Verfahren : 2020/2717(RSP)
Werdegang im Plenum
Entwicklungsstadium in Bezug auf das Dokument : B9-0211/2021

Eingereichte Texte :

B9-0211/2021

Aussprachen :

PV 25/03/2021 - 7
CRE 25/03/2021 - 7

Abstimmungen :

Angenommene Texte :

P9_TA(2021)0111

<Date>{17/03/2021}17.3.2021</Date>
<NoDocSe>B9‑0211/2021</NoDocSe>
PDF 206kWORD 64k

<TitreType>ENTSCHLIESSUNGSANTRAG</TitreType>

<TitreSuite>eingereicht im Anschluss an eine Erklärung der Kommission</TitreSuite>

<TitreRecueil>gemäß Artikel 132 Absatz 2 der Geschäftsordnung</TitreRecueil>


<Titre>zu dem Bewertungsbericht der Kommission über die Durchführung der Datenschutz-Grundverordnung zwei Jahre nach Beginn ihrer Anwendung</Titre>

<DocRef>(2020/2717(RSP))</DocRef>


<RepeatBlock-By><Depute>Juan Fernando López Aguilar</Depute>

<Commission>{LIBE}im Namen des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres</Commission>

</RepeatBlock-By>


B9‑0211/2021

Entschließung des Europäischen Parlaments zu dem Bewertungsbericht der Kommission über die Durchführung der Datenschutz-Grundverordnung zwei Jahre nach Beginn ihrer Anwendung

(2020/2717(RSP))

Das Europäische Parlament,

 unter Hinweis auf Artikel 8 der Charta der Grundrechte der Europäischen Union,

 gestützt auf Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union,

 unter Hinweis auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („Datenschutz-Grundverordnung“ – DSGVO)[1],

 unter Hinweis auf die Erklärung der Kommission vom 24. Juni 2020 zur Mitteilung der Kommission an das Europäische Parlament und den Rat mit dem Titel „Datenschutz als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel – zwei Jahre Anwendung der Datenschutz-Grundverordnung“,

 unter Hinweis auf die Mitteilung der Kommission vom 24. Juni 2020 an das Europäische Parlament und den Rat mit dem Titel „Datenschutz als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel – zwei Jahre Anwendung der Datenschutz-Grundverordnung“ (COM(2020)0264),

 unter Hinweis auf die Mitteilung der Kommission vom 24. Juli 2019 mit dem Titel „Datenschutzvorschriften als Voraussetzung für Vertrauen in der EU und darüber hinaus – eine Bilanz“(COM(2019)0374),

 unter Hinweis auf den am 18. Februar 2020 angenommenen Antwortbeitrag des Europäischen Datenschutzausschusses (EDSA) zur Bewertung der DSGVO nach Artikel 97[2],

 unter Hinweis auf das Dokument des EDSA mit dem Titel „First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“ (Erster Überblick über die Durchführung der DSGVO sowie die Rolle und die Mittel der nationalen Aufsichtsbehörden) vom 26. Februar 2019[3],

 unter Hinweis auf die vom EDSA gemäß Artikel 70 Absatz 1 Buchstabe e DSGVO angenommenen Leitlinien,

 gestützt auf Artikel 132 Absatz 2 seiner Geschäftsordnung,

 unter Hinweis auf den Entschließungsantrag des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres,

A. in der Erwägung, dass die DSGVO seit dem 25. Mai 2018 gilt; in der Erwägung, dass mit Ausnahme von Slowenien alle Mitgliedstaaten neue Gesetze verabschiedet oder ihre nationalen Datenschutzgesetze angepasst haben;

B. in der Erwägung, dass aus der von der Agentur für Grundrechte (FRA) durchgeführten Erhebung zu den Grundrechten hervorgeht, dass sich die Menschen ihrer Rechte gemäß der DSGVO immer bewusster werden; in der Erwägung, dass trotz der Tatsache, dass Organisationen Maßnahmen ergriffen haben, um die Ausübung der Rechte betroffener Personen zu erleichtern, die Menschen weiterhin Schwierigkeiten haben, diese Rechte wahrzunehmen, insbesondere das Recht auf Auskunft, Übertragbarkeit und mehr Transparenz;

C. in der Erwägung, dass die Aufsichtsbehörden seit Beginn der Anwendung der DSGVO eine deutliche Erhöhung der Zahl der Beschwerden verzeichnet haben; in der Erwägung, dass dies verdeutlicht, dass sich die betroffenen Personen ihrer Rechte bewusster sind und ihre personenbezogenen Daten im Einklang mit der DSGVO schützen wollen; in der Erwägung, dass dies auch veranschaulicht, dass nach wie vor große Mengen unrechtmäßiger Datenverarbeitungsvorgänge stattfinden;

D. in der Erwägung, dass viele Unternehmen den Übergangszeitraum zwischen dem Inkrafttreten und dem Beginn der Anwendung der DSGVO für einen „Frühjahrsputz“ genutzt haben, in dessen Rahmen geprüft wurde, welche Datenverarbeitung tatsächlich stattfindet und welche Datenverarbeitung möglicherweise nicht mehr erforderlich oder gerechtfertigt ist;

E. in der Erwägung, dass viele Datenschutzaufsichtsbehörden nicht in der Lage sind, die Anzahl der Beschwerden zu bewältigen; in der Erwägung, dass viele Datenschutzaufsichtsbehörden personell unterbesetzt und nicht ausreichend ausgestattet sind und dass ihnen nicht genügend Technologieexperten zur Verfügung stehen;

F. in der Erwägung, dass in der DSGVO darauf hingewiesen wird, dass die Vorschriften über die Freiheit der Meinungsäußerung und die Informationsfreiheit, auch von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, im Recht der Mitgliedstaaten mit dem Recht auf Schutz der personenbezogenen Daten in Einklang gebracht werden sollten; in der Erwägung, dass in Artikel 85 festgelegt ist, dass die Rechtsvorschriften der Mitgliedstaaten Ausnahmen für die Verarbeitung von Daten zu journalistischen Zwecken oder zum Zwecke des akademischen künstlerischen oder literarischen Ausdrucks vorsehen sollten, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen;

G. in der Erwägung, dass der Schutz journalistischer Quellen der Eckpfeiler der Pressefreiheit ist, wie es auch vom Europäischen Datenschutzausschuss betont wurde; in der Erwägung, dass die DSGVO nicht gegen Journalisten und zur Einschränkung des Zugangs zu Informationen missbraucht werden sollte: in der Erwägung, dass sie unter keinen Umständen von den nationalen Behörden dazu benutzt werden sollte, die Medienfreiheit zu unterdrücken;

Allgemeine Bemerkungen

1. begrüßt, dass die DSGVO zu einer weltweiten Norm für den Schutz personenbezogener Daten geworden ist und bei der Ausarbeitung von Normen eine gewisse Konvergenz bewirkt; begrüßt, dass die EU durch die DSGVO eine Vorreiterrolle in der internationalen Debatte über Datenschutz eingenommen hat und zahlreiche Drittländer ihre Datenschutzgesetze an die Bestimmungen der DSGVO angeglichen haben; weist darauf hin, dass das Übereinkommen Nr. 108 des Europarats zum Datenschutz an die DSGVO angeglichen (‘ 108+“) und bereits von 42 Ländern unterzeichnet wurde; fordert die Kommission und die Mitgliedstaaten nachdrücklich auf, diese Dynamik zu nutzen, um auf der Ebene der Vereinten Nationen, der OECD, der G8 und der G20 die Schaffung internationaler Normen, die auf europäischen Werten und Grundsätzen beruhen, voranzutreiben, ohne dass dabei die DSGVO untergraben wird; betont, dass eine starke Position Europas in diesem Bereich einen Beitrag dazu leisten würde, die Rechte der europäischen Bürger besser zu schützen, die europäischen Werte und Grundsätze zu wahren und vertrauenswürdige digitale Innovationen zu fördern sowie das Wirtschaftswachstum zu beschleunigen, indem eine Fragmentierung vermieden wird;

2. kommt zu dem Schluss, dass die DSGVO zwei Jahre nach ihrem Inkrafttreten insgesamt ein Erfolg ist, und teilt die Auffassung der Kommission, dass eine Überarbeitung oder Überprüfung zum gegenwärtigen Zeitpunkt nicht erforderlich ist;

3. stellt fest, dass bis zur nächsten Bewertung durch die Kommission eine verbesserte Durchführung und Maßnahmen zur Stärkung der Durchsetzung der DSGVO auch weiterhin im Vordergrund stehen müssen;

4. stellt fest, dass eine entschiedene und wirksame Durchsetzung der DSGVO in großen digitalen Plattformen, integrierten Unternehmen und anderen digitalen Diensten erforderlich ist, insbesondere in den Bereichen Internetwerbung, Mikrotargeting, Profiling durch Algorithmen, Ranking und Verbreitung und Hervorhebung von Inhalten;

Rechtsgrundlage für die Verarbeitung

5. betont, dass alle sechs in Artikel 6 DSGVO genannten Rechtsgrundlagen für die Verarbeitung von Daten gleichermaßen gültig sind und dass für dieselben Verarbeitungstätigkeiten gleichzeitig unterschiedliche Rechtsgrundlagen gelten können; fordert die Aufsichtsbehörden nachdrücklich auf, festzulegen, dass die Datenverantwortlichen nicht mehr als eine Rechtsgrundlage für jeden Verarbeitungsvorgang verwenden dürfen und anzugeben, wie jede Rechtsgrundlage für ihre Verarbeitungsvorgänge herangezogen wird; ist darüber besorgt, dass die Verantwortlichen in ihrer Datenschutzerklärung häufig ohne weitere Erklärung und ohne Bezugnahme auf den jeweiligen spezifischen Verarbeitungsvorgang alle Rechtsgrundlagen der DSGVO nennen; ist sich des Umstands bewusst, dass eine solche Praxis es den betroffenen Personen und den Aufsichtsbehörden nicht erlaubt, zu beurteilen, ob diese Rechtsgrundlagen angemessen sind; weist darauf hin, dass für die Verarbeitung besonderer Kategorien personenbezogener Daten ein rechtmäßiger Grund gemäß Artikel 6 und eine gesonderte Voraussetzung für die Verarbeitung nach Artikel 9 vorliegen müssen; weist die Verantwortlichen darauf hin, dass sie rechtlich verpflichtet sind, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verarbeitung von Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

6. weist darauf hin, dass seit Beginn der Anwendung der DSGVO der Begriff „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person bedeutet; betont, dass das auch für die Datenschutzrichtlinie für elektronische Kommunikation gilt; stellt fest, dass die Durchsetzung gültiger Einwilligungen weiterhin durch die Einflussnahme auf die Entscheidung der betroffenen Person, die Nachverfolgung zwecks kommerziellen Zwecken und andere unethische Praktiken beeinträchtigt wird; zeigt sich besorgt angesichts der Tatsache, dass Einzelpersonen häufig wirtschaftlichem Druck ausgesetzt werden, ihre Einwilligung als Gegenleistung für Preisnachlässe oder andere kommerzielle Angebote zu geben, oder dass sie gezwungen werden, einzuwilligen, indem der Zugang zu einer Dienstleistung durch bindende Bestimmungen beschränkt wird, wodurch gegen Artikel 7 der DSGVO verstoßen wird; weist darauf hin, dass der EDSA harmonisierte Regeln darüber aufgestellt hat, was eine gültige Einwilligung darstellt, wodurch die unterschiedlichen Interpretationen vieler nationaler Datenschutzaufsichtsbehörden ersetzt und eine Fragmentierung innerhalb des digitalen Binnenmarktes vermieden wird; weist auch auf die Leitlinien des EDSA und der Kommission hin, in denen festgelegt ist, dass in Fällen, in denen die betroffene Person ursprünglich ihre Einwilligung gegeben hat, die personenbezogenen Daten aber zu einem anderen Zweck weiterverarbeitet werden als dem, zu dem die betroffene Person ihre Einwilligung gegeben hat, die ursprüngliche Einwilligung die weitere Verarbeitung nicht legitimieren kann, da die Einwilligung in Kenntnis der Sachlage und spezifisch sein muss, um gültig zu sein; nimmt die bevorstehenden Leitlinien des EDSA zur Verarbeitung personenbezogener Daten für die wissenschaftliche Forschung zur Kenntnis, die Klarheit über die Bedeutung von Erwägungsgrund 50 der Datenschutz-Grundverordnung schaffen werden;

7. ist besorgt darüber, dass das „berechtigte Interesse’ sehr häufig missbräuchlich als Rechtsgrundlage für die Verarbeitung genannt wird; weist darauf hin, dass sich die Verantwortlichen weiterhin auf ein berechtigtes Interesse stützen, ohne die erforderliche Prüfung der Interessenabwägung und ohne eine Bewertung im Hinblick auf die Wahrung der Grundrechte durchzuführen; ist besonders besorgt darüber, dass einige Mitgliedstaaten nationale Rechtsvorschriften erlassen, um die Bedingungen für die Verarbeitung auf der Grundlage eines berechtigten Interesses festzulegen, indem sie eine Abwägung zwischen den jeweiligen Interessen des Verantwortlichen und der betroffenen Personen vorsehen, während nach der DSGVO jeder einzelne Verantwortliche verpflichtet ist, eine solche Abwägungsprüfung für jeden Einzelfall vorzunehmen und sich dabei auf die genannte Rechtsgrundlage zu stützen; ist darüber besorgt, dass einige nationale Auslegungen des Begriffs „berechtigtes Interesse“ den Erwägungsgrund 47 nicht beachten und die Verarbeitung auf der Grundlage des berechtigten Interesses effektiv verbieten; begrüßt die Tatsache, dass der EDSA bereits mit den Arbeiten zur Aktualisierung der Stellungnahme der Artikel-29-Datenschutzgruppe zur Anwendung des berechtigten Interesses als Rechtsgrundlage für die Verarbeitung begonnen hat, um die im Bericht der Kommission hervorgehobenen Probleme zu lösen;

Rechte der betroffenen Personen

8. betont, dass die Ausübung der in der DSGVO vorgesehenen Rechte von Einzelpersonen, wie z. B. die Datenübertragbarkeit oder Rechte im Zusammenhang mit der automatisierten Verarbeitung, einschließlich des Profilings, erleichtert werden muss; begrüßt die Leitlinien des EDSA zu automatisierten Entscheidungen und zur Datenübertragbarkeit; stellt fest, dass das Recht auf Datenübertragbarkeit in mehreren Bereichen nicht vollständig umgesetzt wurde; fordert den EDSA auf, Online-Plattformen zu fördern, eine zentrale Anlaufstelle für alle untergeordneten digitalen Plattformen zu schaffen, von wo aus die Nutzeranfragen an den richtigen Empfänger weitergeleitet werden können; weist darauf hin, dass im Einklang mit dem Grundsatz der Datenminimierung die Anwendung des Rechts auf Anonymität eine unbefugte Offenlegung, Identitätsdiebstahl und andere Formen des Missbrauchs personenbezogener Daten wirksam verhindert;

9. betont, dass die Einhaltung des Rechts auf Unterrichtung erfordert, dass Unternehmen Informationen in knapper, transparenter, verständlicher und leicht zugänglicher Form bereitstellen und bei der Erstellung von Datenschutzhinweisen keinen legalistischen Ansatz verfolgen; ist besorgt darüber, dass einige Unternehmen weiterhin gegen ihre Verpflichtungen nach Artikel 12 Absatz 1 DSGVO verstoßen und nicht alle einschlägigen vom EDSA empfohlenen Informationen bereitstellen, wozu auch die Auflistung der Namen der Einrichtungen gehört, mit denen sie Daten austauschen; weist darauf hin, dass die Verpflichtung, einfache und zugängliche Informationen zur Verfügung zu stellen, insbesondere dann gilt, wenn es um Kinder geht; ist besorgt über das verbreitete Fehlen ordnungsgemäß funktionierender Mechanismen für die Erteilung von Auskunft über Daten an die betroffenen Personen; weist darauf hin, dass Personen häufig nicht in der Lage sind, Internetplattformen zur Offenlegung ihrer Verhaltensprofile zu zwingen; ist besorgt darüber, dass Unternehmen zu oft ignorieren, dass abgeleitete Daten auch personenbezogene Daten sind, die allen Garantien gemäß der DSGVO unterliegen;

Kleinunternehmen und Einrichtungen

10. stellt fest, dass einige Interessenträger berichten, dass die Anwendung der DSGVO insbesondere für kleine und mittlere Unternehmen (KMU), Start-up-Unternehmen, Organisationen und Verbände einschließlich Schulen und Vereine sowie Gesellschaften eine Herausforderung darstellt; weist jedoch darauf hin, dass viele der in der DSGVO festgelegten Rechte und Pflichten nicht neu sind, sondern bereits unter der Richtlinie 95/46/EG bereits in Kraft waren, obwohl sie nur selten durchgesetzt wurden; ist der Ansicht, dass die DSGVO und ihre Durchsetzung nicht zu unbeabsichtigten Einhaltungsfolgen für kleinere Unternehmen führen darf, die große Unternehmen nicht erleiden würden; vertritt die Auffassung, dass mittels Informationskampagnen der nationalen Behörden und der Kommission mehr Unterstützung, Informationen und Schulungen zur Verfügung gestellt werden sollten, um die Kenntnis, die Qualität der Durchführung und das Bewusstsein für die Anforderungen und den Zweck der DSGVO zu fördern;

11. weist darauf hin, dass es keine Ausnahmeregelungen für KMU, Start-ups, Organisationen und Verbände, einschließlich Schulen, Vereine sowie Gesellschaften, gibt und dass sie dem Geltungsbereich der DSGVO unterliegen; fordert den EDSA daher auf, klare Informationen zur Verfügung zu stellen, um jegliche Verwirrung über die Auslegung der DSGVO zu vermeiden, und ein praxisnahes Instrument zur DSGVO zu schaffen, um die Umsetzung der DSGVO durch KMU, Start-ups, Organisationen und Verbände, einschließlich Schulen, Vereine sowie Gesellschaften mit risikoarmen Verarbeitungstätigkeiten, zu erleichtern; fordert die Mitgliedstaaten auf, den Datenschutzaufsichtsbehörden ausreichende Mittel für die Verbreitung von Wissen über diese praxisnahen Instrumente zur Verfügung zu stellen; bestärkt den EDSA darin, Vorlagen für Datenschutzbestimmungen zu entwickeln, die Organisationen dabei helfen können, die tatsächliche Einhaltung der DSGVO in der Praxis nachzuweisen, ohne sich auf kostspielige Dienste Dritter verlassen zu müssen;

Durchsetzung

12. äußert seine Besorgnis über die uneinheitliche und manchmal nicht vorhandene Durchsetzung der DSGVO durch die nationalen Datenschutzaufsichtsbehörden mehr als zwei Jahre nach Beginn ihrer Anwendung und bedauert daher, dass sich die Durchsetzungssituation im Vergleich zur Situation nach Richtlinie 95/46/EG nicht wesentlich verbessert hat;

13. weist darauf hin, dass in den ersten 18 Monaten der Anwendung der DSGVO rund 275 000 Beschwerden eingereicht und 785 Bußgelder für verschiedene Verstöße verhängt wurden, weist aber darauf hin, dass bisher nur ein sehr kleiner Teil der eingereichten Beschwerden weiterverfolgt wurde; ist sich der Probleme bewusst, die durch Verletzungen des Schutzes personenbezogener Daten verursacht werden, und weist auf die aktuelle EDSA-Leitlinie hin, die u. a. Klarheit über den Zeitrahmen für die Meldung, die Mitteilung an die betroffenen Personen und die Rechtsmittel bietet; weist darauf hin, dass ein europäisches Standardformular für die Meldung von Datenschutzverletzungen für die Harmonisierung der unterschiedlichen nationalen Ansätze von Vorteil sein könnte; bedauert jedoch, dass die Höhe der Geldbußen in den einzelnen Mitgliedstaaten sehr unterschiedlich ist und dass einige gegen große Unternehmen verhängte Geldbußen zu gering sind, um die beabsichtigte abschreckende Wirkung in Bezug auf Datenschutzverstöße zu haben; fordert die Datenschutzaufsichtsbehörden auf, die Durchsetzung, Verfolgung und Ahndung von Datenschutzverstößen zu verstärken und die Möglichkeiten der DSGVO zur Verhängung von Bußgeldern und zur Anwendung anderer Abhilfemaßnahmen voll auszuschöpfen; betont, dass Verarbeitungsverbote oder die Verpflichtung zur Löschung personenbezogener Daten, die in einer Weise erlangt wurden, die nicht mit der DSGVO vereinbar ist, eine mindestens ebenso abschreckende Wirkung haben können wie Geldbußen; fordert die Kommission und den EDSA auf, die Sanktionen durch Leitlinien und klare Kriterien zu harmonisieren, wie es die Konferenz der deutschen Aufsichtsbehörden getan hat, um die Rechtssicherheit zu erhöhen und zu verhindern, dass sich Unternehmen dort ansiedeln, wo die geringsten Sanktionen verhängt werden;

14. ist besorgt über die lange Dauer der Falluntersuchungen einiger Datenschutzaufsichtsbehörden und über ihre negativen Auswirkungen auf die wirksame Durchsetzung und das Vertrauen der Bürger; fordert die Datenschutzaufsichtsbehörden nachdrücklich auf, die Lösung von Fällen zu beschleunigen und alle Möglichkeiten im Rahmen der DSGVO zu nutzen, insbesondere bei systematischen und anhaltenden Verstößen, unter anderem mit Erwerbsinteresse und einer großen Anzahl von betroffenen Personen;

15. ist besorgt über die Tatsache, dass die Aufsichtsbehörden von 21 der insgesamt 31 Staaten, die die DSGVO anwenden, nämlich aller Mitgliedstaaten der Europäischen Union, des Europäischen Wirtschaftsraums und des Vereinigten Königreichs, ausdrücklich erklärt haben, dass sie nicht über ausreichende personelle, technische und finanzielle Ressourcen, Räumlichkeiten und Infrastruktur verfügen, um ihre Aufgaben und Befugnisse wirksam wahrzunehmen; ist besorgt über den Mangel an spezialisierten technischen Mitarbeitern in den meisten Aufsichtsbehörden in der EU, was die Untersuchungen und die Durchsetzung erschwert; nimmt mit Besorgnis zur Kenntnis, dass die Aufsichtsbehörden unter Druck stehen, weil das Missverhältnis zwischen ihrer Verantwortung für den Schutz personenbezogener Daten und den Ressourcen, die ihnen dafür zur Verfügung stehen, immer größer wird; stellt fest, dass digitale Dienste aufgrund der verstärkten Nutzung von Innovationen wie künstlicher Intelligenz künftig zunehmend komplexer werden (d. h. das Problem der begrenzten Transparenz bei der Datenverarbeitung, insbesondere beim Training von Algorithmen, wird sich verschärfen); weist daher darauf hin, wie wichtig es ist, dass die EU-Aufsichtsbehörden sowie der EDSA über ausreichende finanzielle, technische und personelle Ressourcen verfügen, um in der Lage zu sein, eine zunehmende Zahl ressourcenintensiver und komplexer Fälle zügig, aber gründlich zu bearbeiten und die Zusammenarbeit zwischen den nationalen Datenschutzaufsichtsbehörden zu koordinieren und zu erleichtern, die Anwendung der DSGVO angemessen zu überwachen und die Grundrechte und -freiheiten zu schützen; äußert seine Besorgnis darüber, dass unzureichende Ressourcen für die Datenschutzaufsichtsbehörden, insbesondere wenn man ihre Ressourcen mit den Einnahmen großer Informationstechnologieunternehmen vergleicht, zu Vereinbarungen über die Streitbeilegung führen könnten, da dies die Kosten für langwierige und beschwerliche Verfahren begrenzen würde;

16. fordert die Kommission auf, die Möglichkeit zu prüfen, große multinationale Technologieunternehmen durch die Einführung einer europäischen Digitalsteuer dazu zu verpflichten, für ihre eigene Beaufsichtigung zu zahlen;

17. stellt mit Besorgnis fest, dass die mangelnde Durchsetzung durch die Datenschutzaufsichtsbehörden und die Untätigkeit der Kommission bei der Behebung des Ressourcenmangels der Datenschutzaufsichtsbehörden dazu führt, dass die einzelnen Bürger die Last der Durchsetzung von Datenschutzansprüchen vor Gericht tragen müssen; ist besorgt darüber, dass Gerichte manchmal anordnen, dass einzelne Kläger entschädigt werden, ohne die Organisation oder das Unternehmen anzuweisen, strukturelle Probleme zu lösen; ist der Ansicht, dass die private Durchsetzung zwar zu einer wichtigen Rechtsprechung führen kann, jedoch keinen Ersatz für die Durchsetzung durch die Datenschutzaufsichtsbehörden oder für Maßnahmen der Kommission zur Behebung des Mangels an Ressourcen darstellt; bedauert, dass diese Mitgliedstaaten gegen Artikel 52 Absatz 4 DSGVO verstoßen; fordert die Mitgliedstaaten daher auf, ihrer rechtlichen Verpflichtung nach Artikel 52 Absatz 4 nachzukommen und ihren Datenschutzaufsichtsbehörden ausreichende Mittel zur Verfügung zu stellen, damit sie ihre Arbeit bestmöglich ausführen können und gleiche Wettbewerbsbedingungen für die Durchsetzung der DSGVO in Europa sichergestellt sind; bedauert, dass die Kommission noch keine Vertragsverletzungsverfahren gegen die Mitgliedstaaten eingeleitet hat, die ihren Verpflichtungen aus der DSGVO nicht nachgekommen sind, und fordert die Kommission auf, dies unverzüglich zu tun; fordert die Kommission und den EDSA auf, eine Weiterverfolgung der Mitteilung der Kommission vom 24. Juni 2020 zu organisieren, in der die Funktionsweise der DSGVO sowie ihre Durchsetzung bewertet werden;

18. bedauert, dass die Mehrheit der Mitgliedstaaten beschlossen hat, Artikel 80 Absatz 2 der DSGVO nicht umzusetzen; fordert alle Mitgliedstaaten auf, von Artikel 80 Absatz 2 Gebrauch zu machen und das Recht umzusetzen, Beschwerden einzureichen und vor Gericht zu ziehen, ohne von einer betroffenen Person dazu beauftragt worden zu sein; fordert die Mitgliedstaaten auf, die Stellung von Beschwerdeführern in Verfahren in den für die Aufsichtsbehörden geltenden nationalen Verwaltungsvorschriften zu klären; weist darauf hin, dass dabei klargestellt werden sollte, dass Beschwerdeführer während des Verfahrens nicht auf eine passive Rolle beschränkt sind, sondern in der Lage sein sollten, in verschiedenen Phasen zu intervenieren;

Zusammenarbeit und Kohärenz

19. weist darauf hin, dass die schwache Durchsetzung besonders bei grenzüberschreitenden Beschwerden deutlich wird, und bedauert, dass die Datenschutzaufsichtsbehörden in 14 Mitgliedstaaten nicht über die angemessenen Ressourcen verfügen, um zu den Kooperations- und Kohärenzmechanismen beizutragen; fordert den EDSA auf, seine Bemühungen zu verstärken, um die ordnungsgemäße Anwendung von Artikel 60 und Artikel 63 der DSGVO sicherzustellen, und weist die Aufsichtsbehörden darauf hin, dass sie unter außergewöhnlichen Umständen auf das Dringlichkeitsverfahren nach Artikel 66 der DSGVO, insbesondere auf vorläufige Maßnahmen, zurückgreifen können;

20. weist auf die Bedeutung des Verfahrens der Zusammenarbeit und Kohärenz hin, wenn es darum geht, Rechtssicherheit zu schaffen und den Verwaltungsaufwand sowohl für Unternehmen als auch für Bürger zu verringern; äußert jedoch große Besorgnis über das Funktionieren des Mechanismus, insbesondere in Bezug auf die Rolle der irischen und luxemburgischen Datenschutzaufsichtsbehörden; stellt fest, dass diese Datenschutzaufsichtsbehörden für die Bearbeitung einer Vielzahl von Fällen zuständig sind, da zahlreiche Technologieunternehmen ihren Hauptsitz in der EU in Irland oder Luxemburg angemeldet haben; ist besonders darüber besorgt, dass die irische Datenschutzaufsichtsbehörde die meisten Fälle in der Regel mit einem Kompromiss statt mit einer Sanktion abschließt und dass Fälle, die 2018 in Irland eingereicht wurden, nicht einmal das Stadium eines Entscheidungsentwurfs gemäß Artikel 60 Absatz 3 DSGVO erreicht haben; fordert diese Datenschutzaufsichtsbehörden auf, ihre laufenden Ermittlungen in wichtigen Fällen zu beschleunigen, um den EU-Bürgern zu zeigen, dass Datenschutz ein einklagbares Recht in der EU ist; weist darauf hin, dass der Erfolg der Mechanismus der „einzigen Anlaufstelle“ von der Zeit und dem Aufwand abhängt, den die Datenschutzaufsichtsbehörden für die Bearbeitung und Zusammenarbeit in einzelnen grenzüberschreitenden Fällen im Rahmen des EDSA aufwenden können, und dass der Mangel an politischem Willen und Ressourcen unmittelbare Auswirkungen auf das Ausmaß hat, in dem dieser Mechanismus ordnungsgemäß funktionieren kann;

21. stellt fest, dass zwischen den Leitlinien der Mitgliedstaaten und denen des EDSA Widersprüche bestehen; weist darauf hin, dass die nationalen Datenschutzaufsichtsbehörden zu unterschiedlichen Auslegungen der DSGVO kommen können, was zu unterschiedlichen Anwendungen in den Mitgliedstaaten führt; stellt fest, dass diese Situation sowohl geografische Vorteile als auch Nachteile für Unternehmen mit sich bringt; fordert die Kommission nachdrücklich auf, zu prüfen, ob nationale Verwaltungsverfahren die volle Wirksamkeit der Zusammenarbeit gemäß Artikel 60 der DSGVO sowie deren wirksame Umsetzung behindern; fordert die Datenschutzaufsichtsbehörden auf, eine einheitliche Auslegung und Anleitung anzustreben, die durch den EDSA erleichtert wird; fordert den EDSA ausdrücklich auf, grundlegende Elemente eines gemeinsamen Verwaltungsverfahrens für die Bearbeitung von Beschwerden in grenzüberschreitenden Fällen im Rahmen der in Artikel 60 festgelegten Zusammenarbeit festzulegen; fordert nachdrücklich, dass dies durch die Veröffentlichung von Leitlinien zu gemeinsamen Zeitplänen für die Durchführung von Untersuchungen und die Annahme von Beschlüssen geschehen sollte; fordert den EDSA auf, das Kohärenzverfahren zu stärken und es für Angelegenheiten mit allgemeiner Geltung oder für Fälle mit grenzüberschreitender Wirkung verbindlich vorzuschreiben, um ein uneinheitliches Vorgehen und widersprüchliche Beschlüsse einzelner Datenschutzaufsichtsbehörden zu vermeiden, da so die einheitliche Auslegung und Anwendung der DSGVO gefährdet würde; ist der Ansicht, dass diese gemeinsame Auslegung, Anwendung und Anleitung zur Schaffung und zum Erfolg des digitalen Binnenmarktes beitragen wird;

22. fordert den EDSA auf, die Tagesordnung seiner Sitzungen im Vorfeld seiner Sitzungen zu veröffentlichen und der Öffentlichkeit und dem Parlament ausführlichere Zusammenfassungen seiner Sitzungen zur Verfügung zu stellen;

Uneinheitliche Umsetzung der DSGVO

23. bedauert, dass die Anwendung optionaler Präzisierungsklauseln durch die Mitgliedstaaten (z. B. Verarbeitung im öffentlichen Interesse oder durch Behörden gemäß dem Recht des Mitgliedstaats und dem Zustimmungsalter der Kinder) der Verwirklichung einer vollständigen Harmonisierung des Datenschutzes und der Beseitigung unterschiedlicher Marktbedingungen für Unternehmen in der gesamten EU abträglich war, und bringt seine Besorgnis darüber zum Ausdruck, dass dies die Kosten der Einhaltung der DSGVO in die Höhe treiben könnte; fordert den EDSA auf, Leitlinien für den Umgang mit der unterschiedlichen Umsetzung optionaler Präzisierungsklauseln in den Mitgliedstaaten vorzulegen; fordert die Kommission auf, ihre Befugnisse zu nutzen, um in Mitgliedstaaten tätig zu werden, in denen nationale Maßnahmen, Aktionen und Beschlüsse den Sinn, das Ziel und den Text der DSGVO aushöhlen, um ungleichen Schutz für die Bürger und Marktverzerrungen zu vermeiden; hebt in diesem Zusammenhang hervor, dass die Mitgliedstaaten eine unterschiedliche Altersspanne für die elterliche Zustimmung festgelegt haben; fordert daher die Kommission und die Mitgliedstaaten auf, die Auswirkungen dieser Fragmentierung auf die Aktivitäten von Kindern und deren Schutz im Internet zu bewerten; betont, dass im Falle einer Gesetzeskollision zwischen einem nationalen Gesetz eines Mitgliedstaats und der DSGVO die Bestimmungen der DSGVO Vorrang haben sollten;

24. äußert sich sehr besorgt über den Missbrauch der DSGVO durch die Behörden einiger Mitgliedstaaten zur Einschränkung von Journalisten und nichtstaatlichen Organisationen; schließt sich entschieden der Auffassung der Kommission an, dass die Datenschutzvorschriften die Ausübung der Meinungs- und Informationsfreiheit nicht beeinträchtigen sollten, insbesondere nicht dadurch, dass sie eine abschreckende Wirkung haben oder so ausgelegt werden, dass sie Druck auf Journalisten ausüben, ihre Quellen offenzulegen; äußert sich jedoch enttäuscht darüber, dass die Kommission ihre Bewertung der Abwägung zwischen dem Recht auf Schutz personenbezogener Daten und der Freiheit der Meinungsäußerung und der Informationsfreiheit, wie sie in Artikel 85 der DSGVO dargelegt ist, noch nicht abgeschlossen hat; fordert die Kommission auf, ihre diesbezügliche Bewertung der nationalen Rechtsvorschriften unverzüglich abzuschließen und alle verfügbaren Instrumente, einschließlich Vertragsverletzungsverfahren, zu nutzen, um sicherzustellen, dass die Mitgliedstaaten die DSGVO einhalten, und Fragmentierungen des Datenschutzrahmens zu beschränken;

Datenschutz durch Technik

25. fordert die Aufsichtsbehörden auf, die Umsetzung von Artikel 25 über Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu bewerten, insbesondere im Hinblick auf die Sicherstellung der erforderlichen technischen und operativen Maßnahmen zur Umsetzung der Grundsätze der Datenminimierung und der Zweckbindung, sowie die Auswirkungen dieser Bestimmung auf die Hersteller von Verarbeitungstechnologien zu ermitteln; begrüßt, dass der EDSA im Oktober 2020 in den Leitlinien 04/2019 zu Artikel 25 den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen verabschiedet hat, um zur rechtlichen Klarheit der Konzepte beizutragen; fordert die Aufsichtsbehörden auf, auch die ordnungsgemäße Anwendung von Voreinstellungen gemäß Artikel 25 Absatz 2, unter anderem durch große Online-Diensteanbieter, zu bewerten; empfiehlt, dass der EDSA Leitlinien annimmt, um festzulegen, unter welchen konkreten Bedingungen und in welchen (Kategorien von) Fällen IKT-Hersteller gemäß Artikel 4 Absatz 7 als Verantwortliche anzusehen sind, in dem Sinne, dass sie die Mittel der Verarbeitung vorgeben; weist darauf hin, dass Datenschutzverfahren nach wie vor weitgehend auf manuellen Aufgaben und willkürlichen Formaten beruhen und von inkompatiblen Systemen durchsetzt sind; fordert den EDSA auf, Leitlinien zu entwickeln, die bei der Umsetzung der Datenschutzanforderungen in die Praxis helfen, einschließlich Leitlinien für Datenschutz-Folgenabschätzungen (Artikel 35), Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25), an die betroffenen Personen gerichtete Informationen (Artikel 12-14), die Ausübung der Rechte der betroffenen Personen (Artikel 15-18, 20-21) und Aufzeichnungen über Verarbeitungstätigkeiten (Artikel 30); fordert den EDSA auf, sicherzustellen, dass solche Leitlinien einfach anzuwenden sind und auch eine Maschine-zu-Maschine-Kommunikation zwischen betroffenen Personen, für die Verarbeitung Verantwortlichen und Datenschutzaufsichtsbehörden ermöglichen (Automatisierung des Datenschutzes); fordert die Kommission auf, in enger Abstimmung mit dem EDSA maschinenlesbare Bildsymbole gemäß Artikel 12 Absatz 8 zur Unterrichtung der betroffenen Personen zu entwickeln; fordert den EDSA und die Aufsichtsbehörden auf, das Potenzial von Artikel 21 Absatz 5 über den Widerspruch gegen die Verarbeitung personenbezogener Daten mittels automatisierter Verfahren voll auszuschöpfen;

Leitlinien

26. fordert den EDSA auf, die Umsetzung der Datenschutzanforderungen in die Praxis durch die Entwicklung von Leitlinien zu harmonisieren, die unter anderem die Notwendigkeit einer Bewertung der Risiken im Zusammenhang mit den Informationen über die Datenverarbeitung für die betroffenen Personen (Artikel 12-14), die Ausübung der Rechte der betroffenen Personen (Artikel 15-18, 20-21) und die Umsetzung des Grundsatzes der Rechenschaftspflicht betreffen; fordert den EDSA auf, Leitlinien, in denen eine Klassifizierung unterschiedlicher legitimer Anwendungsfälle von Profiling entsprechend ihren Risiken für die Rechte und Freiheiten der betroffenen Personen vorgenommen wird, sowie Empfehlungen für geeignete technische und organisatorische Maßnahmen und eine klare Abgrenzung illegaler Anwendungsfälle zu erarbeiten; fordert den EDSA auf, die Stellungnahme 5/2014 der Artikel-29-Datenschutzgruppe zu „Anonymisierungstechniken“ zu überprüfen und eine Liste eindeutiger Kriterien aufzustellen, um eine Anonymisierung zu erreichen; bestärkt die EDPB darin, die Datenverarbeitung für Zwecke der Personalverwaltung zu präzisieren; nimmt die Schlussfolgerung des EDSA zur Kenntnis, dass eine Bewertung der Risiken im Zusammenhang mit der Datenverarbeitung, wie sie in der DSGVO vorgesehen ist, beibehalten werden sollte, da die Risiken für die betroffenen Personen nicht von der Unternehmensgröße der für die Datenverarbeitung Verantwortlichen abhängen; fordert eine bessere Nutzung des Mechanismus, mit dem die Kommission den EDSA um Ratschläge zu den von der DSGVO abgedeckten Fragen bitten kann;

27. weist darauf hin, dass die COVID-19-Pandemie die Notwendigkeit einer klaren Anleitung durch die Datenschutzaufsichtsbehörden und den EDSA zur angemessenen Umsetzung und Durchsetzung der DSGVO in der öffentlichen Gesundheitspolitik deutlich gemacht hat; weist in diesem Zusammenhang auf die Leitlinien 03/2020 zur Verarbeitung von Gesundheitsdaten zum Zweck der wissenschaftlichen Forschung im Zusammenhang mit dem COVID-19-Ausbruch und die Leitlinien 04/2020 zur Verwendung von Standortdaten und Instrumenten zur Ermittlung von Kontaktpersonen im Zusammenhang mit dem COVID-19-Ausbruch hin; fordert die Kommission auf, bei der Schaffung des gemeinsamen europäischen Raums für Gesundheitsdaten die vollständige Einhaltung der DSGVO sicherzustellen;

Internationale Datenübermittlung und Zusammenarbeit

28. betont, dass die freie Datenübermittlung personenbezogener Daten auf internationaler Ebene ermöglicht werden muss, ohne das im Rahmen der DSGVO garantierte Schutzniveau zu senken; befürwortet die Vorgehensweise der Kommission, den Datenschutz und die Übermittlung personenbezogener Daten getrennt von Handelsabkommen zu thematisieren; ist der Ansicht, dass durch die internationale Zusammenarbeit im Bereich des Datenschutzes und die Konvergenz der einschlägigen Vorschriften mit der DSGVO das gegenseitige Vertrauen gestärkt und das Verständnis für technologische und rechtliche Herausforderungen gefördert wird und schließlich grenzüberschreitende Datenströme, die für den internationalen Handel von entscheidender Bedeutung sind, erleichtert werden; stellt fest, dass Unternehmen, die in der EU und in Drittstaaten, insbesondere in den Vereinigten Staaten, Datenverarbeitungsaktivitäten durchführen, in der Praxis widersprüchlichen gesetzlichen Bestimmungen unterliegen;

29. betont, dass Angemessenheitsentscheidungen nicht auf politischer, sondern auf rechtlicher Ebene getroffen werden sollten; bestärkt weitere Bemühungen zur Förderung globaler Rechtsrahmen, um Datenübermittlungen auf der Grundlage der DSGVO und des Übereinkommens 108+ des Europarats zu ermöglichen; stellt ferner fest, dass Interessenträger Angemessenheitsentscheidungen als wesentliches Instrument für derartige Datenströme erachten, da sie diese nicht an zusätzliche Bedingungen oder Genehmigungen knüpfen; betont jedoch, dass bislang nur für neun Staaten Angemessenheitsentscheidungen angenommen wurden, obwohl viele weitere Drittstaaten kürzlich neue Datenschutzgesetze angenommen haben, die ähnliche Vorschriften und Grundsätze enthalten wie die DSGVO; stellt fest, dass bis heute kein einziger Mechanismus, der die legale Übermittlung kommerzieller personenbezogener Daten zwischen der EU und den USA garantiert, einer Anfechtung vor dem Gerichtshof der Europäischen Union (EuGH) standgehalten hat;

30. begrüßt die Annahme der ersten beiderseitigen Angemessenheitsentscheidung zwischen der EU und Japan, durch die der weltweit größte Raum für freie und sichere Datenströme geschaffen wurde; fordert die Kommission jedoch auf, alle vom Parlament aufgeworfenen Fragen im Rahmen der ersten Überprüfung dieses Instruments zu berücksichtigen und die Ergebnisse so bald wie möglich öffentlich zugänglich zu machen, da die Überprüfung bis Januar 2021 abgeschlossen sein sollte;

31. fordert die Kommission auf, die Kriterien zu veröffentlichen, anhand derer festgelegt wird, ob das Schutzniveau eines Drittlands dem innerhalb der Union gewährleisteten Schutzniveau „der Sache nach gleichwertig“ ist, insbesondere im Hinblick auf den Zugang zu Rechtsbehelfen und den Zugang zu Daten durch die Regierung; weist nachdrücklich darauf hin, dass die wirksame Anwendung und Einhaltung der Bestimmungen im Zusammenhang mit Übermittlungen oder Offenlegungen von Daten, die von dem Unionsrecht gemäß Artikel 48 der DSGVO nicht zugelassen sind, insbesondere in Bezug auf Anträge von Behörden in Drittstaaten auf Zugang zu personenbezogenen Daten in der Union, sichergestellt werden muss, und fordert den EDSA und die Datenschutzaufsichtsbehörden auf, Leitlinien bereitzustellen und diese Bestimmungen durchzusetzen, unter anderem im Rahmen der Bewertung und Entwicklung von Mechanismen für die Übermittlung personenbezogener Daten;

32. fordert die Kommission auf, delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die für den Datenschutz-Zertifizierungsmechanismus gemäß Artikel 42 Absatz 1 zu berücksichtigen sind, um die Nutzung des letzteren zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters im Drittland zur Anwendung der geeigneten Garantien, auch in Bezug auf die Rechte der betroffenen Personen, als Mittel für internationale Übermittlungen gemäß Artikel 46 Absatz 2 Buchstabe f zu fördern;

33. bekräftigt, dass Massenüberwachungsprogramme, die die Erhebung von Massendaten umfassen, die Feststellung der Angemessenheit unmöglich machen; fordert die Kommission nachdrücklich auf, die Schlussfolgerungen des EuGH in den Rechtssachen Schrems I[4], II[5] und Privacy International u. a. (2020)[6] bei sämtlichen Überprüfungen von Angemessenheitsentscheidungen sowie laufenden und künftigen Verhandlungen anzuwenden; weist darauf hin, dass Übermittlungen, die sich auf Ausnahmeregelungen für besondere Situationen gemäß Artikel 49 der GPDR stützen, die Ausnahme bleiben sollten; begrüßt die diesbezüglichen Leitlinien des EDSA und der Datenschutzbehörden und fordert sie auf, eine einheitliche Auslegung bei der Anwendung und Kontrolle solcher Ausnahmeregelungen im Einklang mit den EDSA-Leitlinien 02/2018 sicherzustellen;

34. fordert die Datenschutzaufsichtsbehörden und die Kommission auf, im Einklang mit der Rechtsprechung des EuGH systematisch zu bewerten, ob die Datenschutzbestimmungen in Drittländern in der Praxis angewandt werden;

35. fordert die Kommission mit Nachdruck auf, ihre Überprüfung der im Rahmen der Richtlinie von 1995 angenommenen Angemessenheitsentscheidungen unverzüglich zu veröffentlichen; betont, dass in Ermangelung einer Angemessenheitsentscheidung Standardvertragsklauseln das am häufigsten verwendete Instrument für internationale Datenübermittlungen sind; stellt fest, dass der EuGH die Gültigkeit des Beschlusses 2010/87/EU über die Standardvertragsklauseln[7] bestätigt hat, wobei er eine Bewertung des Schutzniveaus der in ein Drittland übermittelten Daten und der relevanten Aspekte des Rechtssystems dieses Drittlandes in Bezug auf den Zugang der Behörden zu den übermittelten personenbezogenen Daten verlangt; fordert die Kommission nachdrücklich auf, ihre Arbeit an modernisierten Standardvertragsklauseln für internationale Datenübermittlungen zu beschleunigen, um gleiche Wettbewerbsbedingungen für kleine und mittlere Unternehmen (KMU) auf internationaler Ebene sicherzustellen; begrüßt die Veröffentlichung des Standardvertragsklauseln-Entwurfs durch die Kommission und das Ziel, die Standardvertragsklauseln benutzerfreundlicher zu gestalten und festgestellte Mängel der aktuellen Standards zu beheben;

36. weist auf die EDSA-Leitlinien 1/2019 zu Verhaltensregeln und Überwachungsstellen gemäß Verordnung 2016/679 hin; stellt fest, dass dieses Instrument derzeit nicht ausreichend genutzt wird, obwohl es die Einhaltung der DSGVO sicherstellt, wenn es zusammen mit verbindlichen und durchsetzbaren Verpflichtungen des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters im Drittland zur Anwendung der entsprechenden Schutzmaßnahmen eingesetzt wird; hebt das Potenzial dieses Instruments zur besseren Unterstützung von KMU und zur Schaffung von mehr Rechtssicherheit im Zusammenhang mit internationalen Datenübermittlungen über verschiedene Sektoren hinweg hervor;

Künftige Rechtsvorschriften der Union

37. ist der Ansicht, dass die DSGVO durch ihre Technologieneutralität einen soliden Rechtsrahmen für neu entstehende Technologien bietet; ist jedoch der Ansicht, dass weitere Anstrengungen erforderlich sind, um umfassendere Fragen der Digitalisierung, wie Monopolsituationen und Machtungleichgewichte durch spezifische Regulierung anzugehen und die Korrelation der DSGVO mit jeder neuen Gesetzesinitiative sorgfältig zu prüfen, um Kohärenz sicherzustellen und rechtliche Lücken zu schließen; weist die Kommission auf ihre Verpflichtung hin, sicherzustellen, dass Legislativvorschläge, wie z. B. zum Datenqualitätsmanagement, zum Datenrecht, zur Gesetzgebung für digitale Dienste oder zur künstlichen Intelligenz, immer vollständig mit der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung übereinstimmen müssen[8]; ist der Ansicht, dass die von den Mitgesetzgebern im Rahmen der interinstitutionellen Verhandlungen angenommenen endgültigen Texte den Besitzstand im Bereich des Datenschutzes in vollem Umfang berücksichtigen müssen; bedauert jedoch, dass die Kommission selbst in ihren Legislativvorschlägen nicht immer einen konsistenten Ansatz zum Datenschutz verfolgt; betont, dass ein Verweis auf die Anwendung der DSGVO oder die Formulierung „unbeschadet der DSGVO“ nicht automatisch dazu führt, dass a Vorschlag mit der DSGVO im Einklang steht; fordert die Kommission auf, den Europäischen Datenschutzbeauftragten (EDSB) und den EDSA zu konsultieren, wenn sich nach der Annahme von Vorschlägen für einen Rechtsakt Auswirkungen auf den Schutz der Rechte und Freiheiten natürlicher Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten ergeben; fordert die Kommission ferner auf, sich bei der Ausarbeitung von Vorschlägen oder Empfehlungen um eine Konsultation des EDSA zu bemühen, um die Kohärenz der Datenschutzvorschriften in der gesamten Union sicherzustellen, und stets eine Folgenabschätzung durchzuführen;

38. stellt fest, dass Profiling, obwohl es nach Artikel 22 DSGVO nur unter strengen und begrenzten Bedingungen erlaubt ist, zunehmend eingesetzt wird, da die Online-Aktivitäten von Personen tiefe Einblicke in ihre Psychologie und ihr Privatleben ermöglichen; weist darauf hin, dass die Erhebung und Verarbeitung personenbezogener Daten über die Nutzung digitaler Dienste auf das für die Erbringung des Dienstes und die Abrechnung mit den Nutzern unbedingt erforderliche Maß beschränkt werden sollte, da durch Profiling das Verhalten der Nutzer manipuliert werden kann; fordert die Kommission auf, strikte sektorspezifische Datenschutzvorschriften für sensible Kategorien personenbezogener Daten vorzuschlagen, sofern sie dies noch nicht getan hat; fordert die strikte Durchsetzung der DSGVO bei der Verarbeitung von personenbezogenen Daten;

39. fordert die Befähigung der Verbraucher, damit sie informierte Entscheidungen über die Auswirkungen der Nutzung neuer Technologien auf den Datenschutz treffen können, und die Sicherstellung einer fairen und transparenten Verarbeitung durch die Bereitstellung benutzerfreundlicher Optionen für die Erteilung und den Widerruf der Zustimmung zur Verarbeitung ihrer personenbezogenen Daten, wie in der GDPR vorgesehen;

Die Richtlinie zum Datenschutz bei der Strafverfolgung

40. ist besorgt darüber, dass die Datenschutzvorschriften, die zu Zwecken der Strafverfolgung angewandt werden, völlig unzureichend sind, um mit den neu geschaffenen Zuständigkeiten im Bereich der Strafverfolgung Schritt zu halten; fordert die Kommission daher auf, die Richtlinie zum Datenschutz bei der Strafverfolgung früher als in der Richtlinie vorgesehen zu bewerten und die Überprüfung öffentlich zugänglich zu machen;

Die Verordnung über den Datenschutz in der elektronischen Kommunikation

41. ist besorgt angesichts der unzureichenden Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation[9] durch die Mitgliedstaaten im Hinblick auf die mit der DSGVO eingeführten Veränderungen; fordert die Kommission auf, ihre Bewertung zu beschleunigen und Vertragsverletzungsverfahren gegen diejenigen Mitgliedstaaten einzuleiten, die die Datenschutzrichtlinie für elektronische Kommunikation nicht ordnungsgemäß umgesetzt haben; ist zutiefst darüber besorgt, dass die seit Jahren überfällige Reform der Datenschutzrichtlinie für elektronische Kommunikation zu einer Fragmentierung der Rechtslandschaft in der EU führt, die sowohl für Unternehmen als auch für Bürger nachteilig ist; weist darauf hin, dass die Datenschutzverordnung für elektronische Kommunikation[10] als Ergänzung und Präzisierung der DSGVO konzipiert wurde und zeitgleich mit dem Inkrafttreten der DSGVO in Kraft getreten ist; betont, dass die Reform der Vorschriften für den Datenschutz in der elektronischen Kommunikation nicht zu einer Herabsetzung des derzeitigen Schutzniveaus führen darf, das durch die DSGVO und die Datenschutzrichtlinie für elektronische Kommunikation gewährleistet wird; bedauert, dass es vier Jahre gedauert hat, bis der Rat schließlich seine Verhandlungsposition zum Vorschlag für die Datenschutzverordnung für elektronische Kommunikation angenommen hat, während das Parlament seine Verhandlungsposition im Oktober 2017 angenommen hat; weist darauf hin, dass ergänzend zur DSGVO die Vorschriften über den Datenschutz in der elektronischen Kommunikation von 2002 und 2009 aktualisiert werden müssen, um den Schutz der Grundrechte der Bürger und die Rechtssicherheit für Unternehmen zu verbessern;

°

° °

42. beauftragt seinen Präsidenten, diese Entschließung der Kommission, dem Europäischen Rat, den Regierungen und den nationalen Parlamenten der Mitgliedstaaten, dem Europäischen Datenschutzausschuss und dem Europäischen Datenschutzbeauftragten zu übermitteln.

 

 

[1] ABl. L 119 vom 4.5.2016, S. 1.

[4] Urteil des Gerichtshofs vom 6. Oktober 2015, Maximilian Schrems gegen Data Protection Commissioner, C‑362/14, ECLI:EU:C:2015:650.

[5] Urteil des Gerichtshofs vom 16. Juli 2020, Data Protection Commissioner gegen/Facebook Ireland Limited und Maximilian Schrems, in der Rechtssache C-311/18, ECLI:EU:C:2019:559.

[6] Urteile in der Rechtssache C-623/17, Privacy International, und in den verbundenen Rechtssachen C-511/18, La Quadrature du Net u. a., C-512/18, French Data Network u. a., und C-520/18, Ordre des barreaux francophones et germanophone u. a.

[7] Beschluss 2018/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, geändert durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 (ABl. L 344, S. 100).

[8] Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. L 119 vom 4.5.2016, S. 89).

[9] Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (ABl. L 201 vom 31.7.2002, S. 37).

[10] Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG, COM(2017)0010.

Letzte Aktualisierung: 22. März 2021Rechtlicher Hinweis - Datenschutzbestimmungen