Kurzbeitrag : Die Verhandlungen um die EU-Datenschutzgrundverordnung unter litauischer Ratspräsidentschaft : aus der RDV 1/2014, Seite 26 bis 30
Am 25. Januar 2012 hat die Europäische Kommission ihr Datenschutzreformpaket vorgestellt, welches als zentralen Bestandteil den Vorschlag für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) enthält.[1] Die Verordnung (DS-GVO) soll künftig unmittelbar in den Mitgliedstaaten die Verarbeitung personenbezogener Daten europaweit einheitlich regeln und grundsätzlich[2] an die Stelle der bisherigen nationalen Datenschutzgesetze treten.[3] Im Europäischen Parlament wurde die Initiative der Kommission insgesamt begrüßt. Die Einzelfragen des Verordnungsentwurfs waren nichtsdestotrotz sehr umstritten, so dass bis Anfang des Jahres 2013 in den jeweiligen Ausschüssen eine Fülle an Änderungsanträgen vorgelegt wurde. Dem feder führenden Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE) ist es dennoch gelungen, einen Kompromissvorschlag zu erarbeiten,[4] der am 21. Oktober 2013 mit überwältigender Mehrheit von 51 zu einer Stimme (bei drei Enthaltungen) angenommen wurde.[5]
Nachdem die Beratungen im Rat im Jahr 2012[6] von der Erörterung eher grundsätzlicher Fragen der Mitgliedstaaten geprägt waren,[7] haben die Verhandlungen in der ersten Jahreshälfte 2013, insbesondere aufgrund des Engagements der irischen Ratspräsidentschaft, an Fahrt aufgenommen. Allerdings ist es den Iren nicht gelungen, zum Abschluss ihrer Präsidentschaft eine grundsätzliche Billigung der bislang auf Arbeitsebene in dritter Lesung verhandelten Kapitel I bis IV durch den Rat der Justiz- und Innenminister herbeizuführen.[8] Nach der Sommerpause wurden die Verhandlungen in der zuständigen Ratsarbeitsgruppe „Informationsaustausch und Datenschutz“ (DAPIX) unter litauischer Präsidentschaft mit Kapitel V fortgesetzt. Allerdings wurde bis zur Sitzung des Ministerrats im Dezember 2013 nicht der von Befürwortern der Reform erhoffte Durchbruch erzielt. Dieser Beitrag beschäftigt sich mit den Gegenständen der Beratungen im Rat seit der Übernahme der Ratspräsidentschaft durch Litauen im Juli 2013 bis zur Tagung der Justiz- und Innenminister am 5. und 6. Dezember 2013 und nimmt Bezug auf die Entwicklungen im Europäischen Parlament. Er beschränkt sich auf ausgewählte wichtige Aspekte.
I. Internationaler Datenverkehr (Kapitel V)
Die Beratungen um Kapitel V (Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen) wurden stark von der Diskussion um die sogenannte NSA-Affäre geprägt. In diesem Zusammenhang hat unter anderem die deutsche Delegation die Einführung eines neuen Artikels vorgeschlagen, der den Fall regeln soll, wenn außereuropäische Gerichte oder Behörden von datenverarbeitenden Unternehmen die Übermittlung personenbezogener Daten von EU-Bürgern begehren.[9] Der Vorschlag sieht vor, dass personenbezogene Daten grundsätzlich nur dann an die genannten Stellen übermittelt werden dürfen, wenn eine entsprechende internationale Vereinbarung, wie zum Beispiel ein Rechtshilfeabkommen, dies vorsieht.[10] Einen ähnlichen Vorschlag hatte bereits der Berichterstatter des LIBE-Ausschusses Anfang des Jahres 2012 vorgelegt,[11] den mittlerweile alle Fraktionen im Parlament unterstützen.[12] Im Falle eines solchen Ersuchens einer ausländischen Behörde oder eines Gerichts hat die verantwortliche Stelle die zuständige Datenschutzbehörde zu informieren, die über die Zulässigkeit der Übermittlung entscheidet.[13] Diese Pflicht trifft nicht nur europäische sondern auch ausländische Unternehmen, die Daten von EU-Bürgern verarbeiten (vgl. Art. 3 Abs. 2 DS-GVO[14]). Vor dem Hintergrund anlassloser und unbegrenzter Überwachung der Internetkommunikation von EU-Bürgerinnen und Bürgern vor allem durch US-amerikanische Geheimdienste[15] sind diese Vorschläge zu begrüßen. Für die datenverarbeitenden Unternehmen ergeben sich allerdings dann Probleme, wenn sie z.B. von den abfragenden US-Behörden nach US-amerikanischem Recht zur Verschwiegenheit verpflichtet werden. Dies macht deutlich, dass diese Frage parallel auch auf zwischenstaatlicher Ebene gelöst werden muss, da sonst ein effektiver Grundrechtsschutz kaum gewährleistet werden kann.
II. One-Stop-Shop (Kapitel VI)
Im Mittelpunkt der Diskussionen im Rat der Justiz- und Innenminister am 7./8. Oktober und am 5./6. Dezember 2013 standen die Regelungen zum sogenannten One-Stop-Shop. [16] Der Kommissionsentwurf sieht vor, dass diejenige Aufsichtsbehörde ausschließlich zuständig ist, in dessen Mitgliedstaat die datenverarbeitende Stelle ihre Hauptniederlassung hat (sog. Main-Establishment-Rule). Dadurch soll zugunsten der verantwortlichen Stelle sichergestellt werden, dass diese nur noch von einer einzigen Aufsichtsbehörde kontrolliert wird.[17] Diese Behörde soll als einzige berechtigt sein, Maßnahmen an die verantwortliche Stelle zu richten und die Aktivitäten eventuell ebenfalls betroffener Aufsichtsbehörden zu koordinieren. Sollte es zu Konflikten kommen, wird der Fall dem Europäischen Datenschutzausschuss vorgelegt.[18] Der One-Stop-Shop wird von der Kommission als einer der Grundbausteine der Datenschutzreform betrachtet.[19]
In der Ratsarbeitsgruppe DAPIX war dieses Prinzip nicht unumstritten.[20] Insbesondere wenn eigene Staatsangehörige als Grundrechtsträger betroffen sind, fällt es den Mitgliedstaaten schwer, deren Schutz vollständig ausländischen Behörden zu überlassen.[21] Auf der anderen Seite droht ein Eingriff in die mitgliedstaatliche Souveränität, wenn Maßnahmen ausländischer Aufsichtsbehörden auf eigenem Staatsgebiet Auswirkungen entfalten.[22] Im Fokus der Kritik im Rat stand, dass die Aufsichtsbehörde der Hauptniederlassung exklusive Zuständigkeit zur Kontrolle der datenverarbeitenden Stelle erhalten soll.[23] Es wurde argumentiert, dass sich der One-Stop-Shop nicht zu Lasten des Betroffenen auswirken dürfe, der das Recht erhalten sollte, sich stets an seine Datenschutzbehörde vor Ort zu wenden. Dieses Recht dürfe nicht dadurch konterkariert werden, dass nur eine einzige – unter Umständen durch räumliche und sprachliche Barrieren für ihn schwer erreichbare – Datenschutzbehörde in der Lage ist, wirksame Schutzmaßnahmen zu ergreifen.[24] Dies könne eintreten, da sich der Betroffene nach dem Kommissionsentwurf zwar bei der Aufsichtsbehörde in seinem eigenen Mitgliedstaat beschweren kann, aber nur die Aufsichtsbehörde des Hauptsitzes rechtlich verbindliche Maßnahmen treffen kann und zwischen beiden Behörden ein kompliziertes Kooperationsverfahren in Gang gesetzt werden muss. Unter Umständen könne das dazu führen, dass sich Betroffene gerichtlich gegen Datenschutzverletzungen wehren, anstatt sich an die zuständigen Aufsichtsbehörden zu wenden.[25] Dies könne wiederum die Vorteile des One-Stop-Shops zunichtemachen, da sich die Unternehmen mit gegebenenfalls divergierenden Gerichtsentscheidungen auseinandersetzen müssten.[26] Vor allem sei dies aber im Hinblick auf das Recht des Betroffenen auf effektiven Rechtsschutz bedenklich.[27]Vor dem Hintergrund, dass Art. 16 AEUV den Schutz des Betroffenen in den Vordergrund stellt und nur sekundär auf den freien Datenverkehr abstellt, ist die Kritik an dem wirtschaftsfreundlichen Modell der Kommission nachvollziehbar.
Die französische Delegation hat in der Ratsarbeitsgruppe DAPIX einen Gegenentwurf unterbreitet, nach dem mehrere Aufsichtsbehörden gleichzeitig zuständig sein können (sog. co-decision).[28]Danach sind grundsätzlich die Aufsichtsbehörden in all denjenigen Mitgliedstaaten zuständig, in welchen die zu beurteilende Datenverarbeitung stattfindet.[29] Es würde zwar weiterhin eine federführende Aufsichtsbehörde geben, die als Ansprechpartnerin für das Unternehmen fungiert und die die Aktivitäten der zuständigen Aufsichtsbehörden koordiniert, um eine einheitliche Entscheidung herbeizuführen. Allerdings wäre nicht nur diese, sondern alle zuständigen Behörden berechtigt, nach Durchführung eines Koordinierungsverfahrens rechtlich bindende Maßnahmen an das Unternehmen zu richten.[30] So könne auch der Gefahr begegnet werden, dass Unternehmen ihre Hauptniederlassung danach auswählen, in welchem Mitgliedstaat die vermeintlich nach sichtigste oder die am schlechtesten ausgestattete Aufsichtsbehörde eingerichtet wurde.[31] Von Seiten der daten verarbeitenden Industrie wird freilich jede Abschwächung des One-Stop-Shops abgelehnt, da dies zu Belastungen der Un ternehmen durch divergierende aufsichtsbehördliche Ent scheidungen führen könne.[32]
Der zuständige Ausschuss des Europäischen Parlaments trägt den Ansatz der Main-Establishment-Rule der Kommission im Wesentlichen mit.[33] Allerdings soll grundsätzlich jede Aufsichtsbehörde zuständig sein, in deren Mitgliedstaat personenbezogene Daten verarbeitet werden. Die Behörde am Hauptsitz nimmt die besondere Rolle der sog. Lead Authority ein und ist als einzige befugt, rechtsverbindliche Maßnahmen an die verantwortliche Stelle zu richten. Sie ist dabei verpflichtet, sich mit den anderen zuständigen Aufsichtsbehörden abzustimmen.[34] In Konfliktfällen kann der Europäische Datenschutzausschuss angerufen werden,[35] der als ultima ratio eine verbindliche Entscheidung treffen kann.[36] Bei diesem Vorschlag bleibt allerdings das oben erörterte Grundproblem weiterhin bestehen, dass die Behörde, bei der sich der Betroffene beschwert, unter Umständen keine ausreichend wirksamen – d.h. rechtsverbindlichen – Maßnahmen zu seinem Schutz treffen kann .
Um dieses Problem zu lösen, hat die litauische Ratspräsidentschaft einen vermittelnden Vorschlag vorgelegt.[37] Ähnlich wie beim Vorschlag des Europäischen Parlaments soll es grundsätzlich bei dem von der Kommission vorgeschlagenen Modell der Main-Establishment-Rule bleiben. Allerdings soll das Koordinierungsverfahren zwischen den Aufsichtsbehörden im Rahmen des One-Stop-Shop-Mechanismus überarbeitet[38] und die exklusive Zuständigkeit der Lead Authority auf bestimmte Tätigkeitsbereiche beschränkt werden.[39] Dies betrifft insbesondere die Beratung des Unternehmens und die Erteilung von Genehmigungen nach Art. 42 Abs. 2 lit. d und Art. 43 DS-GVO.[40] Diese Exklusivität soll allerdings nicht für alle Bereiche der aufsichtsbehördlichen Tätigkeit gelten.[41] Datenschutzbehörden anderer Mitgliedstaaten sollen insbesondere befugt sein, Eingaben zu bearbeiten und die dafür notwendigen Untersuchungsund Aufsichtsbefugnisse auszuüben.[42] Damit soll dem Betroffenen vor Ort eine Behörde zur Verfügung stehen, die in der Lage ist, wirksame Maßnahmen zu seinem Schutz zu er greifen.[43] Wie die Kompetenzverteilung zwischen den Aufsichtsbehörden im Einzelnen ausgestaltet wird, insbesondere in welchem Maße die Aufsichtsbehörden verbindliche Anordnungen treffen und Bußgelder verhängen dürfen, ist bislang offen geblieben.[44] Ebenso umstritten ist die Frage, in welchen Fällen der One-Stop-Shop-Mechanismus ausgelöst werden soll.[45] Bis zur Dezembersitzung ist es im Rat nicht gelungen, zu diesen Fragen eine Einigung zu erzielen.[46] Die schwierige Aufgabe wird sein, ein Verfahren zu finden, bei dem es zwar eine federführende Behörde für die datenverarbeitenden Stellen gibt, den ebenfalls tangierten Aufsichtsbehörden aber ausreichende Befugnisse bleiben, um auf Eingaben Betroffener angemessen reagieren zu können. Letztlich muss gewährleistet sein, dass ein OneStop-Shop nicht nur für die datenverarbeitenden Unternehmen, sondern auch für die betroffenen Grundrechtsträger eingerichtet wird.
III. Das Kohärenzverfahren und die Rolle des Europäischen Datenschutzausschusses (Kapitel VII)
Im Rahmen des Kohärenzverfahrens sind insbesondere die Befugnisse der Kommission in die Kritik geraten.[47] Dieses Verfahren hat den Sinn, eine einheitliche Rechtsanwendung zu gewährleisten und divergierende Rechtsauslegung nationaler Aufsichtsbehörden in gleichgelagerten Fällen zu vermeiden.[48] Der Kommissionsentwurf sieht vor, dass jede Aufsichtsbehörde eine Angelegenheit dem Nachfolgegremium der Art. 29-Gruppe, dem Europäischen Datenschutzausschuss,[49] vorlegen kann, damit dort eine Einigung erzielt werden kann (Art. 58 Abs. 3 DS-GVO). In bestimmten Fallkonstellationen – insbesondere bei grenzüberschreitendem Bezug – sind die Aufsichtsbehörden dazu verpflichtet (Art. 58 Abs. 2 DS-GVO). Die vorlegende Aufsichtsbehörde ist aber nicht an ein Mehrheitsvotum des Ausschusses gebunden. Stattdessen sieht der Kommissionsentwurf vor, dass die Kommission die Entscheidung der mitgliedstaatlichen Aufsichtsbehörde aussetzen (Art. 60 Abs. 1 DS-GVO) und selbst einen Beschluss in der Sache erlassen kann (Art. 62 Abs. 1 lit. a DS-GVO).[50] Dieses Interventionsrecht wird kritisch gesehen, da ein mit der Rechtsprechung des EuGH[51] nicht zu vereinbarender Eingriff in die Unabhängigkeit der Aufsichtsbehörden[52] und in die Souveränität der Mitgliedstaaten befürchtet wird.[53] Deshalb hat sich der Rat für eine Streichung des Suspendierungsrechts ausgesprochen.[54] Verbleibt allerdings das Letztentscheidungsrecht bei der zuständigen Aufsichtsbehörde, kann eine einheitliche Anwendung der DS-GVO nicht gewährleistet werden. Zwar hat die Kommission weiterhin die Möglichkeit – wie es grundsätzlich im Primärrecht vorgesehen ist –, durch Vertragsverletzungsverfahren vor dem EuGH für eine einheitliche Auslegung des Europarechts zu sorgen. Allerdings ist dieser Weg ungleich langwieriger und aufwändiger als das vorgeschlagene Kohärenzverfahren. Folge wäre auch, dass dann eine bloße Rechtmäßigkeitskontrolle bestünde, die Kommission also nicht das aufsichtsbehördliche Ermessen ersetzen könnte.[55]
Ein vermittelnder Vorschlag, der auf den Berichterstatter im Europäischen Parlament zurückgeht,[56] und dem sich auch der zuständige Ausschuss[57] sowie einige mitgliedstaatliche Delegationen im Rat angeschlossen haben,[58] sieht vor, dass der Europäische Datenschutzausschuss nach Durchführung eines entsprechenden Verfahrens selbst abschließend über die vorgebrachte Angelegenheit entscheidet.[59] In den wenigen Fällen, in welchen die Kommission Zweifel an der Rechtmäßigkeit der Entscheidung hegt, könnte die Frage dem EuGH vorgelegt werden.[60] Dies hätte den Vorteil, dass die Unabhängigkeit der Datenschutzbehörden nicht beeinträchtigt werden würde, da ausschließlich unabhängige Aufsichtsbehörden bzw. Gerichte an der Entscheidung beteiligt wären. Anders als die Aufsichtsbehörden ist die Kommission zur Wahrnehmung einer Vielzahl weiterer Aufgaben berufen, die potentiell in Konflikt mit dem Schutz der Rechte der Betroffenen treten können. Zudem sind die Aufsichtsbehörden aufgrund ihrer Erfahrung in der praktischen Anwendung des Datenschutzrechts am besten dazu geeignet. Dagegen wird eingewandt, dass der Europäische Datenschutzausschuss zumindest nach seiner bisherigen Ausgestaltung keine rechtlich verbindlichen Entscheidungen treffen könne.[61] Um ihn dazu in die Lage zu versetzen, hat die litauische Ratspräsidentschaft vorgeschlagen, dem Ausschuss Rechtspersönlichkeit zu verleihen und ihm in der DS-GVO klar definierte Kompetenzen zuzuweisen, innerhalb welcher er verbindliche Entscheidungen treffen kann.[62] Der Ministerrat steht dieser Idee bislang zwar eher skeptisch gegenüber, allerdings hat er die Ratsarbeitsgruppe beauftragt, andere Möglichkeiten zu prüfen, dem Europäischen Datenschutzausschuss die Befugnis zu verbindlichen Entscheidungen zu verleihen.[63]
IV. Rechtsbehelfe, Haftung und Sanktionen (Kapitel VIII)
Während der Kompromissvorschlag des Parlaments gegenüber dem Kommissionsentwurf deutlich höhere Sanktionen vorsieht,[64] wurde im Rat bislang dazu keine Einigkeit erzielt. Des Weiteren haben einige Mitgliedstaaten – darunter auch Deutschland – Bedenken angemeldet, was die Verhängung von Bußgeldern gegenüber öffentlichen Stellen betrifft.[65] Deshalb schlägt der Rat eine Regelung vor, nach welcher es jedem Mitgliedstaat selbst überlassen werden soll, ob er diese Möglichkeit im nationalen Recht vorsieht.[66] Außerdem hat sich der Rat gegen die Regelung des Art. 74 Abs. 4 DS-GVO ausgesprochen, nach welcher der Betroffene seine örtliche Aufsichtsbehörde ersuchen kann, Klage gegen eine andere Aufsichtsbehörde zu erheben.[67]
V. Ausblick
Nach der erfolgreichen Abstimmung über den Kompromissvorschlag im LIBE-Ausschuss des Europäischen Parlaments liegt der Spielball beim Rat. Die Kommission hat bereits signalisiert, dass sie in den Vorschlägen des Parlaments eine geeignete Ausgangsposition für den anstehenden Trilog sieht.[68] Da bislang der entscheidende Durchbruch im Rat aber nicht erzielt werden konnte, gilt eine Verabschiedung des Reformpakets in dieser Legislaturperiode des Europäischen Parlaments, d.h. bis April 2014, vor allem aufgrund der Vorbehalte einflussreicher Mitgliedstaaten wie Deutschland, als unrealistisch.[69]Die neue Bundesregierung hat zwar in ihrem Koalitionsvertrag verankert, dass die DS-GVO zügig verhandelt und schnell verabschiedet werden soll,[70] ein Bekenntnis zu einer Verabschiedung bis April 2014 erfolgte jedoch nicht. Das bedeutet grundsätzlich, dass sich das neugewählte Europäische Parlament mit dem Kompromissvorschlag erneut befassen muss.[71] Aufgrund der zunehmenden Internationalisierung des Datenverkehrs ist eine europäische Lösung allerdings mittelfristig unausweichlich.[72] Auch im Hinblick auf Verhandlungen mit Drittstaaten, wie z.B. um ein transatlantisches Freihandelsabkommen, ist es notwendig, dass sich die EU auf ein einheitliches Datenschutzrecht einigt.[73] Es ist daher davon auszugehen, dass das Gesetzgebungsvorhaben in der nächsten Legislaturperiode zu Ende geführt wird.
* Der Autor ist Referent beim Berliner Beauftragten für Datenschutz und Informationsfreiheit und Mitglied der Art. 29-Subgroup „The Future of Privacy“, die sich dem Vorschlag für eine EU-Datenschutzgrundverordnung befasst. Der Beitrag gibt seine persönliche Auffassung wieder.
[1] KOM (2012) 11 endg.
[2] Ausnahmen gelten insbesondere im öffentlichen Bereich. Im Bereich Polizei und Justiz ist eine separate Richtlinie vorgesehen, vgl. KOM (2012) 10 endg.
[3] Dazu: Eckhardt/Kramer/Mester, Auswirkungen der geplanten EU-DS-GVO auf den deutschen Datenschutz, DuD 2013, S. 623ff.
[4] EP-Bericht A7-0402/2013 v. 21.11.13 (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2013-0402+0+DOC+XML+V0//DE).
[5] A.a.O.
[6] Eine Zwischenbilanz der Beratungen im Jahr 2012 geben Gola/Schulz, Der Entwurf für eine Datenschutzgrundverordnung – eine Zwischenbilanz, RDV 2013, S. 1-7.
[7] Zum Beispiel zur Kompetenz der EU zum Erlass des Rechtsaktes; dazu Nguyen, Die Subsidiaritätsrüge des Deutschen Bundesrates gegen den Vorschlag der EU-Kommission für eine Datenschutzgrundverordnung, ZEuS 2012, S. 277ff
[8] Pressemitteilung Nr. 10461/13 des Rats v. 6./7.6.13, S. 9; vgl. auch Mitteilung Nr. 11654/13 der österreichischen, dänischen, ungarischen und britischen Delegationen v. 27.6.13.
[9] Pressemitteilung des BMI v. 14.8.13, (http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2013/08/fortschrittsbericht.html).
[10] A.a.O.
[11] Bericht v. 16.01.13 (PE501.927v04-00), Änderungsantrag 259.
[12] Art. 43a des EP-Kompromissvorschlags (Fn. 4); Albrecht, Starker EUDatenschutz wäre Standortvorteil – Notwendigkeit eines international einheitlichen Datenschutzstandards, DuD 2013, S. 655 (656).
[13] Art. 43a Abs. 2-4 des EP-Kompromissvorschlags (Fn. 4).
[14] Soweit nicht anders bezeichnet, beziehen sich mit „DS-GVO“ bezeichnete Artikelangaben auf den Kommissionsvorschlag KOM (2012) 11 endg.
[15] Dix, The Commission’s Data Protection Reform After Snowden’s Summer, Intereconomics 2013, S. 268 (270); vgl. Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 5.9.13 (http://www.datenschutz-berlin.de/content/deutschland/konferenz); Selmayr, Nach PRISM: Endet jetzt die Ambivalenz der deutschen Position zum EU-Datenschutz?, ZD 2013, S. 525.
[16] Pressemitteilungen des Rates Nr. 14149/13 v. 7.10.13 sowie Nr. 17342/13 v. 5./6.12.13, S. 12. Die in diesem Beitrag zitierten Dokumente des Rates können auf folgender Internetseite abgerufen werden: http://www.consilium.europa.eu/documents?lang=en.
[17] Mitteilung Nr. 13643/13 der Ratspräsidentschaft v. 18.9.13, Ziff. 3; Christensen/Eco, Big Data, the Cloud and the EU Regulation on Data Protection, Intereconomics 2013, S. 276 (278 f
[18] Siehe dazu unten III.
[19] Reding, Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, 195 (196f.).
[20] Mitteilungen der Ratspräsidentschaft Nr. 14260/13 v. 3.10.13, Ziff. 6; Nr. 13643/13 v. 18.9.13, Ziff. 7; Nr. 14074/1/13 v. 1.10.13; Nr. 17025/13 v. 4.12.13.
[21] Vgl. Mitteilungen der Ratspräsidentschaft Nr. 13643/13 v. 18.9.13, Ziff. 8-10; Nr. 15802/13 v. 18.11.13; Nr. 16626/13 v. 22.11.13; Nr. 16626/2/13 v. 29.11.13; Nr. 17025/13 v. 4.12.13, jeweils Ziff. 4.
[22] A.a.O., Ziff. 12-13
[23] Mitteilung Nr. 14260/13 der Ratspräsidentschaft v. 3.10.13, Ziff. 7.
[24] A.a.O.
[25] Mitteilung der Ratspräsidentschaft Nr. 14260/13 v. 3.10.13, Ziff. 7; zum gerichtl. Rechtsschutz vgl. auch Nr. 15604/13, Ziff. 30ff. und Nr. 15802/13, Ziff. 19ff.; Nr. 16626/13 v. 22.11.13, Ziff. 19ff.; Nr. 16626/2/13 v. 29.11.13, Ziff. 26ff.
[26] A.a.O.
[27] Pressemitteilung Nr. 17342/13 des Rats v. 5./6.12.13, S. 12.
[28] Mitteilung Nr. 13808/13 der französischen Delegation v. 19.9.13; vgl. auch Mitteilungen der Ratspräsidentschaft Nr. 13643/13 v. 18.9.13, Ziff. 20 und Nr. 14260/13 v. 3.10.13, Ziff. 7.
[29] Dazu kritisch: Kranig, Zuständigkeit der Aufsichtsbehörden, ZD 2013, S. 550 (556).
[30] Mitteilung Nr. 13808/13 der französischen Delegation v. 19.09.13, S. 10 (Art. 55a Abs. 3); Mitteilung Nr. 14260/13 der Ratspräsidentschaft v. 3.10.13, Ziff. 7.
[31] Mitteilung Nr. 13808/13 der französischen Delegation v. 19.09.13, Ziff. 1.2; Caspar, Das aufsichtsbehördliche Verfahren nach der EU-Datenschutzgrundverordnung, ZD 2012, S. 555 (556f.); ähnlich auch Weichert, Internet – nationaler und europäischer Regelungsbedarf beim Datenschutz, RDV 2013, S. 8 (13).
[32] Dehmel/Hullen, Auf dem Weg zu einem zukunftsfähigen Datenschutz in Europa? – Konkrete Auswirkungen der DS-GVO auf Wirtschaft, Unternehmen und Verbraucher, ZD 2013, S. 147 (151).
[33] Albrecht (Fn. 12), DuD 2013, S. 655 (657).
[34] Art. 54a Abs. 2 und Art. 58a Abs. 1 EP-Kompromissvorschlag (Fn. 4).
[35] Art. 54a Abs. 3 und Art. 58a Abs. 2 und 3 EP-Kompromissvorschlag (Fn. 4).
[36] Art. 58a Abs. 7 EP-Kompromissvorschlag (Fn. 4). Siehe dazu auch unten III.
[37] Mitteilungen der Ratspräsidentschaft Nr. 14074 d v. 1.10.13, Ziff. 9; Nr. 14260 v. 3.10.13, Ziff. 11; Nr. 13643/13 v. 18.9.13, Ziff. 19.
[38] Mitteilungen der Ratspräsidentschaft Nr. 15604/13 v. 31.10.13, 21ff.; Nr. 16626/13 v. 22.11.13, Ziff. 15ff.; Nr. 16626/2/13 v. 29.11.13, Ziff. 22ff.
[39] Mitteilungen der Ratspräsidentschaft Nr. 15604/13 v. 31.10.13, Ziff. 9ff. und 21ff.; Nr. 15802/13 v. 18.11.13, Ziff. 8ff.; Nr. 16626/13 v. 22.11.13, Ziff. 8ff.
[40] Mitteilung Nr. 13643/13 der Ratspräsidentschaft v. 18.9.13, Ziff. 19.
[41] Mitteilung Nr. 14074/13 der Ratspräsidentschaft v. 1.10.13, Ziff. 9.
[42] Mitteilungen der Ratspräsidentschaft Nr. 14074/13 v. 1.10.13, Ziff. 9; Nr. 14260/13 v. 3.10.13, Ziff. 9; Nr. 13643/13 v. 18.9.13, Ziff. 19.
[43] Dies war stets ein Ziel der Reform: Pressemitteilung der Europäischen Kommission, v. 22.10.13, S. 8, http://europa.eu/rapid/press-release_MEMO-13-923_en.htm.
[44] Mitteilungen der Ratspräsidentschaft Nr. 14260 v. 3.10.13, Ziff. 10; Nr. 15604/13 v. 31.10.13, Ziff. 9ff.; Nr. 16626/2/13 v. 29.11.13, Ziff. 8ff.; Nr. 17025/13 v. 4.12.13, Ziff. 29.
[45] Mitteilung der Ratspräsidentschaft Nr. 15604/13 v. 31.10.13, Ziff. 7f.
[46] Pressemitteilung Nr. 17342/13 des Rats v. 5./6.12.13., S. 12.
[47] Kahler, Die Europarechtswidrigkeit der Kommissionsbefugnisse in der Grundverordnung, RDV 2013, S. 69ff.; Hornung, Eine DatenschutzGrundverordnung für Europa? Licht und Schatten des Kommissionsentwurfs vom 25.1.12, ZD 2012, S. 99 (104f.); Caspar, Das aufsichtsbehördliche Verfahren nach der EU-Datenschutzgrundverordnung, ZD 2012, S. 555 (556f.); kritisch auch Weichert, Internet – nationaler und europäischer Regelungsbedarf beim Datenschutz, RDV 2013, S. 8 (13); Thüsing/Traut, The Reform of European Data Protection Law: Harmonisation at Last?, Intereconomics 2013, S. 271 (273).
[48] Reding, The European data protection framework for the twenty-first century, International Data Privacy Law 2012, S. 119 (128); Thüsing/ Traut (Fn. 47), Intereconomics 2013, S. 271 (272).
[49] Reding (Fn. 48), International Data Privacy Law 2012, S. 119 (128).
[50] Thüsing/Traut (Fn. 47), Intereconomics 2013, S. 271 (272 f.).
[51] EuGH, Urt. v. 9.3.2010, Rs. C-518/07 (Kommission/Deutschland); Urt. v. 16.10.2012, Rs. C-614/10 (Kommission/Österreich).
[52] Kahler (Fn. 47), RDV 2013, S. 69ff.; Hornung (Fn. 47), ZD 2012, S. 99 (104f.); Artikel 29-Datenschutzgruppe, 00530/12/DE, WP 191, Stellungnahme 1/2012 zu den Reformvorschlägen im Bereich des Datenschutzes v. 23.3.12; Kranig (Fn. 29), ZD 2013, S. 550 (556 dort Fn. 35); a. A. Thüsing/Traut (Fn. 47), Intereconomics 2013, S. 271 (274).
[53] BT-Drs. 17/11325, Nr. 14; BR-Drs. 52/12, Beschl. v. 30.3.12, Ziff. 8. Vgl. dazu Nguyen (Fn. 7), ZEuS 2012, S. 277 (298f.)
[54] Mitteilung 15604/13 der Ratspräsidentschaft v. 31.10.13, S. 30, dort Fn. 73.
[55] Thüsing/Traut (Fn. 47), Intereconomics 2013, S. 271 (273).
[56] Änderungsantrag Nr. 291 f. des Berichterstatters v. 16.1.13, PE501.927v04-00; Albrecht (Fn. 12), DuD 2013, S. 655 (656); dazu kritisch Thüsing/Traut, (Fn. 47), Intereconomics 2013, S. 271 (274).
[57] Vgl. Art. 58a Abs. 7 EP-Kompromissvorschlag (Fn. 4).
[58] Mitteilung der Ratspräsidentschaft Nr. 14260 v. 3.10.13, Ziff. 17; Nr. 13643/13 v. 18.9.13, Ziff. 23 – 25; vgl. auch Mitteilung Nr. 7105/5/13 der Delegationen im Rat v. 24.10.13
[59] Ähnlich bereits Nguyen (Fn. 7), ZeuS 2012, S. 277 (299).
[60] Änderungsantrag Nr. 292 des Berichterstatters v. 16.1.13; PE501.927v04-00.
[61] Mitteilung Nr. 13643/13 der Ratspräsidentschaft v. 18.9.13, Ziff. 2.1.
[62] Mitteilung Nr. 14260/13 der Ratspräsidentschaft v. 3.10.13, Ziff. 17; Nr. 13643/13 v. 18.9.13, Ziff. 22-25; ähnlich auch die deutsche Delegation, vgl. Mitteilung Nr. 7105/5/13 der Delegationen im Rat v. 24.10.13, S. 85, dort Fn. 1.
[63] Pressemitteilung Nr. 17342/13 des Rats v. 5./6.12.13, S. 12.
[64] Art. 79 EP-Kompromissvorschlag (Fn. 4).
[65] Mitteilung 14863/13 der Ratspräsidentschaft v. 16.10.13, S. 26.
[66] Mitteilung 15076/13 der Ratspräsidentschaft v. 23.10.13, S. 18 (Art. 79 Abs. 3b).
[67] A.a.O., S. 10f.
[68] Europäische Kommission, Pressemitteilung v. 22.10.13, S. 8, http://europa.eu/rapid/press-release_MEMO-13-923_en.htm; vgl. auch Pressemitteilung der Art. 29-Datenschutzgruppe v. 4.12.13, http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/20131204_pr_dp_reform_package_en.pdf.
[69] Verabschiedung neuer Datenschutzregeln verzögert sich, FAZ v. 26.10.13, S. 2; Die unendliche Reform des Datenschutzes, Die Welt v. 22.10.13, S. 6; SPON v. 28.10.13, Merkel bremst beim Datenschutz in Europa, http://www.spiegel.de/netzwelt/netzpolitik/abhoeraffaeremerkel-bremst-immer-noch-beim-datenschutz-a-930321.html; Schaar, Interview im Spiegel v. 4.11.13, S. 38; SPON v. 2.10.13, Deutsche Beamte bremsen Europas Datenschutz aus, http://www.spiegel.de/netzwelt/netzpolitik/deutsche-beamte-bremsen-europas-datenschutz-ausa-936704.html; Selmayr (Fn. 15), ZD 2013, S. 525.
[70] Deutschlands Zukunft gestalten, Koalitionsvertrag zwischen CDU, CSU und SPD, S. 149.
[71] Vgl. Art. 214 der Geschäftsordnung des Europäischen Parlaments.
[72] Dix (Fn. 15), Intereconomics 2013, S. 268 ff.; vgl. auch Pressemitteilung der Art. 29-Datenschutzgruppe v. 4.12.13 (Fn. 68); Selmayr (Fn. 15), ZD 2013, S. 525.
[73] Vgl. dazu Dix, Datenschutz und transatlantische Freihandelszone, Karlsruher Dialog zum Informationsrecht – Band 5 (2013); Aaronson/Maxim, Data Protection and Digital Trade in the Wake of NSA Revelations, Intereconomics 2013, S. 281 ff.