In diesem Zusammenhang sind auch die Bemühungen der EU-Kommission zu betrachten, die Daten verarbeitenden Stellen stärker in die Verantwortung zu nehmen, damit sie wirksame Leitlinien und Mechanismen im Hinblick auf die Einhaltung der Datenschutzregeln aufstellen. Hierbei könnte die Förderung von Technologien zur Verbesserung der Privatsphäre (Privacy Enhacing Technologies, PET) und die Berücksichtigung des Schutzes der Privatsphäre bereits in der Planungsphase (Privacy by design) eine wichtige Rolle spielen.
Überarbeitung der Datenschutzbestimmungen im Bereich der Zusammenarbeit der Polizei- und Strafjustizbehörden
Der Lissabonner Vertrag erlaubt der EU nun, Datenschutzregeln für alle Anwendungsbereiche aufzustellen (einschließlich der polizeilichen und gerichtlichen Zusammenarbeit in strafrechtlichen Belangen).
Die Überarbeitung der Richtlinie hat gezeigt, dass auch die Datenspeicherung im strafrechtlichen Bereich unter die neuen gesetzlichen Bestimmungen fallen sollte. Aus diesem Grund wird neben der Datenschutzrichtlinie auch die EU-Richtlinie von 2006 zur Vorratsdatenspeicherung überarbeitet, die den Telekommunikationsanbietern eine Aufbewahrung der Traffic-Daten über einen Zeitraum zwischen sechs Monaten und zwei Jahren vorschreibt.
Verbesserung der Verfahrensweisen bei Datenübermittlungen in Drittländer
Bei Datenübermittlungen in Nicht-EU-Länder möchte die EU-Kommission die bestehenden Verfahrensweisen verbessern und rationalisieren - darunter auch rechtlich bindende Werkzeuge und die sogenannten « verbindlichen konzerninternen Regeln » (Binding Corporate Rules, BCR) -, um eine EU-weit einheitlichere Herangehensweise im Hinblick auf Drittländer und internationale Organisationen zu erreichen.
Eine wirksamere Kontrolle der Einhaltung der Regeln
Die EU-Kommission hat auch eine wirksamere Kontrolle der Einhaltung der Regeln angekündigt. Zu diesem Zweck sollen die Rolle und die Befugnisse der nationalen Datenschutzbehörden und der « Artikel 29 »-Arbeitsgruppe gestärkt und vereinheitlicht werden.
Öffentliche Befragung zur « Zukunft des Privatlebens »
Im Rahmen der Überarbeitung wird eine öffentliche Befragung durchgeführt, in der die EU-Kommission die Bürger, Organisationen und Behörden darum bittet, bis zum 15. Januar 2011 Kommentare und Beiträge zu ihrem Strategiepapier abzugeben.
Auf der Grundlage der Ergebnisse dieser Befragung wird die EU-Kommision 2011 einen Rahmenvorschlag zur Abänderung der EU-Datenschutzrichtlinie vorstellen, über den dann das Europaparlament und der Rat der EU im gesetzgeberischen Verfahren diskutieren und entscheiden müssen.