Am 15. Dezember 2015 hat der luxemburgische EU-Ratsvorsitz im Trilog mit dem Europäischen Parlament eine informelle Einigung über das Maßnahmenpaket „Datenschutz“ erzielt, das die neuen EU-Vorschriften in Bezug auf die Privatsphäre im digitalen Zeitalter festlegen wird.
Die vom luxemburgischen Ratsvorsitz erzielte Übereinkunft wird auf Ebene des Rates der EU von den 28 Mitgliedstaaten bekräftigt werden müssen, was auf einer Tagung des Ausschusses der Ständigen Vertreter (AStV) vor dem 21. Dezember 2015 geschehen wird.
Das Maßnahmenpaket „Datenschutz“, über das seit der Unterbreitung der Vorschläge durch die Europäische Kommission im Januar 2012 verhandelt wird, besteht zum einen aus einer Verordnung, aus der die allgemeine Regelung zum Schutz personenbezogener Daten hervorgeht, und zum anderen aus einer Richtlinie, die bei personenbezogenen Daten, die zu Zwecken der Strafverfolgung verarbeitet werden, Anwendung findet.
Nach der Annahme der allgemeinen Ausrichtung der Verordnung im Rat „Justiz und Inneres“ vom Juni 2015 und der Annahme der allgemeinen Ausrichtung der Richtlinie im Rat „Justiz und Inneres“ vom Oktober 2015 befanden sich die Mitgesetzgeber – das Europäische Parlament und der Rat der Europäischen Union unter luxemburgischem Ratsvorsitz – in intensiven Verhandlungen, um vor Ende des Jahres 2015 zu einer Übereinkunft zu gelangen.
Félix Braz, der luxemburgische Justizminister und Vorsitzende des Rates, erklärte: „Es geht um eine grundlegende Übereinkunft mit weitreichenden Folgen. Diese Reform stärkt nicht nur die Rechte der Bürger, sondern passt auch die Vorschriften an das digitale Zeitalter für unsere Unternehmen an, und reduziert dabei gleichzeitig den Verwaltungsaufwand. Es handelt sich um ehrgeizige und zukunftsweisende Texte. Wir können Vertrauen in dieses Resultat haben.“
Die Verordnung: Neue, an das digitale Zeitalter angepasste Vorschriften
Die im Trilog seit Juni 2015 durchgeführten Arbeiten zur Verordnung haben die Ausarbeitung eines ausgewogenen Textes ermöglicht. Während Privatpersonen von einer verstärkten Kontrolle ihrer Daten profitieren werden, finden Unternehmen ihre Bedürfnisse in Sachen Datenverarbeitung berücksichtigt, um jegliche Hindernisse für die wirtschaftliche Entwicklung im digitalen Zeitalter zu vermeiden. Xavier Bettel, der luxemburgische Premierminister sowie Minister für Kommunikation und Medien, erklärte: „Das Recht auf den Schutz personenbezogener Daten und die Bedürfnisse der datenbasierten digitalen Wirtschaft schließen einander nicht aus. Mit dieser Reform ist uns die Quadratur des Kreises gelungen.“
Zu den neuen Elementen der Einigung über die Verordnung zählen:
- Eine Stärkung der Rechte der Bürger: Hierzu zählt beispielsweise die Möglichkeit, zielgerichtete Online-Werbung anzufechten, oder die Möglichkeit, seine personenbezogenen Daten von einem Online-Dienst auf einen anderen (zum Beispiel soziale Netzwerke) zu übertragen.
- Eine Reduzierung des Verwaltungsaufwands für Unternehmen: Es werden beispielsweise die Vorausmeldungen an die Kontrollbehörden abgeschafft und die Verpflichtungen der Unternehmen entsprechend den potenziellen Bedrohungen für die Privatsphäre, die von den Tätigkeiten des betreffenden Unternehmens ausgehen können, geändert.
- Eine engere Zusammenarbeit zwischen den nationalen Behörden der 28 Mitgliedstaaten zur Anwendung einheitlicher Vorschriften: In mehreren europäischen Märkten tätige Unternehmen müssen sich beispielsweise nicht mehr mehreren, möglicherweise widersprüchlichen Entscheidungen stellen.
- Innerhalb der Europäischen Union harmonisierte und auf alle im EU-Gebiet tätigen Akteure anwendbare Vorschriften: Für alle europäischen Bürger wird das gleiche Schutzniveau gelten, auch wenn ihre Daten von Unternehmen mit Sitz außerhalb der EU verarbeitet werden.
Es ist eine Anwendungsfrist der Verordnung von zwei Jahren ab ihrem Inkrafttreten vorgesehen.
Die Richtlinie: Verstärkter Austausch von Daten zwischen Polizei- und Justizbehörden
Der luxemburgische Ratsvorsitz kann sich darauf berufen, in Bezug auf die Richtlinie zwei Herausforderungen gemeistert zu haben: Der Abschluss des Dossiers auf Trilog-Ebene nach der allgemeinen Ausrichtung im Rat „Justiz und Inneres“ von Oktober zeigt, wie wichtig dem Ratsvorsitz die Arbeit an diesem Dossier war.
Die Richtlinie soll ein hohes Schutzniveau für personenbezogene Daten gewährleisten und den Austausch dieser Daten zwischen den Strafverfolgungsbehörden innerhalb der Europäischen Union erleichtern.
Zu den neuen Elementen der Einigung über die Richtlinie zählen:
- Die Richtlinie findet sowohl bei der grenzübergreifenden Verarbeitung personenbezogener Daten, als auch bei der Verarbeitung dieser Art von Daten durch Polizei- und Justizbehörden auf rein nationaler Ebene Anwendung. Polizei- und Justizbehörden müssen somit nicht mehr verschiedene Vorschriften, je nach Herkunft der personenbezogenen Daten, anwenden.
- Unter bestimmten Voraussetzungen kann eine Übertragung von personenbezogenen Daten durch die zuständigen Behörden an private Einrichtungen erfolgen. Hierbei handelt es sich um einen Rechtsrahmen, der Polizeibehörden eine schnelle Reaktion im Falle von Terrorereignissen oder Notfällen ermöglicht.
- Die Richtlinie ermöglicht Polizeibehörden, die Informationen zu Daten in ihrem Besitz bzw. den Zugriff auf verarbeitete Daten zu begrenzen, und dabei gleichzeitig die Rechte des Einzelnen zu wahren. Die Struktur versetzt Polizeibehörden in die Lage, die Frage, ob sie über personenbezogene Daten verfügen, weder zu bestätigen noch zu verneinen, um laufende Ermittlungen nicht zu gefährden.