EU: Fortschritte bei der Datenschutzgrundverordnung?

Der Rat der Europäischen Union hat nach eigenen Angaben Fortschritte bei der Datenschutzgrundverordnung (DS-GVO) erzielt. Eine Einigung wurde u.a. bei den Prinzipien der Datenweitergabe in Drittstaaten und dem territorialen Gültigkeitsbereich erzielt.

EU-Minister einigen sich auf Eckpunkte

Das Virtuelle Datenschutzbüro veröffentlichte eine Mitteilung, in der die Ergebnisse des EU-Rates mitgeteilt werden. Demnach haben sich die Minister der EU in einigen Eckpunkten der DS-GVO geeinigt. So soll zum einen der Transfer von Daten in Drittstaaten nur erlaubt sein, wenn die EU-Kommission diese als datenschutzrechtlich als in etwa gleichwertig mit der EU betrachte. Dadurch soll ein gewisses Schutzniveau garantiert werden. Zudem sollen bei den exportierenden und empfangenden Unternehmen angemessene Sicherungen vorliegen. Als Beispiel hierfür gelten auch Binding Corporate Rules (BCR), die von einer staatlichen Datenschutzbehörde abgesegnet werden müssen. Ferner sollen auch spezifische Situationen definiert werden, in denen eine Übermittlung der Daten erlaubt sein soll, bspw. zwischen Steuer- und Zollbehörden oder Sozialbehörden.

Einigung bringt keine echten Fortschritte bei der Datenschutzgrundverordnung

Die Einigung der Minister mag zwar ein Fortschritt zur weiteren Umsetzung sein, kommt aber nicht wirklich zu neuen Ergebnissen. Die Aussage, dass Daten nur in als sicher eingestufte Drittstaaten exportiert werden dürfen, ist heute schon Praxis. Auf diesem Grundgedanken basiert auch das Safe Harbor-Abkommen zwischen der EU und den USA. Auch die in Unternehmen erforderlichen Sicherungsmaßnahmen kommen schon zur Anwendung, nämlich in den BCR oder den EU-Standard-Verträgen.  Hinsichtlich des territorialen Geltungsbereiches der DS-GVO soll das „Marktortprinzip“ zur Anwendung kommen. Demnach würde die DS-GVO für Datenexporteure gelten, wenn sie ihre Dienste innerhalb der EU anbieten, egal ob die Verarbeitung der personenbezogenen Daten außerhalb der EU stattfindet. Hinsichtlich der örtlichen Zuständigkeit der Datenschutzbehörden favorisiert der Rat den „one stop shop“-Mechanismus. Demnach würde eine Behörde bei datenschutzrechtlichen Belangen die Führung übernehmen und mit den betreffenden anderen Einrichtungen zusammenarbeiten. Damit bestätigt der Rat weitgehend die Regelung, die schon im Entwurf des Parlaments enthalten war. Soweit der one-stop-shop-Mechanismus nicht durch Letzt-Eingriffsrechte der EU-Kommission wieder ausgehebelt werden kann (so war es im Entwurf des Parlaments noch vorgesehen), könnte dies eine angenehme Erleichterung bei der Klärung der behördlichen Zuständigkeit sein. Folglich stellt die nun erzielte Einigung keine Fortschritte bei der Datenschutzgrundverordnung dar.