DSGVO-Beurteilung durch Regierung & EU-Staaten – Großer Status Quo Mehrteiler/ Teil-5 Beurteilung durch die Europäisch Kommission (5)
…Fortsetzung… DSGVO-Beurteilung – Großer Status Quo Mehrteiler (zurück zu Beitrag 1)
Hier zum Inhaltsverzeichnis komplette Beurteilung (Evaluation):
2. Inhaltsverzeichnis
2.1. Inhaltsverzeichnis Erläuterung (Beitrag 2a)
2.2. Inhaltsverzeichnis – zum Register (Links zu Beiträgen) (Beitrag 2.b)
5. Beurteilung durch die Europäisch Kommission
Am 24. Juni 2020 – einen Monat zu spät – hat die Europäische Kommission ihren Bewertungsbericht vorgelegt. 65 Der 18-seitige Bericht zur Evaluierung und Überprüfung der Datenschutz-Grundverordnung trägt den Titel „Datenschutz als Säule der Bürgerbeteiligung und die Haltung der EU zur digitalen Transformation – Zweijährige Anwendung der Datenschutz-Grundverordnung“.
Er wird ergänzt durch ein 52-seitiges „Arbeitspapier der Kommissionsmitarbeiter“, dass die Ergebnisse des Berichts näher erläutert. Der Ausschuss behauptete, dass er viele der Kommentare von Koalitionsagenturen, Mitgliedstaaten, Regulierungsbehörden und Organisationen und Agenturen der Zivilgesellschaft für seinen Bericht berücksichtigt habe. Im Wesentlichen bestätigte sie jedoch ihre in ihrer „Bilanz“ am 24. Juli 2019 festgestellten Ergebnisse zur Umsetzung der DSGVO – noch bevor viele ihr widersprachen.
Die Aussagen können sich sehen lassen. Die Europäische Kommission hat sich in ihrem Evaluierungsbericht gemäß Art. 97 Abs. 2 DSGVO auf die Überprüfung und Bewertung von Kapitel 5 zur Datenübermittlung an Drittstaaten und Kapitel 7 zur Kohärenz der Zusammenarbeit und Umsetzung zwischen den Aufsichtsbehörden konzentriert. Supervision, schränkt aber die Bewertung dieser beiden Bereiche nicht ein, sondern prüft auch andere ausgewählte Themen.
Generell hält sie die Zeit seit dem Inkrafttreten der Verordnung in den Mitgliedsstaaten am 25. Mai 2018 für zu kurz, um eine abschließende Aussage über die Umsetzung der Datenschutz-Grundverordnung zu treffen, weist aber in dem Bericht auf Folgendes hin: Hauptergebnis: Aus Sicht der Europäischen Kommission hat sich die Datenschutzgrundverordnung bewährt. Mit dieser Verordnung wird das Ziel erreicht, die Rechte der betroffenen Personen zu stärken und den freien Datenverkehr in der Europäischen Union zu gewährleisten. Durch diese Verordnung sieht die Kommission die Europäische Union als Vorreiter im Datenschutz. Der erfolgreiche Export des Regulierungsmodells in viele Drittländer beweist dies. Viele Länder haben Datenschutzgesetze erlassen, und die Europäische Kommission kann feststellen, dass sie ein angemessenes Datenschutzniveau gemäß Artikel 45 der Datenschutzgrundverordnung bieten. Das europäische Datenschutzrecht sei „der Kompass, der uns den Weg zur digitalen Transformation zeigt, bei der der Mensch im Mittelpunkt steht“. Für Länder wie die Europäische Union, die sich einem hohen Datenschutzniveau verschrieben haben, ist es eine globale Referenz – „von Chile bis Südkorea, von Brasilien bis Japan, von Kenia bis Indien, von Kalifornien bis Indonesien“.
Zum Thema Datenschutz-Grundverordnung wies die Kommission darauf hin, dass sie auf der Grundlage einer unabhängigen Datenschutzaufsichtsbehörde und der Europäischen Datenschutzkommission ein neues europäisches Datenschutzverwaltungs- und Strafverfolgungssystem eingerichtet hat. Der Verantwortliche hat die Bestimmungen des Reglements akzeptiert. Sie erkennen und nutzen jetzt Datenschutz als Wettbewerbsvorteil und Verkaufsargument. In vielen Unternehmen hat sich eine Compliance-Kultur herausgebildet. Insgesamt bewegt sich die EU in Richtung einer einheitlichen Datenschutzkultur. Im Vergleich zu vielen ihrer Aussagen schenkt die Europäische Kommission künftigen technologischen Herausforderungen relativ wenig Aufmerksamkeit. Sie hat lediglich darauf hingewiesen, dass die Datenschutz-Grundverordnung auf Prinzipien beruht und technologieneutrale Regelungen gewählt hat, um zukünftigen Herausforderungen gewachsen zu sein. Die in Artikel 5 der Datenschutzgrundverordnung genannten Prinzipien gelten auch für die neuen Herausforderungen von Künstlicher Intelligenz, Internet verschiedener Sachen, Blockchain, Gesichtserkennung und Quantencomputern, auch wenn es im Einzelfall schwierig ist, die bewährten Prinzipien auf sie anzuwenden. Diese Entwicklung zu begleiten ist Aufgabe der Datenschutzaufsichtsbehörden. Empfehlungen, wie Datenschutzgesetze diesen Herausforderungen durch konkrete Regelungen begegnen sollten, um deren spezifische Risiken zu vermeiden und datenschutzkonform auszugestalten, hat der Ausschuss nicht gemacht. Dabei hat der Ausschuss nicht erkannt, dass viele neue Technologien die auf den Einzelfall beschränkte informationelle Selbstbestimmung nicht in Frage stellen, sondern die Grundsätze des Datenschutzes konzeptionell in Frage stellen.
Der Ausschuss wies in seinem Bericht darauf hin, dass in bestimmten Bereichen in Zukunft Verbesserungen möglich seien, schlug jedoch – entgegen den meisten Meinungen und vielen Hoffnungen – keine Änderungen des Verordnungstextes vor, um diese Schwächen zu beseitigen. Stattdessen wird davon ausgegangen, dass die meisten der von den Mitgliedstaaten und Interessengruppen identifizierten Probleme in den nächsten Jahren mit mehr regulatorischer Erfahrung gelöst werden können. Der Ausschuss kündigte lediglich die Notwendigkeit an, zu prüfen, ob eine Aufsicht zur Entlastung kleiner und mittlerer Unternehmen erforderlich ist, insbesondere hinsichtlich der Befreiung von der Pflicht zur Führung des Verarbeitungsverzeichnisses und ob dies gegen Artikel 8 Absatz 1 Satz 3 verstößt Eine einheitliche Altersfreigabe ist angemessen, um die Datenverarbeitung durch Dienstanbieter der Informationsgesellschaft zu fördern. Der Ausschuss teilte den Verantwortlichen mit, dass einige von ihnen wiederholt bestimmten Verpflichtungen nicht vollständig nachgekommen sind. Die Informationspflicht gegenüber der betroffenen Person wird in der Regel nur dadurch rechtlich erfüllt, dass die Datenschutzerklärung nur als rechtmäßige Tätigkeit behandelt wird und sehr komplexe und unverständliche oder unvollständige Angaben gemacht werden, nicht jedoch im Sinne des Art. 12 Abs. 1 DSGVO. “Verwenden Sie in einer präziseren, verständlicheren, transparenteren und zugänglicheren Form eine klare und einfache Sprache.” Bisher hat sich der Verantwortliche nur in wenigen Branchen wie Banken und Telekommunikation auf die Einhaltung des Rechts auf Datenübermittlung vorbereitet. Große digitale Player kommen der Verantwortung für datenschutzgerechte Systemgestaltung und datenschutzfreundliche Voreinstellungen nicht nach. Sie zitierte “Organisationen der Zivilgesellschaft”, die festgestellt hätten, dass sich die Datenverarbeitungspraktiken dieser großen digitalen Player trotz der Datenschutz-Grundverordnung “nicht grundlegend zu einem datenschutzfreundlicheren Ansatz geändert haben”. Der Ausschuss beabsichtigt jedoch nicht, diese Praktiken im Rahmen der Datenschutz-Grundverordnung zu behandeln, sondern die allgemeine Frage des Marktverhaltens dieser großen digitalen Player im Rahmen der Gesetzgebung für digitale Dienste zu analysieren. Schließlich fordert der Ausschuss die Verantwortlichen auf, wenn sie sich auf die Verhaltensregeln nach Artikel 40 einigen, den Schutz von Kindern stärker zu berücksichtigen.
Im Ergebnis dieser Untersuchungen hat keiner der Verantwortlichen die Datenschutzgrundverordnung nicht eingehalten und nach dem Grund gefragt. Ob der Handlungsbedarf des Gremiums jedoch darin besteht, dass der Verantwortliche ihn nicht kennt, nicht gewinnbringend umsetzen will oder aufgrund regulatorischer Vorgaben nicht umsetzen kann, muss einen großen Unterschied machen. Unklar, rechtlich unsicher, unvollständig oder haben widersprüchliche Regelungen. Die Kritik des Ausschusses bezog sich nicht auf die Anforderungen und Verbesserungsmöglichkeiten der Datenschutzgrundverordnung selbst, sondern beschränkte sich auf deren „Verarbeitung“. Vor allem kritisierte sie die ergänzenden und spezifischeren Bestimmungen der Mitgliedstaaten. Konkret hat die Kommission die Öffnungsklauseln der Verordnungen als übermäßige Ausweitung nationaler Rechtsvorschriften bezeichnet. In der Liste in Anhang I des „Arbeitsdokuments der Kommissionsdienststellen“ erkennt der Ausschuss nur die 15 Öffnungsklauseln der optionalen Ausgestaltungen der gesetzlichen Klausel an. Warum sind die Öffnungsklauseln von Artikel 6 Absatz 4, Artikel 9, Absatz 2, Artikel 17 Absatz 1, Absatz d, Artikel 26, Absatz 1 Absatz 3, Artikel 32 Absatz 4, Artikel 35 Absatz 10 etc. weitere sind fehlerhaft, immer noch unverständlich und unbeantwortet. Sie lehnte es grundsätzlich ab, im innerstaatlichen Recht keine Öffnungsklausel vorzusehen – etwa die Interessenabwägung nach den Bestimmungen des Art. 6 Abs. 1 Z 1, um diese vor allgemeinen Regelungen zu schützen, muss aber dem für den Fall verantwortliche Person. Es lehnt auch die konzeptionellen Normen in den Gesetzen der Mitgliedstaaten und die Aufstellung zusätzlicher Anforderungen in bestimmten Verarbeitungssituationen ab. Sie kritisierte, dass die meisten nationalen Datenschutzgesetze die durch Beschränkungen zu erreichenden rechtlichen Ziele bei der Einschränkung der Rechte der betroffenen Personen nicht konkretisieren und keinen Raum für eine verhältnismäßige Prüfung lassen.
Der Ausschuss verurteilte sogar die Inanspruchnahme der in Artikel 8 Absatz 1 Satz 3 klar vorgesehenen Möglichkeit, die Altersgrenze in einem bestimmten Rahmen von 13 auf 16 Jahre anzupassen und wenn das Kind dem Dienst der Informationsgesellschaft zustimmt , es ist mit dem europäischen Datenschutzrecht harmonisiert. Gefährliche Abweichung von Ideen. Das Gespenst der Fragmentierung des Datenschutzes in der Europäischen Union ist wachgerufen, die laut Datenschutzrichtlinie den freien Datenverkehr in der Europäischen Union bedroht. Auf Grundlage dieser Analyse forderte der Ausschuss die Mitgliedstaaten auf, die Verwendung offener Klauseln einzuschränken, um eine Fragmentierung des Datenschutzes zu vermeiden. Sie sollten auch prüfen, ob das nationale Umsetzungsrecht tatsächlich im Rahmen der Verordnungen liegt. Der Ausschuss hat angekündigt, diesbezüglich bilaterale Gespräche mit einzelnen Mitgliedsstaaten zu führen und nicht zögern, Instrumente zur Vertragsverletzungsverfahren einzusetzen.
Diese übertriebene Kritik zeigt deutlich, dass die Kommission ihr Versagen bei der Gesetzgebung der Datenschutz-Grundverordnung nicht überwunden hat. Dabei schränkte zunächst der Gouverneursrat die Selbstermächtigung des Ausschusses auf 48 Ermächtigungen ein, um diese Ermächtigungen klar zu definieren und durch die Öffnungsklauseln der Mitgliedsstaaten zu ersetzen. Die Kommission beruft sich weiterhin auf die Einheitlichkeit als „zentrales Ziel“ der Datenschutz-Grundverordnung, als ob diese Korrektur der Datenschutz-Grundverordnung durch die Anerkennung der Aufgabe der 70 Öffnungsklauseln dieses Ziels im Prozess nicht vorgenommen wurde Union und die Mitgliedstaaten beaufsichtigen gemeinsam. Der europäische Gesetzgeber, nämlich der Rat und das Parlament, wollen dies – im Gegensatz zum Ausschuss – also wollen und entscheiden und müssen daher eine gewisse Fragmentierung des Datenschutzrechts in der Union akzeptieren. Das Gremium nimmt jedoch mit seinem Sachstandsbericht den Machtkampf wieder auf und versucht, die Entscheidung des Gesetzgebers durch die Auslegung der Öffnungsklausel rückgängig zu machen. Auch wenn einige Mitgliedstaaten, darunter auch Deutschland, im Einzelfall die Rechte betroffener Personen inakzeptabel stark einschränken, ist es nach dem Wortlaut der Datenschutzgrundverordnung grundsätzlich überzogen, die Legitimität der Mitgliedstaaten in Frage zu stellen, füllen Sie die einleitenden Bemerkungen aus.
Mit seinem Bericht versuchte der Ausschuss, Diskussionen über die Verbesserung der europäischen Datenschutzgesetze zu blockieren. Sie verlagert den Fokus von den Mängeln der Verordnung selbst auf die Gesetzgebung der Mitgliedstaaten. Es ist jedoch klar, dass die Diskussionen um die Weiterentwicklung des Datenschutz-Grundrechts, insbesondere der diesem Datenschutzgesetz zugrunde liegenden Datenschutz-Grundverordnung, nicht stehen bleiben können. Der Druck durch moderne Verarbeitungspraktiken, neue Technologien und praktische Probleme ist zu groß. Gerade aus Verbrauchersicht ist der rechtliche Status quo zwar vielfach und teilweise sehr verbessert, aber es ist klar, dass die Datenschutzgrundverordnung noch verbesserungswürdig ist. Zudem ist das durch die Verordnungen vorgegebene Potenzial auch nach zweijähriger Umsetzung noch lange nicht ausgeschöpft. Dies gilt insbesondere für die grundlegenden Neuerungen der DSGVO, zu deren prominentesten Vertretern die Notwendigkeit des Datenschutzes durch Systemgestaltung und datenschutzfreundliche Voreinstellungen zählt, Art. 25. Bei der Bewertung der Verordnung beschränkt sich die Europäische Kommission auf die Prüfung ausgewählter Aspekte bei deren Umsetzung. Die Regelungen selbst wurden nicht wirklich nach den Anforderungen des Art. 97 Abs. 1 S. 1 Datenschutzgrundverordnung evaluiert und überprüft. Die Regelungen selbst wurden nicht wirklich nach den Anforderungen des Art. 97 Abs. 1 S. 1 evaluiert und überprüft. Stattdessen setzt der Ausschuss seine Auseinandersetzungen mit den Mitgliedstaaten fort, die eigenständig die durch die Verordnungen klar definierten Anfangsklauseln ausfüllen, weil sie glauben, dass sie ihre spezifischen, aber illegalen Konzepte gefährden.
Einige Abweichungen der Mitgliedstaaten sollen bestehende Aufsichtslücken ausgleichen und Mängel ausgleichen. Daher konsolidiert der Ausschuss alle Mängel der Datenschutz-Grundverordnung. Dabei wurde nicht berücksichtigt, dass ihr Konzept 10 Jahre alt ist, vor acht Jahren vom Ausschuss entworfen wurde und die Verordnung vor fünf Jahren in der dritten Überprüfung ihre endgültige Form gefunden hat. Entwicklungen. Noch schlimmer ist es, dass die Europäische Kommission nur eine weitere Überprüfung ihrer Umsetzung angekündigt hat, um die nächste Bewertung im Jahr 2024 durchzuführen. Der Ausschuss mag befürchten, dass der Kompromiss, der nach jahrelangen mühsamen Verhandlungen erzielt wurde, ausgehöhlt wird, wenn einzelne Formulierungen ins Wanken geraten. Sie will auch darauf bestehen, die Datenschutz-Grundverordnung als besonders erfolgreiches Gesetz zu übertreiben. Es ist jedoch sehr bedauerlich, dass sie nicht einmal Diskussionen über die zukünftige Entwicklung des EU-Datenschutzrechts eingeleitet hat. Damit hat sie zum Stichtag für die erste geplante Evaluation die von der Verordnung selbst vorgegebene Gelegenheit zur regelmäßigen Weiterentwicklung vertan. Sie zeigt, dass viele Mängel der Datenschutz-Grundverordnung nur durch geringfügige Textänderungen behoben werden können. Diese Änderungen werden den Verbrauchern echte Verbesserungen bringen. Für den Ausschuss kann seine Methode das Gegenteil des von ihm gesetzten Ziels sein. Die Diskussionen über die Weiterentwicklung der Datenschutzgesetze werden fortgesetzt und notwendige Anpassungen können auf Ebene der Mitgliedstaaten vorgenommen werden. Angesichts des Versäumnisses der Kommission, sich den datenschutzrechtlichen Herausforderungen der Rechtspolitik zu stellen, ist die Androhung von Vertragsverletzungsverfahren kein besonderes „Schwert“, das die Mitgliedstaaten an gesetzgeberischen Innovationen hindert. Die Koordinierung des Datenschutzrechts und der Geltungsbereich der 70 ersten Klauseln der Datenschutzgrundverordnung werden eine größere Rolle spielen und die Weiterentwicklung der Datenschutzgrundverordnung fördern.
Auswertungen:
75 Europäische Kommission, Communication from the Commission to the Euro-pean Parliament and the Council, COM(2020) 264 final (SWD(2020) 115 final)vom 24.6.2020.
76 Commission Staff Working Document vom 24.6.2020.
77 Europäische Kommission, COM(2020) 264 final, 4; Commission Staff WorkingDocument, 3 f.
78 siehe dazu Punkt 4.1.
79 Europäische Kommission, COM(2020) 264 final, 1
80Europäische Kommission, COM(2020) 264 final, 10-13; Commission Staff Work-ing Document, 28-49.
81 Europäische Kommission, COM(2020) 264 final, 5 f.; Commission Staff WorkingDocument, 4-14.
82 Europäische Kommission, COM(2020) 264 final, 4.
83 Europäische Kommission, COM(2020) 264 final, 4.
84 Diese entsprechen weitgehend ihrer Bilanz ein Jahr zuvor – s. Kap. 2.2.1
85 Europäische Kommission, COM(2020) 264 final, 4; s. Erwägungsgrund 3DSGVO.
86 S. hierzu Geminn, DVBl. 2018, 1593; Fujiwara/Geminn/Roßnagel, ZD 2019, 204.
87 Europäische Kommission, COM(2020) 264 final, 3; Commission Staff WorkingDocument, 31ff.
88 Jourová, Pressemitteilung der Europäischen Kommission vom 24.6.2020.
89Europäische Kommission, COM(2020) 264 final, 3, 10 f.; Commission StaffWorking Document, 44ff
90 Europäische Kommission, COM(2020) 264 final, 5; Commission Staff WorkingDocument, 4.
91 Europäische Kommission, COM(2020) 264 final, 3.
92 Pressemitteilung der Europäischen Kommission vom 24.6.2020.
93 Europäische Kommission, COM(2020) 264 final, 5.
94 Europäische Kommission, COM(2020) 264 final, 10; Commission Staff WorkingDocument, 26 f.
95 Europäische Kommission, Commission Staff Working Document, 28.
96 Europäische Kommission, COM(2020) 264 final, 10; Commission Staff WorkingDocument, 27.
97 s. näher Roßnagel, in: Roßnagel/Friedewald/Hansen, 2018, 361(363ff.); Roßnagel, in: Simitis/Hornung/Spiecker, 2019, Art. 5 Rn.40ff., 61ff.,111ff., 133ff., 146ff., 164ff. und 187 jeweils mit vielen Beispielen
98 Europäische Kommission, COM(2020) 264 final, 4.
99 Europäische Kommission, COM(2020) 264 final, 9, 14; Commission Staff Work-ing Document, 22ff.
100 Commission Staff Working Document, 17.
101 Commission Staff Working Document, 21.
102 Europäische Kommission, COM(2020) 264 final, 8 f.; Commission Staff WorkingDocument, 21.
103 Commission Staff Working Document, 21 f.
104 Commission Staff Working Document, 270
105 Commission Staff Working Document, 27.
106 Commission Staff Working Document, 21.
107 Europäische Kommission, COM(2020) 264 final, 7; Commission Staff WorkingDocument, 15.
108 Commission Staff Working Document, 15 f.
109 Commission Staff Working Document, 15
110 Commission Staff Working Document, 18.
111 Europäische Kommission, COM(2020) 264 final, 7; Commission Staff WorkingDocument, 16 f.
112 Europäische Kommission, COM(2020) 264 final, 14.
113 Europäische Kommission, COM(2020) 264 final, 15; Commission StaffWorking Document, 15.
114 siehe dazu ausführlich Roßnagel, in: Roßnagel, 2018, § 1 Rn. 15ff.
115 Commission Staff Working Document, 17
116 siehe dazu Roßnagel, in: Roßnagel, 2018, § 1 Rn. 29ff.
117 siehe dazu Innovationen der DSGVO Roßnagel, DuD 2019, 467ff. sowie denSchwerpunkt des Heftes 8 der DuD 2019
118 Europäische Kommission, COM(2020) 264 final, 14.
119 folgend dazu der Beitrag Gewährleistung der Zukunftsfähigkeit
… Weiterlesen:
6. Auswertung Bedarf aus Verbrauchersicht
[…] Beurteilung durch die Europäisch Kommission (zu Beitrag 5) […]