Der Rat der EU hält das europäische Datenschutzgesetz für einen Erfolg. Daher fordert er keine Wiederaufnahme der Gesetzgebungsverhandlungen, sondern eine umfassende Bewertung der Kommission im nächsten Jahr.
Fünf Jahre nach dem Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) hat der Ausschuss der Ständigen Vertreter am Donnerstag (23. November) den von Euractiv eingesehenen Standpunkt des Rates zum Stand des Datenschutzgesetzes angenommen.
„Die Datenschutz-Grundverordnung ist weiterhin ein Erfolg. Die Verordnung hat zu positiven Ergebnissen bei der Harmonisierung des EU-Rechts und der Stärkung einer Datenschutzkultur auf EU- und globaler Ebene geführt“, heißt es in der Stellungnahme des Rates.
Der Rat erkennt die Erfolge der Datenschutz-Grundverordnung bei der Stärkung des Vertrauens und der Rechtssicherheit an, weist aber auch auf einige „praktische Umsetzungsprobleme“ für private und öffentliche Stellen hin und fordert weitere Klarstellungen und eine Strategie für künftige Entscheidungen über die Angemessenheit der Daten.
Die europäischen Regierungen haben die Kommission aufgefordert, in dem Überprüfungsbericht, den die Kommission nächstes Jahr veröffentlichen soll, eine „übergreifende und umfassende Bewertung“ der Anwendung und Funktionsweise des Datenschutzgesetzes vorzunehmen.
Bei ihrer Überprüfung wird die Kommission die Ergebnisse des EU-Rates, des Parlaments und aller anderen relevanten Gremien berücksichtigen.
Der Datenschutz
Der Standpunkt der Mitgliedstaaten unterstreicht, dass der Datenschutz ein „wesentlicher Bestandteil“ einer verantwortungsvollen Innovation ist und dass der technologieneutrale Ansatz der Datenschutz-Grundverordnung eine Anpassung an die Herausforderungen der technologischen Entwicklung ermöglicht.
Dem Rat zufolge zeigt die Zahl der in den letzten fünf Jahren eingereichten Beschwerden, dass die DSGVO tatsächlich dazu geführt hat, dass die Menschen ihre Datenschutzrechte ausüben. Er betont, dass die Kapazitäten der nationalen Behörden, diesen Anträgen nachzugehen, ein entscheidender Aspekt bleiben, um die einheitliche Anwendung des Gesetzes zu gewährleisten.
Privater Sektor
Der Rat merkt an, dass private Organisationen, die personenbezogene Daten verarbeiten, ihre Anstrengungen zur Einhaltung der Vorschriften schrittweise verstärkt haben. Gleichzeitig hat der One-Stop-Shop-Mechanismus der Datenschutz-Grundverordnung zu größerer Rechtssicherheit für die Unternehmen und zu gleichen Wettbewerbsbedingungen in der gesamten EU geführt.
Die Ergebnisse weisen jedoch darauf hin, dass die Datenschutz-Grundverordnung zu einer erheblichen zusätzlichen Belastung für klein und mittelständische Unternehmen (KMU) geführt hat, insbesondere bei risikoarmer Datenverarbeitung.
In diesem Zusammenhang fordern die Mitgliedstaaten praktische Instrumente wie Vorlagen und Muster-Informationsklauseln, um die Einhaltung der Vorschriften durch kleine Organisationen zu erleichtern. Gleichzeitig wird in dem Dokument darauf hingewiesen, dass andere Compliance-Instrumente wie Zertifizierungssysteme und Verhaltensregeln weiter erforscht werden sollen.
Öffentliche Behörden
Der Rat stellte fest, dass die Datenschutz-Grundverordnung zu komplexen Prozessen und Interpretationsschwierigkeiten geführt hat, vor allem wenn öffentliche Einrichtungen untereinander Daten austauschen.
Die Mitgliedstaaten weisen darauf hin, dass die Einhaltung der Vorschriften für die lokalen Behörden besonders aufwändig ist. Für sie ist es auch schwierig, Datenschutzbeauftragte zu ernennen, daher fordern sie die Datenschutzbehörden dringend auf, praktische Instrumente und Leitlinien in diesem Sinne zu entwickeln.
Für die europäischen Regierungen haben das Auskunftsrecht gemäß der Datenschutz-Grundverordnung und die Rechtsgrundlage für die Verarbeitung von Daten, die für die Einhaltung der rechtlichen Verpflichtungen nach EU-Recht erforderlich ist, zu Rechtsunsicherheit für öffentliche Einrichtungen geführt.
Spezifische Datenverarbeitung
Nach Ansicht des Rates konnten in den vergangenen fünf Jahren bestimmte Verarbeitungsprozesse oder damit zusammenhängende Bestimmungen der Datenschutz-Grundverordnung identifiziert werden, die einer weiteren Klärung und Anleitung bedürfen, um eine kohärente Umsetzung zu gewährleisten, wie etwa die Verarbeitung personenbezogener Daten von Minderjährigen.
Die EU-Länder wünschen sich auch mehr Klarheit über die Bedingungen, unter denen personenbezogene Daten zu Forschungs- und Archivierungszwecken verarbeitet werden können. Außerdem sollen die Konzepte der Anonymisierung und Pseudonymisierung weiter ausgearbeitet werden.
Der Rat weist zudem auf die Risiken bei der Verwendung personenbezogener Daten für die Erstellung von Profilen und das Personen-Scoring hin und fordert daher eine Bewertung, ob der derzeitige Rechtsrahmen und seine Anwendung wirksam sind oder ob weitere Leitlinien erforderlich sind, „um Profiling- und Scoring-Aktivitäten eindeutig zu begrenzen.“
Mechanismus der Zusammenarbeit
Die Mitgliedstaaten bezeichnen die Einrichtung des Ausschusses und der damit verbundenen Verfahren zur Gewährleistung einer einheitlichen Anwendung der Datenschutz-Grundverordnung als „positive Errungenschaft“. Sie weisen jedoch darauf hin, dass eine wirksame Umsetzung, auch bei umfangreicherer Datenverarbeitung, für den Schutz personenbezogener Daten von entscheidender Bedeutung ist.
Der Rat weist auf den Bedarf an Verbesserungen bei der Umsetzung hin, bleibt aber allgemein und erwähnt lediglich den Vorschlag der Kommission zur Harmonisierung der Verwaltungsverfahren.
Internationale Transferinstrumente
Auf internationaler Ebene stellten die EU-Länder fest, dass die Angemessenheitsentscheidungen maßgeblich dazu beigetragen haben, die Datenschutz-Grundverordnung als globalen Maßstab für den Datenschutz zu positionieren.
„In diesem Zusammenhang fordert der Rat die Europäische Kommission auf, die Transparenz ihres Bewertungsverfahrens zu erhöhen und eine umfassende und kohärente Strategie für künftige Angemessenheitsentscheidungen vorzulegen, die auch die Möglichkeiten und Vorteile von sektoralen oder subnationalen Angemessenheitsentscheidungen untersuchen sollte“, heißt es in dem Text weiter.
Die Mitgliedstaaten erkennen zwar die Nützlichkeit von Transferinstrumenten wie Standardvertragsklauseln an, regen aber an, andere Optionen wie Verhaltensregeln, Zertifizierungssysteme und verbindliche Unternehmensvorschriften zu prüfen.
Nationale Gesetzgebung
Was den Spielraum betrifft, den die nationalen Gesetzgeber bei der Festlegung von Rahmenbedingungen für bestimmte Datenverarbeitungstätigkeiten haben, wie beispielsweise das Recht der Öffentlichkeit auf Zugang zu amtlichen Dokumenten, so vertritt der Rat den Standpunkt, dass sich dieser Ansatz als wirksam erwiesen hat.
Zusammenspiel der Gesetzgebungen
Seit dem Inkrafttreten der Datenschutz-Grundverordnung hat die EU mehrere wichtige neue digitale Gesetze verabschiedet, wie das Gesetz über digitale Märkte, das Gesetz über digitale Dienste, das Gesetz über Daten-Governance, das Datengesetz und das bevorstehende KI-Gesetz. Der Rat fordert den Ausschuss auf, die Zusammenhänge mit der Datenschutz-Grundverordnung zu klären.
[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]