Europäischer Rat kritisiert Pläne für zentrale Anlaufstelle in der Datenschutz-Grundverordnung

Einer zentralen Aufsichtsbehörde, wie sie im Entwurf der Datenschutz-Grundverordnung vorgesehen ist, stimmen die EU-Justiz- und Innenminister zwar prinzipiell zu, aber sie sehen auch einigen Nachbesserungsbedarf.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Christiane Schulzki-Haddouti

Die Justiz- und Innenminister der Europäischen Union stimmen dem Prinzip der zentralen Anlaufstelle (one-stop-shop mechanism) im aktuellen Entwurf der Datenschutz-Grundverordnung grundsätzlich zu. Wie aus einem Vermerk der litauischen Ratspräsidentschaft hervorgeht, wird die geplante Ausgestaltung aber von den meisten abgelehnt.

Bisher ist geplant, dass für ein Unternehmen die Datenschutz-Aufsichtsbehörde in dem Land zuständig sein soll, in dem sich dessen Hauptniederlassung befindet. Ein Unternehmen, das in mehreren Mitgliedstaaten niedergelassen ist, soll dann nur noch von einer einzigen Aufsichtsbehörde geprüft werden. Im Falle von Facebook wäre dies jene in Irland, wo die Europazentrale angesiedelt ist. Dort würden dann die Grundsatzentscheidungen über Zweck, Bedingung und Mittel der Verarbeitung personenbezogener Daten getroffen. Für die Unternehmen soll das Prinzip eine Erleichterung darstellen, auch sollen die Rechte der betroffenen Personen besser durchsetzbar sein.

Derzeit ist geplant, dass Betroffene Beschwerden bei jeder nationalen Datenschutzbehörde vorbringen können, doch über die Konsequenzen daraus soll dann nur die zentrale Aufsichtsbehörde entscheiden. Viele Mitgliedstaaten glauben, dass dies die Datenschutzrechte der Betroffenen gefährdet, denn für sie sei die Nähe zur jeweiligen Aufsichtsbehörde wichtig. Außerdem sollten Betroffene eine Entscheidung von ihrer Aufsichtsbehörde erhalten, um diese dann vor eigenen nationalen Gerichten anfechten zu können.

Die Mitgliedstaaten schlagen nun unter anderem vor, dass die Hauptaufsichtsbehörde grundsätzlich allein zuständig sein soll. Nationale Behörden sollen bestimmte Datenverarbeitungen überwachen und kontrollieren können, wenn diese auf dem Gebiet ihres Mitgliedstaats stattgefunden hat. Falls sich die Datenverarbeitung auf mehrere Staaten bezieht, könnten nationale Behörden in einem Mitbestimmungsverfahren einbezogen werden.

Außerdem sollen nationale Behörden, bei denen eine Beschwerde eingegangen ist, bei der Entscheidungsfindung besser eingebunden werden. In einem noch einzurichtenden Europäischen Datenschutzausschuss würden alle nationale Datenschutzbehörden sowie der Europäische Datenschutzbeauftragte zusammengeschlossen. Dieser Ausschuss könnte dann eine Stellungnahme abgeben oder eine Entscheidung fällen.

EU-Kommissarin Viviane Reding zeigte sich kompromissbereit. Auf der heutigen Ratssitzung verwies sie auf den französischen Vorschlag, nach dem die Datenschutzbehörde des Hauptsitzes keine Entscheidung fällen kann, ohne sich zuvor mit den anderen Behörden geeinigt zu haben. Auch hob sie den italienischen Vorschlag hervor, wonach die Datenschutzbehörden, bei denen eine Beschwerde eingeht, der Behörde des Hauptsitzes einen Beschlussentwurf zukommen lassen könnte. Außerdem habe die deutsche Delegation die Kommission daran erinnert, dass sämtliche Datenschutzbehörden miteinbezogen werden könnten, indem die Rolle des Europäischen Datenschutzausschusses verstärkt werde.

Eduardo Ustaran bezweifelt im "Privacy and Information Law Blog" der europäischen Anwaltskanzlei Field Fisher Waterhouse, ob alle Datenschutzbehörden die Position der zuständigen Behörde einfach stillschweigend akzeptieren werden. Tatsächlich hatten sich die deutschen Landesdatenschützer und der Bundesdatenschutzbeauftragte schon im März für eine Beteiligung der örtlich zuständigen Kontrollbehörden ausgesprochen. Außerdem sei "auszuschließen, dass sich Datenverarbeiter ihre Aufsichtsbehörde durch die Festlegung ihrer Hauptniederlassung aussuchen". Caspar Bowden, ehemaliger Datenschutzberater von Microsoft, wies per Twitter darauf hin, dass der irische Datenschutzbeauftragte nur 30 Angestellte hat und damit die Cloud-Datenzentren von Google, Microsoft, Facebook und anderen überwachen müsse. (anw)