Die EU-Datenschutz-Arbeitsgruppe ("Artikel 29"-Gruppe) hat zu den Datenschutz-Reformvorschlägen der EU-Kommission Stellung bezogen und den am 25. Januar 2012 von Viviane Reding vorgestellten Maßnahmenkatalog genau unter die Lupe genommen. Die Reform sieht neben einer EU-Verordnung für allgemein gültige Datenschutzregeln eine zusätzliche Richtlinie mit speziellen Vorschriften für den Strafverfolgungsbereich vor.
Grundsätzliches "Ja" mit einigen Änderungsvorschlägen
Die Arbeitsgruppe begrüßt die vorgesehene Stärkung der individuellen Rechte, die größere Verantwortlichkeit der Datenverarbeiter und die Erweiterung der Befugnisse der nationalen und internationalen Datenschutz-Kontrollbehörden.
Positiv wird auch bewertet, dass die Novelle dazu verpflichten soll, Datenverarbeitungen und Arbeitsmittel von Anfang an datenschutzfreundlich zu gestalten ("Privacy Impact Assessments", "Privacy by Design", "Privacy by Default",...).
Darüber hinaus unterstützt die Artikel 29-Gruppe den Vorschlag der EU-Kommission, die Aufgaben und Befugnisse der Aufsichtsbehörden zu harmonisieren, um eine bessere Einhaltung der Rechtsvorschriften gewährleisten zu können. So würden die Kontrollbehörden bei einer Reform beispielsweise die Möglichkeit erhalten, Bußgelder zu verhängen.
Einige Bestimmungen bedürfen einer Überarbeitung und Klarstellung
Dem positiven Grundtenor zum Trotz stellte die Arbeitsgruppe in einigen Bereichen Verbesserungsbedarf fest.
Nach der Novelle sollen Unternehmen grundsätzlich nur am Standort ihres Hauptsitzes mit den Datenschutzbehörden in Kontakt kommen ("one-stop shop"). Klärungsbedarf besteht dabei aber laut Arbeitsgruppe bei der Art und Weise, wie der Hauptsitz einer multinationalen Firma genau definiert wird. Dies ist wichtig, um festlegen zu können, welche Behörde in bestimmten Fällen als "lead authority" fungieren soll und über welche Befugnisse die übrigen Kontrollbehörden in einem solchen Fall verfügen.
Die Arbeitsgruppe bemängelt außerdem, daß die Novellierungsvorschläge für den Schutz personenbezogener Daten im Strafverfolgungsbereich (durch eine EU-Richtlinie) nicht den Anforderungen hoher Datenschutzlevels entsprechen; sie unterstreicht in diesem Zusammenhang die Notwendigkeit strengerer Bestimmungen. Darüber hinaus kritisiert die Gruppe, dass in der vorgesehenen EU-Richtlinie bestimmte Datenschutzgrundsätze nicht berücksichtigt werden, beispielsweise die Begrenzung der Aufbewahrungsfristen, die Transparenz gegenüber den betroffenen Personen oder die Richtigkeit der verarbeiteten Daten. Laut Arbeitsgruppe überschneiden sich außerdem die Anwendungsbereiche von Verordnung und Richtlinie teilweise.