Kommenden Montag (21. Oktober 2013, ab 18h30) stimmt der Innenausschuss des Europäischen Parlamentes über das Datenschutzpaket ab (Webstream zur Abstimmung). Die Verordnung soll die geltende Datenschutz-Richtlinie aus dem Jahr 1995 ersetzen und die derzeit 28 verschiedenen nationalen Bestimmungen in Europa vereinheitlichen. Das Datenschutzpaket – bestehend aus einer Verordnung und Richtlinie – war über ein Jahr lang Gegenstand intensiver Verhandlungen im Europaparlament. In vielen Bereichen schlägt der im federführenden Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres, welcher am Montag seine Position beschließen wird, Verbesserungen zum Entwurf der Kommission vor. Hier fassen wir die Ergebnisse der Kompromisse zusammen, in welchen sich auch die Abänderungsanträge und Forderungen von Josef Weidenholzer widerspiegeln:
Hier sind alle Kompromisse gesammelt zum Download:
EUDATAP_allcompromises (1-91)
Was die EU Datenschutz-Verordnung an Verbesserungen bringt:
– Klare Definitionen von personenbezogenen Daten (Artikel 4)
– Datenschutz-Grundsätze bei Datenverarbeitung (Artikel 5)
– Datenverarbeitung nur bei expliziter Zustimmung (Artikel 6)
– Eingrenzung des legitimen Interesses (Artikel 6)
– Voraussetzungen für Zustimmung/ Einwilligung (Artikel 7)
– Verarbeitung von Daten von Kindern nur bei Einwilligung der Eltern (Artikel 8)
– Besondere Schutzvorkehrungen bei der Verarbeitung von sensible Daten (Artikel 9)
– Garantie auf allgemeine Datenschutzrechte des Individuums
– Standardisierte Informationen zu den Datenschutzbestimmungen sind anzugeben (13a)
– Recht auf Datenportabilität (Artikel 15)
– Recht auf Löschung wird gestärkt (Artikel 17)
– Datenschutzfreundliche Voreinstellungen /Privacy by design, technic und default (Artikel 23)
– Benennung und Aufgaben des Datenschutzbeauftragten (Artikel 35-37)
– Austausch mit Drittstaaten nur unter strengen Auflagen (Artikel 40-45)
– Unabhängige Aufsichtsbehörde in den mitgliedsstaaten (Artikel 46)
– Eu weiter Datenschutz Ausschuss (Artikel 64)
– Eine zentrale Datenschutzbehörde als Anlaufstelle (Artikel 74)
– Höhere Strafen bei Datenschutzverletzungen für Unternehmen (Artikel 79)
– Minimumstandards für Datenschutz im Beschäftigungskontext (Artikel 82)
Artikel 4: Breite Definition von personenbezogenen Daten: Alle Daten sind schützenswert
Positiv ist, die Definition von personenbezogenen Daten und eine Definition von pseudonymisierten Daten in die Verordnung eingeführt wurden. Positiv ist auch, dass pseudonymisierten Daten als personenbezogene Daten gelten, da auch sie Rückschlüsse auf die Person ermöglichen (vgl. im österreichischen DSG Definition von direkt und indirekt bezogenen Daten). Auch wurde eine Definition von „Profiling“ eingeführt, womit auch ein wesentliches Schlupfloch geschlossen wurde. Auch die Definition der „Einwilligung“ ist gut, da sie eine eindeutige affirmative Handlung – also eine explizite – Zustimmung beinhaltet. Der Zweck der Datenverarbeitung muss klar ersichtlich sein.
Artikel 5: Grundsätze bei der Datenverarbeitung sind klar festgehalten
Auch der Kompromiss zu Artikel 5 verbessert den Kommissionsentwurf. Jede Datenverarbeitung muss nach dem Grundsatz der Transparenz, Zweckbindung und Datenminimierung erfolgen. Es dürfen nur soviel Daten wie nötig gesammelt werden. In dem Kompromiss heißt es weiters, dass die Daten so verarbeitet werden müssen, dass die betroffene Person ihre Rechte ausüben kann wie sie in dem – vom EP neu hinzugefügten Artikel 10a (neu) als „Allgemeinen Rechte der Person bei der Datenverarbeitung“ garantiert werden – wie etwa das Recht auf Löschung, Berichtigung, klare und transparente Informationen über die Datenverarbeitung zu erhalten und das Recht, Profiling zu widersprechen.
Artikel 6: Rechtmäßigkeit der Verarbeitung& Legitimes Interesse
Die Verarbeitung von personenbezogenen Daten ist grundsätzlich nur dann erlaubt, wenn die Person ihr explizites Einverständnis dazu gegeben hat. Die betroffene Person muss wissen für was sie die Einwilligung ergibt (Forderung Weidenholzer AM 853) und der Zweck der Datenverarbeitung muss klar ausgewiesen werden.
Auch der Absatz zum berechtigten Interesse (auf englisch: „legitimate interest“) wurde von Parlamentsseite verbessert: Da der Begriff „legitime interest“ von Natur aus sehr wage ist, haben wir versucht, den Zweck zu begrenzen und das legitime Interesse genauer zu definieren (damit es zum Beispiel nicht möglich ist, dass z.b. Bonitätsprüfung oder zum Zwecke von Direkt Marketing als berechtigtes Interesse ausgewiesen werden können, siehe folgenden Artikel von Februar 2013), so hat die EPP Fraktion versucht das legitime Interesse noch auszuweiten. Das Ergebnis der Verhandlungen ist die Begrenzung des „legitimate interest“ um die „reasonable expectations of the data subject“ , eine Formulierung, die besser als jene im ursprünglichen Entwurf ist. Hier geht das österreichische Datenschutzgesetz etwas weiter da sie die Abwägung umdreht: „processing is necessary for the purpose of an overriding legitimate interest pusued by the controller or a third party and is carried out by the reasonable expectations of the data subject based on his or her relationship with the controller “ (siehe auch § 8 Abs. 1 Z 4 DSG 2000). Dass die berechtigten Interessen an den Interessen der Grundrechte der Person zu messen ist stellt eine erhebliche Verbesserung zum Kommissionsentwurf dar.
Kompromiss 6: (f) processing is necessary for the purposes of the legitimate interests pursued by the a controller or in case of disclosure, by the third party to whom the data is disclosed, and which meet the reasonable expectations of the data subject based on his or her relationship with the controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. This shall not apply to processing carried out by public authorities in the performance of their tasks.
Artikel 7: Recht, Einwilligung wieder zurückzuziehen
Gut ist hier die Beifügung, dass die Einwilligung genauso leicht zurückgezogen werden kann wie sie erteilt werden konnte: „It shall be as easy to withdraw consent as to give it. The data subject shall be informed by the controller if withdrawal of consent may result in the termination of the services provided or of the relationship with the controller“. Auch die Forderung von Josef Weidenholzer (AM1003) wonach die Nutzung eines Dienstes nicht von der Einwilligung abhängen darf, wurde mitaufgenommen: „Consent for the processing of additional personal data that are not necessary for the provision of a service should not be a required for using the service“.
Artikel 8: Verarbeitung von Personen bezogenen Daten von Kindern nur bei Einwilligung der Eltern bis im Alter von 13.
Artikel 9: Keine Verarbeitung von sensiblen Daten
Artikel 9 untersagt die Verarbeitung von besonders sensiblen Daten (wie sexuelle orientierung, genetische und biometrische Daten, ..). Die SozialdemokratInnen konnten erreichen, dass auch der Gewerkschaftsengagement miteingebaut wurde: „The processing of personal data, revealing race or ethnic origin, political opinions, religion or philosophical beliefs, sexual orientation or gender identity, trade-union membership and activities, and the processing of genetic or biometric data or data concerning health or sex life, or administrative sanctions, judgments, criminal or suspected offences, convictions, or related security measures shall be prohibited.“
Artikel 11 und Artikel 13a: Transparente und klar standardisierte Datenschutzinformationen
Hier wird festgelegt, dass der Datenverarbeitende Unternehmen transparente Datenschutzbestimmungen erfüllen muss und diese leicht verständliche kommunizieren müssen – gekoppelt mit Artikel 13a der die standardisierte Informationen vorsieht, eine sehr sinnvolle Verbesserung zum Kommissionsentwurf. Standardisierte Information sind als Ergänzung zur konkreten Information an den Betroffenen gut, allerdings dürfte es die Fälle bei 13a) im Abs. 1a) und b) und c gar nicht geben, weil eine solche Vorgangweise nach dem Grundsatz der Datenminimierung /Artikel 5) unrechtmäßig wäre.
Artikel 12: Verfahren zur Rechteausübung sind zu schaffen
Artikel 12 „Verfahren, damit die Person ihre Rechte ausüben kann“ umfasst die Informationspflicht die Datenverarbeiter gegenüber der betroffenen Person haben. Hinzugefügt werden konnte hier, dass der Person wenn möglich auch ein direkter Zugriff auf seine/ihre Daten eingeräumt werden soll.
Artikel 14,15 und Artikel 16: Benachrichtigungspflicht, Recht auf Berichtigung und Kopie
Benachrichtigungspflicht bei Löschung und Berichtigung (auch zu jenen an denen die Daten weitergegeben wurde) und Stärkung der der Informationspflicht und des Auskunftsrecht (Artikel 14). Artikel 15 umfasst das Recht, eine Kopie der Personen bezogenen Daten zu erhalten sowie die Datenportabilität, worin es heißt: Daten sind in einem portablen Format abzuspeichern. Artikel 16 ist das Recht auf Berichtigung und Ergänzung sowie eine Stellungnahme dazu zu erhalten. Das Recht auf Datenportabilität wie im ursprünglichen Kommissionsentwurf in Artikel 18 enthalten, konnte bedauerlicherweise nicht beibehalten werden.
Artikel 17: Recht auf Löschung (vorher Vergessenwerden)
Jede Person hat das Recht, von dem für die Verarbeitung Verantwortlichen die Löschung seiner personenbezogenen Daten z(und von dritten den Bezug in Form von Links oder Kopien zu verlangen (die einer weitere Verbreitung dieser Daten ermöglichen) zu verlangen.
Artikel 19: Widerspruchsrecht gegen Datenverarbeitung
Jede Person erhält das Recht jederzeit Widerspruch gegen die Verarbeitung seiner/ihrer Daten einzulegen
Artikel 20: Profiling wird eingegrenzt
Profiling (jede Form automatisierter Verarbeitung personenbezogener Daten die dem Zwecke dienen Aspekte zu bewerten und zu analysieren) – basierend auf besonders sensiblen Daten ist verboten. Jede Person hat das Recht Profiling zu widersprechen und die Einwilligung zurückzuziehen.
Artikel 23: Datenschutz durch Design und Datenschutzfreundliche Voreinstellungen
Datenschutz soll schon in die Technologie eingebaut werden (auch die Hersteller sollten verpflichtet werden diesen Grundsatz zu beachten, Forderung Weidenholzer AM 1731 konnte durchgesetzt werden).
Artikel 31: Meldung von Datenschutzverletzungen an die Aufsichtsbehörden
Unternehmen werden verpflichtet Datenschutzverletzungen den Aufsichtsbehörden und der Öffentlichkeit zu melden.
?Artikel 32: Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes ihrer personenbezogenen Daten
Eingeführt wurde auch eine Risikoabschätzung wenn die Datenverarbeitung spezifisches Risiko in sich birgt (wie zum Beispiel bei großen datenansammlungen, Verarbeitung von sensiblen Daten nach Artikel 9, ..)
Artikel 33: Verpflichtung zur Datenschutz-Folgeabschätzung
(sowie LIFECYCLE DATA PROTECTION MANAGEMENT) und bei der Verarbeitung von Daten sind Sicherheitsgarantien zu gewährleisten – mit 33a wurde auch eine Datenschutz Kompatibilitätsprüfung mitaufgenommen.
Artikel 35-37: Benennung und Aufgaben des Datenschutzbeauftragten
Zuvor in der Verordnung gab es eine Verpflichtung zu einen Datenschutzbeauftragten bei 250 Mitarbeitern jetzt heißt es wenn die Datenerhebung und Verarbeitung mehr als 5000 betroffene Personen pro Jahr umfasst und auch wenn die Kernaktivität Datenverarbeitung umfasst.
Austausch mit Drittstaaten nur unter strengen Regeln (Artikel 40-45)
Artikel 40 – Generelle Grundsätze bei Daten-Transfer und Wiederaufnahme des früheren Artikel 42 als Artikel 43a, dass es Unternehmen untersagt, Daten an Behörden aus Drittstaaten weiterzugeben ohne dass diese Übermittlung von der Datenschutzbehörde überprüft wurde. Die Kommission hat sicherzustellen dass EU-Recht Vorrang einzuberäumen ist. Artikel 45 verlangt internationale Kooperationen zum Datenschutz, in Artikel 45 a wird die Kommission aufgefordert dem Parlament und Rat und der Öffentlichkeit regelmässig einen Bericht über die Einhaltung zu Artikel 40-45 vorlegen.
Stärkung der Datenschutzbehörden durch einheitliche Bestimmungen zu Unabhängige Aufsichtsbehörde in den Mitgliedsstaaten (Artikel 46) und Einrichtung eines europäischer Datenschutz Ausschuss (Artikel 64).
Artikel 74: Eine zentrale Datenschutzbehörde: „One Stop Shop“
Die Verarbeitung von personenbezogen Daten durch ein Unternehmen, das in mehreren EU-Ländern ansässig ist, soll in Zukunft nur noch von einer „federführenden Datenschutzbehörde“ überwacht werden, derzeit sind – aufgrund der vielen unterschiedlichen einzelstaatlichen Regelungen viele unterschiedliche Behörden zuständig. Die federführende Behörde eines Unternehmens ist im Allgemeinen die Datenschutzbehörde des Landes, in dem die Hauptniederlassung des Unternehmens liegt. Die Hauptniederlassung wird nach Kriterien, wie zum Beispiel, wo sich die zentrale Verwaltung eines Unternehmens befindet, wo Management-Entscheidungen getroffen werden, etc… bestimmt. Die federführende Behörde eines Bürger/In ist die des jeweiligen Wohnsitzes. Für BürgerInnen bedeutet das, dass sie ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten können. In der Verordnung heißt es: „Eine betroffene Person, die von einer Entscheidung einer Aufsichtsbehörde betroffen ist, die ihren Sitz in einem anderen Mitgliedstaat hat als dem, in dem die betroffene Person ihren gewöhnlichen Aufenthalt hat, kann die Aufsichtsbehörde in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts ersuchen, in ihrem Namen gegen die zuständige Aufsichtsbehörde in dem anderen Mitgliedstaat Klage zu erheben.“
Artikel 79: Sanktionen bei Verstöße gegen die Verordnung:
Im ursprünglichen Kommissionsentwurf waren drei Kategorien von Strafen vorgesehen (0,5 Prozent/1 Prozent/2 Prozent des Jahresumsatzes und 1 000 000 euro Geldstrafe), das EU Parlament hat die verwaltungsrechtlichen Sanktionen (die von den Datenschutzbehörden festgelegt werden können) mit fünf Prozent und 100 000 000 EUR mehr als verdoppelt. Die von Josef Weidenholzer eingebrachte Forderung, den Beisatz – was näher ist – hinzuzufügen konnte durchgesetzt werden.
„To anyone who does not comply with the obligations laid down in this Regulation, the supervisory authority shall impose at least one of the following sanctions:
a) a warning in writing in cases of first and non-intentional non-compliance;
b) regular periodic data protection audits;
c) a fine up to 100 000 000 EUR or up to 5% of the annual worldwide turnover in case of an enterprise, whichever is greater.
Beispiel „Lidl“: Der Lebensmittelkonzern Lidl musste im Jahr 2008 wegen der Bespitzelung von MitarbeiterInnen „nur“ 1,5 Millionen Euro Strafe zahlen. Lidl hat einen Jahresumsatz von 30,85 Milliarden Euro. Bei Anwendung des Verordnungsvorschlags müsste das Unternehmen nun 617 Millionen Euro zahlen.
Artikel 82: Datenschutz im Beschäftigungskontext
Artikel 82 legt die Minimumstandards für die Datenverarbeitung im Beschäftigungskontext fest: Die Verarbeitung von Daten von Mitarbeiterdaten ohne dem Wissen der MitarbeiterInnen und Einwilligung ist nicht gestattet. Die heimliche Überwachung von MitarbeiterInnen ist verboten.