Der Bundesrat hat in seiner 983. Sitzung am 29. November 2019 beschlossen, die aus der Anlage ersichtliche Entschließung zu fassen
Anlage
Entschließung des Bundesrates zum vorgesehenen Bericht der Europäischen Kommission über die Bewertung und Überprüfung gemäß Artikel 97 der Verordnung (EU) Nr. 2016/679
des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Seit 25. Mai 2018 gilt mit der Datenschutz-Grundverordnung (DSGVO) ein europaweit einheitliches Datenschutzrecht.
Nach Artikel 97 DSGVO hat die Kommission bis 25. Mai 2020 eine erste Bewertung und Überprüfung des Rechtsaktes vorzulegen. Sie berücksichtigt dabei unter anderem Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Quellen (Artikel 97 Absatz 4 DSGVO).
Die Evaluation wird derzeit bereits von der Kommission vorbereitet, wie eine vorläufige Mitteilung vom 24.07.2019 erkennen lässt. Ebenso wird im Rat der Europäischen Union auf Vorschlag des finnischen Vorsitzes eine Stellungnahme der Mitgliedstaaten vorbereitet, die voraussichtlich noch bis Jahresende verabschiedet werden soll.
Der Bundesrat bittet deshalb die Bundesregierung, folgende Anliegen der Länder bei den weiteren Beratungen zu berücksichtigen.
1. Grundsätzliches
- 1.1 Der Bundesrat begrüßt die Absicht des Rates, im Zuge der Bewertung und Überprüfung der Datenschutz-Grundverordnung (DSGVO) gemäß deren Artikel 97 Absatz 4 eine Stellungnahme abzugeben und damit die Erfahrungen der Mitgliedstaaten frühzeitig in den Prozess einzubringen.
- 1.2 Der Bundesrat spricht sich nachdrücklich dafür aus, diese Evaluation auf weitere Fragestellungen als nur die in Artikel 97 Absatz 2 der DSGVO genannten Kapitel V und VII der DSGVO zu erstrecken.
- 1.3 Der Bundesrat ist der Auffassung, dass die weitere Bewährung der DSGVO als Instrument zum Schutz personenbezogener Daten und des freien Datenverkehrs auch davon abhängt, dass die Kommission die Aufforderung in Artikel 97 Absatz 5 DSGVO ernst nimmt und kontinuierlich die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft berücksichtigt und den Zielsetzungen der DSGVO gegenüberstellt. Insbesondere seien hier die zunehmende Datenkonzentration bei einzelnen Anbietern und Plattformen, die zunehmende Verbreitung von "Scoring und Profiling", die Chancen und Risiken künstlicher Intelligenz sowie "Blockchain"-Anwendungen genannt, deren Auswirkungen auf den Schutz personenbezogener Daten schon bei einer ersten Evaluation berücksichtigt werden sollten.
- 1.4 Der Bundesrat unterstreicht, dass die Erfahrungen angesichts der Kürze der Zeit noch nicht abschließend bewertet werden können und eine Evaluation zum aktuellen Zeitpunkt nur eine Momentaufnahme darstellen kann. Die Anwendung der DSGVO hat allerdings in der Praxis bereits jetzt zahlreiche Fragen sowohl im öffentlichen als auch im privaten Bereich - und hier insbesondere bei kleinen und mittleren Unternehmen (KMU) sowie Vereinen und ehrenamtlich Tätigen - aufgeworfen, die im Interesse von Effektivität und Verhältnismäßigkeit frühzeitig analysiert und bewertet werden sollten. Dabei ist in konsequenter Weise ein risikobasierter Ansatz zu verfolgen (vergleiche dazu näher unter Ziffer 2).
- 1.5 Der Bundesrat bedauert, dass insbesondere die mit Chancen und Innovationspotentialen für Verantwortliche und Betroffene gleichermaßen verbundenen Neuerungen der DSGVO in der Datenschutzpraxis bislang noch unzureichend wahrgenommen werden konnten. Dies gilt für die neu eingeführten Instrumente der Selbstregulierung im Rahmen von Verhaltensregeln und Zertifizierung (Artikel 40 fortfolgende DSGVO) einschließlich ihrer Legitimation von Datenübermittlungen in Drittstaaten ebenso wie für das Kooperations- und Kohärenzverfahren (Artikel 63 fortfolgende DSGVO) der Datenschutzaufsichtsbehörden. Er bittet die Kommission, in ihrem Bericht die Wirksamkeit dieser neuen Instrumente zu bewerten, die Gründe für die Zurückhaltung zu analysieren und aufzuzeigen, wie Anreize und Fördermöglichkeiten geschaffen werden können, um die umfassende Wirksamkeit der DSGVO zu erreichen (vergleiche dazu näher unter Ziffer 3).
- 1.6 Der Bundesrat erinnert an seine Stellungnahme (BR-Drucksache 145/17(B) ) zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation - ePrivacyVO) und bittet weiterhin, das Verhältnis des vorgelegten Verordnungsvorschlags zu den Vorschriften der DSGVO rechtssicher und praxisgerecht auszugestalten, um einen kohärenten und praxistauglichen Rechtsrahmen für den Schutz personenbezogener Daten und der Vertraulichkeit elektronischer Kommunikationsbeziehungen zu erreichen.
- 1.7 Der Bundesrat unterstreicht die Bedeutung der in der DSGVO klar beschriebenen Regelungsspielräume für ergänzende nationale Datenschutzbestimmungen, die sowohl im bereichsspezifischen Datenschutzrecht als auch in den allgemeinen Datenschutzgesetzen des Bundes und der Länder genutzt werden. Der Bundesrat bittet die Bundesregierung, Bewertungen nachdrücklich entgegenzutreten, die eine weitere Einengung oder inhaltliche Begrenzung dieser Spielräume nahelegen und damit die Anstrengungen zur Bewahrung des nationalen Datenschutzniveaus in Frage stellen würden. Unabhängig davon begrüßt der Bundesrat die vom Rat der Europäischen Union eröffnete Diskussion über Kollisionsregelungen zur Klärung der personalen und territorialen Reichweite solcher nationalen Datenschutzbestimmungen, etwa bei der Festlegung von Mindestaltersgrenzen gemäß Artikel 8 DSGVO.
- 1.8 Der Bundesrat bittet, bei der Bewertung der DSGVO und Überprüfung weiterer unionsrechtlicher Schritte zur Verbesserung des Schutzes personenbezogener Daten zu prüfen, wie die praktische Verwirklichung der Grundprinzipien datenschutzfreundlicher Voreinstellungen und Technikgestaltung sowie der Datensicherheit durch eine zusätzliche Einbeziehung von Herstellern von IT-Produkten und -programmen verbessert werden kann.
2. Offene Fragen und Unsicherheiten in Zusammenhang mit der DSGVO
Der Bundesrat wiederholt seine bereits im Beschluss zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über die Privatsphäre und elektronische Kommunikation), BR-Drucksache 145/17 (PDF) , geäußerte Auffassung, dass die DSGVO einen wichtigen Beitrag zur Schaffung eines einheitlichen Datenschutzniveaus für personenbezogene Daten innerhalb der EU darstellt. Er begrüßt insbesondere den dadurch entstehenden einheitlichen Rechtsrahmen und die damit verbundene Rechtssicherheit.
Der Bundesrat stellt jedoch fest, dass in zahlreichen Bereichen eine einheitliche und wirksame Anwendung des neuen Datenschutzrechts noch nicht in jeder Hinsicht gelungen ist. Die Kommission sollte daher prüfen, ob es weiterer Hilfestellungen bedarf, um die Anwendungspraxis weiter zu vereinheitlichen:
2.1 Einwilligung nach Artikel 6 Absatz 1 Unterabsatz 1 Buchstabe a) DSGVO
Der Bundesrat stellt fest, dass es zur Frage der informierten Einwilligung nach wie vor große Unsicherheit gibt, und bittet die Kommission, in ihrem Bericht einen Vergleich der tatsächlichen Anwendung durch die Aufsichtsbehörden vorzunehmen. Dabei sind auch die Anforderungen an die Freiwilligkeit nach Artikel 7 Absatz 4 und Erwägungsgrund 43 DSGVO in den Blick zu nehmen. Insbesondere bestehen erhebliche Zweifel daran, ob die bei großen Internetkonzernen erteilte Einwilligung der Nutzer in die umfassende Verwendung ihrer Daten immer in Übereinstimmung mit der DSGVO erfolgt.
2.2 Transparenz- und Informationspflichten nach Artikel 12 fortfolgende DSGVO
Der Bundesrat stellt fest, dass es bisher keine einheitliche Auslegungspraxis für die Information in präziser, transparenter, verständlicher und leicht zugänglicher Form gibt und dass wichtige Fragen wie die Zulässigkeit von Medienbrüchen außerhalb von Online-Verarbeitungen nach wie vor ungeklärt sind. Er bittet darauf hinzuwirken, dass die Kommission in ihrem Bericht die Gesamtsituation analysiert und mögliche Hilfestellungen aufzeigt. Im Hinblick auf Erwägungsgrund 13, der den Auftrag gibt, bei der Anwendung der DSGVO die besonderen Bedürfnisse von Kleinunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen, sollte diese Analyse auch die Frage einschließen, wie eine alltagstaugliche Anwendungspraxis zum Beispiel für "over the counter" - Geschäfte des täglichen Lebens zum Beispiel auf der Basis eines risikobasierten Ansatzes erreicht werden kann. Ferner bittet der Bundesrat darauf hinzuwirken, dass die Kommission prüft, ob die Informationspflicht bei risikoarmen Verarbeitungsprozessen vereinfacht werden kann und wie Erleichterungen für den B2B-Bereich im Rahmen von Artikel 12 fortfolgende DSGVO geschaffen werden können.
Er bittet ferner, darauf hinzuwirken, dass die Kommission möglichst rasch von ihrer Befugnis nach Artikel 12 Absatz 8 DSGVO
Gebrauch macht, durch delegierten Rechtsakt die Informationen, die durch Bildsymbole darzustellen sind, und die Verfahren für die Bereitstellung standardisierter Bildsymbole zu bestimmen. Die Nutzung von Symbolen bietet aus Sicht des Bundesrates in vielen Bereichen ein hohes Potential an Vereinfachung und letztlich europaweiter Vereinheitlichung.
2.3 Recht auf Kopie nach Artikel 15 Absatz 3 DSGVO
Der Bundesrat stellt fest, dass im Hinblick auf die Erfüllung des Rechts auf Kopie nach Artikel 15 Absatz 3 DSGVO noch große Unsicherheit herrscht etwa zur Frage, ob sich das Recht auch auf zugrundeliegende Dokumente wie etwa Zeugnisse oder Urkunden erstreckt.
2.4 Gemeinsame Verantwortliche gemäß Artikel 26 DSGVO
Der Bundesrat stellt fest, dass Rechtsunsicherheit zur Frage besteht, wann eine gemeinsame Festlegung der Zwecke und der Mittel zur Verarbeitung stattfindet und welcher Beitrag ausreicht, um eine gemeinsame Verantwortung anzunehmen - insbesondere auch bezüglich innovativer Technologien wie "Blockchain". Er bittet die Kommission, in ihrem Bericht einen Vergleich der tatsächlichen Anwendung durch die Aufsichtsbehörden vorzunehmen und zu prüfen, wie eine Präzisierung erreicht werden kann.
2.5 Auftragsverarbeitung nach Artikel 28 DSGVO
Der Bundesrat bittet darauf hinzuwirken, dass die Kommission prüft, wie die mit der Auftragsverarbeitung verbundenen Pflichten dem Risiko der Datenverarbeitung besser angepasst und weniger bürokratisch gestaltet werden können.
2.6 Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO
Der Bundesrat stellt fest, dass die im Bereich der Dokumentationspflichten gemäß Artikel 30 DSGVO angestrebten Erleichterungen für kleine und mittlere Unternehmen in der Datenschutzpraxis regelmäßig nicht wahrgenommen werden können, da alleine schon Datenverarbeitungen zur Personalverwaltung und Lohnabrechnung mit den Ausnahmetatbeständen des Artikels 30 Absatz 5 DSGVO nicht zu vereinbaren sind. Im Hinblick auf Erwägungsgrund 13, der den Auftrag gibt, bei der Anwendung der DSGVO die besonderen Bedürfnisse von kleinen und mittleren Unternehmen zu berücksichtigen, wird die Kommission gebeten, mögliche andere Erleichterungen im Rahmen eines risikobasierten Ansatzes aufzuzeigen.
2.7 Begriff "Risiko" bzw. "hohes Risiko" in Artikel 33 und 34 DSGVO
Der Bundesrat nimmt in der Praxis eine große Unsicherheit im Hinblick auf die Begriffe des "Risikos für die Rechte und Freiheiten natürlicher Personen" bzw. des "hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen" wahr. Der Bundesrat bittet daher zu prüfen, wie im Hinblick auf Meldepflichten und Sanktionsbestimmungen eine europaweit einheitliche Praxisdefinition des Begriffs "Risiko" bzw. "hohes Risiko" erreicht werden kann.
2.8 Verhängung von Geldbußen im Sinne von Artikel 83 DSGVO
Der Bundesrat beobachtet, dass es im Hinblick auf die Verhängung von Geldbußen große Unsicherheit insbesondere bei kleinen und mittleren Unternehmen sowie Vereinen und Ehrenamtlichen gibt, und bittet die Kommission um eine vergleichende Analyse der bisherigen Sanktionspraxis der Aufsichtsbehörden. In die Überprüfung sollte im Lichte von Erwägungsgrund 13 auch einfließen, wie die Aufsichtsbehörden die Größe des verantwortlichen Unternehmens in ihrer Entscheidung berücksichtigen.
2.9 Anwendungsvorrang des Unionsrechts
Der Bundesrat bittet darauf hinzuwirken, dass die Kommission in ihre Evaluation auch den Aspekt des Anwendungsvorrangs des Unionsrechts einbezieht, insbesondere im Hinblick auf 2.9.1 das Verhältnis der Aufgabe des Datenschutzbeauftragten nach Artikel 39 Absatz 1 Buchstabe a DSGVO, den Verantwortlichen zu beraten, zur allgemeinen Rechtsberatung in nationalstaatlichen Regelungen (in Deutschland nach dem Rechtsdienstleistungsgesetz),
2.9.2 das Verhältnis des Regelungsregimes der DSGVO zum Wettbewerbsrecht, also die Frage, ob neben dem Sanktionsregime der DSGVO
Abmahnungen im Sinne des Wettbewerbsrechts zulässig wären, und 2.9.3 das in § 43 Abs. 4 BDSG geregelte Beweisverwertungsverbot, das heißt die Frage, ob die in der DSGVO vorgesehene Möglichkeit, einen Verantwortlichen, der selbst einen Datenschutzverstoß gemäß seiner Verpflichtung aus Artikel 33 folgende DSGVO gemeldet hat, im Anschluss dafür mit einem Bußgeld zu bestrafen, durch nationales Recht abbedungen werden kann.
3. Bewertung neuer Instrumente
Der Bundesrat bedauert, dass einige der neu eingeführten Instrumente der Selbstregulierung bzw. zur einheitlichen Rechtsumsetzung bisher in der Praxis kaum angewandt wurden, und bittet darauf hinzuwirken, dass die Kommission sich dieses Themas annimmt:
3.1. Verhaltensregeln und Zertifizierungen nach Artikel 40 fortfolgende bzw. DSGVO
Der Bundesrat stellt fest, dass das Instrument der Verhaltensregeln, das als erhebliche Ausweitung der freiwilligen Selbstregulierung eine sektorspezifische Anpassung des Datenschutzrechts ermöglichen sollte, und das gänzlich neue Instrument der Zertifizierung in der Praxis bisher so gut wie nicht in Anspruch genommen werden. Die Kommission sollte deshalb die Gründe hierfür in ihrem Bericht analysieren und Vorschläge für Abhilfe machen. Gleiches gilt für Zertifizierungen im Sinne von Artikel 42 folgende DSGVO und dort insbesondere auch für das europäische Datenschutzsiegel im Sinne von Artikel 42 Absatz 5 DSGVO. Dabei sollten die Bedürfnisse von kleinen und mittleren Unternehmen gemäß Artikel 42 Absatz 1 Satz 2 DSGVO besser berücksichtigt werden. Auch sollten Wege gefunden werden, den risikobasierten Ansatz bei der Zertifizierung von datensparsamen Betrieben zum Tragen zu bringen.
3.2. Kohärenzverfahren gemäß Artikel 63 fortfolgende DSGVO
Der Bundesrat bedauert, dass das Kohärenzverfahren, das eines der zentralen Elemente der Neuordnung des EU-Systems zur Sicherstellung des Datenschutzes sein sollte, in der Praxis bisher nicht erkennbar geworden ist. Stattdessen ist im Hinblick auf Betriebssysteme, Soziale Netzwerke und Geodatensysteme nach wie vor ein hohes Maß an Rechtsunsicherheit zu beobachten. Die Kommission ist insoweit gefordert, ihre Möglichkeiten nach Artikel 64 Absatz 2 DSGVO intensiver zu nutzen, um zumindest bei Angelegenheiten von grundsätzlicher Bedeutung Rechtsklarheit herzustellen.
4. Nationale Evaluationsschritte
Der Bundesrat erinnert an seine Stellungnahme zum Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU), BR-Drucksache 430/18(B) vom 19.10.2018 und der darin geäußerten Beobachtung, dass ungeachtet der mit dem Gesetzentwurf bezweckten umfassenden Anpassung des Bundesrechts an die EU-Datenschutzreform in der betrieblichen und behördlichen Praxis noch Unsicherheiten über die Fortgeltung bewährter nationaler Vorschriften zum Schutz der Persönlichkeitsrechte fortbestehen, etwa hinsichtlich des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie und des Telemediengesetzes. Diese Beobachtung gilt nach wie vor.
Der Bundesrat wiederholt deshalb seine Bitte an die Bundesregierung, im Rahmen der erforderlichen Berichte und Bewertungen zu überprüfen, ob bei der Anwendung europäischer und nationaler Datenschutzregelungen Rechtsunsicherheiten in zentralen Praxisfragen wie bei der Veröffentlichung von Abbildungen oder den Anforderungen an Telemediendienste fortbestehen, und ihm über das Ergebnis dieser Prüfung zu berichten.
5. Erfahrungsberichte der Mitgliedstaaten
Der Bundesrat bittet die Bundesregierung, gegenüber der Kommission dafür zu werben, die Aufsichtsbehörden der Mitgliedstaaten unmittelbar um einen Erfahrungsbericht zu bitten, da die Beratungsaufgaben des Europäischen Datenschutzausschusses nach Artikel 70 Absatz 1 Buchstabe b) DSGVO keine abschließenden Beteiligungsrechte begründen und durch den Ausschuss nur ein zusammengefassten Meinungsbild vermittelt werden kann.
6. Beteiligung der Länder
Der Bundesrat bittet die Bundesregierung, die Länder weiterhin über den Fortgang der Verhandlungen im Rat zu unterrichten und die Möglichkeit zu gewährleisten, ihre Anliegen wirksam einzubringen.