Pressemitteilung

Datenschutz: Rat legt allgemeine Ausrichtung fest

© European Union
15 Juni 2015

Am 15. Juni 2015 hat der Rat eine allgemeine Ausrichtung zur allgemeinen Datenschutzverordnung, mit der die Vorschriften an das digitale Zeitalter angepasst werden sollen, festgelegt. Die beiden Ziele dieser Verordnung sind ein höheres Schutzniveau für personenbezogene Daten und die Schaffung von mehr Geschäftsmöglichkeiten im digitalen Binnenmarkt. 

Der lettische Justizminister Dzintars Rasnačs äußerte sich wie folgt: "Heute sind wir einem modernen und einheitlichen Rahmen für den Datenschutz in der Europäischen Union einen großen Schritt näher gekommen. Ich bin sehr zufrieden, dass wir nach über drei Jahren Verhandlungen endlich einen Kompromiss über den Text erzielt haben. Mit der neuen, an die Erfordernisse des digitalen Zeitalters angepassten Datenschutzverordnung werden die individuellen Rechte unserer Bürger gestärkt und ein hohes Schutzniveau gewährleistet." 

Eine allgemeine Ausrichtung ist eine politische Einigung des Rates, auf deren Grundlage dieser in Verhandlungen mit dem Europäischen Parlament eintreten kann, um zu einer Gesamteinigung über die neuen Datenschutzregeln der EU zu gelangen. Ein erster Trilog mit dem Parlament ist für den 24. Juni 2015 angesetzt. 

"Ich begrüße die Bereitschaft des Europäischen Parlaments, bereits nächste Woche mit den Trilog-Verhandlungen zu beginnen. Hoffentlich kommen wir schnell zu einer endgültigen Einigung, damit unsere Bürger so bald wie möglich in den Genuss der Reform kommen", sagte der lettische Außenminister Dzintars Rasnačs. 

Der kommende luxemburgische Vorsitz kündigte an, dass parallel zu den Verhandlungen über die Verordnung die Arbeit an der Richtlinie zum Datenschutz auf dem Gebiet der Strafverfolgung beschleunigt wird, um im Oktober eine allgemeine Ausrichtung festzulegen. 

Der luxemburgische Justizminister Felix Braz: "Diese Reform ist ein Paket, und wir sind fest entschlossen, es bis Ende dieses Jahres abzuschließen."

Wichtigste Aspekte der Einigung

Ein höheres Datenschutzniveau

Personenbezogene Daten dürfen nur unter strengen Bedingungen und für legitime Zwecke erhoben und rechtmäßig verarbeitet werden. Die für die Verarbeitung der Daten Verantwortlichen müssen spezielle Regeln einhalten, etwa dass eine unmissverständliche Einwilligung der betroffenen Person (deren personenbezogene Daten verarbeitet werden) vorliegen muss, damit sie personenbezogene Daten verarbeiten dürfen.

Durch stärkere Datenschutzrechte können betroffene Personen ihre personenbezogenen Daten besser kontrollieren:

  • leichterer Zugriff auf ihre Daten;
  • genauere Informationen darüber, was mit ihren personenbezogenen Daten geschieht, wenn sie sie freigegeben haben: Die für die Verarbeitung Verantwortlichen müssen transparenter darlegen, wie sie mit personenbezogenen Daten umgehen, beispielsweise indem sie in einer klaren und einfachen Sprache über ihre Datenschutzmaßnahmen informieren;
  • Recht auf Löschung personenbezogener Daten und Recht "auf Vergessenwerden", so dass jeder beispielsweise von einem Dienstleister verlangen kann, personenbezogene Daten unverzüglich zu löschen, die erhoben wurden, als die betroffene Person ein Kind war;
  • Recht auf Übertragbarkeit, so dass personenbezogene Daten leichter von einem Dienstleister, etwa einem sozialen Netz, auf einen anderen Dienstleister übertragen werden können. Dadurch wird es auch mehr Wettbewerb unter den Dienstleistern geben;
  • Einschränkung des "Profiling", d. h. der automatisierten Verarbeitung personenbezogener Daten, um persönliche Aspekte zu bewerten, etwa Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben usw.

Um einen verbesserten Zugang zu Rechtsmitteln zu gewährleisten, erhalten betroffene Personen die Möglichkeit, jede Entscheidung ihrer Datenschutzbehörde von ihrem einzelstaatlichen Gericht überprüfen zu lassen, unabhängig davon, in welchem Mitgliedstaat der für die Verarbeitung der Daten Verantwortliche seinen Sitz hat.

Mehr Geschäftsmöglichkeiten im digitalen Binnenmarkt

Mit einem einzigen Regelwerk, das in der gesamten EU sowohl für europäische als auch für nicht europäische Unternehmen, die ihre Online-Dienste in der EU anbieten, gilt, wird verhindert, dass widersprüchliche einzelstaatliche Datenschutzregeln den grenzüberschreitenden Datenaustausch stören. Darüber hinaus wird eine verstärkte Zusammenarbeit der Aufsichtsbehörden der Mitgliedstaaten die einheitliche Anwendung dieses Regelwerks in der gesamten EU sicherstellen. Damit wird ein fairer Wettbewerb geschaffen, und Unternehmen, vor allem kleine und mittlere Unternehmen, werden ermutigt, den größtmöglichen Nutzen aus dem digitalen Binnenmarkt zu ziehen.

Um Kosten zu verringern und Rechtssicherheit zu schaffen, wird in bedeutenden grenzüberschreitenden Fällen, die mehrere einzelstaatliche Aufsichtsbehörden betreffen, eine einheitliche Aufsichtsentscheidung getroffen. Durch dieses Prinzip der zentralen Kontaktstelle kann ein Unternehmen mit Tochtergesellschaften in mehreren Mitgliedstaaten seine Kontakte auf die Datenschutzbehörde in dem Mitgliedstaat, in dem es seinen Sitz hat, begrenzen.

Um die Kosten für die Einhaltung der Vorschriften zu verringern, können die für die Verarbeitung der Daten Verantwortlichen auf Grundlage einer Bewertung des Risikos, das mit ihrer Verarbeitung personenbezogener Daten verbunden ist, Risikostufen festlegen und Maßnahmen im Einklang mit diesen Risikostufen einführen.

Mehr und bessere Instrumente zur Durchsetzung der Einhaltung von Datenschutzvorschriften

Durch eine höhere Verantwortlichkeit und Rechenschaftspflicht der für die Verarbeitung Verantwortlichen werden die neuen Datenschutzvorschriften besser eingehalten werden. Die für die Verarbeitung Verantwortlichen müssen geeignete Sicherheitsmaßnahmen ergreifen und Verletzungen des Schutzes personenbezogener Daten unverzüglich an die Aufsichtsbehörde und an die von der Verletzung erheblich Betroffenen melden. Die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter können in ihrer Organisation Datenschutzbeauftragte benennen. Sie können auch durch Unions- oder einzelstaatliches Recht dazu verpflichtet werden.

Von der Verarbeitung Betroffene sowie unter bestimmten Umständen Datenschutzorganisationen können bei einer Aufsichtsbehörde eine Beschwerde oder bei Gericht einen Rechtsbehelf einlegen, wenn Datenschutzvorschriften missachtet worden sind. Außerdem können für die Verarbeitung von Daten Verantwortliche mit Geldstrafen von bis zu 1 Million Euro oder 2 % ihres gesamten Jahresumsatzes belegt werden, wenn ein solcher Fall bestätigt wird.

Garantien bezüglich der Übermittlung personenbezogener Daten außerhalb der EU

Der Schutz bei der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen wird durch einen Angemessenheitsbeschluss gewährleistet. Die Kommission hat – unter Einbeziehung der Mitgliedstaaten und des Europäischen Parlaments – die Befugnis, festzustellen, dass ein Drittland oder eine internationale Organisation einen angemessenen Datenschutz bietet. Wenn kein solcher Beschluss gefasst wurde, darf eine Übermittlung personenbezogener Daten nur bei Vorliegen geeigneter Garantien (Standarddatenschutzklauseln, verbindliche unternehmensinterne Vorschriften, Vertragsklauseln) erfolgen.

Contact
Jānis Bērziņš
Pressesprecher