EU-Datenschutzgrundverordnung: Trilog-Verhandlungen für Nachbesserungen nutzen

Die Deutsche Kreditwirtschaft (DK) unterstützt grundsätzlich die mit der EU-Datenschutz-grundverordnung beabsichtigte Modernisierung des Datenschutzrechts. Insbesondere wird das gemeinsame Ziel von Parlament und Rat begrüßt, das Datenschutzrecht weiter zu vereinheitlichen, um im EU-Binnenmarkt ein „einheitliches Spielfeld“ für alle Wirtschaftsunternehmen zu schaffen, Hindernisse im EU-Binnenmarkt zu beseitigen und Wettbewerbsverzerrungen zu vermeiden. Nachdem das EU-Parlament bereits im März 2014 Änderungsvorschläge zum Verordnungsentwurf der Kommission von 2012 beschlossen hatte, hat nunmehr auch der Rat seinen Standpunkt zu dem Regelungsvorhaben verabschiedet.

Doch sind die Voten von Rat und Parlament in einigen Punkten noch auseinander und aus dem Ratstext sind zahlreiche Vorbehalte einzelner Mitgliedstaaten abzulesen. In den anstehenden Trilog-Verhandlungen zwischen Kommission, Rat und EU-Parlament gilt es nun, ein angemessenes Datenschutzniveau für die EU-Bürger unter Berücksichtigung der technischen Entwicklungen gerade im Bereich der modernen Informationstechnologien zu finden, ohne dabei die Wirtschaft - insbesondere bei konventionellen Datenverarbeitungen - unnötig zu belasten. Aus Sicht der Deutschen Kreditwirtschaft sollten in den Trilog-Verhandlungen insbesondere folgende Punkte bedacht werden:

•    Umsetzungsaufwand

Aufgrund des gewählten Rechtsinstruments der Verordnung wird das bisherige nationale Datenschutzrecht weitgehend verdrängt werden. Unternehmen und die einzelnen Mitgliedstaaten werden somit mit einem neuen Datenschutzregime konfrontiert, das einen hohen Prüfungs- und Umsetzungsaufwand hervorruft. Binnen der derzeit vorgesehenen Umsetzungsfrist von zwei Jahren verordnungskonform zu arbeiten, wird aufgrund der hohen IT-Relevanz der Datenverarbeitung kaum realisierbar sein. Es sind daher – zumindest bei einigen Vorschriften - längere Umsetzungsfristen erforderlich. Auch sollte gewährleistet sein, dass für seit Jahrzehnten legale Formen der Datenverarbeitung, insbesondere wenn diese durch eine Einwilligung oder einen Vertrag legitimiert sind, Bestandschutz gilt.

•    Zulässigkeitsbestände

Wie schon die Kommission wollen auch Parlament und Rat die Erlaubnistatbestände aus der EU-Datenschutzrichtlinie grundsätzlich beibehalten. Damit wird ein wichtiges Maß an Kontinuität im Rahmen der Modernisierung des Datenschutzrechts gewahrt. Gleichwohl sollte die Chance zur Verbesserung genutzt werden. Insofern sind die vom Rat vorgeschlagenen Änderungen zur Kommissionsvorlage u.a. bei der Einwilligung und der Zweckbindung zu begrüßen.  

•    Kohärenz

Der für Kreditinstitute besonders wichtige Gleichklang von datenschutz- und bankaufsichtsrechtlichen Anforderungen wird durch das Ratsvotum im Ansatz verbessert, doch muss hier noch für mehr Rechtssicherheit gesorgt werden. Die vom Rat eingebrachte neue Öffnungsklausel im Anwendungsbereich für konkretisierende Datenschutzvorschriften im öffentlichen Sektor auf nationaler Ebene sollte dahingehend präzisiert werden, dass bestehende aufsichtsrechtliche Anforderungen im Bereich Scoring/Rating, Betrugs- und Geldwäschebekämpfung sowie Kundenidentifizierung fortgelten können.

•    Internetlastigkeit

Das Regelungsvorhaben ist weiterhin vor allem auf die Wahrung des Datenschutzes im Internet, insbesondere in sozialen Netzwerken, ausgerichtet. Dort besteht durchaus Regelungsbedarf, doch für konventionelle Datenverarbeitungen von Kundendaten in Unternehmen, wie u. a. in Kreditinstituten, führen diese durch das Internet ausgelösten Regelungen – beispielsweise zur Datenportabilität -  oftmals zu nicht sachgerechten Ergebnissen.

•    Bürokratisierung

Einige Regelungen (z. B. zu Informations-, Dokumentations- und Genehmigungspflichten sowie zur Folgenabschätzung) werden den formalen Aufwand für datenverarbeitende Unternehmen deutlich erhöhen, anstatt diesen abzubauen. Aus Kundensicht führen diese Vorgaben zu einer Informationsüberflutung; für die Unternehmen zu unnötigen bürokratischem Aufwand. Die formalen Vorgaben müssen deshalb nochmals am Maßstab der Erforderlichkeit gemessen werden.

•    Datenverarbeitung im Konzern und Verbund

Es gibt bereits in den Voten von Rat und Parlament Ansätze für die Verbesserung der Rahmenbedingungen für die in einer arbeitsteiligen Wirtschaft immanente Datenverarbeitung im Konzern bzw. in Unternehmensverbünden durch den Ansatz des „joint controllers“. Doch sind diese noch ausbaufähig.

•    Sanktionen

Schließlich sind die vom Europäischen Parlament noch deutlich erweiterten Sanktionen abzulehnen, da sie unverhältnismäßig und existenzgefährdend sind. Vielmehr sollte das neue Datenschutzrecht für die Unternehmenspraxis gut verständlich und umsetzbar sein.