login

metanavigation

contentarea

Stellungnahme des VPRT zur Mitteilung der Kommission "Gesamtkonzept für den Datenschutz in der EU"

18. Januar 2011

A. Vorbemerkung/Einleitung

I. VPRT
Der VPRT vertritt die Interessen von ca. 160 Unternehmen aus den Bereichen Fernsehen und Multimedia sowie Radio und Audiodienste, darunter paneuropäische, bundes- und landesweite sowie regionale TV- und Hörfunkanbieter und Telemedienangebote, d.h. Teleshopping und Inhalteportale im Internet.

II. Finanzierung der audio-(visuellen) Medien
Die Mitgliedsunternehmen des VPRT finanzieren sich maßgeblich über Werbung und Sponsoring sowie durch Abonnement und/oder Transaktionen. In den letzten Jahren haben sich weitere Formen der Kommunikation herausgebildet. Gleichzeitig sind neue technische Geräte auf den Markt gekommen. Mit der Digitalisierung sind neuartige interaktive und teilweise personalisierbare Angebots- und Werbeformen entstanden, die bereits heute einen erheblichen Finanzierungsbeitrag auch für die privaten Rundfunkunternehmen und Telemedienanbieter in Deutschland leisten. Durch den Einsatz moderner Content- und Ad-Management-Systeme können Inhalte und Werbung mehr denn je auf die Interessen der Nutzer ausgerichtet werden, wie beispielswiese kontextualisierte Inhalte oder das so genannte „frequency capping“, bei dem ein Werbemittel etwa nach dem zweiten Besuch nicht mehr ausgeliefert wird. Davon profitieren vor allem auch die Verbraucher, denn sie bleiben von übermäßiger und unerwünschter Werbung verschont.

Voraussetzung für diese Modelle sind Mess- und Marktforschungsmethoden (z. B. Targeting), bei denen zwar keine personenbezogenen Daten gespeichert werden, die aber beispielsweise auf den Einsatz von Cookies und die Auswertung von IP-Nummernkreisen angewiesen sind. Die Möglichkeit der Auswertung statistischer Daten durch die Anbieter von Online-Medien und durch unternehmensübergreifende Forschungsgemeinschaften[1] darf daher nicht weiter beschränkt werden. Deren Forschungsaktivitäten bilden die Grundlage für die Existenz- und Zukunftsfähigkeit interaktiver Medien. Die valide Erfassung und Auswertung von Nutzungsdaten ermöglicht beispielsweise überhaupt erst die Refinanzierung der unzähligen kostenlos verfügbaren, werbefinanzierten Medien im Internet. Dabei ist beispielsweise für eine valide Erfassung von Nutzungsdaten der Einsatz sog. Cookies unverzichtbar. Regulatorische Ansätze, die den Einsatz von Cookies erschweren würden, sollten daher eingehend geprüft und soweit möglich vermieden oder abgebaut werden.

Um Nutzerzahlen einer Website, die Bestellrate in Onlineshops oder den Erfolg einer Marketingkampagne auszuwerten, nutzen Webmaster und Agenturen sog. Tracking-Tools und Analysedienste. Unter dem Begriff Tracking (Nachverfolgung) wird im Netz das Erheben und Auswerten von Nutzerverhalten verstanden. Tracking kann verschiedenen Zielen dienen: um Klickpfade der Nutzer nachzuvollziehen und Abbruchraten zu minimieren, um Angebote der Website besser an die eigene Zielgruppe anpassen zu können, um Präferenzen hinsichtlich bestimmter Hersteller und Produkte feststellen zu können, um Rückschlüsse auf verwendete Software der Nutzer zu ziehen, um Anhaltspunkte für Programmierung, Suchmaschinenoptimierung und Gestaltung der Bestellvorgänge zu gewinnen.
Der VPRT spricht sich für eine adressierbare Infrastruktur im digitalen Bereich aus, um Endkunden interaktiv und unmittelbar Geschäftsmodelle anbieten zu können und ihre Angebote im Sinne der Verbraucher zu optimieren.

III. Richtlinie 95/46/EG
Die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr hat einen ausgewogenen Ausgleich zwischen den Interessen der Verbraucher und den Interessen der Wirtschaft geschaffen, der sich in seiner technologieneutralen Ausgestaltung noch immer bewährt. Bei der Überarbeitung der Richtlinie muss dieses Gleichgewicht unbedingt gewahrt werden. Im Jahr 2009 wurden das Datenschutzrecht in Deutschland und die e-Privacy-Richtlinie der EU grundlegend überarbeitet. Mit der 2009er Novelle dürfte Deutschland wohl über eines der höchsten Datenschutzniveaus verfügen, was deutsche Unternehmer im Vergleich zu europäischen oder internationalen Wettbewerbern vor erhebliche wirtschaftliche und administrative Hürden stellt. Beide Rechtsakte werden derzeit umgesetzt. Dies erfordert besonders für kleinere und mittlere Unternehmen einen erheblichen Aufwand. Auch dieser Aspekt sollte bei einer Überarbeitung berücksichtigt werden.

Vor dem Hintergrund der rasanten technischen Entwicklung bedarf es eines flexiblen europäischen Regelungswerks, das allen Beteiligten ein Höchstmaß an Rechtssicherheit bietet. Der Datenschutz darf vor diesem Hintergrund nicht zum Hindernis für neue Geschäftsmodelle werden, die die europäische Wirtschaft im Vergleich zu ihren globalen Wettbewerbern schlechter stellt. Eine große Herausforderung für einen effektiven Datenschutz in Europa stellt aus unserer Sicht die Durchsetzung der bestehenden datenschutzrechtlichen Vorgaben auch gegenüber außereuropäischen Anbietern dar.
Vor einer möglichen Änderung der Richtlinie muss zunächst eine Kosten-Nutzen-Analyse erfolgen. Hierbei sollte insbesondere der mit Verschärfungen verbundene Administrations- und Kostenaufwand für die betroffenen Unternehmen im Alltagsgeschäft analysiert werden.

Besonders hinweisen möchte der VPRT schließlich auf die herausragende Bedeutung von Artikel 9 der Datenschutzrichtlinie für die Medien. Auch ein neuer Rechtsrahmen muss die Presse- und Rundfunkfreiheit in der Form gewährleisten, dass der Datenschutz den Informationszugang für journalistische Zwecke nicht verhindert bzw. unverhältnismäßig erschwert.

Der VPRT setzt sich daher für einen transparenten, verständlichen, praxistauglichen und ausgewogenen Rechtsrahmen ein. Dieser soll die Interessen der Wirtschaftsunternehmen an einem wettbewerbsorientierten und freien Rechtsrahmen einerseits und die Interessen der Verbraucher am Schutz ihrer personenbezogenen Daten andererseits in einen angemessenen Ausgleich bringen und die Presse- und Rundfunkfreiheit gewährleisten. Er darf zudem die europäischen Unternehmen gegenüber ihren internationalen Wettbewerbern nicht unnötig benachteiligen.

B. Kommentierung der für die VPRT-Mitglieder relevanten Ausführungen

I. Stärkung der Rechte des Einzelnen

1. Angemessener Schutz des Einzelnen in allen Situationen

# # Die Kommission wird prüfen, wie eine kohärente Anwendung der Datenschutzvorschriften sichergestellt werden kann unter Berücksichtigung der Auswirkungen neuer Technologien auf die Rechte und Freiheiten von Personen mit dem Ziel, den freien Verkehr personenbezogener Daten im Binnenmarkt zu gewährleisten. ##

Der VPRT begrüßt, dass die Kommission beide Elemente der europäischen Datenschutzrichtlinie ausdrücklich nennt: den Schutz der Rechte und Freiheiten der Person einerseits und den freien Verkehr personenbezogener Daten andererseits.

Aus Sicht des VPRT hat sich der technologieneutrale und flexible Ansatz der Richtlinie bewährt. Sie gewährleistet trotz der enormen technischen Entwicklungen seit dem Jahr 1995 noch immer einen angemessenen Schutz personenbezogener Daten. Diese Flexibilität sollte beibehalten werden, damit die Richtlinie auch in Zukunft auf noch unbekannte Technologien und Sachverhalte Anwendung finden kann. Die Unterschiede bei der Auslegung bzw. Rechtsdurchsetzung sollten im Wege einer verbesserten Rechtsdurchsetzung behoben werden.

2. Mehr Transparenz für die von der Datenverarbeitung Betroffenen

# # Die Kommission wird folgende Maßnahmen in Erwägung ziehen:
- Einführung eines allgemeinen Transparenzgrundsatzes für die Verarbeitung personenbezogener Daten in der Datenschutzregelung;
- Einführung besonderer Pflichten für die Verantwortlichen für die Verarbeitung, was die Art der Informationen und die Modalitäten der Bereitstellung dieser Informationen anbelangt, auch in Bezug auf Kinder;
- Erstellung eines oder mehrerer EU-Standardmuster („Datenschutzhinweise“), welche die für die Verarbeitung Verantwortlichen zu verwenden haben. # #

a. Transparenzpflichten
Nach Ansicht des VPRT ist die Forderung nach Transparenz nachzuvollziehen. Ein Übermaß an Informationen ist jedoch geeignet, den Nutzer zu überfordern oder zu verunsichern. Die Vorgaben der Richtlinie (Artikel 10 und 11) sind noch immer zeitgemäß, da sie technologieneutral auch auf neue Sachverhalte wie das Internet anwendbar sind.

Die Art und Weise, wie Informationen zur Datenerhebung und -verarbeitung an den Betroffenen am effektivsten gelangen, hängt vom Medium und/oder von der Dienstleistung ab. Hinweispflichten sollten nutzerorientiert aufgestellt werden. So können Betroffene im Internet durch einen Click auf eine weitergehende Webseite Informationen zum Datenschutz erhalten. Für den Fall der vieldiskutierten verhaltensbasierten Werbung, sog. Online Behavioural Advertising (OBA) im Internet, baut die Wirtschaft derzeit eine Selbstkontrolle auf, die durch eine entsprechende Kennzeichnung Transparenz für Cookies von Dritten schafft, den Verbraucher informiert, ein Opt-Out und ein Beschwerdeverfahren ermöglichen soll (siehe hierzu II. 5.a.).

Im Fernsehen oder Teleshopping bietet sich hingegen der Tele- oder Videotext an.

In Deutschland schreibt § 28 Bundesdatenschutzgesetz (BDSG)[2] weit gehende Transparenzpflichten vor. Weitergehende Verpflichtungen lehnt der VPRT ab.

b. Kinder
Im Hinblick auf die Verarbeitung von Daten von Kindern hat die Freiwillige Selbstkontrolle Multimedia (FSM) Qualitätskriterien für an Kinder und Jugendliche gerichtete Internetangebote der Freiwilligen Selbstkontrolle Multimedia (FSM) in einem speziellen Kodex geregelt.[3] Erst kürzlich wurden die in der FSM organisierten Unternehmen von der Stiftung Warentest mit guten Noten im Hinblick auf ihre Datenschutzpolitik belohnt.

Der VPRT spricht sich daher gegen eine gesetzliche Regelung speziell für Kinder aus und empfiehlt, diese Frage der Selbst- bzw. Koregulierung zu überlassen, die flexibel auf neue technische Entwicklungen und neue Dienste reagieren und das Regelwerk entsprechend anpassen kann.

c. Standardmuster
Der VPRT ist der Überzeugung, dass die Informationen zum Datenschutz für jeden Sachverhalt und/oder für jedes Medium unterschiedlich gestaltet sein müssen. Die Einführung eines EU-Standardmusters könnte daher nur sehr holzschnittartige Informationen bereit stellen, die dann jedoch ggf. noch weiter ergänzt werden müssten. Selbstregulierung könnte hier verlässliche sektorspezifische Lösungen schaffen. Insbesondere im Online-Bereich hält der VPRT ein solches Formular nicht für praktikabel. Im Falle von Third Party Cookies[4] wird die Einführung eines einheitlichen Logos diskutiert.

Die Einführung eines europäischen Standardmusters lehnt der VPRT daher ab.

d. Einführung einer Anzeigepflicht
# # Die Kommission wird prüfen:
- die Modalitäten für die Einführung einer allgemeinen Anzeigepflicht für Datenschutzverstöße in der allgemeinen Datenschutzregelung, einschließlich der Adressaten solcher Anzeigen und der Umstände, die eine Anzeigepflicht begründen. # #

Für die elektronischen Kommunikationsdienste führt die E-Privacy-Richtlinie eine Anzeigepflicht für Datenschutzverstöße ein. Eine solche Anzeigepflicht für schwere Verstöße gegen den Schutz sensibler Daten wie z.B. Kontodaten ist in Deutschland in § 42 a BDSG geregelt.

Der VPRT möchte zu bedenken geben, dass nicht jeder Verstoß eine Anzeigepflicht auslösen darf, sondern nur schwere Verstöße gegen den Schutz sensibler Daten erfasst sein sollten.

3. Bessere Kontrolle des Einzelnen über seine Daten

# # Die Kommission wird daher Möglichkeiten prüfen, um
- das Prinzip der Datensparsamkeit zu stärken;
- die Modalitäten für die Wahrnehmung der Rechte auf Zugang zu Daten, auf deren Berichtigung, Löschung oder Sperrung zu verbessern (z. B. durch Einführung einer Antwortfrist für diesbezügliche Anträge, durch Zulassung technischer Lösungen, mit denen die Rechte auf elektronischem Weg wahrgenommen werden können, oder durch eine Vorschrift, wonach das Zugriffsrecht grundsätzlich gebührenfrei zu gewähren ist);
- das sogenannte Recht auf Vergessen („right to be forgotten“) zu präzisieren, also das Recht von Personen, dass ihre Daten nicht länger verarbeitet und gelöscht werden, wenn sie nicht mehr für einen rechtmäßigen Zweck gebraucht werden. Dies ist beispielsweise der Fall, wenn die Verarbeitung auf der Grundlage der Zustimmung einer Person zur Verarbeitung erfolgt und wenn diese Person ihre Zustimmung zurückzieht oder wenn die Vorhaltefrist abgelaufen ist;
- die Rechte des von der Verarbeitung Betroffenen zu erweitern, in dem die „Datenübertragbarkeit“ sichergestellt wird, also das Recht des Einzelnen, seine Daten (z. B. Fotos oder Freundeverzeichnisse) auf einer Anwendung oder einem Dienst zurückzuholen und die zurückgeholten Daten auf eine andere Anwendung oder einen anderen Dienst zu übertragen, sofern dies technisch möglich ist, ohne von dem für die Verarbeitung Verantwortlichen daran gehindert zu werden. # #

a. Prinzip der Datensparsamkeit
Das Prinzip der Datensparsamkeit, wie es in der Richtlinie geregelt ist, hat sich bewährt. In Deutschland findet sich dieses auch vom Bundesverfassungsgericht geprägte Recht in § 3a BDSG. Eine darüber hinausgehende Regelung lehnt der VPRT ab.

Der VPRT sieht keinen Änderungsbedarf für die Vorgaben zur Datensparsamkeit.

b. Rechte auf Zugang zu Daten, auf deren Berichtigung, Löschung oder Sperrung
Bereits heute hat ein Verbraucher mit Blick auf bestehende europäische und nationale Regelungen ausreichend Möglichkeiten, seine Daten zu kontrollieren und bei Bedarf wieder zu löschen oder löschen zu lassen. Aus Sicht des VPRT bestehen daher Zweifel, ob eine Stärkung dieses Rechts  bzw. die Einführung eines eigenen Rechtsanspruchs überhaupt erforderlich und zielführend sind. Sollte hier eine Regelung getroffen werden, die über das bestehende Regelwerk hinausgeht, müsste zwingend zwischen den Fällen unterschieden werden, in denen ein Verbraucher persönliche Daten preisgibt, um diese ohne erkennbare Verpflichtung im Internet bereitzuhalten (zum Beispiel über soziale Netzwerke wie Facebook) und Fällen, in denen einem Unternehmen die für eine Kundenbeziehung oder einen Geschäftsabschluss erforderlichen Daten zur Verfügung gestellt werden (zum Beispiel für einen Vertragsabschluss über Online-Portale oder Abo-Angebote).

Während es plausible Gründe geben mag, die bei sozialen Netzwerken eingestellten Daten umgehend löschen zu wollen, sieht dies bei Unternehmensdaten anders aus. Hier wird es Unternehmen im Einzelfall schlicht nicht möglich sein, den Wünschen der Verbraucher immer nachzukommen, da sich Unternehmen beispielsweise an gesetzliche „Aufbewahrungspflichten“ zu halten haben oder Daten zu Nachweiszwecken archiviert werden müssen. Auch Daten, die für die Erhebung und Erstellung von Statistiken benutzt werden, können nicht ohne Weiteres nachträglich gelöscht werden.

c. Recht auf Vergessen / right to be forgotten
Die Ausführungen zur Löschung und Sperrung bestimmter Daten gelten auch für die Frage der Einführung des Rechts, vergessen zu werden.
Für Daten in sozialen Netzwerken, für die es keine gesetzlichen Aufbewahrungspflichten gibt, könnte sich der VPRT allenfalls vorstellen, dass im Wege einer Selbstverpflichtung oder durch den Verbraucher selbst einzelfall- und dienstespezifisch Verfallsdaten für bestimmte Daten eingeführt werden, nach deren Ablauf bestimmte Daten automatisch gelöscht werden, so dies technisch möglich ist.
Verfallsdaten sind auch im Bereich der sozialen Netzwerke kritisch zu sehen. Viele Nutzer verwenden soziale Netzwerke gerade zu einer dauerhaften Darstellung ihrer Person. Auch wenn es vorkommen kann, dass Profile und Netzwerke über Monate nicht genutzt werden, besteht im Regelfall dennoch ein Interesse des Nutzers daran, dass seine Daten weiter erhalten bleiben. Viele Nutzer sind gar nicht unbedingt besonders aktiv, sondern nutzen soziale Netzwerke, um „auch dabei zu sein“. Hier ist es schwierig, welche Fristen gelten sollen. Ein Löschen von Daten nach starren, auch dienstespezifischen Fristen könnte dem Willen der Nutzer widersprechen und wäre kontraproduktiv, da sie in sozialen Netzwerken zumeist nachhaltig präsent sein und nicht nach einer vordefinierten Zeit wieder vergessen werden wollen.

d. „Datenübertragbarkeit“
Eine Sicherstellung der Datenübertragbarkeit mag grundsätzlich auf Interesse der Nutzer stoßen. Ein echtes Bedürfnis nach einem Recht zur Mitnahme von Daten ist am Markt derzeit indes nicht festzustellen. Ein solches Recht hätte im Kern auch nicht den Daten- bzw. Verbraucherschutz zum Gegenstand, sondern stellte sich vielmehr als eine Art „Datenservice“ dar.
Vor diesem Hintergrund sieht der VPRT ein Recht zur Mitnahme der Daten bei einem Wechsel des Anbieters kritisch, zumal eine solche Datenübertragung einen erheblichen Administrations- und Kostenaufwand bedeuten würde.

Soziale Netzwerke leben von der Verbindung vieler Nutzer mit anderen Nutzern. Diese verbinden sich – bewusst oder unbewusst – in der Regel in einem speziellen Netzwerk mit bestimmten anderen Nutzern. Ein Recht zur Datenmitnahme stieße hier also auf nicht zu unterschätzende Schwierigkeiten in der praktischen Durchsetzung, da persönliche Datensätze eines Nutzers oftmals zugleich persönliche Daten anderer Nutzer enthalten, die ebenfalls ihre Zustimmung zur Übertragung erteilen müssten.

All diese – für soziale Netzwerke charakteristischen – Verbindungen müssten also von der Datenübertragung ausgenommen werden. Dabei ist kaum mehr nachzuvollziehen, von wem welche Daten stammen.

Der VPRT lehnt ein generelles Recht zur Datenübertragbarkeit ab.

4. Bewusstsein fördern
# # Die Kommission wird Folgendes sondieren:
- die Möglichkeit der Kofinanzierung von Aufklärungsmaßnahmen zum Thema Datenschutz mit Mitteln aus dem EU-Haushalt;
- die Notwendigkeit einer einschlägigen Verpflichtung in der Datenschutzregelung zu Aufklärungsmaßnahmen und die Möglichkeiten, die die Regelung dazu bietet. # #

Aus Sicht des VPRT ist die Aufklärung über den Umgang mit persönlichen Daten der Schlüssel für einen effektiven Datenschutz. Bürger und insbesondere auch Kinder und Jugendliche müssen lernen, sorgsam mit ihren eigenen Daten umzugehen.

Die Mitglieder des VPRT setzen sich daher schon lange für die Förderung der Medienkompetenz ein. Sie engagieren sich beispielsweise bei Media Smart, Frag Finn und anderen Initiativen, die sich für Aufklärung und Wissensaufbau in den Medien einsetzen.

In Deutschland befassen sich die Landesmedienanstalten und der Bundestag in der Projektgruppe Medienkompetenz der Enquetekommission Internet und digitale Gesellschaft mit diesem Thema. Der Datenschutz sollte ausdrücklich in das Themenportfolio dieser Projekte aufgenommen werden.

Der VPRT befürwortet jede Initiative zur Förderung der Medienkompetenz.

 
5. Einwilligung
# # Die Kommission wird prüfen, wie die Bestimmungen über die Einwilligung präzisiert und gestärkt werden können. # #

Aus Sicht des VPRT hat sich die bestehende Regelung der Artikel 2 lit. h) und 7 lit a) zur Einwilligung bewährt. Die Vorgaben sind technologieneutral und dadurch entwicklungsoffen auf künftige Dienste und Technologien anwendbar. In Deutschland legt § 4a BDSG die Voraussetzungen für eine wirksame Einwilligung fest.

Artikel 14 der Datenschutzrichtlinie schafft einen ausgewogenen Ausgleich zwischen den Interessen des Verbrauchers und dem berechtigten Interesse an einer Datenverarbeitung im Bereich des Marketings.

Die Praxis, nicht auf die ausdrückliche, sondern auf die zweifellose Einwilligung abzustellen, ist insbesondere dann von Vorteil, wenn die Einholung einer schriftlichen Einwilligung vorab nicht möglich ist, der Verbraucher aber bereits durch sein Verhalten eindeutig zu verstehen gibt, dass er der Weitergabe seiner Daten zustimmt bzw. die weitere Verarbeitung der Daten in dem entsprechenden Umfang auch wünscht. Eine ausdrückliche Einwilligung würde hier nur einen zusätzlichen Formalismus vorschreiben, mit dem keiner Seite gedient wäre.

Cookies
Cookies werden lokal generiert und auf dem Endgerät gespeichert. Sie können ausgelesen, verwertet und geändert werden. Die auf Cookies gespeicherten Daten lassen in der Regel keinen Rückschluss auf die dahinter stehende Person zu. Anders als von der Artikel 29-Datenschutzgruppe in ihrer Stellungnahme vom 22. Juni 2010 suggeriert[5], handelt es sich bei den auf Cookies gespeicherten Daten generell nicht um persönliche Daten im Sinne der Datenschutzrichtlinie.

Bei nachfolgenden weiteren Zugriffen auf den Webserver sucht der eigene Browser alle Cookies in dieser Datei heraus, die zum Webserver und Verzeichnispfad des aktuellen Aufrufs passen, und schickt diese Cookie-Daten im Header des HTTP-Zugriffs mit zurück. Cookies dürfen jeweils nur an jenen Webserver zurückgehen, von dem sie stammten. Dies hilft dem Nutzer, der seine Nutzerdaten nicht bei jedem Besuch einer von ihm genutzten Webseite erneut eingeben muss. Sogenannte Http-Cookies werden ausschließlich vom Nutzer verwaltet, der entscheidet, ob ein Cookie gespeichert wird und/oder ob und wann er gelöscht wird. Flash-Cookies können vom Verbraucher manuell oder teils mit Hilfe spezieller Software (Flash-Cookie-Killer, CCleaner) gelöscht werden.

Eine generelle Verpflichtung zur Einwilligung zum Setzen von Cookies (Opt-In) würde das Surfen im Internet nachhaltig beeinträchtigen. Der Benutzer müsste bei jedem Aufruf einer Webseite das Setzen eines Cookies durch einen Click akzeptieren oder ablehnen. Dies würde die Aufmerksamkeit des Verbrauchers von seinem eigentlichen Vorhaben im Internet ablenken, das Surfen unterbrechen und viel Zeit kosten.
Der VPRT setzt sich dafür ein, den Verbraucher besser in die Lage zu versetzen, über die Zulässigkeit der Verwendung von Cookies zu entscheiden. Die Industrie wird durch eine Transparenzinitiative im Wege der Selbstregulierung dazu beitragen. Die Regierungen sind gehalten, den Nutzer über Programme zur Steigerung von Medien- bzw. Datenschutzkompetenz zu schulen.

Der VPRT setzt sich für die Beibehaltung eines flexiblen Datenschutzregimes ein. Eine Änderung der Bestimmungen über die Einwilligung hält der VPRT nicht für geboten.

6. Schutz sensibler Daten
# # Die Kommission wird prüfen,
- ob andere Datenkategorien, beispielsweise Gendaten, als sensible Daten eingestuft werden sollten;
- ob die Voraussetzungen für die Zulassung der Verarbeitung bestimmter Kategorien sensibler Daten präzisiert und harmonisiert werden sollten. # #

Die Mitglieder des VPRT sind von diesen Vorgaben nicht betroffen.

7. Wirksamere Rechtsbehelfe
# # Die Kommission wird prüfen,
- ob die Befugnis zur Klage bei nationalen Gerichten auch auf Datenschutzbehörden und Verbände der Zivilgesellschaft sowie andere Verbände, die die Interessen der von der Verarbeitung Betroffenen vertreten, ausgedehnt werden kann;
- untersuchen, ob die bestehenden Sanktionsregelungen verschärft werden sollten, beispielsweise durch strafrechtliche Sanktionen bei ernsten Datenschutzverletzungen, damit die Sanktionen mehr Wirkung zeigen.# #

a. Erweiterung der Klagebefugnis
Für die Kontrolle des Datenschutzes sind die Datenschutzbeauftragten der Länder und der Bundesdatenschutzbeauftragte zuständig (vgl. § 4 f BDSG). Verbraucherschutzverbände sind nicht per se für die Überwachung des Datenschutzes zuständig. Über das Gesetz zum Unlauteren Wettbewerb, UWG, haben Verbraucherschutzverbände in Deutschland jedoch bereits eine Klagebefugnis auch im Hinblick auf bestimmte Datenschutzverstöße. Eine weitergehende Klagebefugnis lehnt der VPRT ab.

Der VPRT lehnt eine Ausdehnung der Klagebefugnis in Bezug auf die Verletzung von Datenschutzvorgaben auf Verbraucherschutzverbände ab.

b. Verschärfung der Sanktionsregelungen
Der VPRT lehnt eine Verschärfung der Sanktionen ab. Sollte dennoch eine Verschärfung in Betracht gezogen werden, muss dies auch für Verletzungen des Datenschutzes durch den Staat gelten.

II. Stärkung des Binnenmarktes

1. Rechtssicherheit und gleiche Bedingungen für die Verantwortlichen für die Datenverarbeitung

# # Die Kommission wird Ansätze für eine weitere Harmonisierung der Datenschutzbestimmungen auf EU-Ebene prüfen. # #

Deutsche Unternehmen müssen im Vergleich mit Unternehmen aus anderen Mitgliedstaaten ein besonders hohes Datenschutzniveau einhalten, das einen erheblichen Mehraufwand erfordert und dadurch Wettbewerbsnachteile schafft. Zudem verhindert das hohe Datenschutzniveau den Export dieser Daten und damit den freien Verkehr der Daten.

Der VPRT begrüßt daher eine weitere Harmonisierung der Datenschutzvorgaben, um diese  Wettbewerbsnachteile zu verringern. Ein effektiverer Vollzug der bestehenden Vorgaben könnte hierzu ein erster Schritt sein.

Um eine einheitlichere Anwendung der Datenschutzvorgaben in der EU zu erreichen, sollten die Belange der Wirtschaft in der Artikel 29-Datenschutzgruppe angemessen berücksichtigt werden. Dies war bislang nicht der Fall.

Der VPRT setzt sich für einen effektiveren Vollzug der Datenschutzvorgaben in den Mitgliedstaaten und für eine angemessene Einbeziehung der Interessen der Wirtschaft in der Artikel 29-Gruppe ein.

2. Verringerung des Verwaltungsaufwandes
# # Die Kommission wird verschiedene Möglichkeiten für eine Vereinfachung und Harmonisierung der derzeitigen Melderegelung prüfen, darunter die Einführung eines EU-weit einheitlichen Registrierungsformulars. # #

Der VPRT begrüßt grundsätzlich jeglichen Abbau von unnötiger Bürokratie.
 
3. Klärung der Bestimmung über das anwendbare Recht und der Verantwortung der Staaten
# # Die Kommission wird prüfen, wie die geltenden Vorschriften über das anwendbare Recht sowie die Kriterien zu dessen Bestimmung geändert und präzisiert werden können, um für mehr Rechtssicherheit zu sorgen, um die Zuständigkeit der Mitgliedstaaten für die Anwendung der Datenschutzvorschriften zu klären und um letztlich den von der Verarbeitung Betroffenen in der EU unabhängig vom geografischen Standort des für die Verarbeitung Verantwortlichen stets ein gleiches Schutzniveau zu garantieren. # #

Der VPRT begrüßt eine Klarstellung im Hinblick auf das anzuwendende Recht. Innerhalb der EU setzt sich der VPRT für die Festlegung des Niederlassungsprinzips ein.

Der VPRT setzt sich für einen fairen Wettbewerb auch mit Unternehmen aus Drittstaaten ein. Das europäische Datenschutzrecht darf keine Hürden schaffen, die Unternehmen der Gemeinschaft unverhältnismäßig benachteiligen.

4. Mehr Verantwortung der für die Datenverarbeitung Verantwortlichen und Privacy by Design
# # Die Kommission wird folgende Maßnahmen prüfen, um die Verantwortung der für die Verarbeitung Verantwortlichen zu stärken:
– verpflichtende Benennung eines unabhängigen Datenschutzbeauftragten und Harmonisierung der Bestimmungen über dessen Aufgaben und Zuständigkeiten, wobei zur Vermeidung eines übermäßigen Verwaltungsaufwands vor allem für kleine und kleinste Unternehmen angemessene Schwellen in Erwägung zu ziehen wären;
– Einführung – in der Datenschutzregelung – der Pflicht der für die Verarbeitung Verantwortlichen zur Durchführung einer Datenschutzfolgenabschätzung in bestimmten Fällen, wenn beispielsweise sensible Daten verarbeitet werden oder wenn die jeweilige Verarbeitung mit besonderen Risiken verbunden ist, insbesondere beim Einsatz bestimmter Technologien, Systeme und Verfahren, darunter bei der Erstellung von Profilen oder Videoüberwachung;
– weitere Förderung von Technologien zum Schutz der Privatsphäre und der Möglichkeiten für die konkrete Umsetzung des Privacy-by-Design-Konzepts. # #

a. Verantwortung
Der VPRT möchte darauf hinweisen, dass unzumutbarer Verwaltungsaufwand durch die Schaffung zusätzlicher Pflichten zur Bestellung von Datenschutzbeauftragten vermieden werden muss.

Das bestehende Datenschutzrecht berücksichtigt nicht die Organisation von großen Unternehmen in der Form eines Konzerns. In der Praxis führt diese Regelungslücke zu zahlreichen Problemen. Da es kein Konzernprivileg gibt, müssen Konzerne zur rein internen Organisation der Datenflüsse im Konzern interne Rahmenverträge über die Auftragsdatenverarbeitung und darauf aufbauende Einzelverträge schließen. Dadurch entsteht ein erheblicher Verwaltungsaufwand. Zudem gibt es keine gesetzliche Regelung für einen Konzerndatenschutzbeauftragten, was für den Datenschutzbeauftragten, der für die Gesellschaften des Konzerns bestellt ist, zu Rechtsunsicherheit führt. Der VPRT setzt sich daher für die Einführung eines Konzernprivilegs und die Möglichkeit zur Bestellung eines Konzerndatenschutzbeauftragten ein.

b. Privacy by Design
Der VPRT setzt sich für die Beibehaltung der Technologieneutralität der Richtlinie ein. Nur so kann die Richtlinie auf künftige Dienste und Technologien Anwendung finden. Das Thema Privacy by Design sollte nach Auffassung des VPRT in Zusammenhang mit dem Begriff der Einwilligung diskutiert werden, da bestimmte Voreinstellungen in Geräten, die beispielsweise das Setzen von Cookies verhindern, einem generellen Opt-In gleichkommen.

Der VPRT hat Bedenken, dass eine gesetzliche Ausformung eines Privacy-by-Design-Prinzips bestimmte Werbeformen und damit die Finanzierung von Inhalten unterbindet. Aus Sicht des VPRT sollte es dem aufgeklärten Bürger überlassen bleiben, die für ihn passenden Datenschutzeinstellungen im Browser oder bei anderen künftigen Geräten einzurichten. Sollte dieses Prinzip dennoch in eine künftige Richtlinie aufgenommen werden, so bedarf es einer weitergehenden Klarstellung.

Die Industrie leistet im Gegenzug ihren Beitrag zur besseren Information des Verbrauchers. Dabei sollte der Nutzer die Information zum Datenschutz an der Stelle erhalten, an der die Daten verarbeitet werden. Dies könnte bei Cookies, insbesondere bei Third Party Cookies, die von Werbeträgern geschalten werden, die nicht mit dem Webseitenbetreiber in einem Vertragsverhältnis stehen, durch einen interaktiven Button in Verbindung mit einem im besten Falle europaweit einheitlichen Logo erfolgen. Eine solche Selbstregulierung wird gerade national und europäisch ins Leben gerufen.

Ein solches Vorgehen eröffnet dem Nutzer die größtmögliche Freiheit, über den Umgang mit seinen Daten zu bestimmen. Gleichzeitig ist dieses System offen für künftige Geschäftsmodelle und/oder Technologien und damit auch für die Finanzierung von Inhalten, die dem Verbraucher dann unentgeltlich zur Verfügung stehen. Die Selbstregulierung kann ihre Vorgaben zügig und flexibel auf diese neuen Geschäftsmodelle und/oder Technologien anpassen und so zu einem hohen Datenschutzniveau beitragen.

Vor diesem Hintergrund sollt der Schwerpunkt der Aktivitäten zum besseren Umgang mit persönlichen Daten auf die Förderung der Medien- und Datenschutzkompetenz und der Förderung der Selbstregulierung gelegt werden.

Der VPRT lehnt eine Regelung zu Privacy by Design ab, da dies unter Umständen in die Freiheit des Bürgers zur Bestimmung über den Umgang mit seinen Daten und die Freiheit der Unternehmen zur Entwicklung neuer Geschäftsmodelle unverhältnismäßig eingreift. Der VPRT plädiert dafür, den Schwerpunkt hier auf die Förderung der Medien- und Datenschutzkompetenz sowie der Selbstregulierung zu legen.
 

5. Förderung der Selbstregulierung und Möglichkeit der Zertifizierung durch die EU
# # Die Kommission wird prüfen,
- die Möglichkeiten zur verstärkten Förderung von Initiativen zur Selbstregulierung , darunter die aktive Förderung von Verhaltenskodizes;
- die Möglichkeit der Einführung von EU-Zertifizierungsregelungen für den Schutz der Privatsphäre und den Datenschutz sondieren. # #

a. Selbstregulierung
Der VPRT begrüßt, dass die Europäische Kommission Initiativen zur Selbstregulierung fördern will.

Aus Sicht des VPRT sollte auch im Bereich des Datenschutzes nicht der Weg einer staatlichen Kontrolle gewählt, sondern vielmehr die Selbstkontrolle im Bereich Datenschutz auf der Ebene der Mitgliedstaaten gestärkt werden. Dies sollte in der Form geschehen, dass für Unternehmen Anreize zu einem verstärkten Einsatz von Selbstregulierungsmechanismen geschaffen werden, die nicht neben, sondern anstelle rechtlicher bzw. gesetzlicher Regelungen anzuwenden wären.

So ist die in Deutschland gut funktionierende Werbeselbstkontrolle des Deutschen Werberats[6] ein Beleg dafür, dass freiwillige Selbstkontrolle durchaus geeignet ist, den Regelungen zu einer effektiven Umsetzung zu verhelfen, da alle Beteiligten aufgerufen werden, sich aktiv mit den Regelungen auseinanderzusetzen und deren Einhaltung gegenseitig zu kontrollieren. Außerdem bieten branchenweite Regelungen die Möglichkeit, dass diese nicht an den nationalen Grenzen halt machen und so langfristig zu einem einheitlichen europäischen oder auch international gelebten Standard beitragen können. Schließlich bietet die freiwillige Selbstkontrolle den Vorteil der größtmöglichen Flexibilität und ermöglicht schnelleres Handeln.

In Deutschland sieht §38a BDSG eine Selbstregulierung im Bereich des Datenschutzes vor. Eine solche Selbstregulierung macht jedoch nur Sinn, wenn sie einen Mehrwert zum bestehenden Recht bieten kann. Das Bundesdatenschutzgesetz lässt auf Grund seines enorm hohen Datenschutzniveaus keinen Raum.

b. EU-Zertifizierungsregelungen
Der VPRT sieht die Einführung eines weiteren Zertifizierungssystems für entbehrlich. In Deutschland befindet sich ein Gesetzentwurf zur Stiftung Datenschutz, die ebenfalls in Anlehnung an die Stiftung Warentest, ein Qualitätssiegel vergeben soll, in der Ressortabstimmung. Der VPRT befürchtet, dass die geplante Stiftung nicht nur inhaltlich, sondern auch finanziell erhebliche Auswirkungen auf die Werbewirtschaft haben wird, zumal offenbar geplant ist, dass die Wirtschaft die Kosten für die Einrichtung übernimmt.

Eine Vielzahl von Zertifizierungssiegeln trägt aus Sicht des VPRT zu Verunsicherung des Verbrauchers bei. Die Einführung eines zusätzlichen europäischen Siegels bildet daher keinen Mehrwert und wird vom VPRT abgelehnt.

III. Bereich der polizeilichen und justiziellen Zusammenarbeit

# # Die Kommission wird prüfen,
- die Einbeziehung der Bereiche der polizeilichen und justiziellen Zusammenarbeit in Strafsachen in den Anwendungsbereich der allgemeinen Datenschutzbestimmungen, und zwar auch bei einer rein innerstaatlichen Verarbeitung, gegebenenfalls bei gleichzeitiger Einführung harmonisierter Einschränkungen bestimmter Datenschutzrechte von Personen, z. B. hinsichtlich des Zugriffsrechts oder des Transparenzprinzips;
- prüfen, ob die neue allgemeine Datenschutzregelung besondere, harmonisierte Vorschriften enthalten sollte, beispielsweise für den Datenschutz bei der Verarbeitung von Gendaten zu strafrechtlichen Zwecken oder unterschiedliche Vorschriften für verschiedene Gruppen von Betroffenen (Zeugen, Verdächtigte usw.) im Bereich der Zusammenarbeit zwischen den Polizeibehörden und der justiziellen Zusammenarbeit in Strafsachen;
- 2011 eine Konsultation aller interessierten Kreise durchführen, um ihre Meinung zu den bestehenden Verfahren zur Änderung des derzeitigen Kontrollsystems im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen einzuholen und so eine wirksame, kohärente Datenschutzkontrolle in den Einrichtungen, Ämtern und Agenturen der EU sicherzustellen;
- prüfen, ob die in einzelnen Rechtsakten enthaltenen sektorspezifischen EU-Vorschriften für die polizeiliche und justizielle Zusammenarbeit in Strafsachen langfristig an die neue allgemeine Datenschutzregelung angepasst werden sollten. # #

Der VPRT begrüßt die Zusammenführung der Vorgaben für Unternehmen und für den Staat.

IV. Globale Dimension

1. Klärung und Vereinfachung der Bestimmungen über internationale Datentransfers
# # Die Kommission wird prüfen, wie
- die bestehenden Verfahren für den internationalen Datentransfer, darunter rechtsverbindliche Instrumente und verbindliche unternehmensinterne Vorschriften, verbessert und koordiniert werden können, um ein einheitlicheres und kohärenteres Vorgehen der EU gegenüber Drittländern und internationalen Organisationen sicherzustellen;
- das Verfahren der Kommission zur Prüfung der Angemessenheit präzisiert und geeignete Kriterien und Anforderungen für die Bewertung des Datenschutzniveaus in einem Drittland oder in einer internationalen Organisation festgelegt werden können;
- wie die zentralen Elemente des Datenschutzes zu definieren sind, die für alle Arten von internationalen Übereinkommen verwendet werden können. # #

Der VPRT plädiert dafür, dass europäische Unternehmen nicht auf Grund eines unverhältnismäßig hohen Datenschutzniveaus im Vergleich zu Unternehmen aus Nicht-EU-Staaten diskriminiert werden.

2. Förderung universeller Grundsätze
# # Die Kommission wird
- sich weiterhin für die Festlegung hoher rechtlicher und technischer Datenschutzstandards in Drittländern und auf internationaler Ebene einsetzen;
- sich auf internationaler Ebene für den Grundsatz der Gegenseitigkeit des Schutzes einsetzen, vor allem beim Export von Daten der von der Verarbeitung Betroffenen aus der EU in Drittländer;
- dazu enger mit Drittländern und internationalen Organisationen zusammenarbeiten, darunter mit der OECD, dem Europarat, den Vereinten Nationen und anderen regionalen Organisationen;
- die Entwicklung internationaler technischer Normen durch Normungsorganisationen wie CEN und ISO aufmerksam verfolgen, um sicherzustellen, dass diese die Rechtsvorschriften sinnvoll ergänzen und die Umsetzung und wirksame Anwendung der wichtigsten Datenschutzvorschriften gewährleisten helfen. # #

Der VPRT setzt sich dafür ein, dass weltweit ein vergleichbares Datenschutzniveau erreicht wird. Auch hier sollten Unternehmen aus EU-Mitgliedstaaten nicht diskriminiert werden.

V. Verstärkter institutioneller Rahmen zur besseren Durchsetzung der Datenschutzvorgaben

# # Die Kommission wird prüfen,
- wie die Rechtsstellung und die Befugnisse der nationalen Datenschutzbehörden in der neuen Regelung gestärkt, präzisiert und harmonisiert werden können, darunter auch durch die uneingeschränkte Durchsetzung des Grundsatzes der völligen Unabhängigkeit;
- wie die Zusammenarbeit und Abstimmung zwischen den Datenschutzbehörden verbessert werden kann;
- wie eine kohärentere Anwendung der Datenschutzvorschriften der EU im gesamten Binnenmarkt sichergestellt werden kann. Beispielsweise kommen folgende Maßnahmen in Frage: Stärkung der Rolle der nationalen Datenschutzbeauftragten, bessere Koordinierung ihrer Tätigkeiten über die Datenschutzgruppe (die transparenter werden sollte) und Einführung eines Verfahrens zur Sicherstellung einer einheitlichen Praxis im Binnenmarkt unter der Zuständigkeit der Europäischen Kommission. # #

Der VPRT setzt sich dafür ein, dass die Artikel 29-Gruppe transparenter agiert und die Interessen der Unternehmen in ihre Betrachtungen einbezieht.
Eine weitergehende Institutionalisierung der Artikel 29-Gruppe lehnt der VPRT ab.

 
SONSTIGES: Artikel 9 Datenschutzrichtlinie - Meinungsfreiheit

Aus Sicht des VPRT wahrt Artikel 9 der Datenschutzrichtlinie das Gleichgewicht zwischen dem Schutz personenbezogener Daten und dem Grundrecht auf Meinungsfreiheit und sollte unverändert beibehalten werden.

Berlin, 14. Januar 2011

[1] IVW, AGOF, InfOnline

[2] http://www.gesetze-im-internet.de/bundesrecht/bdsg_1990/gesamt.pdf

[3] http://www.fsm.de/inhalt.doc/Empfehlungen_Kinderseiten.pdf

[4] Cookies, die von anderen als den Webseitenverantwortlichen gesetzt werden

[5] http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_de.pdf

[6]  http://www.werberat.de/


additional information

Kontakt

Julia Maier-Hauff

Senior Counsel European Affairs / Syndikusrechtsanwältin
Keyfacts RFM
Banner Newsletter Subpage

contentarea bottom