Datenschutzreform: Kein Mitgliedstaat verfolgt die Absicht, zentrale Datenschutzprinzipien aufzuweichen

Im Rahmen ihrer Antwort (PDF) auf eine kleine Anfrage der Fraktion DIE LINKE im Bundestag zu dem Thema „Neuregelung des Beschäftigtendatenschutzes“, hat sich die Bundesregierung nicht nur mit spezifischen Fragen der Datenverarbeitung im Verhältnis zwischen Arbeitgeber und Arbeitnehmer befasst, sondern auch einige interessante Ausführungen zu anderen wichtigen Bereichen der geplanten Datenschutz-Grundverordnung (DS-GVO) gemacht und ihre Auffassung zu diesen Themen dargelegt.

Betrieblicher Datenschutzbeauftragter
Die Frage, ob es in Zukunft eine EU-weite Pflicht zur Bestellung von betrieblichen Datenschutzbeauftragten gibt, ist nach wie vor offen. Im Rat der Europäischen Union konnte hinsichtlich dieses Vorschlags (u.a. von Deutschland) bisher keine Mehrheit gewonnen werden.

In ihrer Antwort bekräftigt die Bundesregierung ihre Absicht, eine solche Pflicht eventuell noch innerhalb der aktuell laufenden Trilogverhandlungen auf EU-Ebene noch in die DS-GVO einfließen zu lassen.

Die Bundesregierung setzt sich in den Verhandlungen weiterhin dafür ein, dass die Mitgliedstaaten durch die Datenschutz-Grundverordnung verpflichtet werden, dieses in Deutschland bewährte Konzept zu übernehmen.

Was geschieht mit aktuell gültigen Betriebsvereinbarungen?
Nach derzeit geltendem Recht stellen Betriebsvereinbarungen eine „andere Rechtsvorschrift“ im Sinne des § 4 Abs. 1 BDSG dar und können daher als Grundlage von Datenverarbeitungen in Unternehmen dienen. Doch was geschieht mit geltenden Betriebsvereinbarungen, wenn die DS-GVO, als unmittelbar geltende europäische Verordnung, in Kraft tritt und zwei Jahre später Anwendung findet?

Die Bundesregierung verweist auf den grundsätzlichen Anwendungsvorrang des EU-Rechts vor kollidierenden nationalen Regelungen. Ob geltende Betriebsvereinbarungen dann keine Anwendung mehr finden, hängt jedoch von der finalen Fassung der DS-GVO und möglichen Öffnungsklauseln und den Voraussetzungen an nationale Regelungen ab. Die Bundesregierung verweist zudem darauf, dass die Ratsfassung der DS-GVO in Erwägungsgrund 124 klarstellt, dass in Art. 82 DS-GVO (der speziellen Vorschrift zum Umgang mit personenbezogenen Daten von Arbeitnehmern) erwähnte Kollektivvereinbarungen auch Betriebsvereinbarungen umfassen.

Keine „strengeren“ nationalen Gesetze im Vergleich zur DS-GVO?
In Zukunft stellt sich zudem die Frage, ob nationale Regelungen im Anwendungsbereich von Öffnungsklauseln der DS-GVO erlassen werden dürfen, die „strengere“ Vorgaben an die Verarbeitung personenbezogener Daten machen, als jene in der DS-GVO. Sollte dies möglich sein, wird sich freilich in Folge eine Situation einstellen, in der manche Mitgliedstaaten „strengere“ Datenschutzgesetze besitzen als andere. Eine Vereinheitlichung wäre damit zumindest nicht gänzlich erreicht.

Die Bundesregierung will sich dafür einsetzen, dass die Mitgliedstaaten sektorspezifische Rechtsvorschrift, die bereits auf Grundlage der geltenden Datenschutz-Richtlinie erlassen wurden, beibehalten werden können. Zudem möchte sich die Bundesregierung dafür einsetzen, dass Art. 82 DS-GVO im Bereich des Arbeitnehmerdatenschutzes nur als „Mindestnorm“ anzusehen ist. Mitgliedstaaten könnten also etwa in diesem Bereich abweichend „strenge“ Vorgaben machen.

Bleiben geltende Datenschutzprinzipien erhalten?
Die Fraktion DIE LINKE möchte wissen, welche EU-Mitgliedsstaaten

nach Kenntnis der Bundesregierung aus welchen Gründen oder mit welcher Begründung ggf. die Absicht, zentrale Datenschutzprinzipien, wie die Zweckbindung und die Datensparsamkeit, in der EU-Datenschutz-Grundverordnung aufzuweichen.

Die Bundesregierung kann eine solches „Aufweichen“ geltender Datenschutzprinzipien jedoch nicht ausmachen:

Nach Beobachtung der Bundesregierung verfolgt kein Mitgliedstaat die Absicht, zentrale Datenschutzprinzipien aufzuweichen.

Der Grundsatz der Datensparsamkeit finde sich in Art. 5 Abs. 1 (c) der DS-GVO. Zudem merkt die Bundesregierung an, dass sie sich in den Ratsverhandlungen für die Beibehaltung der Formulierung des ursprünglichen Kommissionsvorschlags ausgesprochen habe.

Auch der Grundsatz der Zweckbindung werde beibehalten und finde sich in Art. 5 Abs. 1 (b) der DS-GVO. Die Formulierung entspreche zudem im Wesentlichen derjenigen der Datenschutz-Richtlinie.

Zweckändernde Datenverarbeitung auch ohne Einwilligung oder Vertrag
Die „Zweckänderung“ war ein Thema, welches vor allem auch in der Öffentlichkeit heftig diskutiert wurde. Die Bundesregierung wurde für ihre Änderungsvorschläge zum Teil heftig kritisiert. In ihrer Antwort verweist sie darauf, dass das geltende Bundesdatenschutzgesetz bereits derzeit zahlreiche Regelungen zur zweckändernden Weiterverarbeitung enthalte. Zudem führt sie an, dass eine solche Weiterverarbeitung nicht heimlich geschehen kann, sondern der Betroffene hierüber zu informieren ist (Art. 14 Abs. 1b) und Art. 14a Abs. 3a DS-GVO Ratsfassung). Auch möchte sich die Bundesregierung weiterhin dafür einsetzen,

dass die Befugnis zur zweckändernden Datenverarbeitung ohne Rechtsgrundlage und allein auf Grundlage einer Interessenabwägung für den öffentlichen Bereich nicht in der Datenschutz-Grundverordnung enthalten sein wird.

Verhandlungen zur Datenschutzreform: Rechte der Betroffenen stehen im Mittelpunkt

Im September gehen die Trilogverhandlungen zur Datenschutz-Grundverordnung (DS-GVO) zwischen Kommission, Parlament und Rat weiter.

Da an den Trilogverhandlungen für den Rat nicht Vertreter eines jeden EU-Mitgliedstaates teilnehmen, versucht die amtierende Ratspräsidentschaft zuvor die Stimmung der Mitgliedstaaten zu bestimmten Verhandlungsthemen abzufragen und zu sortieren.

Ein Verhandlungsdokument zur Darstellung der verschiedenen Positionen und mit Vorschlägen für die nächsten Verhandlungen zu Kapitel III DS-GVO, welches bei statewatch.org veröffentlicht wurde, hat die Ratspräsidentschaft den Vertretern der Mitgliedstaaten Ende Juli zukommen lassen (Dokument, PDF).

In Kapitel III DS-GVO geht es vor allem um die Rechte der Betroffenen (und damit natürlich auch spiegelbildlich um die Pflichten der für die Verarbeitung Verantwortlichen). Themen sind unter anderem das Auskunftsrecht, das „Recht auf Vergessenwerden“, das Recht auf Datenportabiliät und auch Informationspflichten.

Die Ratspräsidentschaft bittet die Mitgliedstaaten um Kommentare und Anregungen, wie in Bezug auf Abweichungen zwischen den Positionen von Parlament und Rat in den Trilogverhandlungen vorgegangen werden soll, wo also etwa die Position des Parlaments unterstützt oder wo eine abweichende Position des Rates weiterverfolgt werden kann.

Behandelt werden unter anderem folgende Änderungsvorschläge:

  • Einführung von Bildern/Zeichen zur Visualisierung der Datenverarbeitungszwecke.
  • Informationen dazu, wie lange Daten gespeichert werden.
  • Im Fall von Datenübermittlungen in Drittstaaten, Informationen dazu, auf welcher Grundlage (Angemessenheitsbeschluss, Standardvertragsklauseln etc.) dies erfolgt.
  • Wie oft ein Auskunftsanspruch (etwa pro Jahr) kostenlos geltend werden darf.
  • Welche Pflichten beim „Recht auf Vergessenwerden“ bestehen. Insbesondere, ob es einen Unterschied macht, dass Daten rechtmäßig veröffentlicht wurden oder nicht. Zudem, wie weit die Pflicht für verantwortliche Stelle reicht, ob diese also weitere Stellen nur informieren oder selbst für eine Löschung der Daten Dritten sorgen müssen.
  • Welche Rechte bei einer automatisierten Einzelfallentscheidung bzw. einem Profiling existieren.

Datenschutzreform: Bundesratsausschüsse fordern weitere Anpassungen

Nachdem sich der Rat der Europäischen Union am 15. Juni 2015 auf eine allgemeine Ausrichtung zur geplanten Datenschutz-Grundverordnung (DS-GVO) verständigt hat und die Trilog-Verhandlungen zwischen Kommission, Parlament und Rat bereits begonnen haben (hierzu mein Beitrag mit einem Überblick zu dem Zeitplan sowie zu den ersten Verhandlungen), hat sich auch erneut der deutsche Bundesrat mit der DS-GVO befasst.

Der Bundesrat wird in seiner Sitzung am 10. Juli 2015 über neue Empfehlungen (PDF) des EU- und Innenausschuss beraten. Die beiden Ausschüsse empfehlen dem Bundesrat, zur DS-GVO erneut Stellung zu nehmen.

Nachfolgend möchte ich auf einige der Änderungsforderungen des Bundesrates eingehen.

DS-GVO für den „digitalen Binnenmarkt“?
Zunächst begrüßen die Ausschüsse, dass das Rechtsetzungsverfahren zur DS-GVO möglichst noch bis Ende 2015 abgeschlossen werden soll

um damit rechtssichere Grundlagen für den digitalen Binnenmarkt zu schaffen.

Die Ausschüsse richten ihr Hauptaugenmerk offensichtlich, wie dies in der öffentlichen Diskussion im Übrigen fast auch immer der Fall ist, auf die digitale Wirtschaft. Man kann jedoch nicht oft genug betonen, dass die DS-GVO eben gerade kein spezielles Gesetz für das Internet oder digitale Dienste darstellt, sondern jede Behörde, jedes Unternehmen, jeden Verein oder auch jede Privatperson betrifft, die personenbezogene Daten verarbeiten. Unabhängig von einem digitalen Handlungsfeld. Wichtig erscheint mir bei der nun stattfindenden Diskussion auf der Zielgeraden, diesen Effekt der DS-GVO nicht aus den Augen zu verlieren.

Pseudonyme
Kritisch beleuchten die Ausschüsse den stiefmütterlichen Umgang mit dem Instrument der Pseudonymisierung in der DS-GVO. Die Empfehlung bedauert,

dass im Standpunkt des Rates nur punktuell Anreize zur Verarbeitung pseudonymisierter Daten aufgenommen wurden.

Gerade vor dem Hintergrund, dass Datenanalysen einen wichtigen Bestandteil der zukünftigen Wirtschaft darstellen und nach Ansicht der Ausschüsse sogar von „elementarer Bedeutung“ sind, fordern die Ausschüsse die Bundesregierung dazu auf, sich auch in den Trilog-Verhandlungen dafür einzusetzen, dass neue Verfahren zur Verarbeitung pseudonymisierter Daten gefördert werden.

Zweckänderung
Einer der besonders umstrittenen Punkte in der DS-GVO ist die Möglichkeit einer Zweckänderung von Datenverarbeitungen. Hierzu fordern die Ausschüsse die Bundesregierung dazu auf, bei den

weiteren Beratungen einer Verschlechterung des durch die geltende Datenschutzrichtlinie 95/46/EG gewährleisteten Schutzniveaus konsequent entgegenzutreten.

Diese Forderung ist durchaus verständlich und wird auch von vielen Beteiligten in den Verhandlungen geteilt. Eine Datenschutzreform, die das geltende Schutzniveau unterschreitet, soll nicht das Ergebnis sein.

Meines Erachtens ziemlich spektakulär ist jedoch die zusätzliche Forderung der Bundesratsausschüsse.

Sie appellieren an die Bundesregierung

dafür Sorge zu tragen, dass die schutzwürdigen Interessen der Betroffenen Vorrang vor einer kommerziellen Weiterverwendung ihrer Daten für Big-Data-Konzepte und vor anderen Beeinträchtigungen ihrer Persönlichkeit erhalten.

Damit würde eine Interessenabwägung im Fall von kommerziellen „Big-Data-Konzepten“ (dieser Begriff ist freilich nirgends definiert) stets zu einer Unzulässigkeit der Datenverarbeitung führen. Ein solches Postulat ist jedoch meines Erachtens brandgefährlich. Dies aus mehreren Gründen: nirgends wird erläutert, was unter „Big Data“ oder „Big Data Konzepten“ zu verstehen ist? Wer wäre hiervon also betroffen? Jedes Unternehmen, welches ein CRM-System einsetzt?

Desweiteren stellt sich die Frage, welche Unternehmen denn nicht „kommerziell“ tätig werden und Daten verarbeiten? Die Wirtschaft handelt grundsätzlich aus kommerziellen Interessen. Ein Unternehmen kann nun einmal nicht von Luft und Liebe leben und muss Geld verdienen, um Mitarbeiter, Lieferanten, etc. zu bezahlen.

Der per-se etablierte Vorrang von schutzwürdigen Interessen der Betroffenen würde den Erlaubnistatbestand der Interessenabwägung im Datenschutzrecht für den „Big-Data“-Bereich (wie auch immer dieser verstanden wird) praktisch entleeren. Eine Verarbeitung von Daten wäre dann etwa nur auf der Grundlage einer Einwilligung oder eines Vertrages möglich.

Minderjährige
Zudem sprechen sich die Ausschüsse für eine Stärkung des Minderjährigenschutzes aus. Die Bundesregierung soll

sich dafür einzusetzen, dass personenbezogene Daten Minderjähriger nicht für Zwecke der Werbung und zur Profilbildung verwendet werden dürfen.

Also ein Postulat des absoluten Verarbeitungsverbots für diese Fälle. Eine Einwilligung würde nicht helfen. Selbst wenn also ein Minderjähriger (also alle Personen unter 18 Jahren!) mit personalisierter Werbung im Internet einverstanden wäre, so dürfte ein Unternehmen wie Youtube oder Facebook diese Werbung nicht auf der Grundlage von Daten über diesen Jugendlichen ausspielen. Eine solche Forderung verkennt meines Erachtens die Realitäten (gerade im Internet) und lässt zudem von einem informationellen Selbst(!)Bestimmungsrecht nichts mehr übrig.

Datenschutzbeauftragter
Auch dem Thema Pflicht zur Bestellung eines Datenschutzbeauftragten widmen sich die Ausschüsse. Nach der Empfehlung soll sich

die Bundesregierung dafür einsetzen, weiterhin für das in Deutschland bewährte Modell betriebsinterner Datenschutzkontrolle zu werben, dessen Vorzüge auch im Standpunkt des Europäischen Parlaments aufgegriffen wurden.

Man möchte also die Bestellpflicht direkt in der DS-GVO geregelt wissen. Falls eine verbindliche Bestellungspflicht nicht in die DS-GVO hineinzuverhandeln sei und es den Mitgliedstaaten und ihrem nationalen Recht überlassen bleibt, eine Bestellpflicht vorzusehen, so halten es die Ausschüsse jedoch

für erforderlich, auch auf die verbliebenen unionrechtlichen Detailanforderungen an die Ausgestaltung dieser Aufgaben (vergleiche Artikel 35 Absatz 2 bis Artikel 37) zu verzichten.

Denn selbst wenn es den nationalen Datenschutzgesetzen vorbehalten bliebe, die Voraussetzungen der verbindlichen Bestellungen eines Datenschutzbeauftragten vorzugeben, so sieht der Ratsentwurf der DS-GVO derzeit doch daneben umfängliche (und verbindliche) Anforderungen an die Bestellung eines Datenschutzbeauftragten vor.

Datenschutzreform: Die Schlussverhandlungen starten. Überblick zu den ersten Themen.

Am 14. Juli wird das nächste Treffen von Vertretern der EU-Kommission, des EU-Parlaments und des Rates im Rahmen der Trilog-Verhandlungen stattfinden.

Bereits am 24. Juni hat man sich erstmals zusammengesetzt und die Arbeitsweise und einen groben „Fahrplan“ für die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) erarbeitet und abgestimmt.

In einem nun veröffentlichten Dokument  (PDF) der kommenden luxemburgischen Ratspräsidentschaft an die Arbeitsgruppe „Datenschutz“ (DAPIX) im Rat, werden die Themen des nächsten Trilog-Treffens und die verschiedenen Verhandlungspositionen dargestellt.

Aus dem Verhandlungsdokument geht hervor, dass sich alle beteiligten Parteien darauf verständigt haben, als gemeinsames Ziel einen Abschluss der Verhandlungen bis Ende 2015 zu erreichen. In diesem Punkt scheint daher schon einmal Einigkeit zu herrschen. Und das Signal ist klar: die Datenschutzreform soll so schnell wie möglich kommen.

Inhaltliche Arbeit ist nur noch punktuell möglich

Der dadurch verursachte Zeitdruck auf die Beteiligten wird freilich auch Folgen auf den Inhalt der Verhandlungen haben. Das sollte man jedoch nicht als etwas Außergewöhnliches ansehen, sondern als eine logische Folge der in den vergangenen Wochen gefällten politischen Entscheidungen. Was dies für die Datenschutz-Grundverordnung selbst (also die Inhalte) bedeutet, kann man nur vermuten. Meines Erachtens muss es jedoch darauf hinauslaufen, dass die Trilog-Verhandlungen zumindest teilweise zu einer „ich gebe dir, du gibst mir“-Veranstaltung werden. Es ist einfach schlicht unmöglich, noch einmal groß inhaltlich in jeden Artikel der Verordnung einzusteigen. Dafür fehlt die Zeit, wenn man Ende 2015 fertig sein möchte (zumal der Dezember ja praktisch auch nur ein halber Arbeitsmonat ist). Dass Positionen aufgegeben werden müssen, um an anderer Stelle seinen Willen zu bekommen, ist meines Erachtens per se auch nichts Schlimmes. Wichtig hierbei ist natürlich, auf eine ausgewogene Balance zu achten. Und vor allem, dass jede Partei verhandlungsbereit ist. Wenn sich ein Trilog-Spieler weigert und jegliche Kooperation ablehnt, dann sehe ich das Ziel „Ende 2015“ in weite Ferne rücken.

Zur anstehenden Verhandlungsrunde

Dennoch wird man sich freilich auch mit den Spezifikationen einzelner wichtiger Artikel befassen müssen. Bei dem nächsten Treffen sollen dies vor allem Themen des räumlichen Anwendungsbereichs und der internationalen Datentransfers (auch in Drittstaaten) sein. Zu diesen und den abweichenden Positionen der Verhandlungsparteien, ein paar kurze Anmerkungen.

Beim Thema „räumlicher Anwendungsbereich“ (Art. 3 DS-GVO)  dürfte von Interesse sein, dass das Parlament in seinem Entwurf in Art. 3 Abs. 2, also dem Sachverhalt, dass eine verantwortliche Stelle außerhalb des EWR sitzt, die DS-GVO auch auf außerhalb des EWR sitzende Auftragsverarbeiter erstrecken möchte. Kommission und Rat beziehen sich allein auf die verantwortliche Stelle.

Beim Thema „Drittstaatentransfers“ müssen sich die Parteien des Trilogs auch Gedanken drüber machen, was mit alten (also unter der geltenden Datenschutz-Richtlinie) gefassten Angemessenheitsbeschlüssen durch die Kommission und auch mit Genehmigung von Transfers durch nationale Aufsichtsbehörden (z.B. Binding Corporate Rules oder auch speziell erarbeitet Verträge) geschieht, wenn die DS-GVO in Kraft ist. Denn die Voraussetzungen für Angemessenheitsbeschlüsse oder auch Genehmigungen von Aufsichtsbehörden, werden sich natürlich verändern.

Hier unterscheiden sich die Positionen von Rat und Kommission einerseits und dem Parlament andererseits (vgl. Art. 41). Rat und Kommission schlagen vor, dass bestehende Angemessenheitsbeschlüsse wirksam bleiben, bis sie angepasst oder aufgehoben werden. Das Parlament möchte derartigen Angemessenheitsbeschlüssen daneben jedoch ein fixes Ablaufdatum aufdrücken. Spätestens 5 Jahre nach in Kraft treten der DS-GVO würden die Beschlüsse unwirksam, es sei denn, sie werden vorher aufgehoben oder angepasst.

Hiervon betroffen wäre etwa der in der Praxis wichtige Safe Harbor-Beschluss der Kommission, der Datenübermittlung zu selbstzertifizierten Stellen in den USA ermöglicht.

Die DS-GVO ist auf der Zielgeraden. Wie lang der Schlusssprint jedoch wird, dies wird sich erst in den nächsten Monaten zeigen. Denn zu Beginn der Trilog-Verhandlungen wird man sich vor allem mit Themen befassen, bei denen es im Groben keine Fundamentalunterschiede gibt. Zum Ende hin, kommen dann „Klopper“ auf den Tisch. Spannende Zeiten für den europäischen Datenschutz stehen also bevor.

EuGH-Generalanwalt zur Frage des anwendbaren Datenschutzrechts und der Zuständigkeit von Datenschutzbehörden

Heute hat der Generalanwalt („GA“) am Europäischen Gerichtshof, Pedro Cruz Villalón, seine Schlussanträge in der Sache „Weltimmo“ (C-230/14) vorgelegt. In diesem Vorabentscheidungsersuchen geht es um zwei wichtige Fragen des europäischen Datenschutzrechts:

  1. Welches Recht ist innerhalb der EU anwendbar auf ein Unternehmen, mit alleinigem Sitz in einem Mitgliedstaat, das jedoch über Internetseiten Dienstleistungen auch in anderen Ländern anbietet?
  2. Welche Kompetenzen besitzen Datenschutzbehörden, wenn es darum geht, gegen Unternehmen vorzugehen, die nicht im Mitgliedstaat der Behörde niedergelassen sind und wenn nicht das Datenschutzrecht des Mitgliedstaates dieser Behörde anwendbar ist?

Zu der Vorlagefrage selbst und auch zu dem Sachverhalt habe ich bereits ausführlich berichtet. Ich möchte mich daher nachfolgend auf eine kurze Zusammenfassung der Feststellungen des Generalanwalts beschränken.

Zum anwendbaren Recht und zum Begriff der Niederlassung (Nr. 1)

In dem Verfahren geht es hinsichtlich des anwendbaren Rechts um Art. 4 Abs. 1 lit. a) der Datenschutz-Richtlinie (RL 95/46/EG, „DS-RL“) in dem es heißt:

Jeder Mitgliedstaat wendet die Vorschriften, die er zur Umsetzung dieser Richtlinie erlässt, auf alle Verarbeitungen personenbezogener Daten an: a) die im Rahmen der Tätigkeiten einer Niederlassung ausgeführt werden, die der für die Verarbeitung Verantwortliche im Hoheitsgebiet dieses Mitgliedstaats besitzt.

Zunächst stellt der GA fest, dass diese Vorschrift als Norm fungiert, die im Verhältnis der Mitgliedstaaten zueinander das anwendbare Recht bestimmt. Art. 4 Abs. 1 lit. a ist daher die entscheidende Vorschrift, die als Kollisionsnorm zwischen den Rechtsordnungen der verschiedenen Mitgliedstaaten das anwendbare Recht bestimmt. Mit dieser Aussage des GA wird meines Erachtens auch deutlich, dass eine Rechtswahl des Datenschutzrechts derzeit gerade nicht möglich ist. Welches nationale Datenschutzrecht bindend gilt, ergibt sich eben gerade aus der oben bezeichneten Kollisionsnorm.

Für die korrekte Anwendung von Art. 4 Abs. 1 lit. a DS-RL kommt es entscheidend darauf an, wie der Begriff der „Niederlassung“ ausgelegt wird. So prüft dann auch der GA zunächst, ob Weltimmo eine Niederlassung auf ungarischem Staatsgebiet besitzt. In einem zweiten Schritt wird es um das Merkmal „im Rahmen der Tätigkeit“ gehen und die Frage zu beantworten sein, ob die Datenverarbeitung im Bereich der Tätigkeit dieser Niederlassung stattgefunden hat.

Zunächst geht der GA darauf ein, dass das Unionsrecht besonderen Wert auf einen Begriff der Niederlassung legt, die sich auf die effektive Ausübung der wirtschaftlichen Tätigkeiten und auf einen gewissen Grad an Beständigkeit stützt. Der GA schlägt vor, den Grad an Beständigkeit der Einrichtung als auch die effektive Ausübung der wirtschaftlichen Tätigkeiten unter Beachtung des besonderen Charakters dieser Tätigkeiten und der in Rede stehenden Dienstleistungen auszulegen.

Danach geht der GA speziell auf die Situation eines ausschließlich über das Internet tätigen Unternehmens ein.

Nach Ansicht des GA kann unter bestimmten Umständen ein Vertreter eines Unternehmens mit dauerhafter Präsenz und wenig mehr als einem tragbaren Computer eine ausreichende Struktur darstellen, um eine effektive, tatsächliche Tätigkeit mit einem ausreichenden Grad an Beständigkeit in einem anderen Mitgliedstaat durchzuführen, als jenem der Hauptniederlassung des Unternehmens. Daher sei es, laut dem GA, notwendig, bei der Bewertung dieser personellen und technischen Mittel sorgfältig die Eigenheiten von Unternehmen zu berücksichtigen, die Leistungen über das Internet anbieten, wobei auf die Besonderheiten der jeweiligen konkreten Situation einzugehen ist.

Zudem macht der GA weitere wichtige Anmerkungen, zu den gerade nicht mit in die Prüfung des anwendbaren Rechts einzubeziehenden Faktoren. So haben, meines Erachtens richtigerweise,

„der Ort, von dem aus die Daten eingegeben wurden, der Mitgliedstaat, auf den die Dienstleistungen ausgerichtet sind, die Staatsangehörigkeit der Betroffenen oder der Ort, an dem die Eigentümer des Unternehmens ihren Wohnsitz haben“

keinen direkten und entscheidenden Einfluss auf die Bestimmung des anzuwendenden Rechts.

Hinsichtlich des weiteren Merkmals von Art. 4 Abs. 1 lit. a DS-RL („im Rahmen der Tätigkeit“), verweist der AG vor allem auf das Urteil des EuGH in Sachen „Google Spain“ (C-131/12).

Für den GA ist jedoch klar, dass wenn die tatsächlichen Feststellungen ergeben sollten, dass Weltimmo ausschließlich in der Slowakei niedergelassen ist, auch nicht ungarisches Datenschutzrecht gelten kann. Selbst wenn Dienstleistungen in der Slowakei angeboten werden. Der GA dazu:

… in dem Sinne zu beantworten, dass Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46 es der ungarischen Datenschutzbehörde verwehrt, das ungarische Recht auf einen für die Datenverarbeitung Verantwortlichen anzuwenden, der ausschließlich in einem anderen Mitgliedstaat niedergelassen ist.

Diese Aussage, so sie denn der EuGH in seinem späteren Urteil bestätigen sollte, wäre für in der EU niedergelassene Unternehmen, die ihre relevante Hauptniederlassung in einem Land konzentrieren, besonders relevant.

Zur zuständigen Aufsichtsbehörde und zu den möglichen Aufsichtsmaßnahmen (Nr. 2)

Sodann geht der GA auf die Vorlagefrage ein, ob es denn möglich wäre, dass zwar slowakisches Datenschutzrecht anwendbar wäre, die ungarische Datenschutzbehörde dennoch Sanktionen verhängen oder die Rechtswidrigkeit der Datenverarbeitung feststellen könnte.

Bereits vorweg: der GA verneint diese Möglichkeit.

Der Kern der Frage, welche Kompetenzen mitgliedstaatliche Aufsichtsbehörden innerhalb der EU über Landesgrenzen hinweg ausüben können, ist von besonderer Praxisrelevanz und spielt auch im Rahmen der finalen Verhandlungen zur Datenschutz-Grundverordnung und dem sog. One stop shop eine wichtige Rolle. Immerhin geht es um das Handeln staatlicher Institutionen und die Ausübung hoheitlicher Befugnisse in anderen Mitgliedstaaten. So führt auch der GA aus:

In der Tat ist im Zusammenhang mit der Zuständigkeit öffentlicher Stellen und folglich mit der Ausübung öffentlich-rechtlicher Hoheitsbefugnisse, insbesondere der Sanktionsbefugnis, unbedingt von den Anforderungen auszugehen, die sich aus den Grundsätzen der territorialen Souveränität des Staates, der Gesetzmäßigkeit der Verwaltung und damit letztlich dem Begriff des Rechtsstaats ergeben.

Die Ausübung von Sanktionsgewalt kann, so der GA, grundsätzlich nicht außerhalb der gesetzlichen Grenzen stattfinden, in denen eine Behörde nach ihrem nationalen Recht ermächtigt ist. Eine Abweichung von dieser Regel scheint zumindest eine spezielle gesetzliche Grundlage zu erfordern, die die Anwendung des öffentlichen Rechts eines anderen Mitgliedstaats erlaubt und abgrenzt. Eine solche gesetzliche Regelung existiert derzeit jedoch nicht. Zu untersuchen ist hier insbesondere Art. 28 Abs. 6 S. 1 DS-RL. Dieser lautet:

Jede Kontrollstelle ist im Hoheitsgebiet ihres Mitgliedstaats für die Ausübung der ihr gemäß Absatz 3 übertragenen Befugnisse zuständig, unabhängig vom einzelstaatlichen Recht, das auf die jeweilige Verarbeitung anwendbar ist.

Der referenzierte Art. 28 Abs. 3 DS-RL listet verschiedene Rechte der Aufsichtsbehörde auf (Untersuchungsbefugnis, Einwirkungsbefugnis und Klagebefugnis). Jedoch gerade nicht die Sanktionsbefugnis. Zwar erlauben die Vorschriften der DS-RL nach Ansicht des GA, dass die Behörde eines Mitgliedstaats die in ihrem Hoheitsgebiet ausgeübten Tätigkeiten überwacht, und zwar auch dann, wenn das Recht eines anderen Mitgliedstaats anwendbar ist. Letztlich besitzen die Aufsichtsbehörden unabhängig vom im Einzelfall anzuwendenden Recht die Untersuchungs- und Einwirkungsbefugnisse, die in Art. 28 Abs. 3 DS-RL genannt sind, allerdings allein in der in ihrem nationalen Recht geregelten Form, im Bereich ihrer geografischen Zuständigkeit.

Möchte also eine Aufsichtsbehörde eines Mitgliedstaates, dessen Datenschutzrecht auf die betreffende Datenverarbeitung nicht anwendbar ist, auch Sanktionen gegen den Verantwortlichen verhängen, so kann sie dies nicht selbst tun. Jedoch hat sie die Möglichkeit, unter Berücksichtigung der Verpflichtung zur Zusammenarbeit der Datenschutzbehörden nach Art. 28 Abs. 6 DS-RL die Behörde des Mitgliedstaats, dessen Recht auf die Datenverarbeitung anwendbar ist, zu ersuchen, die eventuelle Feststellung eines Verstoßes gegen das anwendbare Recht und die eventuelle Verhängung von Sanktionen auf der Grundlage der eingeholten Informationen vorzunehmen. Die unzuständige Behörde besitzt nach Ansicht des GA also durchaus ein Grundgerüst an möglichen Handlungen, jedoch steht ihr nicht die Befugnis zu, eine Datenverarbeitung eines Verantwortlichen aus einem anderen Mitgliedstaat offiziell als rechtswidrig zu bescheiden oder etwa ein Bußgeld zu verhängen.

In Deutschland dürften diese Ausführungen insbesondere für Verfahren gegen Facebook interessant sein. Denn wenn irisches Datenschutzrecht gilt (also keine relevante Niederlassung in Deutschland existiert), so ist die irische Datenschutzbehörde nach Ansicht des GA zumindest für Sanktionen und die Feststellung von rechtswidrigen Verarbeitungen allein verantwortlich.

Der GA führt abschließend aus:

Insbesondere müssen eine eventuelle Feststellung der Rechtswidrigkeit der Datenverarbeitung und die gleichfalls eventuelle Verhängung von Sanktionen, die sich daraus ergibt, in jedem Fall durch die Behörde des Staates erfolgen, dessen materielles Recht nach dem Anknüpfungskriterium von Art. 4 Abs. 1 Buchst. a der Richtlinie auf die Datenverarbeitung anwendbar ist.

All diese Fragen sind hiermit freilich nicht final entschieden. Das Urteil des EuGH steht noch aus. Die Thematik ist jedoch, wie erwähnt, von besonderer Praxisrelevanz und dürfte gerade auch im Trilog zur Datenschutz-Grundverordnung auf den Tisch kommen.

Cookie-Richtlinie in Deutschland doch nicht umgesetzt?

Es ist eine Neverending Story. Die Frage der (Nicht-)Umsetzung der sog. Cookie-Richtlinie (RL 2002/58/ EG, in der Fassung der RL 2009/136/EG) in Deutschland.

Im Februar 2015 kritisierten die deutschen Datenschutzbehörden die Bundesregierung wegen einer, ihrer Ansicht nach, mangelnden Umsetzung der europäischen Vorgaben im deutschen Recht (hierzu mein Blogbeitrag). Das Erfordernis der vorherigen Einwilligung nach Art. 5 Abs. 3 Cookie-Richtlinie sei nach Ansicht der Behörden im deutschen Datenschutzrecht (namentlich im TMG) nicht richtlinienkonform implementiert.

Ganz anders sah dies sowohl die Europäische Kommission und auch das Bundeswirtschaftsministerium. Im Februar 2014 erhielten die Kollegen bei Telemedicus die Information, dass die Cookie-Richtlinie sehrwohl umgesetzt sei. Über die Ungereimtheiten berichtete der Kollege Adrian Schneider.

Nun ist eine aus dem Januar 2015 stammende Studie für die Europäische Kommission zur Umsetzung der Cookie-Richtlinie in den Mitgliedstaaten veröffentlicht worden (PDF). Die Aussage dort:

When looking at the way Article 5.3 has been transposed by the Member States, a first observation to make is that this provision has not been transposed by the German legislature.

Also doch keine Umsetzung in Deutschland? Dieses Hin und Her um die Cookie-Richtlinie grenzt schon langsam an ein komödiantisches Schauspiel, wenn es dabei nicht um für die Internetwirtschaft durchaus wichtige Fragen gehen würde.

Verhältnis zur geplanten Datenschutz-Grundverordnung
Die erwähnte Studie befasst sich daneben auch mit der Frage, in welchem Verhältnis die Vorgaben der Cookie-Richtlinie zu der geplanten Datenschutz-Grundverordnung (DS-GV) stehen werden. Im Mai 2015 hatte ich bereits berichtet, dass die Europäische Kommission davon auszugehen scheint, dass die Cookie-Richtlinie (in ihrem Anwendungsbereich) der DS-GVO als Spezialgesetz (lex specialis) vorgeht.

Diese Auffassung scheint auch die veröffentlichte Studie zu stützen (ab S. 112). Jedoch wird dort darauf hingewiesen, dass eine EU-Richtlinie die zukünftige DS-GVO als EU-Verordnung nicht detaillieren oder ergänzen kann. Denn die Verordnung steht als Rechtsakt sozusagen über der Richtlinie. Aus diesem Grund soll auch durch die DS-GVO, in Art. 89 vorgeschrieben werden, dass Art. 1 Abs. 2 der Cookie-Richtlinie gestrichen wird. Dieser besagt:

Die Bestimmungen dieser Richtlinie stellen eine Detaillierung und Ergänzung der Richtlinie 95/46/EG…dar.

Eine solche Detaillierung der DS-GVO durch die Cookie-Richtlinie ist jedoch nicht möglich. Mitgliedstaaten könnten nicht durch Vorgaben einer Richtlinie dazu verpflichtet werden, von den Regelungen einer Verordnung abzuweichen. Aufgrund dessen auch die Streichung in der Cookie-Richtlinie.

Für die Zukunft schlägt die Studie vor, dass die Cookie-Richtlinie in eine Verordnung umgewandelt wird. Dies könnte das Zusammenspiel der beiden Instrumente vereinfachen, da sie dann auf einer gesetzlichen Ebene stehen.

Datenschutzreform: Das gesamte deutsche Datenschutzrecht muss überprüft werden

Gestern hat sich der Rat der Europäischen Union auf eine gemeinsame Position zur Datenschutz-Grundverordnung (DS-GVO) verständigt. Damit können nun die Trilog-Verhandlungen zwischen Kommission, Rat und europäischem Parlament beginnen (mein Beitrag hierzu bei LTO).

Für Deutschland waren die Minister Maas und de Maiziére in Luxemburg und nahmen an der Verhandlung teil. Erklärtes Ziel der deutschen Minister ist es, einen abgestimmten Gesetzestext möglichst bis Ende 2015 zu verhandeln, so dass die DS-GVO Ende 2017/Anfang 2018, nach zweijähriger Übergangsfrist, in Kraft treten kann.

Welche Auswirkungen die Datenschutzreform gerade auch für das Datenschutzrecht in Deutschland besitzt, darüber hat Innenminister de Maizière seine Fraktionskollegen der CDU/CSU-Bundestagsfraktion in einem Informationsschreiben vom 15. Juni 2015 unterrichtet, welches mir vorliegt.

Zentral beginnt das Schreiben des Ministers mit der Klarstellung:

Das deutsche Datenschutzrecht wird durch EU-Recht ersetzt.

Mit Blick auf die nun anstehenden Trilog-Verhandlungen (einen vorläufigen Zeitplan findet man hier) kündigt der Innenminister an, dass man auch im Trilog entschlossen auf eine zügige Einigung hinarbeiten wolle. Die Verhandlungen sollen noch im Jahr 2015 abgeschlossen werden.

In Deutschland werden sich viele Unternehmen, Vereine, Behörden unter andere Organisationen die Frage stellen, ob in der zweijährigen Übergangsfrist noch Veränderungen anstehen oder ob man eventuell einfach abwartet, bis es soweit ist.

Die Antwort des Ministers ist klar:

In dieser Zeit müssen wir in Deutschland das gesamte Datenschutzrecht sorgfältig überprüfen und die notwendigen Anpassungen auf den Weg bringen, damit sie gleichzeitig mit der Grundverordnung wirksam werden können.

Minister de Maizière spielt hier vor allem auf die Auswirkungen von Öffnungsklauseln in der DS-GVO an, die es den Mitgliedstaaten (in gewissen Bereichen) erlauben werden, spezifische Regelungen für bestimmte Themenbereiche (etwa den Arbeitnehmer- oder Sozialdatenschutz) zu erlassen.

Die Folgen der DS-GVO dürften praktisch in jedem Lebens- und vor allem Wirtschaftsbereich zu spüren sein. Zumindest soweit sich die neuen Regelungen von bereits jetzt bestehenden unterscheiden.

Der Minister stellt daher richterweise fest:

Die EU-Datenschutzreform wird große Auswirkungen für Bürger, Wirtschaft, Staat und Verwaltung haben.

Gleichzeitig verweist er jedoch darauf, dass viele bekannte Vorgaben und Prinzipien aus der geltenden EU-Datenschutzrichtlinie und dem deutschen Datenschutzrecht nicht einfach verschwinden werden.

Mit der Datenschutzreform wird das Rad nicht neu erfunden.

Man darf also gespannt sein, wie letztlich die fertige DS-GVO aussieht. Der deutsche Gesetzgeber wird in jedem Fall in der nahen Zukunft mit einer kompletten Prüfung und erforderlichenfalls Überarbeitung des deutschen Datenschutzrechts befasst sein.

Datenschutzreform: Vorläufiger Zeitplan für die finalen Trilog-Verhandlungen

Die Verhandlungen zur Datenschutz-Grundverordnung (DS-GVO) sollen nach dem politisch erklärten Ziel der europäischen Staats- und Regierungschefs Ende 2015 abgeschlossen werden. Am 15. und 16. Juni 2015 werden sich die Innen- und Justizminister, so wie es derzeit aussieht, auf eine gemeinsame Position des Rates der Europäischen Union einigen. Danach sollen die informellen Verhandlungen zwischen der Kommission, dem Parlament und dem Rat beginnen.

Diese sog. Trilog-Verhandlungen finden nicht öffentlich statt. Bei diesen Treffen versuchen sich Vertreter der drei involvierten Organe der europäischen Gesetzgebung auf einen gemeinsamen Gesetzestext zu einigen. Über die konkreten Planungen zu diesen Verhandlungen ist, aufgrund ihrer Nicht-Öffentlichkeit, freilich wenig bekannt.

Etwas Licht ins Dunkle der Trilog-Verhandlungen bringt nun ein von der EVP-Fraktion im Europäischen Parlament veröffentlicht vorläufiger Zeitplan. Die nachfolgend genannten Daten und auch die Themen sind, wie beschrieben, zwischen den Beteiligten noch nicht fest vereinbart. Jedoch geben sie einen ersten Überblick darüber, wie die Trilog-Verhandlungen in den nächsten Wochen starten könnten. Hier der Entwurf des Zeitplans:

24. Juni 2015, Brüssel (bedarf noch der Zustimmung von Kommission und Rat)
Erstes Trilog-Treffen zur DS-GVO

Entwurf der Tagesordnung:

  1. Position des Rates zur (ebenfalls zu verhandelnden) Richtlinie
  2. Abstimmung des grundsätzlichen strategischen Fahrplans für die Trilog-Verhandlungen
  3. Generelle Methode und die Herangehensweise an delegierte Rechtsakte der Kommission

14. Juli 2015, Brüssel (bedarf noch der Zustimmung von Kommission und Rat)
Zweites Trilog-Treffen zur DS-GVO

Entwurf der Tagesordnung:

  1. Räumlicher Anwendungsbereich (Artikel 3)
  2. Internationale Datentransfers (Kapitel V)

Weitere geplante Trilog-Verhandlungen (Themenübersicht)
(bedarf noch der Zustimmung von Kommission und Rat)

September

  • Datenschutzprinzipien (Kapitel III)
  • Rechte der Betroffenen (Kapitel III)
  • Verantwortlicher und Auftragsdatenverarbeiter (Kapitel IV)

Oktober

  • Datenschutzbehörden (Kapitel VI)
  • Kooperationsmechanismen (Kapitel VII)
  • Rechtsmittel, Verantwortlichkeit und Strafen (Kapitel VIII)

November

  • Zielsetzungen und maetrieller Anwendungsbereich, Flexibilität im öffentlicher Sektor (Kapitel I)
  • Besondere Vorschriften (Kapitel IX)

Dezember

  • Deleigierte Rechtsakte (Kapitel X)
  • Schlussbestimmungen (Kapitel XI)
  • Weitere offene Themen

Datenschutzreform: Deutschland fordert mehr Sicherheit bei internationalen Datentransfers

Wie bereits berichtet, stehen die Verhandlungen im Rat der Europäischen Union zur geplanten Datenschutz-Grundverordnung (DS-GVO) kurz vor ihrer finalen Phase. Im Juni soll der Ministerrat den gemeinsamen Standpunkt beschließen, um danach mit der Kommission und dem europäischen Parlament in die sog. Trilog-Verhandlungen einsteigen zu können.

Die deutsche Delegation möchte die noch verbleibende Zeit für Änderungen am Gesetzestext im Gremium der Mitgliedstaaten offensichtlich so gut wie möglich nutzen und schlägt in einem Arbeitspapier vom 18. Mai 2015 (PDF) in der zuständigen Ratsarbeitsgruppe (Dapix) einige wichtige Änderungen an den geplanten zukünftigen Vorschriften zur Regelung von internationalen Datentransfers vor. Zudem sollen, nach dem Willen Deutschlands, personenbezogene Daten aus Europa besser vor einem unkontrollierten Zugriff durch Behörden aus Drittstaaten geschützt werden.

Anforderungen an einen neuen ‚Safe Harbor‘
Die deutsche Delegation möchte Artikel 41, in dem es um die Voraussetzungen für die Feststellung eines angemessenen Schutzniveaus für personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftraums geht, anpassen. Nach geltender und auch derzeit geplanter zukünftiger Rechtslage, dürfen personenbezogene Daten grundsätzlich nicht in Drittstaaten transferiert werden. Es bestehen jedoch Ausnahmen, wie etwa der Abschluss sog. Standardvertragsklauseln oder das Vorliegen eines Angemessenheitsbeschlusses der Kommission, in dem sie einen angemessenen Schutz von personenbezogenen Daten in einem Drittstaat feststellen kann. Dann sind Übermittlungen in dieses Land grundsätzlich erlaubt.

Besonders in der Kritik stand zuletzt der Angemessenheitsbeschluss der Kommission für Datentransfers in die USA, das sog. Safe Harbor-Abkommen (wobei es sich eigentlich nicht um ein internationales Abkommen handelt. Zur Rechtsnatur von Safe Harbor, hatte ich bereits gebloggt).

Deutschland möchte nun besondere Voraussetzungen in der DS-GVO festschreiben, die erfüllt sein sollten, um ein angemessenes Schutzniveau für Daten attestieren zu können. Im Prinzip also eine Art Checkliste für die Kommission. Wenn der Drittstaat eine internationale Vereinbarung zum Datenschutz oder andere internationale Verpflichtungen mit anderen Staaten eingegangen ist, so sollte sich der Drittstaat vor allem dazu verpflichten, dass

  • eine effektive Aufsicht durch Behörden, insbesondere durch die Beteiligung europäischer Datenschutzbehörden, sichergestellt ist, und
  • den Betroffenen muss die Möglichkeit effektiver Rechtsschutzmechanismen eröffnet werden.

Diese Forderungen sind nicht unkritisch. Handelt es sich doch gerade bei dem letzten Punkt um jenes Thema, welches sowohl im Rahmen der derzeitigen Verhandlungen zur Überarbeitung von Safe Harbor als auch im Rahmen des EU-US Datenschutzabkommens für den Bereich der Justiz und Strafverfolgung für den meisten Diskussionsstoff sorgt.

Eingeschränkte Anti-FISA-Klausel
Zudem schlägt die deutsche Delegation die (Wieder-)Einführung der sog. „Anti-FISA-Klausel“ vor (neuer Artikel 42a). Zumindest eingeschränkt.

Hierbei handelt es sich um eine Bestimmung, welche die Weitergabe von Daten aus Europa auf Verlangen von Gerichten und Behörden aus Drittstaaten grundsätzlich verbieten und von der Zustimmung europäischer Datenschutzbehörden abhängig machen soll. Im ersten offiziellen Entwurf der DS-GVO war diese Klausel nicht enthalten. In einer früheren inoffiziellen Fassung existierte sie noch.

Das Europäische Parlament hat die Wiedereinführung dieser Klausel ebenfalls im Rahmen seiner Stellungnahme zur DS-GVO im März 2014 gefordert (dort Artikel 43a).

Im Unterschied zum Vorschlag des Parlaments möchte Deutschland das Weitergabeverbot von Daten an Behörden aus Drittstaaten jedoch dann nicht zur Anwendung bringen, wenn diese Anfragen im Rahmen von Rechtshilfeabkommen oder anderer internationaler Vereinbarung erfolgen. Zudem soll eine Autorisierung durch eine europäische Datenschutzbehörde dann nicht erforderlich sein, wenn die Datenweitergabe dem Zweck der Aufklärung oder Verfolgung von Straftaten dient. Das Parlament sah entsprechende Ausnahmen nicht vor.

Fazit
Salopp ausgedrückt, gibt Deutschland auf den letzten Metern der Verhandlungen zur DS-GVO noch einmal Gas. Dies vor allem im Sinne einer Erhöhung der Anforderungen an den Schutz von personenbezogenen Daten. Leider stand das deutsche Verhalten im Rat in den letzten Monaten öffentlich eher in der Kritik. Vielleicht wird ja nun auch einmal über positive Vorstöße berichtet.

Europäische Datenschutzbehörden fordern mehr Mittel und praxistaugliche Gesetze

Vom 18. – 20. Mai 2015 trafen sich Vertreter der Datenschutzbehörden der EU-Mitgliedstaaten und des Europarates zu einer Frühjahrskonferenz in Manchester. Diskutiert wurde über Themen von gemeinsamem Interesse. Besonders im Vordergrund stand dieses Jahr die mangelnde finanzielle als auch personelle Ausstattung staatlicher Aufsichtsbehörden und ihre Wahrnehmung in der Öffentlichkeit.

Die Vertreter der Datenschutzbehörden verabschiedeten vor diesem Hintergrund eine Resolution („Meeting data protection expectations in the digital future“, PDF), die sich eindringlich an die Mitgliedstaaten wendet und für die Tätigkeit der Aufsichtsbehörden, vor allem die Kontrolle und Durchsetzung des Grundrechts auf Schutz personenbezogener Daten in Europa, mehr finanzielle und personelle Mittel verlangt. Andernfalls könnten die Datenschützer die ihnen obliegenden Aufgaben nicht mehr wahrnehmen.

Forderung nach mehr Mitteln
Direkt an die europäischen Regierungen wendet sich die Forderung der Datenschützer, sicherzustellen, dass die finanzielle Unterstützung der Behörden ausreicht, um die weiter an ihre Arbeit gestiegenen Anforderungen erfüllen zu können. Hierzu gehöre auch eine Förderung der internationalen Zusammenarbeit von Behörden, wobei die Unabhängigkeit der Aufsichtsstellen nicht gefährdet werden dürfe. Die Datenschützer verweisen zur Untermauerung ihrer Forderung auf drei Urteile des Gerichtshofs der Europäischen Union (C-518/07; C-614/10; C-288/12), in denen die Unabhängigkeit und die finanzielle und personelle Ausstattung der Behörden als erforderliches Mittel zur Gewährleistung des Datenschutzes in Europa als Grundrecht bekräftigt wurde.

Einfaches Datenschutzrecht
Zudem wenden sich die Datenschützer an den europäischen Gesetzgeber. Dieser müsse sicherstellen, dass die nächste Generation von Datenschutzgesetzen in einer klaren und einfachen Sprache verfasst werden, so dass sie von denjenigen Adressaten verstanden und auch umgesetzt werden können, für die sich gedacht sind: Unternehmen, Betroffene und Aufsichtsbehörden. Nur so könne ein hohes Datenschutzniveau auch in der Praxis tatsächlich durchgesetzt werden.