Am dritten und vierten Mai 2012 fand in Luxembourg die Frühjahrskonferenz ("Spring Conference") der europäischen Datenschutzbeauftragten im Amphitheater des europäischen Rechnungshof statt.
In diesem Jahr wurde die Konferenz, deren Ausrichtungsort alljährlich wechselt, durch die nationale Kommission für den Datenschutz (CNPD) organisiert. Die Konferenz vereinte Datenschutzbehörden aus 38 Ländern sowie Vertreter der Europäischen Kommission, des Europarats und der OECD.
Zentrales Thema der Konferenz war die aktuelle Reform des EU-Datenschutzrechts.
In einer ersten Podiumsdiskussion unter dem Vorsitz des EU-Datenschutzbeauftragten Peter Hunstinx äußerten sich Peter Schaar, deutscher Bundesbeauftragter für Datenschutz, und Christopher Graham, Datenschutzbeauftragter Großbritanniens, zu den Schlüsselfragen des Reformpakets der Europäischen Kommission.
Über europäische Datenschutzfragen hinaus befassten sich die Konferenzteilnehmer daneben auch mit der Entwicklung des Schutzes der Privatsphäre in anderen Teilen der Welt sowie im virtuellen Raum. Besonders hervorzuheben ist in diesem Zusammenhang die Teilnahme von David Vladeck, dem Vorsitzenden der amerikanischen Federal Trade Commission (FTC), der eine "transatlantische" Sichtweise zu den Reformvorschlägen darlegte.
François Biltgen - in seiner doppelten Funktion als Minister für Justiz sowie für Kommunikation und Medien - illustrierte die wichtigsten Herausforderungen, die die Modernisierung des aktuellen Rechtsrahmens insbesondere für Luxemburg als "data hub" mit sich bringen wird. "Die digitale Wirtschaft, neuestes wirtschaftliches Standbein und vorrangig für die Regierung, benötigt einen stabilen und vertrauenswürdigen Rechtsrahmen", so der Minister.
Er bekräftigte den politischen Willen zur Schaffung eines ausgewogenen Rechtsrahmens. "Die Regierung legt in ihrer Politik, die auf eine rasche und vielseitige Entwicklung der neuen Technologien setzt, ein besonderes Augenmerk auf den Schutz der Privatsphäre und der individuellen Freiheiten. Dies gibt sowohl innovativen Unternehmen als auch Bürgern die Möglichkeit, den technologischen Fortschritt zu ihrem Vorteil nutzen zu können."
In den unterschiedlichen Sitzungen erörtern die Konferenzteilnehmer hauptsächlich Möglichkeiten zur Stärkung der Rechte von Internetnutzern, insbesondere im Rahmen von Cloud Computing und sozialen Online-Netzwerken. Weitere Podiumsdiskussionen befassten sich mit der Verringerung des Verwaltungsaufwands im Hinblick auf eine verstärkte Rechenschaftspflicht der Datenverarbeiter, mit der weiterentwickelten Rolle der nationalen Datenschutzbehörden, mit dem Schutz personenbezogener Daten im Bereich von Polizei und Justiz und mit der Modernisierung anderer internationaler Datenschutz-Rechtsnormen (Konvention 108 des Europarates, OECD-Richtlinien).
Viviane Reding, EU-Justizkommissarin und Vize-Präsidentin der Europäischen Kommission, wandte sich ebenfalls an die Konferenzteilnehmer: "Die Datenschutzreform der Europäischen Kommission setzt ein einziges Regelwerk mit strengen Datenschutzregeln ein, die einen verbesserten Schutz der Persönlichkeitsrechte der Bürger gewährleisten und gleichzeitig die Nutzung des Gemeinsamen Marktes für die Unternehmen vereinfachen. Allerdings ist es nicht ausreichend, überall die gleichen Regeln zu haben. Wir brauchen auch jemanden, der sicherstellt, dass diese Regeln überall durchgesetzt und in gleicher Weise angewandt werden. Deshalb stärkt die Reform auch in bedeutendem Maß die Stellung der nationalen Aufsichtsbehörden und vereinheitlicht deren Zuständigkeiten und Mittel, um diese Regeln auch für Europas 500 Millionen Bürger und Unternehmen Wirklichkeit werden zu lassen."
Gérard Lommel, Vorsitzender der CNPD, unterstrich die Bedeutung der Modernisierung des Rechtsrahmens für den Datenschutz, "um die Gesetzgebung effizienter, übersichtlicher und einfacher zu gestalten, sowohl für die Akteure, die immer mehr personenbezogene Daten verarbeiten, als auch für die Ausübung der Rechte der Einzelnen und diesen mehr Kontrolle über ihre eigene Daten zu verleihen, insbesondere im Internet."
Er kündigte außerdem an, dass "die CNPD sich zusammen mit den Kollegen der europäischen Datenschutzbehörden darauf vorbereitet, die erweiterten Befugnisse gemäß den EU-Reformvorschlägen umzusetzen, den Dialog mit den unterschiedlichen Akteuren zu verstärken, die Kontrollen auszuweiten und die neuen innovativen Konzepte zur Anwendung zu bringen: Privacy Impact Assessments, interne Datenschutzbeauftragte, Melden von Sicherheitsverletzungen."
Fotos der Konferenz
Auf die Bilder klicken um sie zu vergössern.
Eröffnung der Konferenz
Panel 1: Der neue EU-Rechtsrahmen fur den Datenschutz
Panel 2: Datenschutzrechte im Internet
Special Guest: Viviane Reding, Vize-Präsidentin der europäischen Kommission
Panel 3: Verringerung des Verwaltungsaufwands im Hinblick auf eine verstärkte Rechenschaftspflicht der Datenverarbeiter
Panel 4: Die gestärkte Rolle der Datenschutzbehörden
Panel 5: Schutz personenbezogener Daten im Bereich von Polizei und Justiz
Panel 6: Ergebnisse und Entschließungen
Die Reform des europäischen Datenschutzrechts
Weshalb eine Reform?
Die Grundsätze der bis dato gültigen EU-Richtlinie von 1995, die einen gut funktionierenden EU-Binnenmarkt und das Grundrecht auf Datenschutz gewährleisten sollen, besitzen nach wie vor Geltung. Zum Zeitpunkt ihres Inkrafttretens steckte das Internet allerdings noch in den Kinderschuhen, und Dienstleistungen wie Social Networking, Geolokalisierung, RFID oder Cloud Computing waren noch Zukunftsmusik. Angesichts einer zunehmenden weltweiten Vernetzung sind allerdings die Zeiten, in denen einige große Datenbanken die Hauptherausforderung für den Datenschutz darstellten, längst vorbei. Eine der Hauptaufgaben der EU-Kommission wird darin bestehen, die technologischen Entwicklungen der letzten Jahre mit den Grundfreiheiten der Bürger in Einklang zu bringen.
Darüber hinaus haben unterschiedliche Auslegungen der EU-Richtlinie durch die einzelnen Mitgliedsstaaten im Lauf der Jahre gewisse länderspezifische Ungleichheiten bei Datenschutzfragen im täglichen Leben, bei Einkäufen oder bei der Wahrnehmung von Dienstleistungen mit sich gebracht. Um in diesem Zusammenhang für mehr Transparenz zu sorgen, hat die EU-Kommission ihr Reformprojekt nicht in eine neue Richtlinie, sondern in eine EU-Verordnung gefasst. Zum Zeitpunkt ihres Inkrafttretens wäre die Reform demnach sofort - ohne nachträgliche Umsetzung durch die nationalen Parlamente - in allen EU-Mitgliedsstaaten anwendbar und ließe keinen Spielraum mehr für unterschiedliche Textauslegungen.
Mehrere Fälle haben in jüngerer Vergangenheit gezeigt, dass ein besser abgestimmter Rechtsrahmen und ein verbesserter Schutz notwendig sind, um den neuen Herausforderungen wirksam entgegentreten zu können:
- Der Datendiebstahl bei der Firma Sony, bei dem die Konten von 77 Millionen Verbrauchern mit Namen, Email-Adressen, Postanschriften, Geburtsdaten, Login-Daten, Passwörtern und Einkäufen gehackt wurden. Die betroffenen Nutzer wurden erst nach einer Woche über diesen Diebstahl informiert - viel zu spät.
- Datensammlungen durch "Google Street View", bei denen systematisch Informationen privater Natur in unzureichend gesicherten WLAN-Netzen gesammelt wurden. Dies brachte energische, aber recht unterschiedliche Reaktionen der unterschiedlichen Datenschutzbehörden mit sich, was die Notwendigkeit einer besser abgestimmten Vorgehensweise bei solchen Datenverletzungen zeigt.
- Die massenhafte Datenerhebung und -nutzung durch große, multinationale Internetdienstleister wie Facebook, Google oder Apple. Aufgrund ständiger Neuerungen und Veränderungen, die die Privatsphäre der Nutzer gefährden, kommen diese Unternehmen nicht mehr aus den Schlagzeilen heraus. Bei der Behandlung dieser Probleme haben die Datenschutzbehörden oftmals Schwierigkeiten bei der Durchsetzung bestimmter Datenschutzregeln an den Tag gelegt.
Worin besteht die Reform?
Der Reformvorschlag der EU verfolgt drei Ziele:
1) Stärkung der Rechte des Einzelnen
Die in den bestehenden Texten vorgesehenen Bürgerrechte sollen verstärkt werden. Die Vorschläge der EU-Kommission zielen auf eine Gewährleistung des Datenschutzes unabhängig vom Zielland oder vom Speicherungsort. Die europäischen Datenschutzregeln sollen also auch bei Datenübermittlungen aus der EU heraus Geltung finden, z.B. im Internet. Dies soll auch für US-Unternehmen wie Google oder Facebook gelten. Zu den Neuerungen gehört auch ein "Recht auf Vergessen", die Stärkung des Schutzes Minderjähriger sowie die Möglichkeit, das Anlegen von Profilen unterbinden zu können. Der Einzelne soll auch in Suchmaschinen oder in sozialen Online-Netzwerken die Löschung der ihn betreffenden Daten durchsetzen können, sofern es keinen rechtmäßigen Grund für die Aufbewahrung dieser Daten gibt; er soll darüber hinaus auf einfachere Art und Weise Zugriff auf die eigenen Daten erhalten können, und der Grundsatz der Zweckbindung soll genauer definiert werden.
2) Verstärkte Verantwortung und Rechenschaftspflicht für Datenverarbeiter
Für alle, die personenbezogene Daten erheben, nutzen, speichern und verarbeiten, sollen höhere Anforderungen im Hinblick auf Verantwortlichkeit und Rechenschaftspflicht gelten. Beispielsweise sollen die nationalen Datenschutzbehörden künftig Geldbußen gegen Unternehmen verhängen können, die gegen die Datenschutzbestimmungen der EU verstoßen. Die Höhe dieser Geldbuße soll bis zu 1 Million Euro oder 2 Prozent des Jahresumsatzes des betreffenden Unternehmens betragen können. Die Unternehmen müssen außerdem einen unabhängigen Datenschutzbeauftragten benennen. Die Grundsätze des "eingebauten Datenschutzes" (Privacy by Design) und der "datenschutzfreundlichen Grundeinstellungen" (Privacy by Default) müssen vollständig in alle Geschäftsvorgänge integriert werden. Dies bedeutet, dass Datenschutzvorschriften so früh wie möglich in die Entwicklung von Waren und Dienstleistungen einfließen müssen; in sozialen Online-Netzwerken müssen beispielsweise datenschutzfreundliche Grundeinstellungen die Regel werden. Überflüssige Verwaltungsaufgaben wie beispielsweise bestimmte Meldepflichten für Datenverarbeiter sollen abgeschafft werden.
Tritt die Reform in Kraft, so werden Bürger und Unternehmen nur noch eine einzige nationale Datenschutzbehörde als Ansprechpartner haben ("one-stop shop"). Die Bürger können sich auch dann an ihre jeweilige nationale Behörde wenden, wenn ihre persönlichen Daten außerhalb ihres Heimatlandes verarbeitet werden. Alle Unternehmen sollen nur einer einzigen Datenschutzbehörde rechenschaftspflichtig sein, auch wenn sie in mehreren EU-Mitgliedsstaaten aktiv sind.
3) Stärkung der Befugnisse der Kontrollbehörden
Die nationalen Datenschutzbehörden sollen stärkere Befugnisse erhalten, damit sie in den jeweiligen Staaten die EU-Vorschriften besser durchsetzen können. In Luxemburg wird die Reform großen Einfluss auf die Arbeit der Datenschutzkommission und auf die Rechte der Bürger haben. Einerseits wird die Kommission ab dem Inkrafttreten der Reform Geldbußen verhängen können, andererseits soll sie aber auch weiterhin im wirkungsvollen Kontakt mit den Datenverarbeitern stehen. Da in jedem EU-Mitgliedsstaat die jeweilige Datenschutzbehörde für die Zentralisierung der datenschutzrechtlichen Beschwerden ihrer Bürger zuständig sein wird (auch in Bezug auf Datenverarbeitungen im Ausland), wird eine noch bessere Zusammenarbeit zwischen den einzelnen Datenschutzbehörden notwendig sein. Auch die Erwartungen der Bürger gegenüber der Kommission werden steigen.
Die Verordnung wird frühestens 2014 in Kraft treten. Die EU-Kommission wird ihre Vorschläge zwecks Einsicht und Diskussion auch dem EU-Parlament sowie dem EU-Ministerrat übermitteln.
Geschichte
Die erste Frühjahrskonferenz der Datenschutzbeauftragten fand 1991 in Den Haag statt. Der Entwurf der ursprünglichen Datenschutz-Richtlinie, die schließlich 1995 in Kraft treten sollte, war das Hauptthema der ersten Konferenzen.
Die jüngste Spring Conference fand am 5. April 2011 in Brüssel statt und wurde gemeinsam vom Europäischen Datenschutzbeauftragten und dem Vorsitzenden der "Artikel 29"-Arbeitsgruppe ausgerichtet. Die Konferenzteilnehmer verabschiedeten eine Entschließung, in der sie die Notwendigkeit eines allumfassenden Datenschutz-Rechtsrahmens (einschließlich des Strafverfolgungsbereichs) betonten. Die Teilnehmer vertraten die Ansicht, dass die jüngsten Entwicklungen eine gute Gelegenheit für eine wirksame, zukunftsfähige Stärkung der Datenschutzvorschriften und der Bürgerrechte bieten.