Stellungnahme des FIfF zur Datenschutz-Grundverordnung vom 25. Januar 2012
mit Änderungsvorschlägen des Berichterstatters vom 17. Dezember 2012. Aus: vorgänge Nr. 201/202 (1/2-2013), S. 120-125
Derzeitiger Regelungsstandard für den Datenschutz auf europäischer Ebene ist die EU-Richtlinie 95/46/EG aus dem Jahr 1995. Ihr Modernisierungsbedarf ist unbestritten – wie diese auszusehen hätte, dagegen sehr. Seitdem die Kommission im Januar 2012 ihren Vorschlag vorgestellt hat, wird in der Politik wie unter Datenschützern heftig darum gestritten, welches der richtige Weg sei (Vollharmonisierung oder Mindeststandards), welcher Regelungsweg (Grundverordnung oder Richtlinie) vorzugswürdig sei und wie viel Spielraum für nationale Sonderwünsche wie bspw. das deutsche Recht auf informationelle Selbstbestimmung verbleiben soll.
Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) konzentriert sich in der vorliegenden Stellungnahme allein auf die materiellen Vorschläge des Kommissionsentwurfs für ein europäisches Datenschutzrecht und lässt die formalen bzw. kompetenzrechtlichen Fragen außen vor. Die Humanistische Union hat sich dieser Stellungnahme angeschlossen .
Das FIfF befürwortet den vorgelegten Entwurf der EU-Kommission zur Modernisierung des Datenschutzes – eine solche Initiative war überfällig! Wir befürworten ebenfalls eine Reihe von Änderungsvorschlägen des Berichterstatters, insbesondere die Grundrechte-Schutzklausel: „Die Mitgliedstaaten sind nach der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) verpflichtet, dafür Sorge zu tragen, dass solche Datenströme angemessen reguliert werden.“
Durch die Einführung europaweit einheitlicher Standards wird – trotz noch bestehendem Änderungsbedarf – endlich das EU-weite Datenschutzniveau etabliert. Wir treten für eine weitere Verbesserung ein und fordern, dass die Verordnung nicht wegen wirtschaftlicher Interessen eingeschränkt wird.
1 Für eine weitere Präzisierung der Einwilligung
Das FIfF begrüßt ausdrücklich die Präzisierung der Einwilligung, insbesondere die explizite und eindeutige Einwilligung und das Recht auf Widerruf und Widerspruch.
Das FIfF fordert: Wie auch im Änderungsvorschlag des Berichterstatters vorgesehen, dürfen Voreinstellungen, die die betroffene Person verändern muss, um der Verarbeitung zu widersprechen (optout), keine freie Zustimmung ausdrücken. Da sich die technischen Bedingungen ständig ändern, fordern wir eine Begrenzung der Gültigkeit einer Einwilligung auf maximal vier Jahre . Beim Auslaufen ist die verarbeitende Stelle verpflichtet, die Daten unverzüglich zu löschen. Die wirksame Einwilligung Minderjähriger erfordert die Zustimmung der gesetzlichen Vertreter des einsichtsfähigen Minderjährigen. Die Einwilligung muss immer gegenüber der verantwortlichen Stelle abgegeben werden. Die Verordnung muss hier präzise Festlegungen treffen.
2 Für die Bevorzugung der Betroffenen gegenüber den Datenverarbeitern
Das FIfF begrüßt ausdrücklich die Ergänzungen zur Unterrichtungspflicht der betroffenen Person durch den für die Verarbeitung Verantwortlichen, wobei die Gründe für den Vorrang seiner Interessen offenzulegen sind.
Das FIfF fordert: Die Fälle, in denen „berechtigtes Interesse“ angenommen wird, sind auf drei einzuschränken: Die Ausübung von Grundrechten, insbesondere des Rechts auf freie Meinungsäußerung und der Freiheit der Medien und der Künste, die Durchsetzung von berechtigten Rechtsansprüchen – insbesondere der Strafverfolgung – oder bei gewerblichen Beziehungen zwischen Unternehmen, wenn die Daten mit Kenntnis des Betroffenen für diesen Zweck erhoben wurden. Nutzung zur Direktwerbung ist an die ausdrückliche Zustimmung der Betroffenen zu binden. Der Änderungsvorschlag bietet noch zu viele Möglichkeiten für eine Datenverarbeitung ohne Zustimmung.
3 Für verbesserte Dokumentationspflichten
Das FIfF begrüßt ausdrücklich die Vorschläge des Berichterstatters zur Straffung der Dokumentationspflichten, die Zusammenführung mit den Informationsrechten der Betroffenen und die Pflicht zur Dokumentation technischer und organisatorischer Maßnahmen und Verfahren.
4 Für die Beschränkung von Profiling und Ausweitung der Informationspflicht
Die Definition von Profiling und die engere Fassung des Erlaubnisvorbehalts werden zu mehr Rechtssicherheit führen. Die erweiterten Auskunftspflichten stärken die informationelle Selbstbestimmung der Betroffenen.
Das FIfF fordert: Logik und Algorithmus von Profiling-Maßnahmen sind offen zu legen. Besondere Kategorien personenbezogener Daten dürfen nicht zur Auswertung verwendet werden, es sei denn, sie fallen unter die explizit genannten Ausnahmen. Durch Profiling entstandene Bewertungen sind nie vollständig und auch eine menschliche Beurteilung kann Vorurteile oder Fehlinterpretationen enthalten. Deshalb müssen Betroffene eine zweite Meinung zur Bewertung einholen können . Die Kosten hat der Verantwortliche für die Datenverarbeitung zu tragen.
Das FIfF fordert außerdem: Ein generelles Verbot von Profiling-Maßnahmen, die zu Diskriminierung führen. Das gilt auch für das Zusammenwirken einzelner Profiling-Maßnahmen.
5 Für die Orientierung an Schutzzielen und datenschutzfreundlichen Voreinstellungen
Das FIfF begrüßt die Verpflichtung zu datenschutzfreundlicher Technikgestaltung bei Verarbeitung und Erhebung personenbezogener Daten. Die Betroffenen müssen ihre Verbreitung kontrollieren können.
Das FIfF fordert: Die erweiterten Schutzziele sind in die Verordnung aufzunehmen: Diese sind Transparenz, Zweckbindung und Intervenierbarkeit (neben den vom Berichterstatter bereits bekräftigten Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit). Auch sie sind in technischen und organisatorischen Prozessen umzusetzen.
Das FIfF fordert außerdem: Hersteller sind zu Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zu verpflichten, etwa durch verpflichtende Zertifizierung. Diese ist durch eine EU-Institution zu kontrollieren und für alle Prozesse sicherzustellen (Systementwicklungsprozesse, Datenschutzprozesse und fachliche Geschäftsprozesse). Zertifizierungen sollten besonders dann verpflichtend sein, wenn besondere Kategorien personenbezogener Daten oder solche von Kindern verarbeitet werden oder wenn Profile erstellt werden.
6 Für angemessene Garantien beim Grenzübertritt mit mobilen Geräten
Das FIfF begrüßt ausdrücklich Ortsbindung (Orientierung am Unternehmensort der meisten Dienste-Nutzer), Zweckbindung, Transparenz und die Bindung an die europäische Gesetzgebung. Wir lehnen mit dem Berichterstatter die Anerkennung von Verarbeitungssektoren in Drittstaaten ab. Drittländer oder Gebiete ohne angemessenen Datenschutz müssen von der Übermittlung personenbezogener Daten ausgeschlossen werden können. Wir begrüßen die Forderung finanzieller Entschädigungsleistungen bei nicht genehmigter Verarbeitung von Daten in Drittstaaten. Das FIfF begrüßt die Rechenschafts-und Nachweispflicht.
Das FIfF fordert: Mobile Dienste-Anbieter müssen einen Sitz in dem Land haben, in dem mehrheitlich die Vertragsnehmer ansässig sind. Verlagert sich diese Mehrzahl der Vertragsnehmer während der Dauer von zwei Jahren in einen anderen Mitgliedstaat, ist der Sitz dorthin zu verlegen. Die Speicherorte der personenbezogenen Daten sind transparent zu machen. Wir fordern ein Widerspruchsrecht, wenn die personenbezogene Daten an Dienste-Anbieter außerhalb der EU übermittelt werden, die nicht der Verordnung unterliegen. Ein Recht auf Einsichtnahme in übermittelte personenbezogene Daten und ein Einspruchsrecht bei Zu- und Abschaltung von Wirknetzen international kooperierender Dienste-Anbieter ist vorzusehen. Mobile Geräte müssen zum Schutz personenbezogener Daten auf Antrag unbrauchbar gemacht werden.
7 Für eine grundsätzliche Verpflichtung zu anonymisieren oder zu pseudonymisieren
Das FIfF unterstützt, den Begriff der anonymen Daten zu spezifizieren und den Geltungsbereich der Verordnung auf pseudonyme Daten und IP-Adressen auszuweiten.
Das FIfF fordert: Die grundsätzliche Verpflichtung zur Anonymisierung oder Pseudonymisierung personenbezogener Daten ist in angemessenem Rahmen vorzuschreiben. Wenn die Identität nicht relevant ist, muss anonymisiert werden, wenn sie relevant ist, pseudonymisiert. Der Schutz pseudonymisierter Daten ist dem von personenbezogenen Daten gleichzustellen. Anbieter dürfen die Funktionen bei anonymer Nutzung nicht einschränken und nicht vorgeben, anonyme oder pseudonyme Nutzung sei nicht möglich.
8 Zur Ausnahme von Polizei und Justiz von der Verordnung
Das FIfF teilt die Kritik des Berichterstatters, dass die Zusammenarbeit bei der Strafverfolgung im Vorschlag der Kommission nicht geregelt wird.
Das FIfF fordert: Angemessene Festlegungen für Fälle wie den Zugriff von Strafverfolgungsbehörden auf geschäftliche Daten sind in die Verordnung aufzunehmen und dadurch einheitlich in Europa zu regeln.
9 Für eine verpflichtende Folgenabschätzung
Das FIfF begrüßt ausdrücklich die Forderungen nach einer verpflichtenden Folgenabschätzung. Diese sollten für alle Profiling-Maßnahmen gelten.
Das FIfF fordert: Je nach Art der Datenverarbeitung ist eine angemessene Abschätzung auch der längerfristigen Folgen (über die Dauer der Datenverarbeitung hinaus) für die Rechte und Freiheiten der Betroffenen verpflichtend vorzusehen. Die Folgenabschätzung sollte möglichst vollständig veröffentlicht und den Betroffenen vor der Einwilligung zur Verfügung gestellt werden, soweit sie nicht Auskunft über vertrauliche interne Vorgänge enthält.
10 Für eine Begrenzung der delegierten Rechtsakte
Das FIfF begrüßt ausdrücklich die Ersetzung des Berichterstatters von delegierten Rechtsakten der EU-Kommission durch Regelungen des Europäischen Datenschutzausschusses. Die ursprünglich vorgesehenen Befugnisse der Kommission würden zu einer großen Zahl an Detailregelungen führen, die der parlamentarischen Kontrolle entzogen sind. Diese Rechtsunsicherheit gefährdet die effektive Durchsetzung von Bürgerrechten und birgt wirtschaftliche Risiken. Sinnvoll sind delegierte Rechtsakte, wenn technischer Fortschritt häufige Anpassungen der Regelungen erfordert.
Das FIfF fordert: Um die parlamentarische Kontrolle sicherzustellen, sind delegierte Rechtsakte und Entscheidungen des Europäischen Datenschutzausschusses innerhalb von sechs Monaten vom Parlament zu bestätigen. Ein Aufweichen von Regelungen, Demokratiedefizit und Rechtsunsicherheit muss verhindert werden, dazu ist ein enger Rahmen für die verbleibenden Befugnisse vorzugeben. Alle durch Rechtsakte vorgenommenen Konkretisierungen müssen den anerkannten, verbindlichen Schutzzielen folgen. Alle Prozesse sind bei Entwicklung und Nutzung der IT-Systeme an diesen Schutzzielen auszurichten.
11 Für eine stärkere Unabhängigkeit der Aufsichtsbehörden und Datenschutzbeauftragten
Das FIfF begrüßt ausdrücklich die Sicherstellung der Unabhängigkeit der Aufsichtsbehörden, den Vorschlag, dass die bei der Angemessenheit die Bevölkerungszahl und der Umfang der zu verarbeitenden personenbezogenen Daten zu berücksichtigen ist, und die Klarstellung der Rechenschaftspflicht gegenüber den nationalen Parlamenten. Weitere Vorgaben sind zur Sicherstellung der Unabhängigkeit zu ergänzen.
Das FIfF fordert: Die Befugnis zu Ernennung der Mitglieder der Aufsichtsbehörden sollte ausschließlich beim Parlament als den gewählten Vertreterinnen und Vertretern der Bevölkerung liegen. Genauere Vorgaben für die Finanzkontrolle müssen die Unabhängigkeit sicherstellen; die Aufsichtsbehörden müssen finanziell so ausgestattet werden, dass sie ihren Aufgaben effektiv nachkommen können. Die Unabhängigkeit der betrieblichen Datenschutzbeauftragten sollte durch einen mindestens einjährigen Kündigungsschutz gestärkt werden.
12 Für die Verpflichtung eines Datenschutzbeauftragten auch in kleineren Unternehmen
Das FIfF begrüßt ausdrücklich, den Einsatz eines Datenschutzbeauftragten von der An zahl der Betroffenen abhängig zu machen und die Profilerstellung sowie die Verarbeitung besonderer Kategorien von Daten explizit in den Katalog der Tätigkeiten aufzunehmen, die einen Datenschutzbeauftragten erfordern.
Das FIfF fordert: Die Bestellung eines Datenschutzbeauftragten muss verpflichtend sein, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 10 Personen beschäftigt sind. Die im Entwurf der Kommission vorgesehene Zahl von 250 Beschäftigten ist zu hoch, auch wenn die Situation von kleinen und mittleren Unternehmen berücksichtigt werden muss.
13 Gegen die Erhebung politischer Einstellungen durch Parteien
Nach Erwägungsgrund 44 dürfen politische Parteien im öffentlichen Interesse Daten über die politische Einstellung von Personen sammeln.
Das FIfF fordert: Die Ausnahme ist zu streichen. Ein Missbrauch dieser Daten kann niemals mit hinreichender Sicherheit ausgeschlossen werden. Die drohenden Eingriffe in die Persönlichkeitsrechte der Betroffenen sind nicht hinnehmbar.
14 Für die Regelung des Beschäftigten-Datenschutzes durch die Mitgliedstaaten
Das FIfF begrüßt ausdrücklich die Möglichkeit, spezielle Gesetze zu detaillierten Regelungen des Beschäftigungssektors zu erlassen oder beizubehalten.
Das FIfF fordert: Die Einschränkung der EU-Kommission, dass dies nur in den Grenzen dieser Verordnung erfolgen darf, muss entfallen. Wir unterstützen die Auffassung des Berichterstatters, dass der Beschäftigungssektor ein hochkomplexer Bereich ist, der auf einzelstaatlicher Ebene detailliert geregelt ist, und dort am besten geregelt werden kann.
Vorstand: Stefan Hügel (Vorsitzender), Prof. Dr. Dietrich Meyer-Ebrecht (stv. Vorsitzender), Sylvia Johnigk, Prof. Dr. Hans-Jörg Kreowski, Kai Nothdurft, Jens Rinne, Raffael Rittmeier, Prof. Dr. Britta Schinzel, Ingrid Schlagheck
Eine ausführliche Begründung der einzelnen Forderungen enthält die Langfassung der Stellungnahme, abrufbar unter: http://fiff.de/themen/Stellungnahme%20des%20FIfF%20zur%20EU-DSGVO%20an%20die%20Ausschuesse.pdf
LITERATUR
Zweite Stellungnahme der Art. 29-Gruppe zur EU-Datenschutz-Grundverordnung vom 5. Oktober 2012, abrufbar unter http://ec.europa.eu/justice/data-protection/ article-29/documentation/opinion-recommendation/files/2012/wp199_ en.pdf.