Ueli Kieser/Kurt Pärli /Ursula Uttinger (Hrsg ... · Hier ist auf die frühere 3‐Säulen‐Architektur zu verweisen. Die Richtlinien waren in der sogenannten 1. Säule (Europäi‐

Band 93

Ueli Kieser/Kurt Pärli /Ursula Uttinger (Hrsg.)

Datenschutz – Aktuelle Fragen auf dem Weg

Schriftenreihe desInstituts für Rechtswissenschaftund Rechtspraxis

21

Datenschutzreform in Europa und Auswirkungen auf einen Kleinstaat

Dr. PHILIPP MITTELBERGER, Datenschutzbeauftragter Fürstentum Liechten‐

stein, Vaduz

Inhaltsübersicht

Teil 1: Datenschutzreform in Europa ...................................................................... 22

1.1 Rechtliche Grundlagen – heutiger Stand im Europarat .............................22 1.2 Rechtliche Grundlagen – heutiger Stand im EWR .....................................23 1.3 Gesellschaftliche Änderungen ......................................................................24 1.4 Reformvorschlag im Rahmen des Europarates ..........................................24 1.5 Reformvorschlag im Rahmen des EWR .......................................................24 1.6 Neue Elemente der revidierten Datenschutzkonvention ..........................25 1.7 Neue Elemente der Grundverordnung (Auszug) ......................................25 1.8 Was bedeutet die Grundverordnung für …? ..............................................28 1.9 Beurteilung der Reformen .............................................................................29

Teil 2: Auswirkungen auf einen Kleinstaat ............................................................ 30

2.1 Liechtenstein im EWR ....................................................................................30 2.2 Texte der WP 29 zur Reform .........................................................................30 2.3 Gesamtbeurteilung aus Sicht eines Kleinstaates .........................................31 2.4 Folgen der Grundverordnung für Liechtenstein ........................................32 2.5 Aktueller Stand und Ausblick der künftigen

Grundverordnung (EWR) ..............................................................................33 2.6 Aktueller Stand und Ausblick (EWR) ..........................................................33 2.7 Aktueller Stand und Ausblick (Europarat) .................................................34 2.8 Kommission und Europäischer Rat ..............................................................34

PHILIPP MITTELBERGER

22

Dieser schriftliche Beitrag ergänzt die an der Tagung abgegebenen Folien und ist als

Ergänzung derselben zu sehen. Dabei steht die künftige Grundverordnung im Fo‐

kus. Auf die Entwicklungen im Europarat, die Gegenstand eines anderen Referates

waren, wird nur am Rande eingegangen.

Wie der Vortrag ist auch dieser Beitrag in zwei Teile gegliedert: die Datenschutzre‐

form in Europa einerseits und die Auswirkungen auf einen Kleinstaat anderseits.

Teil 1: Datenschutzreform in Europa

1.1 Rechtliche Grundlagen – heutiger Stand im Europarat

Die Rechtsgrundlagen des heutigen Datenschutzes in Europa werden der‐

zeit überarbeitet. Zuerst sollen die geltenden Grundlagen aufgelistet wer‐

den.

Der Europarat hat mit der Datenschutzkonvention (ETS 108) aus dem

Jahr 1981 das älteste multilaterale Abkommen geschaffen. Dieses Abkom‐

men wurde mit einem Zusatzprotokoll (ETS 181) aus dem Jahr 2001 ergänzt.

Neben diesen beiden verbindlichen Rechtsinstrumenten bestehen etliche

Empfehlungen, die ebenfalls im Rahmen des Europarates ausgearbeitet

wurden. Diese sind zwar nicht rechtlich verbindlich, dennoch wird immer

wieder auf sie Bezug genommen. Von diesen Empfehlungen seien hier eini‐

ge erwähnt: Die Recommendation CM/Rec(2010)13 on the protection of individu‐

als with regard to automatic processing of personal data in the context of profiling

ist die jüngste Empfehlung. Andere sind etwa die Recommendation

No. R (2002) 9 on the protection of personal data collected and processed for insur‐

ance purposes, die Recommendation No. R (89) 2 on the protection of personal data

used for employment purposes (welche derzeit überarbeitet wird) oder die Re‐


23

commendation No. R (87) 15 regulating the use of personal data in the police sector,

die bis heute im Schengen‐Bereich als wichtig gilt.

1.2 Rechtliche Grundlagen – heutiger Stand im EWR

Vierzehn Jahre nach der Verabschiedung der Datenschutzkonvention des

Europarates wurde die allgemeine Datenschutzrichtlinie 1995/46/EG verab‐

schiedet. Diese wurde in den folgenden Jahren ergänzt durch die Richtlinie

2002/58/EG über den Datenschutz in der elektronischen Kommunikation

und Richtlinie 2009/136, welche die letztgenannte Richtlinie ergänzt, jedoch

bis heute nicht in den EWR übernommen wurde und somit für die

EWR/EFTA‐Staaten nicht massgebend ist.

Diese Richtlinien werden durch den Rahmenbeschluss 2008/977/JHA er‐

gänzt, der weniger weit geht als die Richtlinien und z. B. nur im grenzüber‐

schreitenden Bereich gilt.

Wieso gibt es neben diesen Richtlinien auch den Rahmenbeschluss? Und

worin besteht der Unterschied? Hier ist auf die frühere 3‐Säulen‐Architektur

zu verweisen. Die Richtlinien waren in der sogenannten 1. Säule (Europäi‐

sche Gemeinschaft) anwendbar, in der 3. Säule (Zusammenarbeit der Poli‐

zei‐ und Justizbehörden in Strafsachen) jedoch nicht. Somit gab es hier ein

Vakuum, das mit dem Rahmenbeschluss 2008/977/JI des Rates vom

27. November 2008 über den Schutz personenbezogener Daten in der

3. Säule zumindest teilweise gefüllt wurde.

Bei dieser 3‐Säulen‐Architektur gab es zudem unterschiedliche Zuständig‐

keiten. Während bei der 1. Säule das Europäische Parlament ein Mitsprache‐

recht hatte, war dies bei der 3. Säule nicht der Fall. Hier hatte der Europäi‐

sche Rat das Sagen. Der Sicherheitsbereich ist – gerade nach Terroranschlä‐

gen – immer wieder in den Schlagzeilen. Politiker forderten immer wieder

neue Sicherheitsvorschriften, die zum Teil stark in die Privatsphäre der Bür‐

ger eingreifen. Vor diesem Hintergrund verwundert es nicht, dass der Da‐

tenschutz eher ein Stiefkind war, sodass es bis 2008 keine EU‐weiten Rege‐

lungen gab. Dies änderte sich mit dem genannten Rahmenbeschluss, der


24

jedoch, wie erwähnt, weniger weit geht als die allgemeine Datenschutzricht‐

linie.

Der Vertrag von Lissabon hob diese Säulenarchitektur auf. Gleichzeitig trat

die Europäische Grundrechte‐Charta in Kraft. In Art. 7 wird die Privatsphä‐

re und in Art. 8 der Datenschutz explizit erwähnt. Dies führt in der EU zu

einer klaren Stärkung des Datenschutzes. In diesem Sinne hat der EuGH

schon in verschiedenen Urteilen auf diese beiden Bestimmungen Bezug ge‐

nommen und die jeweiligen Fälle im Sinne des Datenschutzes behandelt

(z. B. Urteil zu Google Spain oder zur Vorratsdatenspeicherung).

1.3 Gesellschaftliche Änderungen

Gesellschaftliche Änderungen wie die Globalisierung, technische Entwick‐

lungen und das Internet oder Social Media sind wichtige Elemente, welche

die bestehenden Rechtsgrundlagen aus den Jahren 1981 und 1995 in Frage

stellen. Dazu kommen auch die wichtige Terrorismusbekämpfung und all‐

gemein Fragen zur Sicherheit.

1.4 Reformvorschlag im Rahmen des Europarates

Die 30. Justizministerkonferenz vom 24. bis 26. November 2010 in Istanbul

fasste den formellen Beschluss zum Reformstart im Rahmen des Europara‐

tes. Beauftragt wurde der Konventionsausschuss der Datenschutzkonven‐

tion (T‐PD). Nach Abschluss der Arbeit wurde ein Ad‐hoc‐Ausschuss

(CAHDATA) einberufen, um die Arbeit fortzuführen. Dieser Ad‐hoc‐

Ausschuss traf sich von Herbst 2013 bis Ende 2014.

1.5 Reformvorschlag im Rahmen des EWR

Die Europäische Kommission schlug am 25. Januar 2012 zwei Instrumente

zur Reform des Datenschutzes vor: eine Datenschutz‐Grundverordnung als

Weiterentwicklung der Richtlinie 1995/46/EG und eine Richtlinie zum

Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung,


25

Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung

sowie zum freien Datenverkehr.

Wieso eine Verordnung und eine Richtlinie? Ziel der Reform ist eine Stär‐

kung des Datenschutzes. Dabei sollte insbesondere auch Rechtssicherheit für

Unternehmen geschaffen werden. Dazu ist eine Verordnung, die direkt an‐

wendbar ist, sicher das geeignete Mittel. Denn im Unterschied zu einer

Richtlinie haben die Mitgliedstaaten bedeutend weniger Ermessensspiel‐

raum für die Umsetzung. Damit kann und soll das Beispiel Google Street

View vermieden werden, bei dem es sehr unterschiedliche nationale Posi‐

tionen gegeben hatte. Dies führte zur Gefahr, dass national unterschiedliche

Positionen von Datenschutzbehörden gegeneinander ausgespielt werden

können, eine Art forum shopping.

1.6 Neue Elemente der revidierten Datenschutzkonvention

Ziel einer revidierten Konvention ist natürlich eine Modernisierung. Damit

verbunden sind eine Erhöhung der Wirksamkeit derselben und ein Ausbau

des Kontrollmechanismus. In dem Sinne soll ein «Monitoring» durch den

neuen Konventionsausschuss eingeführt werden. Die Revisionsarbeiten

orientieren sich an den Arbeiten in «Brüssel». Die Konvention hat zudem

einen globalen Anspruch und sieht vor, dass auch nicht‐europäische Staaten

beitreten können.1

1.7 Neue Elemente der Grundverordnung (Auszug)

Das neue Verfahren in «Brüssel» sieht vor, dass das Europäische Parlament

und der Rat Stellung nehmen können. Diese drei Texte werden danach im

sogenannten Trilog diskutiert. Dabei müssen sich diese drei Kerninstitutio‐

nen der EU auf einen Text einigen, der schlussendlich verabschiedet wird.

1 Weitere Informationen: JEAN‐PHILIPPE WALTER: «Modernisierung des Übereinkommens

zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Da‐

ten (Übereinkommen 108)», Januar 2014.


26

So weit ist man noch nicht. Immerhin sollen hier einige Schwerpunkte

stichwortartig aufgezählt werden:

Weiterhin kein Schutz juristischer Personen

Anwendungsbereich: u. U. auch nicht‐europäische Unternehmen

(Art. 3)

Stärkung der Einwilligung: aktive Handlung (Art. 4), Beweislast bei

Dateninhaber (Art. 7)

Daten eines Kindes (Art. 8)

Besonders schützenswerte Daten (Art. 4 und 9): einschliesslich geneti‐

sche Daten

Vorgängige Information (Art. 11): mehr Betonung auf Allgemeinver‐

ständlichkeit

Recht auf Vergessen (Art. 17)

Portabilität (Art. 18)

Datenschutzbeauftragte (Art. 35)

Zertifizierung (Art. 39)

Verbandsbeschwerderecht (Art. 73)

Delegierte Rechtsakte und Durchführungsrechtsakte (Art. 84)

Die Grundverordnung verfolgt das wichtige Ziel der Schaffung von Rechtssi‐

cherheit für Unternehmen. Dazu sollen Erleichterungen für Dateninhaber ge‐

schaffen werden. Eine dieser Erleichterungen besteht in der Abschaffung der

allgemeinen Meldepflicht von Datensammlungen bei den nationalen Daten‐

schutzbehörden, die weithin als bürokratische Last empfunden wird. Zur

Schaffung von Rechtssicherheit wird ein sogenannter «One‐Stop‐Shop» ein‐

geführt. Danach soll sich ein Unternehmen, das mehrere Sitze in Europa hat,

mit einem Anliegen an die Datenschutzbehörde des Hauptsitzes wenden.

Diese soll das Anliegen prüfen. Dabei ist noch offen, wie die anderen Daten‐

schutzbehörden beigezogen werden sollen. Das Ziel aber ist klar: Ein Daten‐

inhaber soll einen Ansprechpartner haben und ein koordiniertes Verfahren

soll sicherstellen, dass der Dateninhaber eine Antwort erhält, die europaweit


27

Gültigkeit hat. Fälle wie Google Street View, bei dem es sehr unterschiedli‐

che Ansichten von Datenschutzbehörden gab, sollen vermieden werden.

Andererseits erfolgt aber auch ein Ausbau der Pflichten der Dateninhaber. Hier

seien folgende stichwortartig aufgeführt:

Vorkehrungen zur Geltendmachung der Rechte (Art. 12)

Pflichten des Verantwortlichen (Art. 22 Übersicht; Art. 28 Dokumenta‐

tion)

Data Protection by Design, Data Protection by Default (Art. 23)

Datenschutz‐Folgeabschätzung (Data Protection Impact Assessment,

Art. 33)

Meldung bei Sicherheitsverstössen (Data Breach Notification, Art. 31

und 32)

Vorherige Genehmigung und Zurateziehung (Art. 34)

Interner Datenschutzbeauftragter (Art. 35)

Diese Änderungen haben natürlich auch Folgen für die Datenschutzbehörden.

Im Allgemeinen werden ihre Aufgaben zunehmen. Auch hier seien einige

stichwortartig genannt:

Beratung im Fall einer «riskanten» Datenbearbeitung, Genehmi‐

gungspflicht (Art. 34)

Meldung von Sicherheitsverletzungen (Art. 31)

Rolle im Zusammenhang mit Zertifikaten, Verhaltensregeln, BCR,

Standardverträgen (Art. 51)

One‐Stop‐Shop (Art. 51a und b)

Sanktionsmöglichkeiten (Art. 79).

Die heutige Artikel‐29‐Arbeitsgruppe (WP 29) wird durch einen Europäi‐

schen Datenschutzausschuss (EDPB) abgelöst, dessen Aufgaben in Art. 66 ge‐

nannt werden.


28

Wie beim Beispiel des «One‐Stop‐Shops» erwähnt, werden sich die Daten‐

schutzbehörden vermehrt abstimmen müssen. Dazu wird ein so genanntes

Kohärenzverfahren geschaffen. Dabei ist eine Stellungnahme des EDPB vorge‐

sehen, wenn mehrere Mitgliedstaaten betroffen sind (Art. 58). Zudem gibt es

Regelungen über eine Stellungnahme der Kommission (Art. 59 und 60).

Detailbestimmungen zur Grundverordnung sind in delegierten Rechtsakten

und Durchführungsrechtsakten vorgesehen (Art. 62, z. B. über (Nicht‐) An‐

gemessenheit des Datenschutzes in einem Drittland). Allgemein kann, zu‐

mindest im Entwurf der Kommission, eine Stärkung der Kompetenzen der

Europäischen Kommission festgestellt werden.

Ausserdem sieht der Entwurf Bestimmungen für besondere Datenverarbei‐

tungssituationen vor. Dabei geht es um den Arbeitsplatz, die Gesundheit,

statistische Zwecke etc. (Art. 80 ff.). Damit regelt die Grundverordnung auch

Bereiche, die bisher der Spezialgesetzgebung überlassen waren. Es stellt sich

die Frage, wie das Verhältnis zu Spezialgesetzen wie dem Sozialversicherungs‐

oder Telekombereich, dem Geldwäschereigesetz, der Videoüberwachung

etc. aussieht. Diese Frage scheint ungeklärt zu sein. Sind diese Spezialgeset‐

ze aufzuheben, da künftig alles durch die Grundverordnung geregelt wird?

Oder sind sie, nur aber immerhin, anzupassen?

1.8 Was bedeutet die Grundverordnung für …?

Die erwähnten neuen Bestimmungen haben vor allem folgende Auswirkun‐

gen.

Für Behörden und Unternehmen ist das Ziel einerseits weniger Bürokratie. So

wird z. B. die allgemeine Registrierungspflicht abgeschafft. Anderseits wer‐

den aber auch verstärkte Pflichten eingeführt wie z. B. Privacy by Design,

Privacy by Default, Privacy Impact Assessment oder der Nachweis der Ein‐

willigung.

Die Rechte betroffener Personen werden gestärkt. Dies gilt für die Einwilli‐

gung, die Datenportabilität oder das Recht auf Vergessen. Zudem werden

Kinder neu explizit und verstärkt geschützt.


29

Die Datenschutzbehörden erhalten mehr Arbeit und verstärkte Kompetenzen.

So ist z. B. eine Möglichkeit einer Busse bis 2 % des Jahresumsatzes eines

Unternehmens vorgesehen. Ebenso soll es eine verstärkte Zusammenarbeit

im European Data Protection Board (EDPB) geben.

1.9 Beurteilung der Reformen

Wie sind die Reformen allgemein gesehen zu beurteilen?

Für den EWR ist die Reform grundsätzlich positiv zu beurteilen. Sie bewirkt

eine Stärkung und Modernisierung des Datenschutzes. Die damit verbun‐

dene Harmonisierung bewirkt mehr Rechtssicherheit für Unternehmen. Es

erfolgt auch eine Reduzierung von Bürokratie und Kosten (Registrierungs‐

pflicht).

Das Verhältnis zwischen der Grundverordnung und der Richtlinie im Poli‐

zeibereich ist offen. Grundsätzlich ist die Schaffung einer Richtlinie neben

einer Verordnung nicht im Sinn der Harmonisierung. Dies wird aber zu

akzeptieren sein, da hier historische Gründe mitspielen. Dennoch gibt es

hier noch ungeklärte Abgrenzungsfragen.

Eine Koordinierung zwischen «Brüssel» und «Strassburg» ist sinnvoll. Al‐

lerdings gibt es unterschiedliche Interessen. So hat «Brüssel» ein grosses

Interesse daran, dass sich die Datenschutzkonvention nicht zu sehr von der

Grundverordnung unterscheidet. Der Konvention können auch nicht‐

europäische Staaten beitreten. Dieser globale Anspruch ist für den Europarat

leichter zu erfüllen, wenn die Anforderungen nicht zu hoch sind, im Sinne

einer Datenschutzgrundverordnung «light».

Auch nach einer Verabschiedung der Reformtexte wird eine Koordinierung

sehr wichtig sein. Die Zusammenarbeit auf europäischer Ebene war im

Übrigen Gegenstand eines Beschlusses der Europäischen Datenschutzkonfe‐

renz 2014.


30

Teil 2: Auswirkungen auf einen Kleinstaat

2.1 Liechtenstein im EWR

Liechtenstein ist Mitglied im Europäischen Wirtschaftsraum und somit an

Rechtstexte der ehemaligen ersten Säule gebunden.

Dementsprechend hat Liechtenstein die allgemeine Datenschutzrichtlinie

95/46/EG nach Art. 1 des Datenschutzgesetzes (DSG) umgesetzt. Art. 28

Abs. 1 bestimmt: «Es wird eine Datenschutzstelle eingerichtet, die organisa‐

torisch dem Landtag zugeordnet ist.» Diese vertritt das Fürstentum Liech‐

tenstein nach Art. 32 Abs. 1 Bst. f DSG in der Datenschutzgruppe gemäss

Art. 29 der Richtlinie 95/46/EG. Diese Gruppe hat nach Art. 30 der Richtlinie

unter anderem die Aufgabe, «die Kommission bei jeder Vorlage zur Ände‐

rung dieser Richtlinie, zu allen Entwürfen zusätzlicher oder spezifischer

Massnahmen zur Wahrung der Rechte und Freiheiten natürlicher Personen

bei der Verarbeitung personen‐bezogener Daten sowie zu allen anderen

Entwürfen von Gemeinschaftsmassnahmen zu beraten, die sich auf diese

Rechte und Freiheiten auswirken.»

2.2 Texte der WP 29 zur Reform

In dieser Eigenschaft hat sich die Gruppe in folgenden, öffentlichen Papieren

zur Reform als solcher oder zu Teilaspekten geäussert:

Opinion 01/2012 on the data protection reform proposals, vom

23.03.2012 (WP 191)

Opinion 08/2012 providing further input on the data protection reform

discussions, vom 08.10.2012 (WP 199)

Working Document 01/2013 Input on the proposed implementing acts,

vom 22.01.2013 (WP 200)

Opinion 01/2013 providing further input into the discussions on the

draft Police and Criminal Justice Data Protection Directive, vom

26.02.2013 (WP 201)

Statement of the Working Party on current discussions regarding the

data protection reform Package, vom 27.02.2013


31

Advice paper on essential elements of a definition and a provision on

profiling within the EU General Data Protection Regulation, vom

13.05.2013

Working Party Comments to the vote of 21 October 2013 by the Euro‐

pean Parliament’s LIBE Committee, vom 11.12.2013

Letter from the Article 29 Working Party to the Chair of the Council’s

Working Party on Information Exchange and Data Protection (DAPIX)

on the One‐Stop‐Shop mechanism, vom 16.04.2014

Statement on the role of a risk‐based approach in data protection legal

frameworks, vom 30.05.2014 (WP 218)

Statement on the results of the last JHA meeting, vom 17.09.2014

(WP 222)

2.3 Gesamtbeurteilung aus Sicht eines Kleinstaates

Als kleinster EWR‐Staat ist Liechtenstein mehr als andere auf klare Prioritä‐

ten angewiesen. Dies gilt natürlich auch im Rahmen des Datenschutzes, wo

der Fokus in Liechtenstein klar auf der Grundverordnung liegt. Dies, da sie

weiter gehen soll als die neue Konvention. Insbesondere wird es ein neu

gestaltetes Sanktionsregime geben. Zudem werden im Rahmen von «Brüs‐

sel» mehr verbindliche Rechtsinstrumente geschaffen als im Europarat (wo

es auch Empfehlungen an die Mitgliedsstaaten gibt, wie anfangs gezeigt).

Diese verbindlichen Rechtsinstrumente nehmen häufig Bezug auf die beste‐

henden Datenschutzrichtlinien aus Brüssel, die in das innerstaatliche Recht

umzusetzen sind. Zudem trifft sich die Artikel‐29‐Arbeitsgruppe öfter als

der Beratende Ausschuss in Strassburg. Insgesamt sind somit die Rechtsin‐

strumente aus Brüssel «lebendiger» und wichtiger als die aus Strassburg.

Die Harmonisierung des Datenschutzes in Europa wird insgesamt für eine

kleine Datenschutzbehörde sinnvoll sein, da somit die Möglichkeit gegeben

ist, sich mehr auf die Praxis anderer Datenschutzbehörden zu stützen, die

ähnliche Fälle zu beurteilen hatten. Dies gilt vor allem im EWR, wo es keine

grossen Unterschiede insbesondere zu Österreich oder zu Deutschland mehr

geben sollte.


32

Dies hängt jedoch sehr stark von der Frage ab, wie der Aspekt der Spezial‐

gesetzgebungen zu sehen sein wird. Wenn es auch weiterhin eine Spezialge‐

setzgebung geben wird, wäre dies ein Loch im Harmonisierungsteppich von

Brüssel. Im Rat gibt es, wie noch zu zeigen sein wird, Tendenzen, von der

Idee einer Grundverordnung in Richtung einer Richtlinie abzuweichen.

Damit wäre dieser Vorteil für einen Kleinstaat relativiert. Die Grundverord‐

nung wird, wie erwähnt, zu mehr Aufgaben der Datenschutzbehörden füh‐

ren; was auch zu einer Ressourcenfrage werden kann.

2.4 Folgen der Grundverordnung für Liechtenstein

Bei den Folgen der Grundverordnung ist zu unterscheiden zwischen den

Folgen für Liechtenstein als Staat und den Folgen für die Datenschutzstelle,

die am meisten betroffen sein wird. Kurzfristig geht es auch um Folgen für

Liechtenstein als Staat: Verordnungen sind grösstenteils direkt anwendbar.

Damit wird der Gesetzgeber viel weniger gefordert sein als dies bei einer

Richtlinie der Fall wäre. Ausnahmsweise sind weiterhin einzelne Punkte für

den nationalen Gesetzgeber vorgesehen.2

Mittel‐ und langfristig wird die Grundverordnung, natürlich, vor allem Fol‐

gen für die Datenschutzbehörden zeitigen. Dies gilt für die Analyse der

Grundverordnung als solcher und der delegierten und durchführenden

Rechtsakte. Es wird um die Frage gehen, wie die Praxis gestaltet werden

soll. Dazu wird die Information der Öffentlichkeit und insbesondere der

Dateninhaber (Behörden und Unternehmen) eine wichtige Aufgabe darstel‐

len. So werden Wegleitungen etc. zu schaffen sein. Auch die Stärkung der

Aufsichtsbefugnisse der Datenschutzstelle wird Folgen haben. Es ist anzu‐

nehmen, dass Dateninhaber vermehrt den Rat der Datenschutzstelle suchen

werden. Ebenso ist eine Intensivierung der Zusammenarbeit im EDPB zu

erwarten.

2 Beispiel: Art. 49 Errichtung der Aufsichtsbehörde.


33

2.5 Aktueller Stand und Ausblick der künftigen Grundverordnung (EWR)

Doch so weit sind die Arbeiten noch nicht.

Ursprünglich war das Ziel eine Verabschiedung der Grundverordnung bis

Ende 2014. Nach 3133 Änderungsanträgen (!), welche ein historisches

Höchstmass im Europäischen Parlament darstellten, konnte dieses am

12. März 2014 eine Stellungnahme abgeben. Damit war ein wichtiger Schritt

erreicht. Und der Europäische Rat? Trotz des NSA‐Skandals hatte und hat es

der Rat nicht so eilig mit der Reform. Er hinkt mit der Arbeit hinterher. Im‐

mer wieder werden einzelne Teile der Grundverordnung beraten.3 Aber das

sind eben nur Teile. In den Pressemitteilungen des Rates zu diesen Diskus‐

sionen scheint immer wieder der Satz auf: «Nothing is agreed until every‐

thing is agreed.»4 Damit will sich der Rat noch nicht festlegen.

2.6 Aktueller Stand und Ausblick (EWR)

Die Arbeit der Reform in Brüssel zieht sich hin. Wie erwähnt, startet der

Trilog erst, wenn der Rat eine Stellungnahme abgegeben hat, was ja noch

nicht der Fall ist. Es ist derzeit offen, wann dies der Fall sein wird.

Die Arbeiten im Rat – und der entsprechenden Arbeitsgruppe Dapix – kon‐

zentrierten sich bisher auf die Grundverordnung. Doch was ist mit der ge‐

planten Richtlinie im Polizeibereich, die ja in den anderen Teil des von der

Kommission Anfang 2012 vorgestellten Datenschutzpakets gehört? Wird es

hier zwei Geschwindigkeiten geben, so dass die Grundverordnung zuerst

und die Richtlinie erst später verabschiedet werden? Sollte dies der Fall sein,

wird die Diskrepanz zwischen der ehemaligen dritten und der ersten Säule

noch grösser; wobei ja unklar ist, wie die Grundverordnung aussehen wird.

Insgesamt sind im Rat Tendenzen festzustellen, die eher in Richtung einer

3 Presseaussagen:

«Europa kommt mit Datenschutzreform kaum voran», (heise.de vom 04.03.2014)

«EU‐Rat trippelt bei der Datenschutzreform nach vorn», (heise.de vom 6.6.2014)

«EU‐Rat will die Datenschutzreform abschwächen», (heise.de vom 13.10.2014).

4 Siehe zum Beispiel: http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata

/en/jha/146049.pdf.


34

Richtlinie gehen, da Länder wie Deutschland zum Teil bereits einen sehr

hohen Standard aufweisen. Es ist verständlich, wenn solche nationalen Er‐

rungenschaften beibehalten werden sollen. Schliesslich soll die Datenschutz‐

reform einen Fort‐ und keinen Rückschritt darstellen. Anderseits ist auch zu

beachten, dass z. B. Big‐Data‐Fragen im Raum stehen, die bis heute ungelöst

sind. Es ist auch verständlich, dass die Reform solche offenen Fragen beant‐

worten sollte. Die bestehende allgemeine Datenschutzrichtlinie wird 2015

zwanzig Jahre alt. Es wäre sicher im Interesse aller, wenn die laufende Re‐

form einen ähnlich langen Bestand haben könnte.

2.7 Aktueller Stand und Ausblick (Europarat)

Wie erwähnt ist die Arbeit im Europarat mit der Reform in Brüssel verbun‐

den. Nach dem Beratenden Ausschuss der Datenschutzkonvention (T‐PD)

wurde ein Ad‐hoc‐Ausschuss (CAHDATA) gebildet, der sich zwischen

Herbst 2013 und Ende 2014 dreimal traf. Die letzte Sitzung fand vom 1. bis

3. Dezember 2014 statt. Die Arbeit wurde mit einigen Vorbehalten der Euro‐

päischen Kommission verabschiedet.5 Nun wird es am Ministerkomitee des

Europarates liegen, eine Entscheidung über den Text zu treffen. Dort sind

auch die Mitgliedsstaaten der EU vertreten. Deshalb ist kaum damit zu

rechnen, dass die Reform im Rahmen des Europarates schneller verabschie‐

det wird als die des EWR.

2.8 Kommission und Europäischer Rat

Derzeit besteht der Eindruck, dass der Rat die ganze Reform im EWR in die

zur Kommission gegengesetzte Richtung ziehen will. Dies ist in dem Sinne

verständlich, als es ungelöste Fragen wie z. B. das Phänomen von Big Data

gibt.

5 http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/CAHDATA‐

RAP03Abr_En.pdf.

Institut für Rechtswissenschaftund RechtspraxisBodanstrasse 4CH-9000 St. Gallen

Telefon +41 (0)71 224 24 24Telefax +41 (0)71 224 28 83

[email protected]

ISBN 978-3-906049-14-4

Documents

Ueli Kieser/Kurt Pärli /Ursula Uttinger (Hrsg ... · Hier ist auf die frühere 3‐Säulen‐Architektur zu verweisen. Die Richtlinien waren in der sogenannten 1. Säule (Europäi‐