LEAK: Kommission drängt Großbritannien auf “hohen Grad an Übereinstimmung” bei DSGVO-Überprüfung

"Ein hohes Maß an Übereinstimmung im Datenschutz ist ein wichtiges Element zur Gewährleistung gleicher Wettbewerbsbedingungen zwischen zwei so eng miteinander verflochtenen Volkswirtschaften", heißt es in dem Bericht. [Shutterstock]

Die Europäische Kommission wird morgen, am 24. Juni, die Bedeutung der Einhaltung der EU-Datenschutzvorschriften durch das Vereinigte Königreich als Teil einer zukünftigen Beziehung zwischen den beiden Parteien hervorheben, und zwar im Rahmen der ersten Überprüfung der richtungsweisenden allgemeinen Datenschutzgrundverordnung (DSGVO).

Anfang dieses Jahres teilte Premierminister Boris Johnson mit, dass Großbritannien nach seinem Austritt aus dem Block versuchen werde, vom EU-Datenschutzrecht abzurücken.

Bei der Analyse der Wirksamkeit von Angemessenheitsentscheidungen, die mit Drittländern vertraglich vereinbart wurden, um die Sicherheit von personenbezogenen Daten aus der EU bei der Übermittlung ins Ausland zu gewährleisten, stellt die Exekutive in der Überprüfung fest, dass ein Angemessenheitsabkommen mit dem Vereinigten Königreich eine „wesentliche Voraussetzung“ für die Zusammenarbeit in den Bereichen Strafverfolgung und Sicherheit ist.

„Ein hohes Maß an Übereinstimmung im Datenschutz ist ein wichtiges Element zur Gewährleistung gleicher Wettbewerbsbedingungen zwischen zwei so eng miteinander verflochtenen Volkswirtschaften“, heißt es in dem Bericht.

Die Kommission bestätigt auch, dass sie mit der Arbeit an einer Bewertung der Angemessenheit der britischen Datenschutzstandards begonnen hat, um zu bestimmen, ob das britische Datenschutzsystem robust genug ist, um den EU-Standards zu entsprechen.

Zu wenig Mittel: Die Durchsetzung der DSGVO ist ausbaufähig

Die Durchsetzung der EU-Datenschutzvorschriften wird durch einen Mangel an Ressourcen bei den nationalen Behörden beeinträchtigt. Das geht aus einer neuen Studie hervor, die heute – am zweiten „Geburtstag“ der Datenschutzgrundverordnung der EU – veröffentlicht wurde.

Die Schritte zur Verabschiedung einer Angemessenheitsvereinbarung umfassen diesen Zeitraum der Beurteilung durch die Kommission, gefolgt von einem Entscheidungsentwurf der Exekutive, einer Stellungnahme des Europäischen Datenschutzrates und der endgültigen Genehmigung durch die Mitgliedsstaaten und das Kollegiums der KommissarInnen.

Die Bilanz Großbritanniens bei Massenüberwachungsprogrammen ist umstritten, wie ein Urteil des Europäischen Gerichtshofs für Menschenrechte aus dem Jahr 2018 belegt, in dem festgestellt wurde, dass das Vereinigte Königreich in seinem Massenüberwachungsprogramm, das durch das Gesetz über Ermittlungsbefugnisse (Investigatory Powers Act, RIPA) legitimiert ist, gegen den Schutz der Menschenrechte verstoßen hat.

Kürzlich nahmen die Europaparlamentarier gegen das britische Datenregime Stellung und verabschiedeten einen Bericht, in dem es hieß, dass der Schritt der EU, Großbritannien zu Strafverfolgungszwecken Zugang zu den Fingerabdruckdaten des Blocks zu gewähren, „ernsthafte Risiken für den Schutz der Grundrechte und -freiheiten des Einzelnen schaffen würde“.

In einer im Februar veröffentlichten schriftlichen Erklärung teilte der britische Premier mit, das Vereinigte Königreich werde „eine losgelöste und unabhängige Politik“ in einer Reihe von Bereichen, einschließlich des Datenschutzes, entwickeln. Die Regierung werde dabei versuchen, hohe Standards aufrechtzuerhalten, heißt es in dem Statement weiter.

EU-Datenschutzrat "sehr besorgt" über DSGVO-Aussetzung in Ungarn

Der Europäische Datenschutzausschuss (EDPB) hat seine Besorgnis über die Aussetzung der Datenschutzrechte in Ungarn zum Ausdruck gebracht.

DSGVO-Überprüfung & Ressourcen

Die DSGVO gibt den Datenschutzbehörden in der gesamten EU die Befugnis, bei Verstößen Geldstrafen von bis zu vier Prozent der weltweiten Einnahmen oder 20 Millionen Euro durchzusetzen, je nachdem, welcher Betrag höher ist. Die bisher höchste Strafe musste Google im Jahr 2019 an die französische Datenschutzbehörde blechen: 50 Millionen Euro.

Im Rahmen der DSGVO-Überprüfung, die am Mittwoch veröffentlicht werden soll, bekräftigte die Kommission erneut, wie wichtig es ist, dass die Datenschutzbehörden der EU über angemessene Ressourcen verfügen, um die große Zahl von Datenschutzbeschwerden bearbeiten zu können.

„Angesichts der Tatsache, dass die größten multinationalen Big-Tech-Unternehmen in Irland und Luxemburg ansässig sind, fungieren die Datenschutzbehörden dieser Länder in vielen wichtigen grenzüberschreitenden Fällen als federführende Behörden und benötigen möglicherweise größere Ressourcen, als ihre Einwohnerzahl sonst vermuten ließe“, heißt es in dem Dokument. Es stellt ferner fest, dass es Ungleichheiten bei den Ressourcen gibt, die den Datenschutzbehörden auf nationaler Ebene zugewiesen werden.

Privatdaten von ÖsterreicherInnen im Netz: Ministerium droht DSGVO-Strafe

Auf der Website des Wirtschaftsministeriums waren die Daten österreichischer BürgerInnen öffentlich abrufbar, und zwar seit 2009. Die Partei prüft rechtliche Schritte – und könnte Erfolg haben, sagt ein DSGVO-Experte im Gespräch mit EURACTIV.

In diesem Zusammenhang stellte ein im Mai von der Interessenvertretung Access Now veröffentlichter Bericht fest, dass „Unternehmen den Mangel an Ressourcen der Datenschutzbehörden ausnutzen könnten, um die Anwendung der DSGVO zu umgehen oder zumindest seine Umsetzung erheblich zu verzögern“.

Obwohl die Kommission die Bedeutung der Behörden in Irland und Luxemburg anerkennt, die möglicherweise „größere Ressourcen“ benötigen, zeigen die Daten jedoch, dass in beiden Ländern zwischen 2016 und 2019 ein erheblicher Anstieg des Personalbestands zu verzeichnen war.

Den größten Zuwachs unter den EU-Mitgliedsstaaten verzeichnete Irland mit einem Personalzuwachs von 169 Prozent in diesem Zeitraum – Luxemburg erreichte 126 Prozent.

Die Unterschiede zwischen den Mitgliedsstaaten werden jedoch deutlich, wenn man die Situation in den weniger gut mit Mitteln ausgestatteten Ländern des gesamten Blocks betrachtet. In Griechenland und Bulgarien gab es einen Personalabbau von 15 beziehungsweise 14 Prozent.

DSGVO-Millionenstrafe: Testlauf für deutsches Modell

Wegen einer Verletzung der DSGVO verhängte die deutsche Datenschutz-Behörde ein Bußgeld von neun Millionen Euro gegen die 1&1 Telecom. Doch das Unternehmen wehrt sich. Ein Präzedenzfall – sowohl für Deutschland, als auch für Europa.

Mangelnde Harmonisierung

Darüber hinaus zeigt sich ein weiteres Auseinanderdriften in der Art und Weise, wie die DSGVO in der EU umgesetzt wurde. Die Kommission warnte zudem davor, dass Vertragsverletzungsverfahren eingeleitet werden könnten, falls die Mitgliedsstaaten die Vorschriften nicht einhalten.

Eine mangelnde Harmonisierung wird in Bezug auf das Alter gesehen, bis zu dem Kinder ihre Zustimmung zur Verarbeitung personenbezogener Daten geben können. Die Kommission könnte Änderungen der DSGVO anstreben, um die Regeln klarer zu gestalten, heißt es.

„Ein Unternehmen, das Dienstleistungen der Informationsgesellschaft für Minderjährige in der gesamten EU anbietet, muss zwischen dem Alter der potenziellen Nutzer unterscheiden, je nachdem, in welchem Mitgliedsstaat sie ansässig sind“, stellt die Kommission fest und weist darauf hin, dass neun Mitgliedsstaaten eine Altersgrenze von 16 Jahren anwenden, während acht Nationen sich für 13 Jahre, sechs für 14 Jahre und drei für 15 Jahre entschieden haben.

Datenschutzbeauftragter kritisiert Behörden und Gesetzgebung

Ulrich Kelber (SPD) geizt selten mit Kritik an der eigenen Regierung. Bei der Präsentation seiner Jahresberichte wies er auf hastige Verfahren hin, bei denen der Datenschutz unter die Räder komme. Außerdem fordert er ein Transparenzgesetz.

„Dies widerspricht dem Hauptziel der DSGVO, in allen Mitgliedsstaaten ein gleiches Schutzniveau für Einzelpersonen und Geschäftsmöglichkeiten zu gewährleisten“.

Angesichts der Tatsache, dass „die Anwendung der DSGVO vor allem für kleine und mittlere Unternehmen eine Herausforderung darstellt“, könnten zusätzliche Änderungen vorgenommen werden, die es ermöglichen, „in Bezug auf Aufzeichnungen über die Verarbeitung durch KMU, deren Kerngeschäft nicht die Verarbeitung personenbezogener Daten ist“, flexibel zu sein.

Ungeachtet dessen stellt die Exekutive allerdings fest, dass sie einen Ansatz vorziehen würde, bei dem die nationalen Datenschutzbehörden „praktische Instrumente“ bereitstellen, um die europäischen KMU bei der Einhaltung der DSGVO zu unterstützen.

Offener Brief: Datenschützer Max Schrems schießt scharf gegen irische Behörden

Seit zwei Jahren bearbeitet die irische Datenschutzbehörde Klagen gegen Facebook. Datenschützer Max Schrems dauert das zu lange. In einem offenen Brief kritisiert er das Vorgehen der Iren, und fordert die Unterstützung der EU und Mitgliedsstaaten.

[Bearbeitet von Benjamin Fox und Britta Weppner]

Subscribe to our newsletters

Subscribe
UNTERSTÜTZEN