EU-Datenschutzgrundverordnung: Experten fordern klare Regeln für Datentransfer in Drittstaaten

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat an die EU appelliert, bei der kommenden Datenschutzgrundverordnung (EU-DSGVO) den Datentransfer zwischen EU-Ländern und Drittstaaten klar zu regeln. “Für grenzüberschreitende, personenbezogene Daten benötigen wir verlässliche, voraussehbare Regelungen”, heißt es in einem jetzt veröffentlichten Positionspapier (PDF). Sowohl Einzelpersonen sowie die Wirtschaft, müssten wissen, woran sie sind – wobei Ausnahmen durchaus möglich seien. Dies dürfe aber nicht dazu führen, dass sich EU-Regelungen “mit einer geschickten juristischen Argumentation” umgehen lassen.

Am Entwurf der EU-Kommission (PDF) begrüßt der Verband, der gut 800 Mitglieder vertritt, dass es auch künftig für Unternehmen die Möglichkeit geben soll, mittels standardisierter beziehungsweise hoheitlich genehmigten Verträgen die Datenverarbeitung oder den Datentransfer in Drittstaaten zu ermöglichen. Ein derartiges Abkommen ist beispielsweise das derzeit oft bemühte Safe Harbour Agreement mit den USA. Sorgen machen dem Verband aber die “internationalen Abhängigkeiten in der vernetzten Wirtschaft bei zunehmendem Einsatz von internationalen IT-Spezialisten.” Abweichung vom Standard zum Beispiel bei Analyse und Lösung technischer Probleme durch Zusammenarbeit mit internationalen Spezialisten, könne nur dann effektiv funktionieren, wenn die Voraussetzungen dafür klar definiert sind.

Der BvD verlangt daher eine klare und praktikable Regelung, “wie die EU bei hoheitlichen Datenanforderungen aus Drittstaaten den Datenschutz sichern könne”. In dem Positionspapier wird auch angemahnt, Vorkehrungen dafür zu treffen, dass EU-Behörden bei kollidierenden Rechtsordnungen unmittelbar und schnell mit ausreichender Kompetenz reagieren können.

Ausdrücklich begrüßt der BvD dagegen den Vorschlag des EU-Parlaments, dass bei Anfragen von Drittstaaten die europäischen Aufsichtsbehörden zur Klärung einzuschalten sind. Allerdings wünscht er sich noch eine Klärung der Frage, ob dies auch für Dienstleister gelte, deren Auftraggeber außerhalb der EU sitzen.

Am Dienstag setzen EU-Kommission, EU Parlament und Europäischer Rat ihre Gespräche über die EU-DSGVO fort. Der Entwurf war bereits im März 2014 vom Parlament mit 621 zu 10 Stimmen abgesegnet worden. Die DSGVO soll die aktuell noch geltenden, aus dem Jahr 1995 stammenden Datenschutzregeln ebenso ablösen wie die jeweiligen nationalen Bestimmungen der EU-Mitgliedsstaaten. Diese werden dann künftig jedoch nicht mehr in der Lage sein, in ihrer nationalen Gesetzgebung höhere Datenschutzstandards festzusetzen.

DigitalEurope, ein Interessensverband der Elektronikbranche, fürchtet durch die EU-Pläne eine Überregulierung und sieht Einschränkungen in Europas Fähigkeit, aus neuen Nutzungsformen von Daten Vorteile zu ziehen. Die EU-Kommission hält dagegen, dass durch die Vereinheitlichung der Datenschutzverordnung europäische Firmen bis zu 2,3 Milliarden Euro einsparen könnten. Zum anderen soll sie den EU-internen Datenverkehr vereinfachen. Allerdings sieht der Entwurf auch härtere Strafen bei Verstößen vor und soll Bürgern umfassendere Auskunftsrechte bescheren.

Der BvD hatte bereits im Mai darauf hingewiesen, dass insbesondere für KMU bei den Bemühungen der EU, die Datensammelwut der Großen zu beschränken erhebliche Kollateralschäden drohen. Bundesdatenschutzbeauftragte Andrea Voßhoff unterstützt grundsätzlich die Bestrebungen, den Datenschutz europaweit zu regeln. Sie pflichtet dem Verband aber bei, dass dabei der Grundsatz der Verhältnismäßigkeit zu beachten sei. Ihrer Auffassung nach seien zum Beispiel Erleichterungen für Kleinstunternehmen denkbar, “bei denen die Verarbeitung personenbezogener Daten nur ein untergeordneter Nebenzweck ist.”