Beschluss des Bundesrates
Entschließung des Bundesrates zum vorgesehenen Bericht der Europäischen Kommission über die Bewertung und Überprüfung gemäß Artikel 97 der Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG
(Datenschutz-Grundverordnung)

Der Bundesrat hat in seiner 983. Sitzung am 29. November 2019 beschlossen, die aus der Anlage ersichtliche Entschließung zu fassen

Anlage
Entschließung des Bundesrates zum vorgesehenen Bericht der Europäischen Kommission über die Bewertung und Überprüfung gemäß Artikel 97 der Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Seit 25. Mai 2018 gilt mit der Datenschutz-Grundverordnung (DSGVO) ein europaweit einheitliches Datenschutzrecht.

Nach Artikel 97 DSGVO hat die Kommission bis 25. Mai 2020 eine erste Bewertung und Überprüfung des Rechtsaktes vorzulegen. Sie berücksichtigt dabei unter anderem Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Quellen (Artikel 97 Absatz 4 DSGVO).

Die Evaluation wird derzeit bereits von der Kommission vorbereitet, wie eine vorläufige Mitteilung vom 24.07.2019 erkennen lässt. Ebenso wird im Rat der Europäischen Union auf Vorschlag des finnischen Vorsitzes eine Stellungnahme der Mitgliedstaaten vorbereitet, die voraussichtlich noch bis Jahresende verabschiedet werden soll.

Der Bundesrat bittet deshalb die Bundesregierung, folgende Anliegen der Länder bei den weiteren Beratungen zu berücksichtigen.

1. Grundsätzliches

2. Offene Fragen und Unsicherheiten in Zusammenhang mit der DSGVO

Der Bundesrat wiederholt seine bereits im Beschluss zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über die Privatsphäre und elektronische Kommunikation), BR-Drucksache 145/17 (PDF) , geäußerte Auffassung, dass die DSGVO einen wichtigen Beitrag zur Schaffung eines einheitlichen Datenschutzniveaus für personenbezogene Daten innerhalb der EU darstellt. Er begrüßt insbesondere den dadurch entstehenden einheitlichen Rechtsrahmen und die damit verbundene Rechtssicherheit.

Der Bundesrat stellt jedoch fest, dass in zahlreichen Bereichen eine einheitliche und wirksame Anwendung des neuen Datenschutzrechts noch nicht in jeder Hinsicht gelungen ist. Die Kommission sollte daher prüfen, ob es weiterer Hilfestellungen bedarf, um die Anwendungspraxis weiter zu vereinheitlichen:

2.1 Einwilligung nach Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a) DSGVO

Der Bundesrat stellt fest, dass es zur Frage der informierten Einwilligung nach wie vor große Unsicherheit gibt, und bittet die Kommission, in ihrem Bericht einen Vergleich der tatsächlichen Anwendung durch die Aufsichtsbehörden vorzunehmen. Dabei sind auch die Anforderungen an die Freiwilligkeit nach Artikel 7 Absatz 4 und Erwägungsgrund 43 DSGVO in den Blick zu nehmen. Insbesondere bestehen erhebliche Zweifel daran, ob die bei großen Internetkonzernen erteilte Einwilligung der Nutzer in die umfassende Verwendung ihrer Daten immer in Übereinstimmung mit der DSGVO erfolgt.

2.2 Transparenz- und Informationspflichten nach Artikel 12 fortfolgende DSGVO

Der Bundesrat stellt fest, dass es bisher keine einheitliche Auslegungspraxis für die Information in präziser, transparenter, verständlicher und leicht zugänglicher Form gibt und dass wichtige Fragen wie die Zulässigkeit von Medienbrüchen außerhalb von Online-Verarbeitungen nach wie vor ungeklärt sind. Er bittet darauf hinzuwirken, dass die Kommission in ihrem Bericht die Gesamtsituation analysiert und mögliche Hilfestellungen aufzeigt. Im Hinblick auf Erwägungsgrund 13, der den Auftrag gibt, bei der Anwendung der DSGVO die besonderen Bedürfnisse von Kleinunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen, sollte diese Analyse auch die Frage einschließen, wie eine alltagstaugliche Anwendungspraxis zum Beispiel für "over the counter" - Geschäfte des täglichen Lebens zum Beispiel auf der Basis eines risikobasierten Ansatzes erreicht werden kann. Ferner bittet der Bundesrat darauf hinzuwirken, dass die Kommission prüft, ob die Informationspflicht bei risikoarmen Verarbeitungsprozessen vereinfacht werden kann und wie Erleichterungen für den B2B-Bereich im Rahmen von Artikel 12 fortfolgende DSGVO geschaffen werden können.

Er bittet ferner, darauf hinzuwirken, dass die Kommission möglichst rasch von ihrer Befugnis nach Artikel 12 Absatz 8 DSGVO

Gebrauch macht, durch delegierten Rechtsakt die Informationen, die durch Bildsymbole darzustellen sind, und die Verfahren für die Bereitstellung standardisierter Bildsymbole zu bestimmen. Die Nutzung von Symbolen bietet aus Sicht des Bundesrates in vielen Bereichen ein hohes Potential an Vereinfachung und letztlich europaweiter Vereinheitlichung.

2.3 Recht auf Kopie nach Artikel 15 Absatz 3 DSGVO

Der Bundesrat stellt fest, dass im Hinblick auf die Erfüllung des Rechts auf Kopie nach Artikel 15 Absatz 3 DSGVO noch große Unsicherheit herrscht etwa zur Frage, ob sich das Recht auch auf zugrundeliegende Dokumente wie etwa Zeugnisse oder Urkunden erstreckt.

2.4 Gemeinsame Verantwortliche gemäß Artikel 26 DSGVO

Der Bundesrat stellt fest, dass Rechtsunsicherheit zur Frage besteht, wann eine gemeinsame Festlegung der Zwecke und der Mittel zur Verarbeitung stattfindet und welcher Beitrag ausreicht, um eine gemeinsame Verantwortung anzunehmen - insbesondere auch bezüglich innovativer Technologien wie "Blockchain". Er bittet die Kommission, in ihrem Bericht einen Vergleich der tatsächlichen Anwendung durch die Aufsichtsbehörden vorzunehmen und zu prüfen, wie eine Präzisierung erreicht werden kann.

2.5 Auftragsverarbeitung nach Artikel 28 DSGVO

Der Bundesrat bittet darauf hinzuwirken, dass die Kommission prüft, wie die mit der Auftragsverarbeitung verbundenen Pflichten dem Risiko der Datenverarbeitung besser angepasst und weniger bürokratisch gestaltet werden können.

2.6 Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO

Der Bundesrat stellt fest, dass die im Bereich der Dokumentationspflichten gemäß Artikel 30 DSGVO angestrebten Erleichterungen für kleine und mittlere Unternehmen in der Datenschutzpraxis regelmäßig nicht wahrgenommen werden können, da alleine schon Datenverarbeitungen zur Personalverwaltung und Lohnabrechnung mit den Ausnahmetatbeständen des Artikels 30 Absatz 5 DSGVO nicht zu vereinbaren sind. Im Hinblick auf Erwägungsgrund 13, der den Auftrag gibt, bei der Anwendung der DSGVO die besonderen Bedürfnisse von kleinen und mittleren Unternehmen zu berücksichtigen, wird die Kommission gebeten, mögliche andere Erleichterungen im Rahmen eines risikobasierten Ansatzes aufzuzeigen.

2.7 Begriff "Risiko" bzw. "hohes Risiko" in Artikel 33 und 34 DSGVO

Der Bundesrat nimmt in der Praxis eine große Unsicherheit im Hinblick auf die Begriffe des "Risikos für die Rechte und Freiheiten natürlicher Personen" bzw. des "hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen" wahr. Der Bundesrat bittet daher zu prüfen, wie im Hinblick auf Meldepflichten und Sanktionsbestimmungen eine europaweit einheitliche Praxisdefinition des Begriffs "Risiko" bzw. "hohes Risiko" erreicht werden kann.

2.8 Verhängung von Geldbußen im Sinne von Artikel 83 DSGVO

Der Bundesrat beobachtet, dass es im Hinblick auf die Verhängung von Geldbußen große Unsicherheit insbesondere bei kleinen und mittleren Unternehmen sowie Vereinen und Ehrenamtlichen gibt, und bittet die Kommission um eine vergleichende Analyse der bisherigen Sanktionspraxis der Aufsichtsbehörden. In die Überprüfung sollte im Lichte von Erwägungsgrund 13 auch einfließen, wie die Aufsichtsbehörden die Größe des verantwortlichen Unternehmens in ihrer Entscheidung berücksichtigen.

2.9 Anwendungsvorrang des Unionsrechts

Der Bundesrat bittet darauf hinzuwirken, dass die Kommission in ihre Evaluation auch den Aspekt des Anwendungsvorrangs des Unionsrechts einbezieht, insbesondere im Hinblick auf 2.9.1 das Verhältnis der Aufgabe des Datenschutzbeauftragten nach Artikel 39 Absatz 1 Buchstabe a DSGVO, den Verantwortlichen zu beraten, zur allgemeinen Rechtsberatung in nationalstaatlichen Regelungen (in Deutschland nach dem Rechtsdienstleistungsgesetz),

2.9.2 das Verhältnis des Regelungsregimes der DSGVO zum Wettbewerbsrecht, also die Frage, ob neben dem Sanktionsregime der DSGVO

Abmahnungen im Sinne des Wettbewerbsrechts zulässig wären, und 2.9.3 das in § 43 Abs. 4 BDSG geregelte Beweisverwertungsverbot, das heißt die Frage, ob die in der DSGVO vorgesehene Möglichkeit, einen Verantwortlichen, der selbst einen Datenschutzverstoß gemäß seiner Verpflichtung aus Artikel 33 folgende DSGVO gemeldet hat, im Anschluss dafür mit einem Bußgeld zu bestrafen, durch nationales Recht abbedungen werden kann.

3. Bewertung neuer Instrumente

Der Bundesrat bedauert, dass einige der neu eingeführten Instrumente der Selbstregulierung bzw. zur einheitlichen Rechtsumsetzung bisher in der Praxis kaum angewandt wurden, und bittet darauf hinzuwirken, dass die Kommission sich dieses Themas annimmt:

3.1. Verhaltensregeln und Zertifizierungen nach Artikel 40 fortfolgende bzw. DSGVO

Der Bundesrat stellt fest, dass das Instrument der Verhaltensregeln, das als erhebliche Ausweitung der freiwilligen Selbstregulierung eine sektorspezifische Anpassung des Datenschutzrechts ermöglichen sollte, und das gänzlich neue Instrument der Zertifizierung in der Praxis bisher so gut wie nicht in Anspruch genommen werden. Die Kommission sollte deshalb die Gründe hierfür in ihrem Bericht analysieren und Vorschläge für Abhilfe machen. Gleiches gilt für Zertifizierungen im Sinne von Artikel 42 folgende DSGVO und dort insbesondere auch für das europäische Datenschutzsiegel im Sinne von Artikel 42 Absatz 5 DSGVO. Dabei sollten die Bedürfnisse von kleinen und mittleren Unternehmen gemäß Artikel 42 Absatz 1 Satz 2 DSGVO besser berücksichtigt werden. Auch sollten Wege gefunden werden, den risikobasierten Ansatz bei der Zertifizierung von datensparsamen Betrieben zum Tragen zu bringen.

3.2. Kohärenzverfahren gemäß Artikel 63 fortfolgende DSGVO

Der Bundesrat bedauert, dass das Kohärenzverfahren, das eines der zentralen Elemente der Neuordnung des EU-Systems zur Sicherstellung des Datenschutzes sein sollte, in der Praxis bisher nicht erkennbar geworden ist. Stattdessen ist im Hinblick auf Betriebssysteme, Soziale Netzwerke und Geodatensysteme nach wie vor ein hohes Maß an Rechtsunsicherheit zu beobachten. Die Kommission ist insoweit gefordert, ihre Möglichkeiten nach Artikel 64 Absatz 2 DSGVO intensiver zu nutzen, um zumindest bei Angelegenheiten von grundsätzlicher Bedeutung Rechtsklarheit herzustellen.

4. Nationale Evaluationsschritte

Der Bundesrat erinnert an seine Stellungnahme zum Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU), BR-Drucksache 430/18(B) HTML PDF vom 19.10.2018 und der darin geäußerten Beobachtung, dass ungeachtet der mit dem Gesetzentwurf bezweckten umfassenden Anpassung des Bundesrechts an die EU-Datenschutzreform in der betrieblichen und behördlichen Praxis noch Unsicherheiten über die Fortgeltung bewährter nationaler Vorschriften zum Schutz der Persönlichkeitsrechte fortbestehen, etwa hinsichtlich des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie und des Telemediengesetzes. Diese Beobachtung gilt nach wie vor.

Der Bundesrat wiederholt deshalb seine Bitte an die Bundesregierung, im Rahmen der erforderlichen Berichte und Bewertungen zu überprüfen, ob bei der Anwendung europäischer und nationaler Datenschutzregelungen Rechtsunsicherheiten in zentralen Praxisfragen wie bei der Veröffentlichung von Abbildungen oder den Anforderungen an Telemediendienste fortbestehen, und ihm über das Ergebnis dieser Prüfung zu berichten.

5. Erfahrungsberichte der Mitgliedstaaten

Der Bundesrat bittet die Bundesregierung, gegenüber der Kommission dafür zu werben, die Aufsichtsbehörden der Mitgliedstaaten unmittelbar um einen Erfahrungsbericht zu bitten, da die Beratungsaufgaben des Europäischen Datenschutzausschusses nach Artikel 70 Absatz 1 Buchstabe b) DSGVO keine abschließenden Beteiligungsrechte begründen und durch den Ausschuss nur ein zusammengefassten Meinungsbild vermittelt werden kann.

6. Beteiligung der Länder

Der Bundesrat bittet die Bundesregierung, die Länder weiterhin über den Fortgang der Verhandlungen im Rat zu unterrichten und die Möglichkeit zu gewährleisten, ihre Anliegen wirksam einzubringen.