Der EU-Ministerrat betrachtet den Datenschutzrahmen als „Erfolg“ und fordert keine Wiederaufnahme der Gesetzgebung, sondern eine umfassende Evaluierung im nächsten Jahr.
Anlässlich des fünfjährigen Inkrafttretens der EU-Datenschutz-Grundverordnung (DSGVO) wurde am Donnerstag (23. November) der von Euractiv eingesehene Standpunkt des Rates zum Status des Datenschutzgesetzes vom Ausschuss der Ständigen Vertreter angenommen.
„Die DSGVO ist weiterhin ein Erfolg. „Die Verordnung hat zu positiven Ergebnissen bei der Harmonisierung des EU-Rechts und der Stärkung einer Datenschutzkultur auf EU- und globaler Ebene geführt“, heißt es in der Position des Rates.
Der Rat erkennt zwar die Erfolge der DSGVO bei der Stärkung von Vertrauen und Rechtssicherheit an, weist jedoch auf mehrere „praktische Umsetzungsherausforderungen“ für private und öffentliche Einrichtungen hin und fordert weitere Klarstellungen und eine Strategie für künftige Entscheidungen zur Datenangemessenheit.
Die europäischen Regierungen haben die Kommission jedoch in dem Überprüfungsbericht, den die EU-Exekutive nächstes Jahr veröffentlichen soll, aufgefordert, eine „übergreifende und umfassende Bewertung“ der Anwendung und Funktionsweise des Datenschutzgesetzes durchzuführen.
Bei ihrer Überprüfung wird die Kommission die Erkenntnisse des EU-Rats, des Parlaments und aller anderen relevanten Gremien berücksichtigen.
Datenschutz
Die Position der Mitgliedstaaten unterstreicht, dass Datenschutz ein „wesentlicher Bestandteil“ verantwortungsvoller Innovation ist und dass der technologieneutrale Ansatz der DSGVO es ihr ermöglicht hat, sich an die Herausforderungen anzupassen, die sich aus der Entwicklung der Technologien ergeben.
Nach Ansicht des Rates deutet die Zahl der in den letzten fünf Jahren eingereichten Beschwerden darauf hin, dass die DSGVO tatsächlich dazu geführt hat, dass Menschen ihre Datenschutzrechte wahrnehmen, und betont, dass die Fähigkeit der nationalen Behörden, diesen Anfragen nachzugehen, weiterhin ein entscheidender Aspekt ist sorgen für eine einheitliche Rechtsanwendung.
Privater Sektor
Der Rat stellt fest, dass private Organisationen, die personenbezogene Daten verarbeiten, ihre Compliance-Bemühungen zunehmend verstärkt haben. Gleichzeitig hat der One-Stop-Shop-Mechanismus der DSGVO zu mehr Rechtssicherheit für Unternehmen und gleichen Wettbewerbsbedingungen in der gesamten EU geführt.
Allerdings weisen die Ergebnisse darauf hin, dass die DSGVO insbesondere bei der Datenverarbeitung mit geringem Risiko zu einer erheblichen Mehrbelastung für KMU geführt hat.
In diesem Zusammenhang fordern die Mitgliedstaaten praktische Instrumente wie Vorlagen und Musterinformationsklauseln, um die Einhaltung kleinerer Organisationen zu erleichtern. Gleichzeitig wird in dem Dokument darauf hingewiesen, dass andere Compliance-Instrumente wie Zertifizierung und Verhaltenskodizes weiter untersucht würden.
Öffentliche Behörden
Der Rat erklärte, dass die DSGVO zu komplexen Prozessen und Auslegungsschwierigkeiten geführt habe, insbesondere wenn öffentliche Stellen Daten untereinander austauschen.
Die Mitgliedstaaten weisen darauf hin, dass der Compliance-Prozess für die lokalen Behörden besonders aufwändig ist und es ihnen auch schwer fällt, Datenschutzbeauftragte zu ernennen, und fordern die Datenschutzbehörden auf, in diesem Sinne praktische Instrumente und Leitlinien zu entwickeln.
Für die europäischen Regierungen haben das Auskunftsrecht nach der DSGVO und die Rechtsgrundlage für Datenverarbeitungstätigkeiten, die zur Erfüllung rechtlicher Verpflichtungen nach EU-Recht erforderlich sind, zu Rechtsunsicherheit bei öffentlichen Stellen geführt.
Spezifische Datenverarbeitung
Für den Rat haben die letzten fünf Jahre die Identifizierung spezifischer Verarbeitungstätigkeiten oder damit zusammenhängender DSGVO-Bestimmungen ermöglicht, die einer weiteren Klarstellung und Orientierungshilfe bedürfen könnten, um eine kohärente Umsetzung zu gewährleisten, beispielsweise die Verarbeitung personenbezogener Daten von Minderjährigen.
Die EU-Länder wünschen sich außerdem mehr Klarheit darüber, unter welchen Bedingungen personenbezogene Daten zu Forschungs- und Archivierungszwecken verarbeitet werden dürfen, und die Konzepte der Anonymisierung und Pseudonymisierung weiter auszubauen.
Der Rat weist außerdem auf die Risiken der Verwendung personenbezogener Daten für die Profilerstellung und Bewertung von Einzelpersonen hin und fordert daher eine Bewertung, ob der aktuelle Rechtsrahmen und seine Anwendung wirksam sind oder ob weitere Leitlinien erforderlich sind, „um Profilierungs- und Bewertungsaktivitäten eindeutig einzuschränken“.
Kooperationsmechanismus
Die Mitgliedstaaten bezeichnen die Einrichtung des Gremiums und die damit verbundenen Verfahren zur Gewährleistung einer einheitlichen Anwendung der DSGVO als „positiven Erfolg“, weisen jedoch darauf hin, dass eine wirksame Durchsetzung, auch gegenüber großen Datenverantwortlichen, für den Schutz personenbezogener Daten unerlässlich ist .
Der Rat weist auf die Notwendigkeit einer Verbesserung der Durchsetzung hin, bleibt jedoch allgemein und erwähnt lediglich den Vorschlag der Kommission zur Harmonisierung der Verwaltungsverfahren.
Internationale Überweisungen
Auf internationaler Ebene stellten die EU-Länder fest, dass Entscheidungen zur Datenangemessenheit maßgeblich dazu beigetragen haben, die DSGVO als globalen Maßstab für den Datenschutz zu positionieren.
„In diesem Zusammenhang fordert der Rat die Europäische Kommission auf, die Transparenz ihres Bewertungsprozesses zu erhöhen und eine umfassende und kohärente Strategie für künftige Angemessenheitsentscheidungen vorzulegen, die auch Möglichkeiten und Vorteile von sektoralen oder subnationalen Angemessenheitsentscheidungen untersuchen sollte“, heißt es in der Mitteilung Text geht weiter.
Die Mitgliedstaaten erkennen zwar den Nutzen von Transferinstrumenten wie Standardvertragsklauseln an, ermutigen aber auch zur Prüfung anderer Optionen wie Verhaltenskodizes, Zertifizierungen und verbindliche Unternehmensregeln.
nationale Gesetzgebung
Was den Spielraum angeht, der den nationalen Rechtsvorschriften zur Festlegung von Rahmenwerken für bestimmte Datenverarbeitungsaktivitäten, wie etwa dem Recht auf Zugang der Öffentlichkeit zu amtlichen Dokumenten, verbleibt, vertritt der Rat die Position, dass sie sich als wirksamer Ansatz erwiesen haben.
Gesetzgeberisches Zusammenspiel
Seit Inkrafttreten der DSGVO hat die EU mehrere wichtige neue digitale Gesetze verabschiedet, darunter den Digital Markets Act, den Digital Services Act, den Data Governance Act, den Data Act und den kommenden AI Act. Der Rat fordert den Vorstand auf, die Zusammenhänge mit der DSGVO zu klären.
[Edited by Nathalie Weatherald]
