Kontakt   |    Sitemap   |    Impressum   |    Datenschutzerklärung   |    Site Search:   

 

DSG-Info-Service Nr. 66/67
Dezember 2011

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

 

Wie wir Sie bereits in unserer Ausgabe Nr. 64 / 65 informiert haben, hat die Europäische Kommission am 4. November 2010 eine Mitteilung für ein Gesamtkonzept für den Datenschutz in der EU [KOM (2010) 609 endg] veröffentlicht.

Grund für diese Aktion sind die neuen vielfältigen Herausforderungen für den Datenschutz, in erster Linie bedingt durch die Dynamik iZm Internetanwendungen mitsamt den modernen Technologien wie soziale Netzwerke oder Cloud Computing.

Dieses Gesamtkonzept gibt Lösungsansätze und Ziele vor und dient als Grundlage für die Ausarbeitung eines Vorschlages, mit dem Ziel, die bestehenden Datenschutzvorschriften entsprechend zu ändern und auf die heutigen datenschutzrechtlichen Anforderungen anzupassen. Auf Basis dieses Konzeptes hat die Europäische Kommission nunmehr einen Vorschlag mit Rechtsvorschriften erarbeitet.

Die zuständige EU-Justizkommissarin und Vizepräsidentin der EU-Kommission, Viviane Reding, plante den Entwurf der neuen EU-Datenschutzverordnung erst am 25. Jänner 2012 zu präsentieren, jedoch wurde auf www.statewatch.org ein geleakter Entwurf bereits am Mittwoch den 7. Dezember 2011 mit der Bezeichnung „Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (Text with EEA relevance) Version 56 (29/11/2011)“ bekannt.

Dieser Entwurf, der derzeit nur in englischer Sprache vorliegt, umfasst 116 Seiten und kann bei Interesse unter anderem unter der Adresse www.statewatch.org heruntergeladen werden.

Im Folgenden wollen wir auf die aus unserer Sicht wichtigsten Änderungen im Vergleich zur Richtlinie 95/46/EG eingehen, wobei die wohl wichtigste Änderung in der Tatsache liegt, dass an Stelle einer Richtlinie nunmehr eine Datenschutzverordnung treten soll.

Richtlinien sind gemäß Art 189 Abs. 3 EWGV bzw. Art 161 Abs. 3 EAGV für den Mitgliedstaat an den sie gerichtet sind nur hinsichtlich des zu erreichenden Zieles verbindlich, während die Wahl der Form und der Mittel den innerstaatlichen Stellen überlassen bleibt.

Verordnungen iSd Artikel 189 Abs. 2 EWGV und Art 161 Abs. 2 EAGV besitzen dagegen allgemeine Geltung und sind in allen Teilen verbindlich und gelten unmittelbar in jedem Mitgliedstaat.


Nun zum Dokument selbst:

Proposal for a

REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)

(Text with EEA relevance)

Version 56

(29/11/2011)

 

Erläuterungen

1. Hintergrundinformationen zum Vorschlag

Hier weist die Kommission zunächst auf die derzeitigen Grundlagen des europäischen Datenschutzes hin, nämlich auf die RL 95/46/EG und den Rahmenbeschluss 2008/977/JHA. Sie verweist weiters auf Art. 16 des Vertrages über die Arbeitsweise der EU (AEUV) idF aufgrund des am 1. Dezember 2009 in Kraft getretenen Vertrages von Lissabon, als Rechtsgrundlage hin und nimmt auch Bezug auf Art. 8 der EMRK. Schlussendlich weist sie auf die hinlänglich bekannten Schwächen des derzeitigen europäischen Datenschutzrechtes hin, hier im Besonderen auf die mangelhafte Harmonisierung, die bestehenden Rechtsunsicherheiten, sowie die weit verbreitete öffentliche Wahrnehmung über das Bestehen erheblicher Risiken bei Online-Aktivitäten.

2. Ergebnisse der Beratungen mit interessierten Parteien und Folgeabschätzungen

Dieses Kapitel setzt sich detailliert mit der Entstehungsgeschichte des nunmehr vorliegenden Vorschlages auseinander und zeigt den mühsamen und langfristigen Weg der Entscheidungsprozesse in der EU deutlich auf. Hauptthema dieses Kapitels ist die Beantwortung der Frage, warum sich die Europäische Kommission für eine Verordnung und gegen eine Richtlinie entschieden hat. Begründet wird diese Entscheidung mit der langen Umsetzungsfrist einer Richtlinie sowie mit der Tatsache, dass nur eine Verordnung zu einem EU-weiten einheitlichen Datenschutz – eine solche Verpflichtung ergibt sich aus Art. 8 der Europäischen Grundrechtscharta – führen kann und darüber hinaus nur eine Verordnung eine Lösung der derzeit im grenzüberschreitenden Datenverkehr auftretenden Probleme sicherstellt.

Festgestellt wird auch, dass die Mitgliedstaaten derzeit kaum in der Lage sind, die bestehenden datenschutzrechtlichen Probleme selbst zu lösen.

3. Rechtliche Aspekte des Vorschlages

In diesem Kapitel wird auf die rechtliche Basis des Vorschlages eingegangen und detailliert begründet, warum ein Rechtsakt auf EU-Ebene notwendig ist. Weiters erfolgt eine Erklärung der einzelnen Artikel des Vorschlages auf die im vorliegenden DSG-Info-Service im Kapitel „Allgemeine Bestimmungen“ ohnehin noch im Detail eingegangen wird, und die wir an anderer Stelle noch überblicksmäßig behandeln.

Im gegenständlichen Dokument sind insgesamt 118 Erwägungsgründe angeführt! Zweck der Erwägungsgründe ist es, die wichtigsten Bestimmungen des verfügenden Teils des Vorschlages in knapper Form zu begründen, ohne deren Wortlaut wiederzugeben.

Nachstehend folgt ein kurzer Überblick über die wichtigsten Erwägungsgründe (EWG).

 

Erwägungsgründe

(EWG 12) – Die Verordnung gilt nur für natürliche Personen und nicht für juristische Personen, wie es das österreichische DSG 2000 vorsieht.

(EWG 13) – Die Verordnung soll auch dann gelten, wenn ein EU-Auftraggeber oder EU-Dienstleister außerhalb der EU Datenverarbeitung betreibt.

(EWG 14 und 15) – Die Verordnung soll auch dann gelten, wenn ein Nicht-EU-Auftraggeber Daten verarbeitet, die EU-Bürger betreffen.

(EWG 17) – Technologieneutralität ist erklärtes Ziel der Verordnung.

(EWG 18) – Datenverarbeitung, die von der EU selbst durchgeführt wird, wird durch die vorliegende Verordnung nicht erfasst.

(EWG 19) – Datenverarbeitung für private Zwecke wird grundsätzlich nicht erfasst. Werden aber solche Daten einer unbestimmten Anzahl von Personen zugänglich, z.B. via Internet, entfällt diese Ausnahme.

(EWG 23) – Die Verordnung gilt auch für Profilerstellungen die z.B. anhand einer IP-Adresse oder der Verwendung von Cookies erfolgen.

(EWG 24) – Eine Zustimmung des Betroffenen muss ausdrücklich gegeben werden.

(EWG 27) – Personenbezogene Daten von Kindern sind besonders zu schützen. In Bezug auf die Definition „Kind“ soll die EU-Kinderrechtskonvention übernommen werden.

(EWG 28) – Die bereits in der Datenschutz-Konvention des Europarates in Art. 5 enthaltenen Qualitätsgrundsätze wie Fairness und Rechtmäßigkeit, strikte Zweckbindung, Begrenzung des Datenumfanges, Richtigkeit und Aktualität sowie zeitliche Begrenzung werden besonders betont.

(EWG 30) – Der Auftraggeber hat die Beweispflicht bezüglich der Zustimmung.

(EWG 32 – 34) – Jede Datenverarbeitung erfordert eine Rechtsgrundlage. Falls eine solche nicht identifiziert werden kann, ist eine Datenverarbeitung nur mit ausdrücklicher Zustimmung des Betroffenen zulässig.

(EWG 46 und 47) – Bei rechtswidriger Verarbeitung hat der Betroffene das „Right to be forgotten“.

(EWG 48) – Der Betroffene hat einen Anspruch auf Transfer seiner Daten von einem automatischen System in ein anderes sowie auf die Bereitstellung einer elektronischen Kopie seiner Daten.

(EWG 51) – Der Betroffene bekommt bei Vorliegen bestimmter Umstände ein Abwehrrecht gegen eine Profilerstellung eingeräumt.

Die Erstellung von Profilen von Kindern ist grundsätzlich verboten.

(EWG 55) – Falls ein Nicht-EU-Auftraggeber Daten von EU-Bürgern verarbeitet und über keine Niederlassung in einem Mitgliedstaat verfügt, so muss er einen Repräsentanten als Kontaktperson für die Aufsichtsbehörden nominieren.

(EWG 58) – Auftraggeber sind verpflichtet Data Breaches unverzüglich Aufsichtsbehörden und Betroffenen mitzuteilen. Diese Verpflichtung – bis auf die Meldepflicht – besteht im österr. DSG 2000 seit der DSG Novelle 2010 (§ 24 Abs. 2a DSG 2000).

(EWG 60) – Das generelle Meldeverfahren soll abgeschafft und durch eine schriftlich niederzulegende Risikoanalyse der jeweiligen geplanten Datenanwendung ersetzt werden.

(EWG 64) – Europäische Zertifizierungen für Produkte und Dienstleistungen sollen gefördert werden.

(EWG 79) – Datenschutzaufsichtsbehörden sollen ausreichende finanzielle und personelle Ressourcen sowie eine entsprechende Infrastruktur erhalten.

(EWG 82 und 83) – Falls sich die Datenverarbeitung über mehrere Mitgliedstaaten erstreckt, soll nur eine Datenschutzaufsichtsbehörde zuständig sein, und zwar in jenem Mitgliedstaat, wo sich die Hauptniederlassung (z.B. Konzernzentrale) befindet.

(EWG 94) – Es soll eine europäische Datenschutzbehörde gegründet werden, die aus den Vorsitzenden der einzelnen nationalen Datenschutzaufsichtsbehörden zusammengesetzt ist. Diese neue Behörde soll die Art. 29 Datenschutzgruppe ersetzen.

(EWG 97) – Die Datenschutzaufsichtsbehörden sollen das Recht des Einbringens von Verbandsklagen erhalten.

(EWG 104) – In Bezug auf die Verarbeitung von Gesundheitsdaten sollen die Verarbeitungsmöglichkeiten in den Mitgliedstaaten harmonisiert werden, um ein grenzüberschreitendes Gesundheitswesen zu ermöglichen.

(EWG 114) – Die RL 95/46/EG soll durch diese Verordnung aufgehoben werden.

 

Kapitel I

Allgemeine Bestimmungen

Art. 2 – Anwendungsbereich

Dieser Artikel definiert den Anwendungsbereich der Verordnung, wobei besonders Punkt 2 von Interesse ist. Dieser besagt, dass die Verordnung auch für Auftraggeber gilt, die außerhalb der EU personenbezogene Daten von EU-Bürgern verarbeiten.

Art. 3 – Definitionen

Dieser Artikel enthält insgesamt 18 Begriffsdefinitionen, wobei es vier verschiedene Definitionen für den Datenbegriff gibt, und zwar:

(2) 'personal data' means any information relating to a data subject;

(10) 'genetic data' means all data, of whatever type, concerning the hereditary characteristics of an individual;

(11) 'biometric data' means any data relating to the physical, physiological or behavioural characteristics of an individual which allow his or her unique identification, such as facial images, or dactyloscopic data;

(12) 'data concerning health' means any information which relates to the physical or mental health of an individual, or to the provision of health services to the individual, and which may include: information about the registration of the individual for the provision of health services; information about payments or eligibility for healthcare with respect to the individual; a number, symbol or particular assigned to an individual to uniquely identify the individual for health purposes; any information about the individual collected in the course of the provision of health services to the individual; information derived from the testing or examination of a body part or bodily substance; and identification of a person (healthcare professional) as provider of healthcare to the individual.

 

Kapitel II

Prinzipien

Art. 7 – Voraussetzungen für die Zustimmung

4. Consent shall not provide a legal basis for the processing, where there is a significant imbalance in the form of dependence between the position of the data subject and the controller.

Die Voraussetzung unter Punkt 4 ist deutlicher ausgeführt als jene des § 4 Z 12 DSG 2000.

Während nämlich das österreichische DSG 2000 als Voraussetzung für eine Zustimmung fordert, dass diese „insbesondere ohne Zwang“ abgegeben wird, fordert Punkt 4 der Verordnung, dass eine einmal abgegebene Zustimmungserklärung wirkungslos werden soll, falls ein signifikantes Ungleichgewicht zwischen Betroffenem und Auftraggeber besteht.

Kapitel III

Die Rechte des Betroffenen

Abschnitt 2

Information und Zugriff auf Daten

Art. 13 – Zugriffsrechte des Betroffenen

1. The data subject shall have the right to obtain from the controller at any time, confirmation as to whether or not personal data relating to the data subject are being processed. Where such personal data are being processed, the controller shall provide the following information:

(a) the purposes of the processing;

(b) the categories of personal data concerned;

(c) the recipients or categories of recipients to whom the personal data are to be or have been disclosed, in particular to recipients in third countries;

(d) the period for which the personal data will be stored;

(e) the existence of the right to request from the controller rectification or erasure of personal data concerning the data subject or to object the processing of such personal data;

(f) the right to lodge a complaint to the supervisory authority and the contact details of the supervisory authority;

(g) communication of the personal data undergoing processing and of any available information as to their source;

(h) the significance and envisaged consequences of such processing, at least in the case of measures referred to in Article 20.

2. The data subject shall have the right to obtain from the controller a copy of the personal data undergoing processing.

Während Punkt 1 im Großen und Ganzen dem Auskunftsrecht des § 26 DSG 2000 entspricht, kann der Betroffene nach den Bestimmungen der Punkt 2 eine Kopie der über ihn verarbeiteten Daten verlangen.

 

Abschnitt 3

Richtigstellung und Löschung

Art. 15 – Das Recht auf vergessen werden und Löschung.

1. The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data where:

(a) the data are no longer necessary in relation to the purposes for which the data are collected or otherwise processed; or

(b) the data subject withdraws consent on which the processing is based accordingto Article 5(1)(a), or when the storage period consented to has expired; or

(c) the data subject objects to the processing of personal data pursuant to Article 17; or

(d) their processing otherwise does not comply with this Regulation.

This right shall apply especially in relation to personal data which are made available by the data subject while he or she was a child.

2. Where the controller referred to in paragraph 1 has made the data public, it shall in particular ensure the erasure of any public Internet link to, copy of, or replication of the personal data relating to the data subject contained in any publicly available communication service which allows or facilitates the search of or access to this personal data.

Während Punkt 1 so wie im § 27 DSG 2000 das Recht des Betroffenen auf Löschung seiner Daten enthält, sieht Punkt 2 einen sehr weit gehenden Anspruch des Betroffenen auf Löschung vor, nämlich den Anspruch an den Auftraggeber, dass dieser alle öffentlich zugänglichen Daten, also vor allem jene im Internet, zu löschen hat.

In Punkt 4 ist die Möglichkeit enthalten, in jenen Fällen, wo eine Löschung als nicht sinnvoll erscheint, eine Datensperrung vorzunehmen.

Art. 17 – Das Recht auf Datentransfer

1. The data subject shall have the right to object at any time to the processing of personal data which is based on points d), (e) and (f) of Article 5(1), unless the controller demonstrates compelling legitimate grounds for the processing which override the interests or fundamental rights and freedoms of the data subject.

2. Where personal data are processed for direct marketing for non-commercial purposes recognised as being in the public interest, the data subject shall have the right to object to the processing of their personal data for such marketing.

Falls die Daten des Betroffenen automationsunterstützt geführt werden, hat er nach den Bestimmungen des Punktes 1 das Recht, seine Daten in portierbarer Form zu erhalten, und zwar strukturiert und in einem Format, welches üblich ist und eine Weiterverwendung seiner Daten erlaubt. Nach den Bestimmungen des Punktes 2 hat der Betroffene überdies das Recht, seine Daten von einem System auf ein anderes System transferieren zu lassen, also z.B. von einem sozialen Netzwerk auf ein anderes.

 

Kapitel IV

Auftraggeber und Dienstleister

Abschnitt 1

Allgemeine Pflichten

Art. 20 – Datenschutz durch Implementierung und entsprechende Voreinstellung

Aufgrund der besonderen Risiken für die Privatsphäre und den Datenschutz wird das Prinzip des „eingebauten Datenschutzes“ gefordert. Darunter versteht man spezifische Maßnahmen, die in ein bestimmtes Produkt oder eine Technologie der Informations- und Kommunikationstechnologie integriert sein sollen, sowie die Anwendung von Datenschutz-Voreinstellungen.

 

Abschnitt 3

Datenschutzrisiko Abschätzung und
Vorabkontrolle

Art. 30 – Datenschutzrisiko Abschätzung

1. Prior to the processing of personal data, the controller or the processor shall carry out an assessment of the impact of the envisaged processing operations on the protection of personal data where those processing operations are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes.

2. In particular the following processing operations are likely to present such specific risks as referred to in paragraph 1:

(a) an evaluation of personal aspects relating to a natural person or for analysing or predicting in particular the natural person's performance at work, creditworthiness, economic situation, location, health, personal preferences, reliability or behaviour, which is based on automated processing and likely to result in measures that produce legal effects concerning the individual or significantly affect the individual; or

(b) information on sex life, health, race and ethnic origin or for the provision of health care, epidemiological researches, or surveys of mental or infectious diseases; or

(c) monitoring publicly accessible areas, especially when using optic-electronic devices (video surveillance); or

(d) personal data in large scale filing systems on children, genetic data or biometric data; or

(e) other processing operations for which the consultation of the supervisory authority is required pursuant to Article 31(2)(b).

Das derzeit im DSG 2000 vorgesehene Meldeverfahren soll durch eine vom Auftraggeber oder Dienstleister durchzuführende Risikobewertung der jeweiligen Datenanwendung ersetzt werden. Diese Risikobewertung ist schriftlich niederzulegen und soll der Öffentlichkeit leicht zugänglich gemacht werden können. Die europäische Kommission behält sich in diesem Zusammenhang vor, entsprechende Standards und Methoden für diese Risikobewertung festzulegen.

Art. 31 – Vorabkontrolle und Konsultation mit der Datenschutz Aufsichtsbehörde

In diesem Artikel wird festgelegt, unter welchen Umständen eine Vorabkontrolle oder eine Konsultation mit der Datenschutzaufsichtsbehörde notwendig ist.

 

Abschnitt 4

Datenschutzbeauftragter

Dieser Artikel schreibt die verpflichtende Bestellung eines betrieblichen Datenschutzbeauftragten für den Öffentlichen Bereich – unabhängig von Art und Mitarbeiteranzahl – sowie für Unternehmen ab 250 Mitarbeiter vor. Für Auftraggeber und Dienstleister, die sich schwerpunktmäßig geschäftsmäßig mit Datenverarbeitung als Geschäftsmodell auseinandersetzen, ist, unabhängig von der Mitarbeiteranzahl, ein betrieblicher Datenschutzbeauftragter zu ernennen.

 

Abschnitt 5

Verhaltensregeln und Zertifizierungen

Art. 36 – Zertifizierung

In diesem Artikel wird die verstärkte Förderung von EU Zertifizierungen im Bereich des Datenschutzes gefordert.

 

Kapitel V

Datenübermittlung in Drittstaaten oder
internationale Organisationen

Art. 39 – Übermittlung mit entsprechenden Schutzmaßnahmen

1. Where the Commission has taken no decision pursuant to Article 38, a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has adduced appropriate safeguards with respect to the protection of personal data in a legally binding instrument.

2. These appropriate safeguards referred to in paragraph 1 shall be provided for by:

(a) binding corporate rules in accordance with Article 40; or

(b) standard data protection clauses adopted by the Commission. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2); or

(c) standard data protection clauses adopted by a supervisory authority in accordance with the consistency mechanism referred to in Article 56 when declared generally valid by the Commission pursuant to point (b) of Article 60(1); or

(d) contractual clauses between the controller or processor and the recipient of the data authorised by a supervisory authority in accordance with paragraph 4.

3. A transfer based on standard data protection clauses or binding corporate rules as referred to in points (a), (b) or (c) of paragraph 2 shall not require any further authorisation.

4. Where a transfer is based on contractual clauses as referred to in point (d) of paragraph 2 the controller or processor shall obtain prior authorisation of the contractual clauses according to Article 31(1)(a) from the supervisory authority. If the transfer is related to processing activities which concern data subjects in another Member State or other Member States, or substantially affect the free movement of personal data within the Union, the supervisory authority shall apply the consistency mechanism set out in Article 56.

In diesem Artikel werden die notwendigen Schutzmaßnahmen erläutert, die bei  einer Datenübermittlung in Drittstaaten oder zu internationalen Organisationen zu beachten sind.

Grundsätzlich wird gefordert, dass die zu treffenden Maßnahmen rechtsverbindlich sein müssen.

Art. 42 – Datenherausgabe die nicht durch EU-Recht genehmigt ist

1. No judgment of a court or tribunal and no decision of an administrative authority of a third country requiring a controller or processor to disclose personal data shall be recognized or be enforceable in any manner, without prejudice to a mutual assistance treaty or an international agreement in force between the requesting third country and the Union or a Member State.

Artikel 42 verbietet die Herausgabe von personenbezogenen Daten, die aufgrund einer Entscheidung eines Gerichtes oder einer Behörde aus einem Drittstaat gefordert wird.

 

Kapitel VI

Unabhängige Datenschutzbehörden

Abschnitt 1

Unabhängigkeitsstatus

Art. 46 – Unabhängigkeit

1. The supervisory authority shall act with complete independence in exercising the duties and powers entrusted to it.

2. The members of the supervisory authority shall, in the performance of their duties, neither seek nor take instructions from anybody.

3. Members of the supervisory authority shall refrain from any action incompatible with the duties of the office and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not.

4. Members of the supervisory authority shall behave, after their term of office, with integrity and discretion as regards the acceptance of appointments and benefits.

5. Each Member State shall ensure that the supervisory authority is provided with the adequate human, technical and financial resources, premises and infrastructure necessary for the effective performance of its duties and powers, including those to be carried out in the context of mutual assistance, co-operation and active participation in the European Data Protection Board.

6. Each Member State shall ensure that the supervisory authority has its own staff which shall be appointed by and be subject to the direction of the head of the supervisory authority.

7. Member States shall ensure that the supervisory authority is not subject to financial control which might affect its independence. Member States shall ensure that the supervisory authority has separate annual budgets. The budgets shall be made public.

8. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraphs 5 to 7, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.

Dieser Artikel streicht die Unabhängigkeit der Datenschutzaufsichtsbehörden deutlich heraus.

 

Kapitel VII

Kooperation und Kohärenz

Abschnitt 1

Kooperation

Art. 55 – Gemeinsame Einsätze

1. In order to step up co-operation and mutual assistance, the supervisory authorities shall carry out joint enforcement measures and other joint operations in which designated members or staff from other Member States' supervisory authorities participate in operations within a Member State's territory.

2. In cases where data subjects in another Member State or other Member States are likely to be affected by processing operations, a supervisory authority of each of those Member States shall have the right to participate in the joint operations. The competent supervisory authority shall invite the supervisory authority of each of those Member States to take part in the respective operation and respond to the request of a supervisory authority to participate in the operations without delay.

3. Each supervisory authority may, as a host supervisory authority, in compliance with its own national law, and with the seconding supervisory authority’s authorization, confer executive powers on the seconding supervisory authority’s members or staff involved in joint operations or, in so far as the host supervisory authority’s law permits, allow the seconding supervisory authority’s members or staff to exercise their executive powers in accordance with the seconding supervisory authority’s law.

Such executive powers may be exercised only under the guidance and, as a rule, in the presence of members or staff from the host supervisory authority. The seconding supervisory authority's members or staff shall be subject to the host supervisory authority's national law. The host supervisory authority shall assume responsibility for their actions.

4. Supervisory authorities shall lay down the practical aspects of specific co-operation actions.

5. Where a supervisory authority does not comply within one month with the obligation laid down in paragraph 2, the other supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 50(1).

6. The supervisory authority shall specify the period of validity of such provisional measure. This period shall not exceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission and shall submit the matter in the mechanism set out in Article 56.

In diesem Artikel wird die Möglichkeit gemeinsamer Einsätze der Datenschutzaufsichtsbehörden aus den verschiedenen Mitgliedstaaten beschrieben.

 

Abschnitt 3

Art. 63 – Die europäische Datenschutz-aufsichtsbehörde

1. A European Data Protection Board is hereby set up.

2. The European Data Protection Board shall be composed of a head of one supervisory authority of each Member State and of the European Data Protection Supervisor.

3. Where in a Member State more than one supervisory authority is responsible for monitoring the application of the provisions pursuant to this Regulation, they shall nominate the head of one of those supervisory authorities as joint representative.

4. The Commission shall have the right to participate in the activities and meetings of the European Data Protection Board and shall designate a representative. The chair of the European Data Protection Board shall, without delay, inform the Commission on all activities of the European Data Protection Board.

Laut diesem Artikel soll eine eigene europäische Datenschutzaufsichtsbehörde gegründet werden, welche die 29er Datenschutzgruppe ersetzt.

Kapitel VIII

Rechtsmittel, Verantwortlichkeit und
Sanktionen

Art. 73 Beschwerderecht an
Datenschutzbehörden

1. Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority in any Member State if they consider that the processing of personal data relating to them does not comply with this Regulation.

2. Any body, organisation or association which aims to protect data subjects’ rights and interests concerning the protection of their personal data and has been properly constituted according to the law of a Member State shall have the right to lodge a complaint with a supervisory authority in any Member State on behalf of one or more data subjects if it considers that a data subject’s rights under this Regulation have been infringed as a result of the processing of personal data.

3. Any body, organisation or association referred to in paragraph 2 shall have the right to lodge a complaint with a supervisory authority in any Member State also on ist own behalf, if it considers that Articles 28 or 29 have been infringed as a result of the processing of personal data.

Dieser Artikel sieht auch die Möglichkeit einer Verbandsklage vor. Das Klagerecht bezieht sich auf unrechtmäßige Verarbeitung und gröbere Datenschutzverletzungen sowie vor allem auf Data Breaches.

Art. 79 – Verwaltungsstrafen

Dieser Artikel gibt einen Strafrahmen von mindestens EUR 100 bis max. EUR 1.000.000 vor. Bei privaten Unternehmen kann an Stelle eines Fixbetrages auch eine Verwaltungsstrafe idHv 1 % bis 5 % des jährlichen Umsatzes festgesetzt werden.

Ausblick

Sollte der vorliegende Vorschlag in Form einer Verordnung wirklich umgesetzt werden, so werden weite Teile unseres derzeitigen DSG 2000 zu ersetzen sein.

Wie vor allem die USA mit dem Ansatz der Kommission – nämlich in jedem Fall „Herr“ über die Daten der EU-Bürger sein zu wollen – umgehen wird, bleibt abzuwarten.

Höhere Strafen und die Möglichkeit von Verbandsklagen könnten dazu führen, die Datenschutzstandards in Europa zu verbessern. Wie das „Right to be forgotten“ in der Realität in einer vernetzten Welt funktionieren soll, ist eine offene Frage.

 

Es ist allerdings nicht zu erwarten, dass der vorliegende Vorschlag von den Mitgliedstaaten – immerhin bald 28 – rasch akzeptiert wird. Datenschutz-Insider gehen von mindesten 2 Jahren aus, bis die Mitgliedstaaten die Verordnung – wenn es dabei bleibt – annehmen. Und dann werden aller Wahrscheinlichkeit wieder 2 Jahre vergehen, so dass die Regelungen voraussichtlich erst in 4 Jahren in Kraft treten werden.

Wir werden Sie jedenfalls in dieser Angelegenheit auf dem Laufenden halten.

 

 

DSG-Info-Service Nr. 64/65
April 2011

Sehr geehrter DSG-Paket-Kunde!
Sehr geehrter Leser!

In der vorliegenden Ausgabe – diesmal ist es wieder eine Doppelnummer geworden – werden zwei aktuelle Datenschutzthemen aufgegriffen, einerseits die Novelle 2011 der StMV, andererseits die Mitteilung der Europäischen Kommission zum Datenschutzgesamtkonzept in der EU.

Die Standard- und Musterverordnung 2004, vorgestellt in DSG-Info-Service Nr. 43 (September 2004), wurde zum dritten Mal novelliert.

Weiters stellen wir eine Mitteilung der Europäischen Kommission vom 4. November 2010 vor, die ein Datenschutzgesamtkonzept in der Europäischen Union enthält. Dieses verfolgt vorrangig das Ziel, die Rechte des Betroffenen zu stärken sowie die Transparenz der Datenverarbeitung zu erhöhen.

Novelle 2011 zur StMV 2004

BGBl. II Nr. 105/2011

Allgemeines

Die Novelle enthält 92 Detailänderungen, wovon 85 auf die Anlage 1 (Standardanwendungen) und 7 auf die Anlage 2 (Musteranwendungen) entfallen.

Im Folgenden werden die wichtigsten Änderungen durch die Novelle 2011 zur Standard- und Musterverordnung 2004 (BGBl. II Nr. 105/2011) zusammengefasst.

Unsere Datenschutzkunden erhalten die Standard- und Musteranwendungen als Beilage zum Datenschutzhandbuch in einer Form, wo zu jedem Zeitpunkt der aktuelle Stand der Verordnung ersichtlich ist, insbesondere also auch die konsolidierte Fassung, die im RIS derzeit noch nicht abrufbar ist. Für alle Besucher unserer Internetseite gibt es einen Gesamtauszug dieser Handbuchbeilage als PDF.

Änderungen an Begriffen

Der überwiegende Teil der Punkte nimmt Änderungen an Bezeichnungen und Begriffen, die in den Standard- und Musteranwendungen verwendet werden, vor. Dies betrifft nahezu alle Anwendungen. Es folgen zur Veranschaulichung einige Beispiele:

  • „Familienstand“ wird zu „Personenstand“; diese Änderung wurde auf Grund der Bestimmungen des Eingetragene Partnerschaft-Gesetzes (EPG) notwendig.
  • „Vor- und Familienname, akad. Grad / Titel“ wird generell nur mehr durch „Name“ ersetzt.
  • „frühere Familiennamen“ werden zu „Frühere Namen (Namensteile)“.

Einige Anwendungen erhielten aber umfangreichere Änderungen, und zwar:

SA002 Personalverwaltung für
privatrechtliche Dienstverhältnisse

Mit der Novelle wurde ein neuer Betroffenenkreis „Bewerber“ eingeführt, ähnlich wie bisher schon in der SA013. Zum Bewerber sind Datenarten wie etwa „Ausbildungsdaten“, „Berufserfahrung und Lebenslauf“, „Lichtbild“, „Testergebnisse“ sowie „Angestrebte Beschäftigung“ vorgesehen.

Durch diese Ergänzung umfasst die Standardanwendung nun auch die Verwaltung und Evidenzhaltung von Bewerbern, wodurch eine entsprechende individuelle Meldung idR nicht mehr erforderlich ist.

SA013 Personalverwaltung des Bundes und der bundesnahen Rechtsträger

Diese Anwendung wurde komplett überarbeitet, besonders auffällige neue Datenarten sind aber nicht zu berichten. Hinzugetreten sind aber Übermittlungsempfänger wie Disziplinaranwalt, Disziplinarbehörden und Gerichte im Rahmen von Disziplinarverfahren.

SA015 Personalverwaltung der Länder, Gemeinden und Gemeindeverbände

Diese Anwendung wurde ebenfalls komplett überarbeitet. Analog zur SA002 wurde die Anwendung durch die Hinzunahme des Betroffenenkreises „Bewerber“ der Anwendung SA013 angeglichen.

Auch hier fallen, vergleichbar mit der SA013, neue Übermittlungsempfänger auf, wie zB „Auftraggeber des öffentlichen Bereichs, die Datenanwendungen im Portalverbund anbieten“.

SA032 Videoüberwachung
Abschnitt F
Ausländische Vertretungsbehörden und Internationale Organisationen

Es wurde der neue Abschnitt F eingefügt, der Videoüberwachungen der genannten Organisationen zum Standard erklärt.

Inhaltlich entspricht diese Videoüberwachung jenen der Abschnitte B bis E, die im DSG-Info Nr. 61/62 vom Jänner 2010 vorgestellt wurde.

MA004 Teilnahme am Informationsverbundsystem www.fundamt.info
und
MA005 Teilnahme am Informationsverbundsystem fundinfo.at

Auffällig ist lediglich, dass der jeweilige Betreiber der Anwendung aus dem Standard eliminiert wurde.

Mitteilung der Europäischen Kommission zum Gesamtkonzept für den Datenschutz in der EU

KOM (2010) 609 endgültig

Mit dieser Mitteilung veröffentlicht die Europäische Kommission ihr Konzept füreine Reform der EU-Vorschriften für den Schutz personenbezogener Daten im Zusammenhang mit deren Verarbeitung. Dieses erfasst sämtliche Tätigkeitsbereiche innerhalb der EU und berücksichtigt dabei die Herausforderungen infolge der Globalisierung sowie der neuen Technologien in der Datenverarbeitung. Dabei soll ein hohes Schutzniveau für den Betroffenen sichergestellt werden. Die EU sieht sich letztlich auch im Kontext mit globalen Datenschutzstandards als treibende Kraft.

Ausgangspunkt

Ausgangspunkt des Gesamtkonzeptes für den Datenschutz in der Europäischen Union liegt in den neuen Herausforderungen für den Datenschutz, die sowohl den raschen technologischen Entwicklungen als auch aus der Globalisierung entspringen. Das Gesamtkonzept baut den Schutz der Grundrechte und der Grundfreiheit des Einzelnen – insbesondere das Grundrecht auf Datenschutz – weiter aus. Diese beiden Ziele des Datenschutzes wurden mit der Datenschutzrichtlinie 1995 in Form gegossen und werden vor dem Hintergrund des heute vorliegenden tiefgreifend veränderten Umfeldes durch das Gesamtkonzept zeitgemäß weiterverfolgt.

Im Brennpunkt stehen gegenwärtige und künftige ITK- und Internetanwendungen mitsamt den modernen Technologien wie Soziale Netzwerke oder Cloud Computing, bei dem in der Regel kaum bekannt ist, an welchem physikalischen Ort sich die Daten des Betroffenen befinden.

Das Gesamtkonzept trägt ebenso dem Risiko aus der Beobachtung des Internet-Nutzungs­ver­haltens durch ausgefeilte Programme Rechnung, wie auch der automatischen Datensammlung, wie sie etwa bei elektronischen Straßenmautsystemen oder Fahrausweisen vorkommt, sowie Daten über den Aufenthaltsort (zB aus Mobiltelefon). Nach umfangreichen Studien im Jahre 2009 sowie unter Berücksichtigung der Beiträge der sogenannten 29er Datenschutzgruppe (insb. WP 168 und WP 173) und anschließender öffentlicher Konsultierung identifiziert die Europäische Kommission die Kern-Herausforderungen für den Datenschutz wie folgt:

1) Beherrschung der Auswirkungen neuer Technogien:

Unabhängig von der eingesetzten Technologie gilt es personenbezogene Daten zu schützen, wozu es der Spezifizierung der Anwendung der Datenschutzgrundsätze für diese bedarf. Weiters gilt es, von den Verantwortlichen das Bewusstsein für die datenschutzspezifischen Auswirkungen bei der Datenverarbeitung mit neuen Technologien einzufordern.

2) Binnenmarktdimension des Datenschutzes:

Trotz der bestehenden gemeinsamen EU-Regelung liegt eine unzureichende Harmonisierung der verschiedenen Datenschutzvorschriften der Mitgliedstaaten vor. Während durch höhere Harmonisierung höhere Rechtssicherheit erreicht werden soll, entstehen durch diese auch Potentiale zur Senkung des Verwaltungsaufwandes.

3) Umgang mit der Globalisierung und Verbesserung internationaler Datentransfers:

Aufträge zur Datenverarbeitung werden sehr oft an Auftragnehmer außerhalb der EU vergeben. Dies wirft Unklarheiten auf, wie etwa: Welches Recht gilt? Wer trägt Verantwortung? Die heutige Wirtschaft verlangt klare Regelungen für internationale Datentransfers, die einfacher und weniger aufwändiger sind.

4) Verstärkter institutioneller Rahmen für die wirksame Durchsetzung der Datenschutzvorschriften:

Die Datenschutzbehörden sollen künftig über mehr Befugnis zur Durchsetzung der Datenschutzvorschriften verfügen. Zudem verlangen Stimmen aus der Wirtschaft mehr Transparenz im Zusammenhang mit der Tätigkeit, den Aufgaben und den Befugnissen dieser Institutionen.

5) Kohärente Regelung für den Datenschutz:

Nach Ansicht der Kommission bedarf es übergreifender Regelungen, die für die Datenverarbeitung in sämtlichen Sektoren und Politikbereichen der Union gelten. Diese Herausforderungen verlangen von der EU ein kohärentes Gesamtkonzept zur Sicherstellung der lückenlosen Einhaltung des Grundrechts des Betroffenen auf Datenschutz sowohl in der EU sowie anderorts.

Kernziele

Die fünf Kernziele des Gesamtkonzepts und deren Teilaspekte werden in der Mitteilung detailliert festgelegt. Im Folgenden fassen wir diese für Sie zusammen:

1) Stärkung der Rechte des Einzelnen:

Angemessener Schutz des Einzelnen in allen Situationen; erklärtes Ziel der Kommission ist es,

  • „zu prüfen, wie eine kohärente Anwendung der Datenschutzvorschriften sichergestellt werden kann unter Berücksichtigung der Auswirkungen neuer Technologien auf die Rechte und Freiheiten von Personen mit dem Ziel, den freien Verkehr personenbezogener Daten im Binnenmarkt zu gewährleisten“.

Mehr Transparenz für die von der Verarbeitung Betroffenen; erklärte Ziele der Kommission sind

  • „Einführung eines allgemeinen Transparenzgrundsatzes für die Verarbeitung personenbezogener Daten in der Datenschutzregelung“;
  • „Einführung besonderer Pflichten für die Verantwortlichen für die Verarbeitung, was die Art der Informationen und die Modalitäten der Bereitstellung dieser Informationen anbelangt, auch in Bezug auf Kinder“;
  • „Erstellung eines oder mehrerer EU-Standardmuster (Datenschutzhinweise), die die für die Verarbeitung Verantwortlichen zu verwenden haben“;
  • „Prüfung der Modalitäten für die Einführung einer allgemeinen Anzeigepflicht für Datenschutzverstöße in der allgemeinen Datenschutzregelung, einschließlich der Adressaten solcher Anzeigen und der Umstände, die eine Anzeigepflicht begründen“.

Bessere Kontrolle des Betroffenen über seine Daten; erklärtes Ziel der Kommission ist es, Möglichkeiten zu prüfen, um

  • „das Prinzip der Datensparsamkeit zu stärken“;
  • „die Modalitäten für die Wahrnehmung der Rechte auf Zugang zu Daten, auf deren Berichtigung, Löschung oder Sperrung zu verbessern (z. B. durch Einführung einer Antwortfrist für diesbezügliche Anträge, durch Zulassung technischer Lösungen, mit denen die Rechte auf elektronischem Weg wahrgenommen werden können, oder durch eine Vorschrift, wonach das Zugriffsrecht grundsätzlich gebührenfrei zu gewähren ist)“;
  • „das sogenannte Recht auf Vergessen („right to be forgotten“) zu präzisieren, also das Recht von Personen, dass ihre Daten nicht länger verarbeitet und gelöscht werden, wenn sie nicht mehr für einen rechtmäßigen Zweck gebraucht werden. Dies ist beispielsweise der Fall, wenn die Verarbeitung auf der Grundlage der Zustimmung einer Person zur Verarbeitung erfolgt und wenn diese Person ihre Zustimmung zurückzieht oder wenn die Vorhaltefrist abgelaufen ist“;
  • „die Rechte des von der Verarbeitung Betroffenen zu erweitern, in dem die „Datenübertragbarkeit“ sichergestellt wird, also das Recht des Einzelnen, seine Daten (z. B. Fotos oder Freundeverzeichnisse) auf einer Anwendung oder einem Dienst zurückzuholen und die zurückgeholten Daten auf eine andere Anwendung oder einen anderen Dienst zu übertragen, sofern dies technisch möglich ist, ohne von dem für die Verarbeitung Verantwortlichen daran gehindert zu werden“.

Bewusstseinsförderung; erklärtes Ziel der Kommission ist eine Sondierung

  • „der Möglichkeit der Kofinanzierung von Aufklärungsmaßnahmen zum Thema Datenschutz mit Mitteln aus dem EU-Haushalt“ sowie
  • „der Notwendigkeit einer einschlägigen Verpflichtung in der Datenschutzregelung zu Aufklärungsmaßnahmen und die Möglichkeiten, die die Regelung dazu bietet“.

Gewährleistung der Einwilligung ohne Zwang und in Kenntnis der Sachlage; erklärtes Ziel der Kommission ist es zu prüfen,

  • „wie die Bestimmungen über die Einwilligung präzisiert und gestärkt werden können“.

Schutz sensibler Daten; erklärtes Ziel der Kommission ist es zu prüfen,

  • „ob andere Datenkategorien, beispielsweise Gendaten, als sensible Daten eingestuft werden sollten“, sowie,
  • „ob die Voraussetzungen für die Zulassung der Verarbeitung bestimmter Kategorien sensibler Daten präzisiert und harmonisiert werden sollten“.

Wirksamere Rechtsbehelfe und Sanktionen; erklärte Ziele der Kommission sind,

  • „zu prüfen, ob die Befugnis zur Klage bei nationalen Gerichten auch auf Datenschutzbehörden und Verbände der Zivilgesellschaft sowie andere Verbände, die die Interessen der von der Verarbeitung Betroffenen vertreten, ausgedehnt werden kann“ und
  • „zu untersuchen, ob die bestehenden Sanktionsregelungen verschärft werden sollten, beispielsweise durch strafrechtliche Sanktionen bei ernsten Datenschutzverletzungen, damit die Sanktionen mehr Wirkung zeigen“.

2) Stärkung der Binnenmarktdimension:

Höhere Rechtssicherheit und gleiche Bedingungen für die Verantwortlichen für die Datenverarbeitung; Die Kommission will

  • „Ansätze für eine weitere Harmonisierung der Datenschutzbestimmungen auf EU-Ebene prüfen“.

Verringerung des Verwaltungsaufwandes; die Kommission will

  • „verschiedene Möglichkeiten für eine Vereinfachung und Harmonisierung der derzeitigen Melderegelung prüfen, darunter die Einführung eines EUweit einheitlichen Registrierungsformulars“.

Klärung der Bestimmungen über das anwendbare Recht und der Verantwortung der Mitgliedstaaten; die Kommission will prüfen,

  • „wie die geltenden Vorschriften über das anwendbare Recht sowie die Kriterien zu dessen Bestimmung geändert und präzisiert werden können, um für mehr Rechtssicherheit zu sorgen, die Zuständigkeit der Mitgliedstaaten für die Anwendung der Datenschutzvorschriften zu klären und letztlich den von der Verarbeitung Betroffenen in der EU unabhängig vom geografischen Standort des für die Verarbeitung Verantwortlichen stets ein gleiches Schutzniveau zu garantieren“.

Mehr Verantwortung der für die Verarbeitung Verantwortlichen; die Kommission will folgende Maßnahmen prüfen, um die Verantwortung der für die Verarbeitung Verantwortlichen zu stärken:

  • „verpflichtende Benennung eines unabhängigen Datenschutzbeauftragten und Harmonisierung der Bestimmungen über dessen Aufgaben und Zuständigkeiten, wobei zur Vermeidung eines übermäßigen Verwaltungsaufwands vor allem für kleine und kleinste Unternehmen angemessene Schwellen in Erwägung zu ziehen wären“;
  • „Einführung (in der Datenschutzregelung) der Pflicht der für die Verarbeitung Verantwortlichen zur Durchführung einer Datenschutzfolgenabschätzung in bestimmten Fällen, wenn beispielsweise sensible Daten verarbeitet werden oder wenn die jeweilige Verarbeitung mit besonderen Risiken verbunden ist, insbesondere beim Einsatz bestimmter Technologien, Systeme und Verfahren, darunter bei der Erstellung von Profilen oder Videoüberwachung“;
  • „weitere Förderung von Technologien zum Schutz der Privatsphäre und der Möglichkeiten für die konkrete Umsetzung des Privacy-by-Design-Konzepts“.

Förderung von Initiativen zur Selbstregulierung und Möglichkeit der Zertifizierung durch die EU; die Kommission will

  • „Möglichkeiten zur verstärkten Förderung von Initiativen zur Selbstregulierung prüfen, darunter die aktive Förderung von Verhaltenskodizes“ sowie
  • „die Möglichkeit der Einführung von EU-Zertifizierungsregelungen für den Schutz der Privatsphäre und den Datenschutz sondieren“.

3) Änderung der Datenschutzvorschriften in den Bereichen der polizeilichen und justiziellen Zusammenarbeit in Strafsachen:

Im Detail will die Kommission

  • „die Einbeziehung der Bereiche der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in den Anwendungsbereichs der allgemeinen Datenschutzbestimmungen prüfen, und zwar auch bei einer rein innerstaatlichen Verarbeitung, gegebenenfalls bei gleichzeitiger Einführung harmonisierter Einschränkungen bestimmter Datenschutzrechte von Personen, z. B. hinsichtlich des Zugriffsrechts oder des Transparenzprinzips“;
  • „prüfen, ob die neue allgemeine Datenschutzregelung besondere, harmonisierte Vorschriften enthalten sollte, beispielsweise für den Datenschutz bei der Verarbeitung von Gendaten zu strafrechtlichen Zwecken, oder unterschiedliche Vorschriften für verschiedene Gruppen von Betroffenen (Zeugen, Verdächtigte usw.) im Bereich der Zusammenarbeit zwischen den Polizeibehörden und der justiziellen Zusammenarbeit in Strafsachen“;
  • „2011 eine Konsultation aller interessierten Kreise durchführen, um ihre Meinung zu den bestehenden Verfahren zur Änderung des derzeitigen Kontrollsystems im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen einzuholen und so eine wirksame, kohärente Datenschutzkontrolle in den Einrichtungen, Ämtern und Agenturen der EU sicherzustellen“;
  • „prüfen, ob die in einzelnen Rechtsakten enthaltenen sektorspezifischen EU-Vorschrif­ten für die polizeiliche und justizielle Zusammenarbeit in Strafsachen langfristig an die neue allgemeine Datenschutzregelung angepasst werden sollten“.

4) Die globale Dimension des Datenschutzes:

Klärung und Vereinfachung der Bestimmungen über internationale Datentransfers; Die Kommission will prüfen,

  • „wie die bestehenden Verfahren für den internationalen Datentransfer, darunter rechtsverbindliche Instrumente und verbindliche unternehmensinterne Vorschriften, verbessert und koordiniert werden können, um ein einheitlicheres und kohärenteres Vorgehen der EU gegenüber Drittländern und internationalen Organisationen sicherzustellen“; weiters,
  • „wie das Verfahren der Kommission zur Prüfung der Angemessenheit präzisiert und geeignete Kriterien und Anforderungen für die Bewertung des Datenschutzniveaus in einem Drittland oder in einer internationalen Organisation festgelegt werden können“; sowie
  • „wie die zentralen Elemente des Datenschutzes zu definieren sind, die für alle Arten von internationalen Übereinkommen verwendet werden können“.

Förderung universeller Grundsätze; die Kommission will

  • „sich weiterhin für die Festlegung hoher rechtlicher und technischer Datenschutzstandards in Drittländern und auf internationaler Ebene einsetzen“;
  • „sich auf internationaler Ebene für den Grundsatz der Gegenseitigkeit des Schutzes einsetzen, vor allem beim Export von Daten der von der Verarbeitung Betroffenen aus der EU in Drittländer“;
  • „dazu enger mit Drittländern und internationalen Organisationen zusammenarbeiten, darunter mit der OECD, dem Europarat, den Vereinten Nationen und anderen regionalen Organisationen“;
  • „die Entwicklung internationaler technischer Normen durch Normungsorganisationen wie CEN und ISO aufmerksam verfolgen, um sicherzustellen, dass diese die Rechtsvorschriften sinnvoll ergänzen und die Umsetzung und wirksame Anwendung der wichtigsten Datenschutzvorschriften gewährleisten helfen“.

5) Verstärkter institutioneller Rahmen für eine bessere Durchsetzung der Datenschutzvorschriften:

Den Datenschutzbehörden kommt eine wesentliche Aufgabe zu, sie sollten enger zusammenarbeiten und ihre Tätigkeiten besser miteinander abstimmen.

In diesem Zusammenhang plant die Kommission zu prüfen,

  • „wie die Rechtsstellung und die Befugnisse der nationalen Datenschutzbehörden in der neuen Regelung gestärkt, präzisiert und harmonisiert werden können, darunter auch durch die uneingeschränkte Durchsetzung des Grundsatzes der völligen Unabhängigkeit“;
  • „wie die Zusammenarbeit und Abstimmung zwischen den Datenschutzbehörden verbessert werden kann“;
  • „wie eine kohärentere Anwendung der Datenschutzvorschriften der EU im gesamten Binnenmarkt sichergestellt werden kann. Beispielsweise kommen folgende Maßnahmen in Frage: Stärkung der Rolle der nationalen Datenschutzbeauftragten, bessere Koordinierung ihrer Tätigkeiten über die Datenschutzgruppe (die transparenter werden sollte) und Einführung eines Verfahrens zur Sicherstellung einer einheitlichen Praxis im Binnenmarkt unter der Zuständigkeit der Europäischen Kommission“.

Conclusio

Die regelmäßigen technologischen Veränderungen führen zu Veränderungen in der Art und Weise, wie Daten verarbeitet werden. Künftige Regelungen haben daher technologieneutral formuliert zu werden, um diese Veränderungen zu überdauern. Es gilt unabhängig von der Komplexität der Sachlage im Zusammenhang mit Datenverarbeitung für durchgängige Transparenz zu sorgen – insbesondere muss Klarheit darüber herrschen, welches Recht und welche Standards gelten und von welchen nationalen Behörden diese durchzusetzen sind.

Betreffend Unternehmen und Entwickler neuer Technologien muss für Klarheit darüber gesorgt werden, welche Rechte und Standards diese einzuhalten haben. Weiters müssen Betroffene Klarheit über ihre Rechte haben.

Das Gesamtkonzept der Europäischen Kommission legt Lösungsansätze und Ziele vor und dient als Grundlage für weitere Diskussionen mit den anderen EU-Organen mit dem Ziel der Initiierung konkreter legislativer und nichtlegislativer Maßnahmen. Auf Basis des Konzeptes will die Kommission noch 2011 einen Vorschlag mir Rechtsvorschriften vorlegen, mit dem Ziel, die Datenschutzvorschriften der EU entsprechend zu ändern – insbesondere in Bezug auf personenbezogene Daten in allen Politikbereichen und auf Daten im Zusammenhang mit Strafverfolgungen und der Kriminalprävention.

Weiters soll die Selbstregulierung und die Einführung von EU-Datenschutzgütesiegeln vor­angetrieben werden. Die Notwendigkeit von Anpassungen bestehender Rechtsakten an die neuen Vorschriften wird zu prüfen sein – zB Verordnung (EG) Nr. 45/2001. Die Kommission wird weiterhin für die Überwachung der Umsetzung des EU-Rechtes sorgen und im Bedarfsfall ihr Vertragsverletzungsinstrumentarium einsetzen.

Kompetenzbereich Datensicherheit

in Kooperation mit

2019 Secur-Data. All Rights Reserved.