Am 14. Juli wird das nächste Treffen von Vertretern der EU-Kommission, des EU-Parlaments und des Rates im Rahmen der Trilog-Verhandlungen stattfinden.
Bereits am 24. Juni hat man sich erstmals zusammengesetzt und die Arbeitsweise und einen groben „Fahrplan“ für die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) erarbeitet und abgestimmt.
In einem nun veröffentlichten Dokument (PDF) der kommenden luxemburgischen Ratspräsidentschaft an die Arbeitsgruppe „Datenschutz“ (DAPIX) im Rat, werden die Themen des nächsten Trilog-Treffens und die verschiedenen Verhandlungspositionen dargestellt.
Aus dem Verhandlungsdokument geht hervor, dass sich alle beteiligten Parteien darauf verständigt haben, als gemeinsames Ziel einen Abschluss der Verhandlungen bis Ende 2015 zu erreichen. In diesem Punkt scheint daher schon einmal Einigkeit zu herrschen. Und das Signal ist klar: die Datenschutzreform soll so schnell wie möglich kommen.
Inhaltliche Arbeit ist nur noch punktuell möglich
Der dadurch verursachte Zeitdruck auf die Beteiligten wird freilich auch Folgen auf den Inhalt der Verhandlungen haben. Das sollte man jedoch nicht als etwas Außergewöhnliches ansehen, sondern als eine logische Folge der in den vergangenen Wochen gefällten politischen Entscheidungen. Was dies für die Datenschutz-Grundverordnung selbst (also die Inhalte) bedeutet, kann man nur vermuten. Meines Erachtens muss es jedoch darauf hinauslaufen, dass die Trilog-Verhandlungen zumindest teilweise zu einer „ich gebe dir, du gibst mir“-Veranstaltung werden. Es ist einfach schlicht unmöglich, noch einmal groß inhaltlich in jeden Artikel der Verordnung einzusteigen. Dafür fehlt die Zeit, wenn man Ende 2015 fertig sein möchte (zumal der Dezember ja praktisch auch nur ein halber Arbeitsmonat ist). Dass Positionen aufgegeben werden müssen, um an anderer Stelle seinen Willen zu bekommen, ist meines Erachtens per se auch nichts Schlimmes. Wichtig hierbei ist natürlich, auf eine ausgewogene Balance zu achten. Und vor allem, dass jede Partei verhandlungsbereit ist. Wenn sich ein Trilog-Spieler weigert und jegliche Kooperation ablehnt, dann sehe ich das Ziel „Ende 2015“ in weite Ferne rücken.
Zur anstehenden Verhandlungsrunde
Dennoch wird man sich freilich auch mit den Spezifikationen einzelner wichtiger Artikel befassen müssen. Bei dem nächsten Treffen sollen dies vor allem Themen des räumlichen Anwendungsbereichs und der internationalen Datentransfers (auch in Drittstaaten) sein. Zu diesen und den abweichenden Positionen der Verhandlungsparteien, ein paar kurze Anmerkungen.
Beim Thema „räumlicher Anwendungsbereich“ (Art. 3 DS-GVO) dürfte von Interesse sein, dass das Parlament in seinem Entwurf in Art. 3 Abs. 2, also dem Sachverhalt, dass eine verantwortliche Stelle außerhalb des EWR sitzt, die DS-GVO auch auf außerhalb des EWR sitzende Auftragsverarbeiter erstrecken möchte. Kommission und Rat beziehen sich allein auf die verantwortliche Stelle.
Beim Thema „Drittstaatentransfers“ müssen sich die Parteien des Trilogs auch Gedanken drüber machen, was mit alten (also unter der geltenden Datenschutz-Richtlinie) gefassten Angemessenheitsbeschlüssen durch die Kommission und auch mit Genehmigung von Transfers durch nationale Aufsichtsbehörden (z.B. Binding Corporate Rules oder auch speziell erarbeitet Verträge) geschieht, wenn die DS-GVO in Kraft ist. Denn die Voraussetzungen für Angemessenheitsbeschlüsse oder auch Genehmigungen von Aufsichtsbehörden, werden sich natürlich verändern.
Hier unterscheiden sich die Positionen von Rat und Kommission einerseits und dem Parlament andererseits (vgl. Art. 41). Rat und Kommission schlagen vor, dass bestehende Angemessenheitsbeschlüsse wirksam bleiben, bis sie angepasst oder aufgehoben werden. Das Parlament möchte derartigen Angemessenheitsbeschlüssen daneben jedoch ein fixes Ablaufdatum aufdrücken. Spätestens 5 Jahre nach in Kraft treten der DS-GVO würden die Beschlüsse unwirksam, es sei denn, sie werden vorher aufgehoben oder angepasst.
Hiervon betroffen wäre etwa der in der Praxis wichtige Safe Harbor-Beschluss der Kommission, der Datenübermittlung zu selbstzertifizierten Stellen in den USA ermöglicht.
Die DS-GVO ist auf der Zielgeraden. Wie lang der Schlusssprint jedoch wird, dies wird sich erst in den nächsten Monaten zeigen. Denn zu Beginn der Trilog-Verhandlungen wird man sich vor allem mit Themen befassen, bei denen es im Groben keine Fundamentalunterschiede gibt. Zum Ende hin, kommen dann „Klopper“ auf den Tisch. Spannende Zeiten für den europäischen Datenschutz stehen also bevor.
Pingback: Datenschutzreform: Der Fahrplan zur EU-Datenschutz-Grundverordnung | Datenschutzbeauftragter