In Sammlung (en) In der gespeicherten
  1. Keine Kategorie

DOC - Europa.eu

Werbung 
SPEECH/12/200
Viviane Reding
Vizepräsidentin
der
Justizkommissarin
Europäischen
Kommission,
EU-
Sieben Grundbausteine für Europas
Datenschutzreform
Rede auf dem eco MMR Kongress "Datenschutz 2012"
Berlin, 20. März 2012
Meine Damen und Herren,
ich freue mich sehr, heute hier in Berlin zu Gast bei der deutschen Internetwirtschaft
zu sein, um mit Ihnen über die aktuellen europäischen und internationalen
Herausforderungen im Bereich des Datenschutzrechts zu sprechen. Ich begrüße
es, dass die Zeitschrift "Multimedia und Recht" die Initiative für diese Veranstaltung
ergriffen hat. Und ich halte es für ein sehr gutes Zeichen, dass
Bundesinnenminister Hans-Peter Friedrich die Schirmherrschaft über diesen
Kongress übernommen hat. Dies zeigt einmal mehr, wie sehr die Internetwirtschaft
der gesamten Bundesregierung am Herzen liegt.
Gerade heute, wo Deutschland und Europa infolge der Finanz- und Schuldenkrise
vor großen wirtschaftlichen und finanzpolitischen Herausforderungen stehen, muss
die weitere Entwicklung der Internetwirtschaft in Europa ganz besondere Beachtung
finden. Wenn Europa aus der gegenwärtigen Krise herauswachsen soll, dann
brauchen wir das dynamische Wachstumspotenzial der Internetwirtschaft. Dann
brauchen wir einen attraktiven, modernen Regulierungsrahmen für digitale Güter
und Dienstleistungen. Und dann brauchen wir Regelungen, die vor allem auf die
Bedürfnisse kleiner und mittlerer Unternehmen zugeschnitten sind. Denn kleine und
mittlerer Unternehmen und innovative "Start ups" sind das Rückgrat einer
Internetwirtschaft, die in Europa Wachstumskräfte entfesseln helfen kann. Als sich
die Europäische Kommission vor zwei Jahren daran machte, das aus dem Jahr
1995 stammende europäische Datenschutzrecht zu modernisieren, waren solche
wirtschaftlichen Überlegungen für uns außerordentlich wichtige Faktoren für die
politische Ausrichtung unserer Reformbestrebungen.
Natürlich war für uns erster Ausgangspunkt die Feststellung, dass der Datenschutz
heute ein geschriebenes Grundrecht ist, das durch den Vertrag von Lissabon in
äußerst moderner Kodifizierung im europäischen Primärrecht und insbesondere in
der EU-Grundrechtecharta verankert ist. Zweiter Ausgangspunkt für uns war Artikel
16 AEUV, mit dem die EU-Mitgliedstaaten der Europäischen Union erstmals in ihrer
Geschichte eine spezifische Gesetzgebungskompetenz zur Schaffung eines
einheitlichen EU-Datenschutzrechts übertragen haben. Ich weiß sehr wohl, dass es
vor allem die deutschen Mitglieder des EU-Verfassungskonvents wahren, die auf
der Verankerung des Datenschutzgrundrechts und der entsprechenden EUGesetzgebungskompetenz im EU-Primärrecht bestanden haben. Schließlich ist der
moderne Datenschutz in vieler Hinsicht eine deutsche Errungenschaft und
Verfassungstradition. Und diese Tradition ist mit dem Vertrag von Lissabon nun zu
einem überaus erfolgreichen deutschen Exportgut geworden. Als Luxemburgerin,
die das deutsche Interesse an einem starken Datenschutz teilt – wir haben da
ähnliche historische Erfahrungen wie Deutschland –, begrüße ich dies
außerordentlich.
2
Mit den Neuerungen des Vertrags von Lissabon und der EU-Grundrechtecharta war
allerdings nur die Frage beantwortet, dass es in absehbarer Zeit ein neues EUDatenschutzrecht geben würde, nicht aber die Frage, wie dieses neue EUDatenschutzrecht aussehen sollte. Als wir uns in der Europäischen Kommission die
ersten Textvorentwürfe ansahen, war ich froh, auf meine praktische Erfahrung aus
meiner fünfjährigen Tätigkeit als EU-Kommissarin für Telekommunikation, Internet
und Medien zurückgreifen zu können. Denn der Datenschutz ist ja beiliebe keine
abstrakte Rechtsmaterie. Es ist vielmehr eine Rechtsmaterie, die sich mehr als viele
andere
Rechtsgebiete
mit
dem
ständigen
technologischen
Wandel
auseinandersetzen
muss.
Neue
Geschäftsmodelle
müssen
ebenso
Berücksichtigung finden wie sich entwickelnde gesellschaftliche Anschauungen.
Aus diesem Grund habe ich bei der Formulierung der EU-Reformvorschläge zum
Datenschutz in besonders enger Weise mit EU-Kommissarin Neelie Kroes
zusammengearbeitet. Gemeinsam haben wir die Datenschutzreform in den
Mittelpunkt der Digitalen Agenda der Europäischen Union gestellt. Denn wir beide
wissen genau, dass eine wachstumsorientierte digitale Wirtschaft und ein echter
digitaler Binnenmarkt ohne ein modernes EU-Datenschutzrecht nicht vorstellbar
sind.
Sicherlich wird in den kommenden Monaten intensiv über die Details der EUDatenschutzreform diskutiert werden, sowohl hier in Berlin als auch im
Gesetzgebungsverfahren im Europäischen Parlament und im EU-Ministerrat. Es ist
ja gerade Zweck des europäischen Gesetzgebungsverfahrens, im Dialog zwischen
Parlament, Rat und Kommission die richtige Balance in Einzelfragen auszuloten
und das erforderliche "Fine-tuning" der einzelnen Gesetzesbestimmungen
vorzunehmen. Ich sehe mit Freude, dass im EU-Ministerrat auf Arbeitsebene
bereits die Lesung der ersten neun Artikel der Verordnung weit vorangeschritten ist.
Nachdem ich zehn Jahre lang selbst Mitglied des Europaparlaments gewesen bin,
werden Sie es mir sicherlich nachsehen, wenn ich persönlich gerade darauf setze,
dass sich vor allem die direkt gewählte europäische Volksvertretung stark in das
Gesetzgebungsverfahren einbringt. Und dieser Debatte möchte ich natürlich heute
nicht vorgreifen. Sie wird uns ohne Zweifel noch einige Monate lang beschäftigen,
und ich freue mich darauf.
Lassen Sie mich daher im Folgenden auf sieben Grundbausteine der EUDatenschutzreform eingehen, die ich gerade aus dem Blickwinkel der
Internetwirtschaft für besonders wichtig halte und für die sich die Kommission im
Gesetzgebungsverfahren mit der uns üblichen Vehemenz einsetzen wird.
3
Der erste Grundbaustein ist die für die EU-Datenschutzreform gewählte
Rechtsform. Wir haben von Anfang an kein Geheimnis daraus gemacht, dass nach
fast 17 Jahren intensiver Erfahrung mit der EU-Datenschutzrichtlinie die Zeit
gekommen ist, diese durch eine EU-Verordnung abzulösen. Ich danke vor allem
der deutschen Wirtschaft dafür, und vor allem den deutschen Telekom- und
Internetunternehmen, dass sie die Kommission in diesem Bestreben so nachhaltig
unterstützt haben. Für eine Verordnung spricht an erster Stelle, dass wir in Europa
einen digitalen Binnenmarkt ohne Grenzen schaffen wollen. Dafür brauchen wir
einheitliche Regeln, unabhängig davon, ob ein Unternehmen seine Dienste nun aus
Berlin oder Dublin anbietet. Andernfalls ist es für ein Unternehmen ja ein leichtes,
sich durch die Sitzverlagerung in einen anderen EU-Mitgliedstaat einen
Wettbewerbsvorteil zu verschaffen. Für eine Verordnung spricht zweitens, dass das
Datenschutzrecht in den vergangenen 17 Jahren gerade im Online-Bereich
zunehmend
europäisiert
worden
ist.
Dafür
hat
eine
intensive
Rechtsprechungstätigkeit des Europäischen Gerichtshofs gesorgt, die übrigens in
zahlreichen Fällen von zielgerichteten Vorlagefragen deutscher Gerichte veranlasst
wurde. Am 24. November 2011 hat der Europäische Gerichtshof sogar entschieden,
dass im Bereich des Datenschutzes die Harmonisierung nicht auf eine
Mindestharmonisierung beschränkt sei, sondern bereits unter der geltenden
Datenschutzrichtlinie von 1995 zu einer grundsätzlich umfassenden Harmonisierung
führen müsse, da andernfalls der Europäische Binnenmarkt nicht ordnungsgemäß
funktionieren könne. Der Rechtsformwechsel von der Richtlinie zur Verordnung ist
vor diesem Hintergrund also keine Revolution, sondern eine natürliche Evolution.
Die Kommission hat insofern mit dem Verordnungsvorschlag vom 25. Januar 2012
diese Rechtsentwicklung lediglich nachvollzogen.
Der dritte politische Grund, der für den Rechtsformwechsel spricht, ist die
internationale Dimension des europäischen Datenschutzrechts. Datenströme
machen heute nur nicht an Landesgrenzen, sondern auch nicht an den Grenzen
unseres Kontinents halt. Unsere persönlichen Daten werden heute zunehmend auf
Servern in Kalifornien oder in Datenwolken in Indien gespeichert und verwaltet.
Jeder Benutzung eines Flugzeugs kann dazu führen, dass persönliche
Fluggastdaten weltweit ausgetauscht werden. Jede Banküberweisung kann den
Zugriff ausländischer Unternehmen oder Behörden auslösen. Dabei steht Europa in
der Welt mit seinem hohen politischen Interesse an einem hohen
Datenschutzniveau relativ alleine da. Die historische europäische Erfahrung mit
Diktaturen von rechts wie von links haben uns da offenbar mehr sensibilisiert als
andere Kontinente, was man bei jeder Verhandlung zu den SWIFT- und PNRAbkommen miterleben konnte. Wenn Europa dennoch international seine
Standards im Datenschutz verteidigen und vielleicht sogar exportieren möchte,
dann müssen wir zwingend nach außen mit einer Stimme sprechen. Lassen Sie
mich es ganz einfach sagen: Ein amerikanischer Kongreßabgeordneter oder ein
chinesischer Minister wird sich sicherlich nicht von einer rechtlichen Lösung
überzeugen lassen, die in Europa in 27 verschiedenen, stark voneinander
abweichenden Varianten existiert. Er wird sich aber dann überzeugen lassen, wenn
er sieht, dass Europa zu einem überzeugenden Rechtsrahmen gefunden hat, der
einheitlich für einen Wirtschaftraum mit 500 Millionen Bürgern gilt.
4
Meine Damen und Herren,
als Luxemburgerin ich bin eine große Freundin von kleinen Lösungen, von Vielfalt
und von Subsidiarität. Wer mich kennt, der weiß von diesen meinen
Überzeugungen, die sich nicht von denen vieler deutscher Ministerpräsidenten
unterscheiden. Im globalen Wettstreit um den Datenschutz können wir allerdings
mit kleinteiligen Lösungen keinen Blumentopf gewinnen. Hier müssen wir
europäisch denken. Die Bundeskanzlerin hat in den vergangenen Wochen immer
wieder gesagt: Es ist jetzt die Zeit für mehr Europa, nicht für weniger Europa. Das
mag nicht in allen Politikbereichen so sein. Im Datenschutzrecht ist dies aber
sicherlich der Fall. Hier haben wir Europäer nur eine Wahl: Entweder wir
entscheiden uns für eine starke, einheitliche europäische Lösung. Oder das
europäische Verständnis von Datenschutz als freiheitliches Bürgerrecht wird in
wenigen Jahren der Vergangenheit angehören. Ich werde mich nach Kräften dafür
einsetzen, dass wir uns europäisch entscheiden.
Wer übrigens noch eines praktischen Beweises für die internationale politische
Bedeutung einer starken europäischen Position im Datenschutzrecht bedarf, der
muss sich nur einmal die Reaktion der US-Regierung auf den
Verordnungsvorschlag der Kommission vom 25. Januar dieses Jahres ansehen.
Zunächst einmal habe ich es in meiner politischen Karriere noch nicht erlebt, dass
ein europäisches Gesetzesvorhaben bereits im Entstehungsprozess ein so
intensives transatlantisches Interesse auslöst. Mehrere Generaldirektoren in der
Europäische Kommission riefen mich um den Jahreswechsel an und berichteten
mir, dass sie der Chefjurist des Weißen Hauses angerufen habe, um Einfluss auf
den Verordnungstext zu nehmen. Bei den meisten der Generaldirektoren in der
Kommission löste dieses Lobbying übrigens eine europäisch-patriotische Reaktion
aus und sie verteidigten den Textvorschlag vehementer als man dies hätte erwarten
können. Ich persönlich finde es ganz hervorragend, dass die USA ein so starkes
Interesse an unserer Datenschutzverordnung haben. Sie haben offenbar
verstanden, dass die Grundregeln des digitalen Datenschutzes auf bestem Weg
sind, in Europa formuliert zu werden. Gewonnen ist dieser Wettbewerb aber noch
lange nicht. Das sieht man bereits daran, dass nur vier Wochen nach dem
Kommissionsvorschlag die US-Regierung einen eigenen Vorschlag nachlegte.
Wir befinden uns also heute in einer Situation, die dem Verfolgungsrennen beim
Biathlon vergleichbar ist. Ich hoffe sehr, dass alle Mitgliedstaaten die Kommission
und das Europäische Parlament tatkräftig dabei unterstützen, dass wir auf den
nächsten Kilometern alle Zielscheiben treffen. Dass uns keine Äste zwischen die
Beine geworfen werden. Und dass Europa am Ende als erste ins Ziel einlaufen
kann.
Ich begrüße es vor diesem Hintergrund, dass neben der EU-Kommissarin für die
Digitale Agenda, Neelie Kroes, auch Bundesinnenminister Friedrich zu den
stärksten Befürwortern der Wahl einer Verordnung für die Datenschutzreform zählt.
Bundesminister Friedrich war einer der ersten deutschen Politiker, die mir
gegenüber deutlich gemacht hat, wie sehr es gerade im Interesse der deutschen
Wirtschaft ist, dass die Kommission eine Verordnung vorschlägt. Ich werde diese
politische Entscheidung mit Überzeugung im Interesse der Wettbewerbsfähigkeit
Europas nach Kräften verteidigen – und mit Ihrer Unterstützung auch über die
Ziellinie bringen.
5
Dies bringt mich zum zweiten Grundbaustein der EU-Datenschutzreform: den
"One Stop Shop" bei der Rechtsanwendung und -durchsetzung. Die EUVerordnung schafft sicherlich europaweit einheitliche Regeln für den Datenschutz.
Aber, so weiß jeder mit etwas Erfahrung in der Wirtschaft, was nützen uns
einheitliche Regeln, die dann doch von Land zu Land unterschiedlich angewendet
und durchgesetzt werden? Die Kommission hat im Interesse der Rechtssicherheit,
der Rechtseinheitlichkeit und der Wettbewerbsgleichheit ein neues System der
Anwendung des EU-Datenschutzrechts vorgesehen. Zunächst einmal bleibt es bei
der dezentralen Anwendung des Datenschutzrechts durch nationale Behörden und
Gerichte. Ich weiß, dass gerade in der Internetwirtschaft der eine oder andere es
gerne gesehen hätte, wenn Europa in diesem Bereich mehr auf Zentralisierung
gesetzt hätte. Doch es ist einfach nicht praktikabel, für einen ganzen Kontinent eine
einheitliche zentrale Rechtsdurchsetzungsinstanz zu schaffen. Ich möchte auch
betonen, dass wir nicht an der deutschen Tradition rühren, dass in Deutschland das
Datenschutzrecht von sechzehn Landesbehörden durchgesetzt wird. Ob das so
bleibt oder ob das geändert wird, das muss Deutschland schon selbst entscheiden,
diese Entscheidung kann und werde ich Ihnen nicht abnehmen. Ich meine auch:
Wenn Luxemburg und Estland eine eigene Datenschutzbehörde haben, warum soll
das dann nicht auch für Bayern oder Nordrheinwestfalen gelten?
Wer die Praxis kennt, der weiß genau, dass es eigentlich keine Rolle spielt, ob es
nun eine, zwei oder 43 Datenschutzbehörden in Europa gibt. Entscheidend aus
Sicht der Wirtschaft ist, dass erstens klar geregelt ist, dass für einen Sachverhalt
stets nur eine einzige Datenschutzbehörde zuständig ist, nämlich die am Sitz des
Unternehmens. Das ist der so genannte "One Stop Shop", den die Kommission
vorgeschlagen hat und der nach unseren Berechnungen zu Einsparungen in Höhe
von 2,3 Milliarden Euro pro Jahr führen wird. Zweitens muss sichergestellt werden,
dass bei Sachverhalten, die grenzüberschreitend oder für den gesamten EUBinnenmarkt relevant sind, die nationalen Datenschutzbehörden eng, zuverlässig
und schnell zusammenarbeiten. Dies soll das so genannte "Kohärenzverfahren"
sicherstellen, dass die Verordnung einführt und das in diesen Tagen erstmals –
gewissermaßen in praktischer Vorwegnahme der Neuregelung – von den
nationalen
Datenschutzbehörden
bei
der
Untersuchung
der
neuen
Datenschutzpolitik von Google erprobt wird.
Dies bringt mich zum dritten Grundbaustein der EU-Datenschutzreform: der
Frage nach dem richtigen Schutzniveau im europäischen Datenschutz. Ich habe
mich in der Kommission für ein hohes Datenschutzniveau eingesetzt. Denn ich halte
Datenschutz nicht für einen Kostenfaktor, sondern für einen Wettbewerbsvorteil in
der digitalen Wirtschaft. Hier in Berlin kann ich dabei mit gutem Gewissen darauf
hinweisen, dass sich die Datenschutzexperten der Kommission – von denen
übrigens überproportional viele deutsche Juristen sind – in vielen Punkten am
Bundesdatenschutzgesetz orientiert haben. Das hohe deutsche Datenschutzniveau
war für uns Richtschnur und Messlatte für unsere Reformvorschläge. Das heißt
sicherlich nicht, dass wir nun jedes Detail aus dem deutschen Datenschutzrecht
übernommen haben. Auch das deutsche Datenschutzrecht – und das kann ich
sicherlich sagen, ohne gleich der Majestätsbeleidigung angeklagt zu werden – kann
sicherlich hier und da noch verbessert und vielleicht auch etwas entrümpelt werden.
Aber am hohen Schutzniveau, das in Deutschland Tradition ist, möchte ich nichts
Grundsätzliches ändern, im Gegenteil: Ich wünsche mir, dass mit Inkrafttreten der
Reform ganz Europa mindestens zu einem so hohen Schutzniveau kommt, wie es
die Bürgerinnen und Bürger in Deutschland bereits heute gewohnt sind.
6
Ich weiß sehr wohl, dass einige von Ihnen hier im Raum der Auffassung sind, dass
die Kommissionsvorschläge in einigen Punkten ein zu hohes Schutzniveau
vorsehen. Diese Kritik zielt meist auf unseren Vorschlag, in einigen Fällen für die
Datenverarbeitung nicht nur die Zustimmung, sondern die ausdrückliche
Zustimmung des Nutzers zu verlangen. Lassen sie mich zunächst erläutern, was
das in der Praxis bedeutet: In den Fällen, in denen die Datenverarbeitung auf der
Einwilligung des Nutzers beruht – und nur in diesen –, muss es sich nach unserer
Auffassung dabei um eine echte und gültige Einwilligung handeln. Sie muss
ausdrücklich erfolgen, und darf nicht aus irgendwelchen Umständen gefolgert
werden. Ausdrückliche Einwilligung heißt dabei nicht notwendig, dass sie der Nutzer
schriftlich erteilen oder in Worte fassen muss. Sicher ist aber: Schweigen und
Nichtstun stellen keine wirksame Einwilligung darf. Die Einwilligung kann dabei
auch durch Anklicken auf einer Website erfolgen oder durch eine andere Art und
Weise, wenn der Betroffene damit klar und deutlich sein Einverständnis mit der
Verarbeitung seiner Daten zum Ausdruck bringt. Es reicht schließlich auch, dass
der Nutzer seine Einwilligung einmal für denselben Zweck zu geben, so dass das
Erfordernis anschließend weder den Nutzer stören noch den Online-Dienst unnötig
unterbrechen wird.
Wird durch dieses neue, strengere Erfordernis das Geschäftsmodell des Internets
gefährdet? Ich möchte da Entwarnung geben. Das neue Erfordernis ist zunächst
einmal eine Klarstellung dessen, was heute bereits in vielen Fällen in der
Rechtsprechung und von den Datenschutzbehörden verlangt wird. Insofern trägt die
Klarstellung im Gesetzestext zur Rechtssicherheit bei. Außerdem weiß ich, dass die
meisten Unternehmen unter Ihnen gar kein Interesse daran haben, sich die
Einwilligung eines Nutzers gewissermaßen konkludent zu erschleichen. Die meisten
von Ihnen sind an einer klaren, informiert erteilten und eindeutigen Einwilligung des
Nutzers in die Datenverarbeitung interessiert und möchten nicht in einer rechtlichen
Grauzone operieren. Schließlich wissen Sie alle sehr gut, dass die größte Gefahr,
die dem Geschäftsmodell Internet droht, nicht rechtliche Klarstellungen sind,
sondern das schwindende Vertrauen der Nutzer in die Sicherheit ihrer Daten und
die Sicherheit des Internets insgesamt. Schon jetzt machen sich 81% der
Deutschen Sorgen darüber, was mit ihren Daten im Internet passiert. Wir müssen
also mehr Vertrauen schaffen. Nur ein Verbraucher, der sich fest darauf verlassen
kann, dass seine Daten bei Ihnen sicher sind und nicht gegen seinen Willen
verarbeitet oder weiter gegeben werden, wird ein Kunde werden oder bleiben.
7
Ein vierter Grundbaustein der EU-Datenschutzreform ist, dass wir uns für bei der
Formulierung der Reformvorschläge eine differenzierte Architektur entschieden
haben. Während alle Grundfragen des neuen Datenschutzrechts in der EUDatenschutzverordnung geregelt werden – die deshalb hier in Deutschland auch
teilweise mit einiger Berechtigung bereits als "Datenschutz-Grundverordnung"
bezeichnet wird –, wird der Datenschutz im Bereich der polizeilichen und justiziellen
Zusammenarbeit in Strafrechtssachen von einer ergänzenden Richtlinie erfasst.
Das ist ein politischer Kompromiss. Sicherlich hätte man sich auch vorstellen
können, auch diesen Bereich in die Verordnung aufzunehmen. Das hätte jedoch
aus meiner Sicht die Gefahr mit sich gebracht, die Reform in den für die Wirtschaft
zentralen Bereichen und die Realisierung des wichtigen Anliegens eines digitalen
Binnenmarktes um Jahre wenn nicht um Jahrzehnte zu verzögern. Europa ist nun
mal im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen
noch nicht so weit wie in Binnenmarktfragen. Denn EU-Binnenmarkt gibt es seit
1992, die EU-Datenschutzrichtlinie für Binnenmarktfragen gilt seit 1995. Im Bereich
Justiz und Inneres konnte sich Europa dagegen erst 2008 auf erste gemeinsame
Mindeststandards verständigen. Dies geschah damals in einem Rahmenbeschluss,
der nur für grenzüberschreitende Datentransfers galt. Wenn wir diesen
Rahmenbeschluss nun im Rahmen unserer Reform in eine Richtlinie überführen
und ihren Inhalt modernisieren, ist das aus meiner Sicht bereits ein wichtiger und
nicht zu unterschätzender Schritt. Ich weiß sehr wohl, dass dieser Teil der EUDatenschutzreform sehr viel umstrittener ist als die Datenschutz-Grundverordnung,
und ich habe ein gewisses Verständnis dafür. Die Zusammenarbeit von Polizei- und
Justizbehörden ist in Europa eben noch längst nicht so weit wie es die Nutzung des
Binnenmarkts durch Unternehmen und Verbraucher ist. Ich meine aber, dass wir
diesen Politikbereich im Rahmen der Reform nicht vernachlässigen sollten. Europa
ist schließlich heute mehr als ein Binnenmarkt. Es ist auch ein gemeinsamer
Rechtsraum
für
den
Bürger,
auch
wenn
in
diesem
Bereich
Subsidiaritätserwägungen naturgemäß eine größere Rolle spielen.
Eine weitere Differenzierung der Architektur unserer Reformvorschläge als die
zwischen Datenschutz-Grundverordnung und Richtlinie für den Bereich Justiz und
Inneres ist aus meiner Sicht nicht angezeigt. Ich weiß, dass einige Rechtsgelehrte
in Deutschland auf dem Standpunkt stehen, man sollte darüber hinaus zwischen
Datenschutzvorgaben für den privaten und für den öffentlichen Bereich
unterscheiden. Ich habe intellektuell für solche Überlegungen Verständnis. Aus
Sicht der Praxis ergeben sie allerdings weniger Sinn. Denken Sie nur einmal an die
Vorratsdatenspeicherung: Sie bedeutet doch, dass privaten Unternehmen vom
Gesetzgeber Datenspeicherungspflichten im Interesse der Bekämpfung von
schwerer Kriminalität auferlegt werden. Sind wir nun im öffentlichen oder im
privaten Bereich? Oder denken Sie an die Fluggastdaten, die Sie gegenüber Ihrer
Fluggesellschaft angeben müssen, bevor diese die Daten dann zum Abruf durch
US-amerikanischen Sicherheitsbehörden bereitstellen. Ist das nun Datenerhebung
im öffentlichen oder im privaten Bereich? Oder wie ist die Datenerhebung durch die
LKW-Mautstellen zu bewerten, die zunächst allein zur Abrechnung der Maut
erfolgte, später aber dann doch im Interesse der Strafverfolgung eingesetzt wird?
8
Wie Sie sehen, lässt sich eine Einteilung "hier öffentlicher, da privat-wirtschaftlicher
Bereich" in der modernen Datenwelt nicht mehr trennscharf vornehmen. Denken
Sie bitte darüber hinaus daran, dass die in Deutschland bekannte Unterscheidung
zwischen öffentlichem Recht und Privatrecht in anderen Mitgliedstaaten zum Teil
ganz anders, wenn überhaupt, vorgenommen wird. Und dass schließlich die EUDatenschutzrichtlinie seit 1995 mit gutem Grund ohne diese Unterscheidung
ausgekommen ist. Ich hoffe also, dass in den kommenden Monaten nicht durch
formalistische Kriterien die Debatte allzu kompliziert und akademisch werden wird.
Schließlich brauchen wir kein EU-Datenschutzrecht, dass allein einige deutsche
Juraprofessoren zufriedenstellt. Sondern vielmehr ein modernes Datenschutzrecht,
das der Realität gerecht wird, die Bürger und Unternehmen im Alltag erleben.
Ein fünfter wichtiger Grundbaustein der EU-Datenschutzreform ist die
besondere Berücksichtung kleinerer und mittlerer Unternehmen im
Verordnungstext. Ich bin der deutschen Internetwirtschaft dankbar, dass Sie uns
frühzeitig auf dieses Erfordernis hingewiesen haben. Auch wenn die Geltung des
Datenschutzrechts in seinen Grundsätzen selbstverständlich nicht nach der Größe
eines Unternehmens unterscheiden kann, so ist es doch möglich und sehr sinnvoll,
bei bestimmten formalen Erfordernissen Erleichterungen für kleinere und mittlere
Unternehmen vorzusehen. So werden alle Unternehmen, die weniger als 250
Mitarbeiter
beschäftigen,
von
der
Verpflichtung
befreit,
einen
Datenschutzbeauftragten zu ernennen. Eine Ausnahme gilt insofern nur für solche
Unternehmen, die besonders riskante Datenverarbeitung – z.B. die Verarbeitung
von Gesundheitsdaten – durchführen. Zweites Beispiel: Kleine und mittlere
Unternehmen werden von der Verpflichtung befreit, eine Dokumentation über die
Datenverarbeitung zu führen, sofern es sich bei der Datenverarbeitung nicht um
ihre Haupttätigkeit handelt. Ich meine, dass es sich bei diesen Sonderregelungen
um sinnvolle und ausgewogene Maßnahmen handelt, um vor allem kleinere
Unternehmen von unnötigem Verwaltungsaufwand zu verschonen. Ich habe
natürlich gelesen, dass einige deutsche Datenschützer wenig Verständnis für diese
Sonderregeln haben. Ich möchte daher in dieser Debatte dafür plädieren, dass wir
alle das richtige Augenmaß anwenden; Starker Datenschutz überall dort, wo er
notwendig ist; und die Anwendung des Verhältnismäßigkeitsgrundsatzes immer
dann, wenn übermäßige Formerfordernisse innovative Geschäftstätigkeit im Keim
ersticken könnten. Über die Details lohnt es sich da natürlich zu streiten.
9
Der sechste wichtige Grundbaustein der EU-Datenschutzreform muss aus
meiner Sicht ein ausgewogenes Verhältnis zwischen dem DatenschutzGrundrecht und anderen Grundrechten sein. Die EU-Datenschutzreform ist von
der Europäischen Kommission erst nach einer ausführlichen Grundrechtsprüfung
vorgeschlagen worden, wie sie seit 2010 integraler Bestandteil unseres
Rechtsetzungsverfahrens ist. Ausgangspunkt dabei ist, dass das Grundrecht auf
Datenschutz zwar ein wichtiges, aber keinesfalls das einzige Grundrecht ist, das auf
europäischer Ebene Geltung beansprucht. Die EU-Grundrechtecharta, die in
vielerlei Hinsicht die modernste Grundrechtekodifizierung der Neuzeit darstellt,
kennt eine Vielzahl von anderen Grundrechten, die mit dem Grundrecht auf
Datenschutz naturgemäß in Kontakt geraten oder sogar mit diesem kollidieren
können. In Fall eines solchen Grundrechtskonflikts passiert rechtlich dasselbe, was
auch bei Grundrechtskollisionen unter Geltung des Grundgesetzes geschieht: Es
muss zu einer Abwägung zwischen den betroffenen Grundrechten kommen, wobei
der Verhältnismäßigkeitsgrundsatz und das Ziel praktischer Konkordanz zu
beachten sind. Lassen Sie mich dies am Beispiel des "Rechts auf Vergessen"
illustrieren, das prominenter und in der Öffentlichkeit kontrovers diskutierter
Bestandteil des Verordnungsvorschlags ist. Hinter dem "Recht auf Vergessen" steht
das legitime Nutzerinteresse, persönliche Daten, die der Nutzer einmal in einen
Internetdienst eingestellt hat, zu einem späteren Zeitpunkt wieder löschen zu
können. Die Verfügbarmachung von Daten über das Internet bedeutet heute für den
Nutzer leider viel zu oft den endgültigen Kontrollverlust über seine persönlichen
Daten. Dem soll das "Recht auf Vergessen" einen datenschutzrechtlichen Riegel
vorschieben. Da das Datenschutz-Grundrecht aber kein absolutes Recht ist, kann
auch das "Recht auf Vergessen" nicht absolut verstanden werden. Wir leben nun
einmal in einer vielfältig miteinander vernetzten Gesellschaft, wir stehen als
Menschen in sozialem Kontakt und können daher kein Recht auf absoluten
Datenschutz in Anspruch nehmen, solange wir an der Gesellschaft teilnehmen.
Genauso wenig wie Sie Ihren Nachbarn zwingen können, zu vergessen, dass er Sie
gestern beim Einkaufen gesehen hat, genauso wenig können Sie im Internet ein
absolutes Recht auf Vergessen durchsetzen. Deshalb sieht unsere Verordnung
auch nur ein relatives Recht auf Vergessen gegenüber dem jeweiligen
Diensteanbieter vor. Wer Nutzerdaten von diesem übertragen bekommt, muss sie
auf Verlangen des Nutzers auch wieder löschen. Das Recht auf Vergessen soll also
dem Verbraucher eine bessere Kontrolle über seine Daten ermöglichen, um so
mehr Vertrauen in Onlinedienste zu schaffen. Wenn aber Nutzerdaten an Dritte
gelangen und z.B. über die Online-Ausgabe einer Tageszeitung oder über eine
Suchmaschine im Internet verbreitet werden, dann sind andere Grundrechte zu
berücksichtigen, die dem Recht auf Vergessen entgegenstehen. Zu nennen sind
hier die Unternehmerfreiheit ebenso wie die Meinungs-, Presse- und
Informationsfreiheit. So wichtig es ist, dass Sie das Recht haben, ein peinliches
Photo, das Sie als 16-jähriger auf Facebook gestellt haben, später wieder zu
löschen, so wichtig ist es auch, dass in einer demokratisch-pluralen Gesellschaft
kein absolutes Recht auf Vergessen geben kann. Dieses Grundverständnis
durchzieht unsere Verordnung wie ein roter Faden. Denn trotz aller Bedeutung des
Datenschutzes darf dieser niemals zur Rechtfertigung einer Beschneidung der
Meinungsfreiheit oder gar Maßnahmen der Internetzensur instrumentalisiert
werden.
10
Damit komme ich zum siebten und letzten aus meiner Sicht wichtigen
Grundbaustein der EU-Datenschutzreform: ihrer Offenheit für künftige
technologische
und
gesellschaftliche
Entwicklungen.
Die
EUDatenschutzrichtlinie von 1995 war 17 Jahr lang eine solide Basis für die
Rechtsentwicklung in diesem wirtschaftlich wie gesellschaftlich zentralen
Rechtsgebiet, da sie offen und technologieneutral formuliert war. Der EUGesetzgeber hatte 1995 der Versuchung widerstanden, jede Einzelheit der
aktuellen Erfahrungen im Gesetzestext detailliert regeln zu wollen. Die Europäische
Kommission
hat
diese
richtige
Grundentscheidung
in
die
EUDatenschutzverordnung übernommen. Wir regeln bewusst nicht Google Street View
oder den Datenschutz bei Apps, sondern konzentrieren uns auf Grundprinzipien
und allgemeine Vorgaben des Datenschutzes. Die Datenschutz-Grundverordnung
ist daher wie ein Rahmengesetz formuliert, nicht wie die Rechtsverordnung eines
deutschen Landesministeriums. Ich plädiere an alle Beteiligten, an dieser
Grundentscheidung im Gesetzgebungsverfahren festzuhalten. Die Anwendung der
Grundsätze der Datenschutzverordnung auf einzelne Dienste und Anwendungen
muss den nationalen Datenschutzbehörden und den Gerichten überlassen bleiben.
Falls erforderlich, können die Artikel 29-Arbeitsgruppe oder die Europäische
Kommission bei Auslegungsdivergenzen Auslegungshilfestellung geben, um für
eine einheitliche Rechtsanwendung auf dem Europäischen Binnenmarkt zu sorgen.
Hüten wir uns aber davor, jede Frage, die den Datenschutz in Europa in den
nächsten 20 Jahren beschäftigen wird, bereits heute im Detail regeln zu wollen. Das
würde Europa nicht dazu verhelfen, globaler Standard-Setzer im Datenschutz zu
werden. Sondern uns schnell zum globalen Schlusslicht werden lassen.
Ich weiß, dass Sie, meine sehr verehrten Damen und Herren, an einer solchen
Entwicklung kein Interesse haben. Bitte helfen Sie daher dabei, dass Europa in den
kommenden
Monaten
ein
modernes,
zukunftsorientiertes
und
wachstumsförderndes EU-Datenschutzrecht erhält. Ein Datenschutzrecht, dass
nicht die Zukunft einengt, sondern einem innovativen digitalen Binnenmarkt den
Weg bereitet. Die Stimme Deutschland und der deutschen Internetwirtschaft wird
dabei von ganz besonderer Bedeutung sein.
Vielen Dank für Ihre Aufmerksamkeit.
11
Zugehörige Unterlagen
2.4.2.2. Datenschutz erklären, Arbenz, 2010
2.4.2.2. Datenschutz erklären, Arbenz, 2010
Datenschutz ist ein großer Wettbewerbsvorteil
Datenschutz ist ein großer Wettbewerbsvorteil
Berlin, 16. Januar 2014 Stellungnahme zum Datenschutzkonzept für
Berlin, 16. Januar 2014 Stellungnahme zum Datenschutzkonzept für
Herzlich Willkommen - Beratung & Service
Herzlich Willkommen - Beratung & Service
Transfer von Daten: Gefahren erkennen und richtig planen
Transfer von Daten: Gefahren erkennen und richtig planen
DOC - Europa.eu
DOC - Europa.eu
Consulting - Research Institute
Consulting - Research Institute
Musterbrief an die deutschen Europa-Abgeordneten DOC
Musterbrief an die deutschen Europa-Abgeordneten DOC
Brief an Minster Gabriel - Klima
Brief an Minster Gabriel - Klima
Jahresbericht 2015
Jahresbericht 2015
DOC - Europa.eu
DOC - Europa.eu
DOC - Europa.eu
DOC - Europa.eu
DOC
DOC
Offener Brief an Bundesministerin Hendricks
Offener Brief an Bundesministerin Hendricks
CM_PETI
CM_PETI
DOC
DOC
DOC - Europa.eu
DOC - Europa.eu
SANCO/10068/2012-EN
SANCO/10068/2012-EN
Die Europäische Kommission
Die Europäische Kommission
2016 06 Ein Klick zuviel und Locky lässt sich in Bitcoins auszahlen
2016 06 Ein Klick zuviel und Locky lässt sich in Bitcoins auszahlen
PowerPoint-Präsentation - DIE LINKE. Fraktion im Landtag von
PowerPoint-Präsentation - DIE LINKE. Fraktion im Landtag von
europäisches parlament
europäisches parlament
Herunterladen
Werbung