Der Europäische Datenschutztag wird 44 Jahre alt: Happy Birthday!
Der 28. Jänner gilt als Europäischer Datenschutztag – er erinnert daran, dass am 28. Jänner 1981, also vor 44 Jahren, das „Übereinkommen des Europarats zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten“ (oder auch „Übereinkommen Nr. 108“ oder „Datenschutzkonvention“) zur Unterzeichnung vorgelegt wurde.
Warum ist das so bedeutsam?
Nun, die Datenschutzkonvention ist das bis heute einzige völkerrechtlich verbindliche Instrument in Bezug auf die automatisierte Verarbeitung personenbezogener Daten – Stand heute haben 55 Staaten den Vertrag ratifiziert, darunter die 46 Mitgliedstaaten des Europarats, aber auch Argentinien, Cabo Verde, Mauritius, Mexiko, Marokko, Senegal, Tunesien und Uruguay.
Was hat sich seither getan?
Lange bevor die gefürchtete Datenschutz-Grundverordnung („DSGVO“) in Kraft trat, wurde 1995 eine Datenschutzrichtlinie für die Europäische Union erlassen, die in weiterer Folge in nationales Recht zu überführen war. Bereits hier finden wir das Verfahrensverzeichnis, technische und organisatorische Maßnahmen (TOMs), eine Meldepflicht bei der Aufsichtsbehörde oder das Konzept einer Auftragsdatenverarbeitung. Ebenfalls wurde eine „Artikel 29 Datenschutzgruppe“ gegründet, die Vorläuferinstitution des heutigen Europäischen Datenschutzausschusses ("EDSA"), dessen Aufgabe es ist, die Europäische Kommission in Datenschutzfragen zu beraten, aber auch Leitlinien und Stellungnahmen bereitzustellen.
Einige Jahre später, Anfang Dezember 2009 wurde Datenschutz als Grundrecht in der Grundrechte-Charta der Europäischen Union (Art 8 GRC) verankert, und dann kam natürlich mit 25. Mai 2018 die Datenschutz-Grundverordnung, wie wir sie heute kennen.
Übrigens: Wenn Sie gerne eine Zeitleiste über datenschutzrechtliche Entwicklungen lesen möchten, deren frühester Eintrag auf 400 v. Chr. datiert, werden Sie hier fündig.
Und was erwartet uns in Zukunft?
- Sprechen wir doch gleich den „Elefanten im Raum“ an: Die Europäische KI-VO wird auch aus Datenschutz-Sicht sicherlich weiter spannend bleiben, unter anderem in Bezug auf die Ausübung von Betroffenenrechten (ich denke hier nur an verschiedene Beschwerden, die die auf Datenschutzrecht fokussierte österreichische NGO noyb bei verschiedenen europäischen Datenschutzbehörden angestrengt hat, um genau dieses Thema zu klären), aber auch in Bezug auf Transparenzgebote und die Information betroffener Personen darüber, wie ihre personenbezogenen Daten für welchen konkreten Zweck aufgrund welcher Rechtsgrundlage verarbeitet werden.
- Ich persönlich würde mich auch über eine Entscheidung auf europäischer Ebene in Bezug auf eine rechtskonforme Anonymisierung freuen: Anonymisierung per se wird in der DSGVO nicht definiert, sondern nur in Erwägungsgrund 26 kurz erwähnt (es gibt derzeit nur eine offizielle Definition des Begriffs in Artikel 2 der Open-Data-Richtlinie) und es herrscht nach wie vor Unklarheit darüber, wann und mit welchen Methoden eine Rückidentifizierung effektiv ausgeschlossen werden kann. Eventuell widmet sich EDSA nach ihrer Guideline zum Thema Pseudonymisierung in diesem Jahr auch diesem wichtigen Thema.
- Ein Blick über die Grenze zu unseren deutschen Lieblingsnachbarn offenbart neue Entwicklungen in Sachen Cookie-Management: Hier soll es eine ab Frühjahr 2025 gültige Einwilligungsverordnung geben, wonach Nutzer*innen ihre Präferenzen bei unabhängigen Diensten zentral hinterlegen können und einmal getroffene Entscheidungen nicht laufend wiederholen müssen, dies soll den „Cookie Urwald“ lichten helfen und die informationelle Selbstbestimmung von Nutzer*innen fördern. Dies ist ein komplett neuer Ansatz in Sachen „Cookie Consent Management“ und sicherlich wert, weiter beobachtet zu werden.
- Internationale Datentransfers werden auch in 2025 sicherlich ein Dauerbrennerthema bleiben: Zum einen ist mehr denn je fraglich, ob das Transatlantic Data Privacy Framework Agreement zwischen der EU und den USA weiterhin Bestand haben wird, da Präsident Trump unmittelbar nach seinem Amtsantritt demokratische Vertreter im sogenannten "Privacy and Civil Liberties Oversight Board“ ausgeschlossen hat und das Gremium damit derzeit seine Mindestanzahl an Mitgliedern nicht aufweist. Abgesehen davon, dass aufgrund der präsidialen Intervention die Unabhängigkeit des Gremiums an sich in Zweifel gezogen wird, ist das PCLOB das einzige „Kontrollorgan“, das überwacht, ob US Dienste Gesetze, Anordnungen und andere Zusagen tatsächlich einhalten. Wenn die Position dieses Gremiums geschwächt wird, und zudem die Executive Orders von Präsident Biden, auf denen die US-EU-Transfers beruhen, von Präsident Trump aufgehoben werden, wie er dies gleich eingangs angekündigt hatte, steht zu befürchten, dass damit alle wesentlichen Elemente des Abkommens nicht mehr in Kraft sind und die Gültigkeit des Transatlantic Data Privacy Agreements insgesamt in Frage gestellt wird. Es ist daher dringend empfohlen, die interne Dokumentation dahingehend zu prüfen, ob man data transfers durchführt, die sich nur auf das Agreement stützen, und stattdessen (oder zumindest zusätzlich) andere Garantien nach Art 46 DSGVO zu implementieren. Aber auch Datentransfers auf die andere Seite des Globus nach China stehen derzeit im Fokus von Datenschutzbeschwerden bei verschiedenen europäischen Datenschutzbehörden, da China natürlich ebenfalls als Drittland gilt und es hier schwere Bedenken aufgrund der lokalen rechtlichen Situation gibt: Derzeit steht sogar zur Diskussion, ob ein Datentransfer aufgrund der umfangreichen lokalen Überwachungs- und Eingriffsrechte der Behörden überhaupt zulässig ist, entsprechend wird ein kompletter Stop von Datentransfers nach China in den beschwerdegegenständlichen Fällen gefordert.
- Abschließend möchte ich den Blick lenken auf etwas, wo man möglicherweise den Datenschutz-Konnex nicht sofort identifizieren könnte: Die Barrierefreiheitsrichtlinie, die bis Ende Juni 2025 in lokales Recht zu überführen ist. Dienstleistungen und Websites im Anwendungsbereich der Richtlinie müssen barrierefrei in Anspruch genommen werden können, umso mehr wird künftig tatsächlich das Augenmerk auf eine Einhaltung von Art 12 DSGVO zu legen sein, wonach Datenschutzinformationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zur Verfügung gestellt werden müssen. „Verständlich“ heißt im Kontext von Barrierefreiheit somit definitiv auch „verständlich für Menschen mit einer Behinderung“, sodass schwerverständliche Schachtelsätze hoffentlich tatsächlich bald der Vergangenheit angehören werden, umso mehr als bei Verstößen Verwaltungsstrafen drohen.