Der Bayerische Ministerpräsident München, 6. November 2019
An den Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Dr. Dietmar Woidke
Sehr geehrter Herr Präsident,
gemäß dem Beschluss der Bayerischen Staatsregierung wird die als Anlage beigefügte Entschließung des Bundesrates zum vorgesehenen Bericht der Europäischen Kommission über die Bewertung und Überprüfung gemäß Art. 97 der Verordnung (EU) Nr. 2016/679
des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) mit dem Antrag übermittelt, dass der Bundesrat diese fassen möge.
Es wird gebeten, die Vorlage gemäß § 36 Absatz 2 GO BR auf die Tagesordnung der 982. Sitzung am 08.11.2019 zu setzen und anschließend den zuständigen Ausschüssen zur Beratung zuzuweisen.
Mit freundlichen Grüßen
Dr. Markus Söder
Entschließung des Bundesrates zum vorgesehenen Bericht der Europäischen Kommission über die Bewertung und Überprüfung gemäß Art. 97 der Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
Seit 25. Mai 2018 gilt mit der Datenschutz-Grundverordnung (DSGVO) ein europaweit einheitliches Datenschutzrecht. Nach Art. 97 DSGVO hat die Europäische Kommission bis 25. Mai 2020 eine erste Bewertung und Überprüfung des Rechtsaktes vorzulegen. Sie berücksichtigt dabei u.a. Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Quellen (Art. 97 Abs. 4 DSGVO).
Die Evaluation wird derzeit bereits von der Kommission vorbereitet, wie eine vorläufige Mitteilung vom 24.07.2019 erkennen lässt. Ebenso wird im Rat der Europäischen Union auf Vorschlag des finnischen Vorsitzes eine Stellungnahme der Mitgliedstaaten vorbereitet, die voraussichtlich noch bis Jahresende verabschiedet werden soll.
Der Bundesrat bittet deshalb die Bundesregierung, folgende Anliegen der Länder bei den weiteren Beratungen zu berücksichtigen.
1. Grundsätzliches
1.1 Der Bundesrat begrüßt die Absicht des Rates, im Zuge der Bewertung und Überprüfung der Datenschutz-Grundverordnung (DSGVO) gemäß deren Art. 97 Abs. 4 eine Stellungnahme abzugeben und damit die Erfahrungen der Mitgliedstaaten frühzeitig in den Prozess einzubringen.
1.2 Der Bundesrat spricht sich nachdrücklich dafür aus, diese Evaluation auf weitere Fragestellungen als nur die in Art. 97 Abs. 2 der DSGVO genannten Kapitel V und VII der DSGVO zu erstrecken.
1.3 Der Bundesrat ist der Auffassung, dass die weitere Bewährung der DSGVO als Instrument zum Schutz personenbezogener Daten und des freien Datenverkehrs auch davon abhängt, dass die Kommission die Aufforderung in Art. 97 Abs. 5 DSGVO ernst nimmt und kontinuierlich die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft berücksichtigt und den Zielsetzungen der DSGVO gegenüberstellt. Insbesondere seien hier die zunehmende Datenkonzentration bei einzelnen Anbietern und Plattformen, die zunehmende Verbreitung von Scoring und Profiling, die Chancen und Risiken künstlicher Intelligenz sowie Blockchain-Anwendungen genannt, deren Auswirkungen auf den Schutz personenbezogener Daten schon bei einer ersten Evaluation berücksichtigt werden sollten.
1.4 Der Bundesrat unterstreicht, dass die Erfahrungen angesichts der Kürze der Zeit noch nicht abschließend bewertet werden können und eine Evaluation zum aktuellen Zeitpunkt nur eine Momentaufnahme darstellen kann. Die Anwendung der DSGVO hat allerdings in der Praxis bereits jetzt zahlreiche Fragen sowohl im öffentlichen als auch im privaten Bereich - und hier insbesondere bei kleinen und mittleren Unternehmen (KMU) sowie Vereinen und ehrenamtlich Tätigen - aufgeworfen, die im Interesse von Effektivität und Verhältnismäßigkeit frühzeitig analysiert und bewertet werden sollten. Dabei ist in konsequenter Weise ein risikobasierter Ansatz zu verfolgen (vgl. dazu näher unter Ziffer 2).
1.5 Der Bundesrat bedauert, dass insbesondere die mit Chancen und Innovationspotentialen für Verantwortliche und Betroffene gleichermaßen verbundenen Neuerungen der DSGVO in der Datenschutzpraxis bislang noch unzureichend wahrgenommen werden konnten. Dies gilt für die neu eingeführten Instrumente der Selbstregulierung im Rahmen von Verhaltensregeln und Zertifizierung (Art. 40 ff. DSGVO) einschließlich ihrer Legitimation von Datenübermittlungen in Drittstaaten ebenso wie für das Kooperations- und Kohärenzverfahren (Art. 63 ff. DSGVO) der Datenschutzaufsichtsbehörden. Er bittet die Kommission, in ihrem Bericht die Wirksamkeit dieser neuen Instrumente zu bewerten, die Gründe für die Zurückhaltung zu analysieren und aufzuzeigen, wie Anreize und Fördermöglichkeiten geschaffen werden können, um die umfassende Wirksamkeit der DSGVO zu erreichen (vgl. dazu näher unter Ziffer 3).
1.6 Der Bundesrat erinnert an seine Stellungnahme BR-Drs. 145/17 (PDF) zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über Privatsphäre und elektronische Kommunikation - ePrivacyVO) und bittet weiterhin, das Verhältnis des vorgelegten Verordnungsvorschlags zu den Vorschriften der Datenschutz-Grundverordnung rechtssicher und praxisgerecht auszugestalten, um einen kohärenten und praxistauglichen Rechtsrahmen für den Schutz personenbezogener Daten und der Vertraulichkeit elektronischer Kommunikationsbeziehungen zu erreichen.
1.7 Der Bundesrat unterstreicht die Bedeutung der in der Verordnung klar beschriebenen Regelungsspielräume für ergänzende nationale Datenschutzbestimmungen, die sowohl im bereichsspezifischen Datenschutzrecht als auch in den allgemeinen Datenschutzgesetzen des Bundes und der Länder genutzt werden. Der Bundesrat bittet die Bundesregierung, Bewertungen nachdrücklich entgegenzutreten, die eine weitere Einengung oder inhaltliche Begrenzung dieser Spielräume nahelegen und damit die Anstrengungen zur Bewahrung nationalen Datenschutzniveaus in Frage stellen würden. Unabhängig davon begrüßt der Bundesrat die vom Rat der Europäischen Union eröffnete Diskussion über Kollisionsregelungen zur Klärung der personalen und territorialen Reichweite solcher nationalen Datenschutzbestimmungen etwa bei der Festlegung von Mindestaltersgrenzen gem. Art. 8 DSGVO.
1.8 Der Bundesrat bittet bei der Bewertung der DSGVO und Überprüfung weiterer unionsrechtlicher Schritte zur Verbesserung des Schutzes personenbezogener Daten zu prüfen, wie die praktische Verwirklichung der Grundprinzipien datenschutzfreundlicher Voreinstellungen und Technikgestaltung sowie der Datensicherheit durch eine zusätzliche Einbeziehung von Herstellern von IT-Produkten und -programmen verbessert werden kann.
2. Offene Fragen und Unsicherheiten in Zusammenhang mit der DSGVO
Der Bundesrat wiederholt seine bereits im Beschluss zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (Verordnung über die Privatsphäre und elektronische Kommunikation), BR-Drs. 145/17 (PDF) , geäußerte Auffassung, dass die Datenschutz-Grundverordnung einen wichtigen Beitrag zur Schaffung eines einheitlichen Datenschutzniveaus für personenbezogene Daten innerhalb der EU darstellt. Er begrüßt insbesondere den dadurch entstehenden einheitlichen Rechtsrahmen und die damit verbundene Rechtssicherheit.
Der Bundesrat stellt jedoch fest, dass in zahlreichen Bereichen eine einheitliche und wirksame Anwendung des neuen Datenschutzrechts noch nicht in jeder Hinsicht gelungen ist. Die Kommission sollte daher prüfen, ob es weiterer Hilfestellungen bedarf, um die Anwendungspraxis weiter zu vereinheitlichen:
2.1 Einwilligung nach Art. 6 Abs. 1 UA 1 Buchst.a) DSGVO
Der Bundesrat stellt fest, dass es zur Frage der informierten Einwilligung nach wie vor große Unsicherheit gibt, und bittet die Kommission, in ihrem Bericht einen Vergleich der tatsächlichen Anwendung durch die Aufsichtsbehörden vorzunehmen. Dabei sind auch die Anforderungen an die Freiwilligkeit nach Art. 7 Abs. 4 und Erwägungsgrund 43 DSGVO in den Blick zu nehmen. Insbesondere bestehen erhebliche Zweifel daran, ob die bei großen Internetkonzernen erteilte Einwilligung der Nutzer in die umfassende Verwendung ihrer Daten immer in Übereinstimmung mit der DSGVO erfolgt.
2.2 Transparenz- und Informationspflichten nach Art. 12 ff. DSGVO
Der Bundesrat stellt fest, dass es bisher keine einheitliche Auslegungspraxis für die Information in präziser, transparenter, verständlicher und leicht zugänglicher Form gibt und dass wichtige Fragen wie die Zulässigkeit von Medienbrüchen außerhalb von OnlineVerarbeitungen nach wie vor ungeklärt sind. Er bittet darauf hinzuwirken, dass die Kommission in ihrem Bericht die Gesamtsituation analysiert und mögliche Hilfestellungen aufzeigt. Im Hinblick auf Erwägungsgrund 13, der den Auftrag gibt, bei der Anwendung der DSGVO die besonderen Bedürfnisse von Kleinunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen, sollte diese Analyse auch die Frage einschließen, wie eine alltagstaugliche Anwendungspraxis z.B. für "over the counter" - Geschäfte des täglichen Lebens z.B. auf der Basis eines risikobasierten Ansatzes erreicht werden kann. Ferner bittet der Bundesrat darauf hinzuwirken, dass die Kommission prüft, ob die Informationspflicht bei risikoarmen Verarbeitungsprozessen vereinfacht werden kann und wie Erleichterungen für den B2B-Bereich im Rahmen von Art. 12 ff. DSGVO geschaffen werden können.
Er bittet ferner, darauf hinzuwirken, dass die Kommission möglichst rasch von ihrer Befugnis nach Art. 12 Abs. 8 DSGVO
Gebrauch macht, durch delegierten Rechtsakt die Informationen, die durch Bildsymbole darzustellen sind, und die Verfahren für die Bereitstellung standardisierter Bildsymbole zu bestimmen. Die Nutzung von Symbolen bietet aus Sicht des Bundesrates in vielen Bereichen ein hohes Potential an Vereinfachung und letztlich europaweiter Vereinheitlichung.
2.3 Recht auf Kopie nach Art. 15 Abs. 3 DSGVO
Der Bundesrat stellt fest, dass im Hinblick auf die Erfüllung des Rechts auf Kopie nach Art. 15 Abs. 3 DSGVO noch große Unsicherheit herrscht etwa zur Frage, ob sich das Recht auch auf zugrundeliegende Dokumente wie etwa Zeugnisse oder Urkunden erstreckt.
2.4 Gemeinsame Verantwortliche gem. Art. 26 DSGVO
Der Bundesrat stellt fest, dass Rechtsunsicherheit zur Frage besteht, wann eine gemeinsame Festlegung der Zwecke und der Mittel zur Verarbeitung stattfindet und welcher Beitrag ausreicht, um eine gemeinsame Verantwortung anzunehmen - insbesondere auch bzgl. innovativer Technologien wie Blockchain. Er bittet die Kommission, in ihrem Bericht einen Vergleich der tatsächlichen Anwendung durch die Aufsichtsbehörden vorzunehmen und zu prüfen, wie eine Präzisierung erreicht werden kann.
2.5 Auftragsverarbeitung nach Art. 28 DSGVO
Der Bundesrat bittet darauf hinzuwirken, dass die Kommission prüft, wie die mit der Auftragsverarbeitung verbundenen Pflichten dem Risiko der Datenverarbeitung besser angepasst und weniger bürokratisch gestaltet werden können.
2.6 Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
Der Bundesrat stellt fest, dass die im Bereich der Dokumentationspflichten gem. Art. 30 DSGVO angestrebten Erleichterungen für kleine und mittlere Unternehmen in der Datenschutzpraxis regelmäßig nicht wahrgenommen werden können, da alleine schon Datenverarbeitungen zur Personalverwaltung und Lohnabrechnung mit den Ausnahmetatbeständen des Art. 30 Abs. 5 DSGVO nicht zu vereinbaren sind. Im Hinblick auf Erwägungsgrund 13, der den Auftrag gibt, bei der Anwendung der DSGVO die besonderen Bedürfnisse von kleinen und mittleren Unternehmen zu berücksichtigen, wird die Kommission gebeten, mögliche andere Erleichterungen im Rahmen eines risikobasierten Ansatzes aufzuzeigen.
2.7 Begriff "Risiko" bzw. "hohes Risiko" in Art. 33 und 34 DSGVO
Der Bundesrat nimmt in der Praxis eine große Unsicherheit im Hinblick auf die Begriffe des "Risikos für die Rechte und Freiheiten natürlicher Personen" bzw. des "hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen" wahr. Der Bundesrat bittet daher zu prüfen, wie im Hinblick auf Meldepflichten und Sanktionsbestimmungen eine europaweit einheitliche Praxisdefinition des Begriffs "Risiko" bzw. "hohes Risiko" erreicht werden kann.
2.8 Verhängung von Geldbußen im Sinne von Art. 83 DSGVO
Der Bundesrat beobachtet, dass es im Hinblick auf die Verhängung von Geldbußen große Unsicherheit insbesondere bei kleinen und mittleren Unternehmen sowie Vereinen und Ehrenamtlichen gibt, und bittet die Kommission um eine vergleichende Analyse der bisherigen Sanktionspraxis der Aufsichtsbehörden. In die Überprüfung sollte im Lichte von Erwägungsgrund 13 auch einfließen, wie die Aufsichtsbehörden die Größe des verantwortlichen Unternehmens in ihrer Entscheidung berücksichtigen.
2.9 Anwendungsvorrang des Unionsrechts
Der Bundesrat bittet darauf hinzuwirken, dass die Kommission in ihre Evaluation auch den Aspekt des Anwendungsvorrangs des Unionsrechts einbezieht, insbesondere im Hinblick auf 2.9.1 das Verhältnis der Aufgabe des Datenschutzbeauftragten nach Art. 39 Abs. 1 Buchst.. a DSGVO, den Verantwortlichen zu beraten, zur allgemeinen Rechtsberatung in nationalstaatlichen Regelungen (in Deutschland nach dem Rechtsdienstleistungsgesetz),
2.9.2 das Verhältnis des Regelungsregimes der DSGVO zum Wettbewerbsrecht, also die Frage, ob neben dem Sanktionsregime der DSGVO Abmahnungen im Sinne des Wettbewerbsrechts zulässig wären, sowie
2.9.3 das in § 43 Abs. 4 BDSG geregelten Beweisverwertungsverbot, d.h. die Frage, ob die in der DSGVO vorgesehene Möglichkeit, einen Verantwortlichen, der selbst einen Datenschutzverstoß gemäß seiner Verpflichtung aus Art. 33f. DSGVO gemeldet hat, im Anschluss dafür mit einem Bußgeld zu bestrafen, durch nationales Recht abbedungen werden kann.
3. Bewertung neuer Instrumente
Der Bundesrat bedauert, dass einige der neu eingeführten Instrumente der Selbstregulierung bzw. zur einheitlichen Rechtsumsetzung bisher in der Praxis kaum angewandt wurden, und bittet darauf hinzuwirken, dass die Kommission sich dieses Themas annimmt:
3.1. Verhaltensregeln und Zertifizierungen nach Art. 40 ff. DSGVO
Der Bundesrat stellt fest, dass das Instrument der Verhaltensregeln, das als erhebliche Ausweitung der freiwilligen Selbstregulierung eine sektorspezifische Anpassung des Datenschutzrechts ermöglichen sollte sowie das gänzlich neue Instrument der Zertifizierung in der Praxis bisher so gut wie nicht in Anspruch genommen werden. Die Kommission sollte deshalb die Gründe hierfür in ihrem Bericht analysieren und Vorschläge für Abhilfe machen. Gleiches gilt für Zertifizierungen im Sinne von Art. 42f. DSGVO und dort insbesondere auch das europäische Datenschutzsiegel im Sinne von Art. 42 Abs. 5 DSGVO. Dabei sollten die Bedürfnisse von kleinen und mittleren Unternehmen gemäß Art. 42 Abs. 1 Satz 2 DSGVO besser berücksichtigt werden. Auch sollten Wege gefunden werden, den risikobasierten Ansatz bei der Zertifizierung von datensparsamen Betrieben zum Tragen zu bringen
3.2. Kohärenzverfahren gemäß Art. 63 ff. DSGVO
Der Bundesrat bedauert, dass das Kohärenzverfahren, das eines der zentralen Elemente der Neuordnung des EU-Systems zur Sicherstellung des Datenschutzes sein sollte, in der Praxis bisher nicht erkennbar geworden ist. Stattdessen ist im Hinblick auf Betriebssysteme, Soziale Netzwerke und Geodatensysteme nach wie vor ein hohes Maß an Rechtsunsicherheit zu beobachten. Die Kommission ist insoweit gefordert, ihre Möglichkeiten nach Art. 64 Abs. 2 DSGVO intensiver zu nutzen, um zumindest bei Angelegenheiten von grundsätzlicher Bedeutung Rechtsklarheit herzustellen.
4. Nationale Evaluationsschritte
Der Bundesrat erinnert an seine Stellungnahme zum Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU - 2. DSAnpUG-EU), BR-Drs. 430/18(B) vom 19.10.2018 und der darin geäußerten Beobachtung, dass ungeachtet der mit dem Gesetzentwurf bezweckten umfassenden Anpassung des Bundesrechts an die EU-Datenschutzreform in der betrieblichen und behördlichen Praxis noch Unsicherheiten über die Fortgeltung bewährter nationaler Vorschriften zum Schutz der Persönlichkeitsrechte fortbestehen, etwa hinsichtlich des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie und des Telemediengesetzes. Diese Beobachtung gilt nach wie vor.
Der Bundesrat wiederholt deshalb seine Bitte an die Bundesregierung, im Rahmen der erforderlichen Berichte und Bewertungen zu überprüfen, ob bei der Anwendung europäischer und nationaler Datenschutzregelungen Rechtsunsicherheiten in zentralen Praxisfragen wie bei der Veröffentlichung von Abbildungen oder den Anforderungen an Telemediendienste fortbestehen und ihm über das Ergebnis dieser Prüfung zu berichten.
5. Der Bundesrat bittet die Bundesregierung gegenüber der Kommission dafür zu werben, unmittelbar die Aufsichtsbehörden der Mitgliedstaaten um einen Erfahrungsbericht zu bitten, da die Beratungsaufgaben des Europäischen Datenschutzausschusses nach Art. 70 Abs. 1 Buchst.b) DSGVO keine abschließenden Beteiligungsrechte begründen und durch den Ausschuss nur ein zusammengefassten Meinungsbild vermittelt werden kann.
6. Der Bundesrat bittet die Bundesregierung, die Länder weiterhin über den Fortgang der Verhandlungen im Rat zu unterrichten und die Möglichkeit zu gewährleisten, ihre Anliegen wirksam einzubringen.