DA+

Aufsatz : Zertifizierungen und Verhaltensregeln – Bausteine eines modernen Datenschutzes für die Industrie 4.0 : aus der RDV 5/2015, Seite 231 bis 236

Lesezeit 20 Min.

Die Themen Zertifizierung und Ko-Regulierung sind wichtige Bestandteile des Rechtsrahmens nach der Datenschutz-Grundverordnung. Sie betreffen die Verantwortung der Wirtschaft für einen modernen Datenschutz. Der Beitrag stellt den Diskussionsstand mit Blick auf die künftigen rechtlichen Rahmenbedingungen vor und ordnet sie in den Kontext der Industrie 4.0 ein.

I. Einleitung

Industrie 4.0 ist mehr als nur ein Schlagwort in der Digitalisierungsdebatte. Der Begriff beschreibt eine wesentliche Entwicklung der Digitalisierung unserer Wirtschaft und Gesellschaft. Sie erfolgreich zu gestalten, ist eine der wichtigen aktuellen Aufgaben für den Wirtschaftsstandort Deutschland. Mit der Digitalen Agenda hat sich die Bundesregierung deshalb die Aufgabe gesetzt, die richtigen Rahmenbedingungen für eine erfolgreiche Gestaltung von Industrie 4.0 zu schaffen. Neben einer Klärung der technischen Fragestellungen wie zum Beispiel zur Standardisierung und Normung ist es dringend geboten, die rechtlichen Rahmenbedingungen zu konkretisieren[1]. Im Kern der Diskussion um einen Ordnungsrahmen stehen dabei Aspekte des Datenschutzes und der Datensicherheit. Die Zuverlässigkeit der Systeme, der Schutz der Daten und das damit verbundene Vertrauen der Anwender sind der wesentliche Schlüssel, damit Industrie 4.0 seine volle Wirkung entfalten kann. Eine besondere Rolle kommt dabei Zertifikaten zu. Sie sind ein aussagekräftiges Zeichen, um einen datenschutzkonformen und sicheren Umgang mit den erhaltenen Informationen sichtbar zu machen. Eng verbunden mit der Zertifizierung ist zudem die Frage, welche Rolle Unternehmen oder Branchenverbände bei der Konkretisierung der gesetzlichen Vorgaben und Standardsetzung einnehmen können. Die zur Zeit in Brüssel verhandelte Datenschutz-Grundverordnung ist für diese Aspekte von besonderer Bedeutung, da sie künftig in weiten Teilen den rechtlichen Rahmen vorgeben wird.

II. Industrie 4.0 als Herausforderung für den Datenschutz

Der bestehende Rechtsrahmen für den Datenschutz ist mit Herausforderungen konfrontiert, denen das tradierte, auf der Datenschutzrichtlinie 95/46/EG aufbauende Datenschutzrecht nicht mehr adäquat gewachsen ist[2]. Im Kontext von Industrie 4.0 zeigt sich insbesondere, welchen neuen und oftmals grundsätzlichen Fragen sich der Datenschutz stellen muss[3]. Industrie 4.0 ist durch eine starke Individualisierung der Produkte gekennzeichnet. Kunden und Geschäftspartner sind direkt in die Geschäfts- und Wertschöpfungsprozesse eingebunden. Unternehmen verarbeiten damit nicht mehr nur Daten, die sich ausschließlich auf Geräte oder auf Produkte beziehen. Die Daten lassen vielmehr auch Rückschlüsse auf natürliche Personen, zum Beispiel die Kunden eines Unternehmens oder Nutzer eines Gerätes, zu.

1. Anwendungsbereich des Datenschutzrechts

Im industriellen „Internet der Dinge“ werden zunächst weit überwiegend technische Informationen wie Zustandsdaten von Maschinen und Fertigungsdaten ausgetauscht, die an sich keinen Personenbezug haben. Die Verknüpfung dieser umfangreichen Datenbestände mit anderen, oftmals personenbezogenen Informationen wiederum führt dazu, dass Rückschlüsse auf Personen und individuelle Verhaltensweisen möglich sind. Eine klare rechtliche Trennung zwischen personenbezogenen und nicht-personenbezogenen Informationen ist bei industriellen Prozessen häufig kaum noch praktikabel[4]. Die Frage der Abgrenzung zwischen personenbezogenen und nicht-personenbezogenen Daten[5] rückt damit in das Zentrum der Diskussion um das Verhältnis von Industrie 4.0 zum Datenschutz. Von ihrer Beantwortung im Einzelfall hängt ab, ob das Datenschutzrecht Anwendung findet.

Die Verhandlungen zur Datenschutz-Grundverordnung zu diesem Punkt sind noch nicht abgeschlossen. Unabhängig von ihrem Ergebnis zeigt sich aber bereits jetzt, dass zunehmend Konzepte in den Vordergrund treten, bei denen eine Verarbeitung von Daten in einer Art und Weise erfolgt, dass eine Identifizierung von Personen nicht oder nur mit unverhältnismäßig großem Aufwand möglich ist. Konzepte der Anonymisierung oder der Pseudonymisierung[6] ermöglichen eine grundrechtsschonende Datennutzung und gestatten es damit den Unternehmen, vorhandene Daten auszuwerten oder neue Angebote zu entwickeln. Diese Entwicklung steht exemplarisch für ein neues Verständnis des Datenschutzes. Ein zeitgemäßer Datenschutz wird vor allem durch Integration von Datenschutzkonzepten in die Technik selbst und durch entsprechende organisatorische Verankerungen erreicht werden können[7].

2. Besserer Datenschutz durch Marktanreize

Datenschutz wird künftig vor allem dann erfolgreich sein, wenn man ihn mit und nicht gegen die datenverarbeitenden Stellen betreibt. Angesichts der immer kürzer werdenden Innovationszyklen stoßen klassische Regulierungs- aber auch aufsichtsrechtliche Instrumente zunehmend an ihre Grenzen. Zugleich kommt den datenverarbeitenden Stellen eine größer werdende Verantwortung für den datenschutzkonformen Umgang mit den personenbezogenen Informationen zu. Die Unternehmen verfügen über das technische Wissen und den Sachverstand, um die konkreten Prozesse der Datenverarbeitung datenschutzkonform auszugestalten. Ungeachtet dessen bleibt der Normgeber jedoch in der Verantwortung, die Rahmenbedingungen zu definieren und insbesondere bei Grundrechtsrelevanz die materiellen Standards zu konkretisieren. Der Normgeber muss zudem dafür Sorge tragen, dass der Regelungsrahmen Anreize zu datenschutzfreundlichem Verhalten vorsieht.

Zertifikate, Gütesiegel und Audits stellen eine Möglichkeit dar, solche Anreize zu datenschutzfreundlichem Verhalten zu bewirken. Sie entfalten Marktanreize, in dem sie Transparenz und Vertrauen schaffen und dadurch für die geprüften Dienste Wettbewerbsvorteile bieten. Die erfolgreiche Implementierung von Zertifizierungsmechanismen ermöglicht zugleich eine effiziente Datenschutzprüfung von Anwendungen und führt damit zu einer Stärkung des Datenschutzes. Die Durchführung eines Zertifizierungsverfahrens ist letztlich auch Ausdruck einer bewussten, gewollten und geförderten Selbstregulierung der Datenverarbeiter[8]. Diese schlägt sich auch in der Möglichkeit für Unternehmen oder Branchenverbände nieder, gesetzliche Vorgaben mit Blick auf die spezifischen Anforderungen selbst zu konkretisieren. Die sog. Ko-Regulierung ist auf europäischer Ebene gerade bei technischen Standards bereits weit verbreitet. Unter dem „New-Approach“-Ansatz beschränkt sich die EU darauf, wesentliche Anforderungen an Produkte zu definieren. Diese werden dann von den Unternehmen in Normungsprozessen konkretisiert. Die damit einhergehende Compliance-Vermutung stellt einen wirkungsvollen Anreiz für die Unternehmen dar, die Normen zu befolgen.

Es stellt sich die Frage, inwieweit diese in anderen Regelungsbereichen anerkannten und bewährten Mechanismen im Datenschutz Anwendung finden können. Die Anforderungen von Industrie 4.0 zeigen, dass die Diskussion um die konkrete Ausgestaltung dieser Anreize in einem modernen Datenschutz erst am Anfang steht. Maßgeblich für die künftige Entwicklung dieser Mechanismen wird vor allem die europäische Datenschutz-Grundverordnung sein.

3. Weichenstellung durch die Datenschutz-Grundverordnung

Als die Europäische Kommission im Februar 2012 ihren Entwurf für eine Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vorstellte, war allen Beteiligten klar, dass ein intensiver und länger andauernder Diskussionsprozess bevorstehen würde. Die geltende Datenschutz-Richtlinie aus dem Jahr 1995 wurde fünf Jahre beraten. Angesichts der technologischen Weiterentwicklung hin zu einer inzwischen allgegenwärtigen Datenerhebung und der damit einhergehenden neuen Anforderungen an den Schutz der Persönlichkeitsrechte in der digitalisierten Welt waren schnelle Antworten nicht zu erwarten. Nachdem sich das Europäische Parlament im März 2014 auf einen Standpunkt verständigte und der Rat seinen Standpunkt im Juni 2015 verabschiedet hat, haben im Sommer 2015 die Trilog-Verhandlungen zwischen dem Europäischen Parlament, dem Rat und der Europäischen Kommission begonnen. Die Verhandlungen sind damit einen wesentlichen Schritt vorangekommen. Die Beteiligen haben das ehrgeizige Ziel, die Verhandlungen bis Ende 2015 abzuschließen.

Es ist der Anspruch an die Reform, ein Datenschutzrecht zu schaffen, welches auch die sich aus Industrie 4.0 und Big Data ergebenden Anforderungen erfüllt. Dabei geht es im Kern darum, einen fairen Ausgleich zwischen den unterschiedlichen Interessen herzustellen. Einerseits müssen die Persönlichkeitsrechte und die Privatsphäre der von der Datenverarbeitung Betroffenen angemessen geschützt werden. Andererseits müssen Unternehmen in die Lage versetzt werden, aufgrund ihrer berechtigten Interessen mit den zur Verfügung stehenden Daten zu arbeiten. Die DatenschutzGrundverordnung gibt aller Voraussicht nach zumindest für die kommende Dekade den Rahmen für den Umgang mit personenbezogenen Daten vor. Mit ihr sind entscheidende Weichenstellung auch für die Entwicklungs- und Innovationsoffenheit der europäischen datenverarbeitenden Wirtschaft verbunden. Dies gilt auch mit Blick auf den künftigen Rechtsrahmen für Zertifizierungen und die Möglichkeiten der Ko-Regulierung.

III. Rechtsrahmen für Zertifizierungen

Datenschutzzertifizierungen können ein erfolgreiches Modell für die Sicherung des Datenschutzstandards im Kontext von Industrie 4.0 sein. Voraussetzung dafür ist die Schaffung eines soliden rechtlichen Rahmens auf europäischer Ebene. Ein Zertifikat, dem man vertrauen kann, verlangt offene und transparente Prüfstandards und eine unabhängige Prüfinstanz[9]. Von zentraler Bedeutung für die erwünschte Entwicklung von Zertifizierungen ist somit die Frage, ob die Zertifizierungsstelle eine Behörde oder ein privates Unternehmen ist und ob das Zertifizierungsverfahren öffentlichrechtlich oder privatrechtlich ausgestaltet ist. Da sich die vorliegenden Entwürfe für eine Regelung in der DatenschutzGrundverordnung in ihren systematischen Ansätzen unterscheiden, lohnt sich eine genauere Analyse der verschiedenen Textvorschläge.

1. Entwurf der Europäischen Kommission

Im Gegensatz zur geltenden Datenschutz-Richtlinie nimmt der Entwurf der Europäischen Kommission zur DatenschutzGrundverordnung in Art. 39 DSGVO das Konzept der Zertifizierung auf. Allerdings enthält er nur allgemeine Bezugnahmen auf Zertifizierungen. Die datenschutzspezifischen Zertifizierungsverfahren sollen der ordnungsgemäßen Anwendung dieser Verordnung dienen und den Besonderheiten der einzelnen Sektoren und Verarbeitungsprozesse Rechnung tragen[10]. Die Kommission behält sich vor, die Kriterien und Anforderungen für datenschutzspezifische Zertifizierungsverfahren einschließlich der Bedingungen für die Erteilung und den Entzug der Zertifizierung, technische Standards für Zertifizierungsverfahren sowie Verfahren zu deren Förderung und Anerkennung festzulegen[11]. Der Entwurf der Kommission trifft allerdings keine Festlegung mit Blick auf den rechtlichen Charakter der Zertifizierung und der Eigenschaft der Zertifizierungsstelle. Die Rechtsbeziehungen können sowohl privat als auch öffentlichrechtlich ausgestaltet sein. Die für den Erfolg von Zertifizierungen maßgeblichen Punkte bleiben damit im Wesentlichen offen.

2. Entwurf des Europäischen Parlaments

Der am 12. März 2014 verabschiedete Entwurf des Europäischen Parlamentes enthält indes deutlich konkretere Vorgaben an das Verfahren der Zertifizierung und die mit ihr verbundenen Rechtswirkungen[12]. Den Regelungen liegt ein Verständnis zu Grunde, wonach die Zertifizierung in erster Linie als Aufgabe der Aufsichtsbehörden gesehen wird. Jeder für die Verarbeitung Verantwortliche soll bei jeder Aufsichtsbehörde in der Union für eine angemessene Verwaltungsgebühr eine Zertifi zierung darüber beantragen können, dass die Verarbeitung personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung durchgeführt wird[13]. Die endgültige Zertifizierung, das sog. „European Data Protection Seal“, soll die Aufsichtsbehörde erteilen. Das Europäische Parlament spricht sich dafür aus, dass die verantwortliche Stelle einen Anspruch auf Zertifizierung gegen die Aufsichtsbehörden hat. Der rechtliche Charakter des Zertifizierungsverfahrens wird im Vorschlag des Europäischen Parlaments aber nicht abschließend festgelegt. Es wird auch nicht eindeutig geregelt, ob die Zertifizierung den Aufsichtsbehörden vorbehalten sein soll oder ob auch private Stellen die Möglichkeit haben sollen, ein Zertifikat auszustellen.

3. Entwurf des Rates

Der am 15. Juni 2015 verabschiedete Entwurf des Rates sieht eine umfangreiche Regelung zur Zertifizierung in Art. 39 DSGVO (Rat) vor. Die Norm spezifiziert die „Compliance-Funktion“ von Zertifizierungen. Sie stellt klar, dass Zertifikate zum Nachweis, dass der für die Datenverarbeitung Verantwortliche die Vorgaben der Verordnung bei der Datenverarbeitung einhält, dienen[14]. Um der technischen Weiterentwicklung und der sich daraus ergebenden Notwendigkeit der Anpassung der technisch-organisatorischen Maßnahmen Rechnung zu tragen, sieht der Ratsentwurf zudem eine begrenzte Geltungsdauer des Zertifikats von drei Jahren vor[15]. Der zentrale Unterschied zu den Vorschlägen von Kommission und Europäischem Parlament besteht jedoch in der Konkretisierung der Anforderungen an das zu Grunde liegende Zertifizierungsverfahren. In einem ergänzenden Art. 39a DSGVO (Rat) wird näher geregelt, dass die Zertifizierungsstelle unabhängig sein und über eine hinreichende Sachkunde verfügen muss. Weiterhin muss sie auch akkreditiert sein, wobei mehrere Bedingungen für die Akkreditierung von Zertifizierungsstellen genannt werden. Der Entwurf des Rates geht davon aus, dass Zertifi zierungen sowohl durch private, akkreditierte Zertifizierungsstellen als auch durch Aufsichtsbehörden durchgeführt werden können.

4. Datenschutzzertifizierung durch Behörden oder private Stellen?

Die vorliegenden Entwürfe unterscheiden sich in der Frage, wer die datenschutzrechtliche Zertifizierung durchführen soll. Mit dieser Frage ist im Kern auch die Rolle des Staates bei der Entwicklung von Zertifizierungsstandards angesprochen. Es geht darum, wie weit die Selbstkontrolle der Unternehmen beim Datenschutz reicht. Datenschutz als Wettbewerbsvorteil setzt zwingend Vertrauen in die Aussagekraft eines Zertifizierungsprozesses voraus. Dieses kann schon bei einem Verdacht auf das Vorliegen eines bezahlten Marketingmechanismus getrübt werden[16]. Eine Zertifizierung durch die Aufsichtsbehörden kann diesem Verdacht entgegenwirken. Zudem bewirken Zertifizierungen durch Aufsichtsbehörden einen hohen Grad an Rechtssicherheit, da sie jedenfalls eine faktische Selbstbindung der Behörde auslösen. Allerdings besteht zugleich eine besondere Verantwortung der Behörden, die freiwillige Zertifizierung organisatorisch von der fachlichen Kontrolle zu trennen. Eine Vermischung von gebührenfinanzierter Zertifizierung und aufsichtsrechtlicher Tätigkeit gilt es zu vermeiden. In der täglichen Praxis stellt sich zudem die Schwierigkeit, dass Aufsichtsbehörden oftmals nicht über die notwendigen Ressourcen verfügen, um den bestehenden Zertifizierungsbedarf abzudecken. Schließlich kann ein privatwirtschaftlicher Wettbewerb auch bei Zertifizierungen zu effizienten und kostengünstigen Angeboten führen, die wiederum die Durchsetzbarkeit von Zertifikaten am Markt fördern.

Eine Monopolisierung der datenschutzrechtlichen Zertifizierung bei den Aufsichtsbehörden wäre problematisch[17]. Eine Notwendigkeit dafür ließe sich nur begründen, wenn Bedenken an der erforderlichen Unabhängigkeit und Eignung der privaten Stellen bestehen. Solchen Bedenken kann jedoch durch klare rechtliche Vorgaben zu Unabhängigkeit und notwendigem Fachwissen der Zertifizierungsstellen entgegengetreten werden. Durch eine formale Akkreditierung der privaten Zertifizierungsstellen kann sichergestellt werden, dass die staatlichen Vorgaben Beachtung finden. Die Verordnung 765/2008 stellt einen geeigneten Rechtsrahmen für die Akkreditierungsprozesse dar. Der künftige durch die Datenschutz-Grundverordnung vorgegebene Rechtsrahmen für Zertifizierungen sollte aus diesen Gründen so ausgestaltet sein, dass die Zertifizierung sowohl durch die Aufsichtsbehörden als auch durch – akkreditierte – private Stellen durchgeführt werden kann. Ein effektives Zertifizierungssystem dürfte sich so auch mit Blick auf die unterschiedlichen Strukturen in den Mitgliedsstaaten am besten zeitnah etablieren lassen.

IV. Rechtsrahmen für Ko-Regulierung

Dem Anspruch, Datenschutz gemeinsam mit den Unternehmen und nicht gegen diese zu betreiben, kann auch durch Ko-Regulierungsprozesse Rechnung getragen werden. Staatliche Regulierung im digitalen Zeitalter steht oftmals vor der Herausforderung, sachgerecht und unter einem erheblichen zeitlichen Druck auf sich in kurzen Zyklen ändernde Geschäftsmodelle reagieren zu müssen. Die Besonderheiten der Datenverarbeitung im Kontext von Industrie 4.0 zeigen, welche hohen Anforderungen an einen praxisgerechten Regelungsrahmen zu stellen sind. Neben den Interessen der datenverarbeitenden Unternehmen müssen zugleich die berechtigten Erwartungen der Nutzer an den Schutz ihrer Persönlichkeitsrechte im Netz und ihrer Privatsphäre erfüllt werden. Staatliche Regulierung ist aus diesem Grund oftmals durch einen hohen Grad an Abstraktion gekennzeichnet. Um die gebotene Technikneutralität zu gewährleisten, ist es oftmals sogar notwendig, unbestimmte Rechtsbegriffe zu verwenden. Diese sind jedoch regelmäßig mit Rechtsunsicherheit verbunden. Sowohl für die Nutzer als auch für die Unternehmen ist die damit verbundene Unklarheit, was konkret erlaubt und was verboten ist, problematisch.

Einen sachgerechten Ansatz zur Bewältigung der Herausforderungen an eine kluge Regulierung kann die Ko-Regulierung bzw. die regulierte Selbstregulierung darstellen[18]. Im Gegensatz zu reinen Selbstverpflichtungen setzt die KoRegulierung einen gesetzlichen Handlungsrahmen voraus, der den staatlichen Behörden eine fest definierte Rolle in dem Prozess zuschreibt. Dies ist insbesondere im Da tenschutz von Bedeutung, da jegliche Form der eigenen datenschutzrechtlich relevanten Standardsetzung und -durchsetzung durch die Unternehmen die unabhängigen Aufsichtsbehörden einbeziehen muss. Damit Ko-Regulierungsprozesse erfolgreich sind, bedarf es klarer Rahmenbedingungen.

Die gegenwärtige datenschutzrechtliche Rechtslage erfüllt diese Anforderungen nur bedingt. Es mangelt an konkreten Mindestanforderungen zum Verfahren, zur Beteiligung und Transparenz von Ko-Regulierungsprozessen sowie zur Einbindung der Aufsichtsbehörden und der Frage der Rechtswirkung von Verhaltenskodizes. In Deutschland hat es unter der gegenwärtigen, auf der Datenschutz-Richtlinie 95/46/EG aufbauenden Rechtslage nur zwei formale Anerkennungen eines Verhaltenskodex gegeben. Nach mehrjährigen Verhandlungen hat sich die Versicherungswirtschaft mit den Datenschutzaufsichtsbehörden auf einen Verhaltenskodex geeinigt[19]. Ende Juli 2015 wurde außerdem ein Verhaltenskodex zum Umgang mit personenbezogenen Geodaten durch die Aufsichtsbehörden anerkannt. Trotz dieser Erfolge im Einzelfall zeigen die Beispiele zugleich die Verbesserungsbedürftigkeit der Rahmenbedingungen für KoRegulierungsprozesse in der Datenschutz-Grundverordnung. Nach dem jetzigen Entwurfsstand besteht die Gefahr, dass die sich aus Industrie 4.0 ergebenden Anforderungen die Regelungen zum Schutz der Interessen sowohl der Unternehmen wie auch der Betroffenen an einen praxistauglichen Rechtsrahmen nicht gerecht werden.

1. Entwurf der Europäischen Kommission

Der Entwurf der Europäischen Kommission überträgt im Wesentlichen die in der Dateschutz-Richtlinie 95/46/EG enthaltenen Regelungen in die neue Datenschutz-Grundverordnung. Artikel 38 DSGVO (KOM) enthält lediglich eine allgemeine Vorgabe zur Förderung der Ausarbeitung von Verhaltensregeln. Soweit die Verhaltensregeln sich nur auf einen Mitgliedsstaat beziehen, soll die zuständige Aufsichtsbehörde eine Stellungnahme abgeben können. Es bleibt offen, ob diese Stellungnahme eine Rechtswirkung haben soll. Arbeiten Verbände und Unternehmen aus mehreren Mitgliedsstaaten Verhaltensregeln aus, sollen sie diese der Kommission vorlegen können[20]. Die Kommission behält sich das Recht vor, im Wege von Durchführungsrechtsakten die vorgeschlagenen Verhaltensregeln als allgemein gültig in der Union anzuerkennen. Damit würden die Verhaltensregeln auch gegenüber Unternehmen der betroffenen Branche zur Anwendung kommen, die selbst nicht an den Ko-Regulierungsprozessen beteiligt waren. Diese Regelung ist mit Blick darauf zu begrüßen, die komparativen Nachteile zwischen den Unternehmen, die sich – freiwillig – einem Verhaltenskodex unterwerfen, und denjenigen Unternehmen, die sich diesem nicht unterwerfen, aber dennoch von seinen Vorteilen (z.B. Verhindern einer gesetzlichen Regelung) profitieren[21], ausgeglichen werden. Der Vorschlag der Kommission lässt jedoch zahlreiche Fragen zur konkreten Ausgestaltung des Verfahrens oder den Rechtswirkungen unbeantwortet.

2. Entwurf des Europäischen Parlaments

Der Entwurf des Europäischen Parlaments baut auf dem Entwurf des Rates auf. Er konkretisiert das Verfahren, indem er zeitliche Vorgaben für die (nationalen) Aufsichtsbehörden zur Bewertung der vorgelegten Verhaltensregeln macht[22]. Der Vorschlag des Europäischen Parlaments stärkt zugleich die Rolle des Europäischen Datenschutzausschusses. Im Fall der Allgemeingültigkeitserklärung durch die Kommission ist vorgesehen, dass der Europäische Datenschutzausschuss zuvor um eine Stellungnahme ersucht wird[23]. Der Europäische Datenschutzausschuss, der aus Vertretern der nationalen Aufsichtsbehörden bestehen wird, soll sicherstellen, dass die Datenschutz-Grundverordnung einheitlich angewandt wird[24].

3. Entwurf des Rates

Der Entwurf des Rates beinhaltet im Vergleich zum Vorschlag der Kommission und des Europäischen Parlaments konkrete Vorschriften zum Verfahren der Ko-Regulierung. Insbesondere wird klargestellt, dass eine (nationale) Aufsichtsbehörde nicht nur eine Stellungnahme abgibt, ob die ausgearbeiteten und vorgelegten Verhaltensregeln mit der DatenschutzGrundverordnung vereinbar sind, sondern die Verhaltensregeln auch „genehmigt“[25]. Damit wird Rechtssicherheit und -klarheit hinsichtlich der Rechtsfolge der von den Unternehmen ausgearbeiteten Verhaltensregeln hergestellt. Soweit Unternehmen oder Verbände aus mehreren Mitgliedsstaaten Verhaltensregeln erarbeiten, sieht der Ratsentwurf – vergleichbar zum Entwurf des Europäischen Parlamentes – vor, dass der Europäische Datenschutzausschuss zunächst eine Stellungnahme abgibt und anschließend die Kommission die Verhaltensregeln für allgemein gültig erklären kann.

In einem maßgeblichen Punkt geht der Entwurf des Rates über die Entwürfe von Europäischem Parlament und Kommission hinaus. Er sieht die Möglichkeit für die Unternehmen und Verbände vor, Einrichtungen freiwilliger Selbstkontrollen zu gründen, um die Einhaltung der Verhaltensregeln zu überwachen[26]. Die Aufgaben und Befugnisse der Aufsichtsbehörden werden davon nicht berührt. Der Entwurf enthält zudem konkrete Vorgaben für das Verfahren der Anerkennung als Einrichtung der Freiwilligen Selbstkontrolle.

4. Auf dem Weg zu den richtigen Rahmenbedingungen

Die Weiterentwicklung des Entwurfs der Kommission durch Europäisches Parlament und Rat ist erfreulich. Die Erfahrungen der vergangenen Jahre mit dem Instrument der Ko-Re-gulierung haben gezeigt, dass ein solider Rechtsrahmen entscheidend für den Erfolg derartiger Prozesse ist. Insbesondere ist zu begrüßen, dass die Vorschläge der beiden Institutionen das Verfahren konkretisieren. Die vorgesehene Verpflichtung der Aufsichtsbehörden, „unverzüglich“ zu der Frage Stellung zu nehmen, ob die vorgeschlagene Verhaltensregel mit der Datenschutz-Grundverordnung vereinbar ist, kann langwierigen Verfahren entgegenwirken. Das steigert den Anreiz für die Unternehmen, sich an der oftmals kosten- und ressourcenintensiven Erarbeitung von Verhaltensregeln zu beteiligen. Die nach dem Entwurf des Rates vorgesehene Genehmigung durch die Aufsichtsbehörde führt zu mehr Rechtsklarheit, indem sie eine faktische Selbstbindung der Behörde begründet. Diese wird eine auf der Grundlage von genehmigten Verhaltensregeln durchgeführte Datenverarbeitung nicht als unvereinbar mit den Vorschriften der Grundverordnung bewerten[27]. Unternehmen, die sich den Verhaltensregeln unterwerfen, haben damit Rechtssicherheit, dass die dort näher beschriebenen Datenverarbeitungsvorgänge zulässig sind. Auch für die Nutzer der Dienste bewirkt die Verbindlichkeit der Verhaltensregeln ein hohes Maß an Rechtssicherheit, wenn diese zum Beispiel die Wirksamkeitsanforderungen an die elektronische Erteilung der Einwilligung näher regeln.

Die vom Rat vorgesehene Option, Einrichtungen der freiwilligen Selbstkontrolle mit der Überprüfung der Einhaltung der Verfahrensregeln zu betrauen, stellt eine weitere Möglichkeit dar, die Anreize für die Teilnahme an Selbstregulierungsprozessen zu erhöhen. Auch wenn dieses Instrument dem europäischen Datenschutzrecht bislang fremd ist, so gibt es positive Erfahrungen mit der Freiwilligen Selbstkontrolle zum Beispiel im Bereich des Jugend- und Medienschutzes. Insbesondere bei geringfügigen Verstößen gegen die Vorgaben eines Verhaltenskodexes können Einrichtungen der Freiwilligen Selbstkontrolle dem Betroffenen oftmals schneller und effektiver zu seinem Recht verhelfen.

Unzureichend ist jedoch die sich durch alle drei Entwürfe ziehende Differenzierung zwischen Verhaltensregeln, die in einem Mitgliedsstaat gelten sollen, einerseits, und Verhaltensregeln, die in mehreren Mitgliedsstaaten anwendbar sein sollen, andererseits. Im Zeitalter des grenzüberschreitenden Datenflusses ist eine solche Differenzierung mit den an sie geknüpften unterschiedlichen Rechtsfolgen nicht mehr zeitgemäß. Die Verhandlungen im Trilog sollten dazu genutzt werden, die Notwendigkeit dieser Unterscheidung zu hinterfragen.

V. Fazit

Mit der künftigen Datenschutz-Grundverordnung werden die entscheidenden Weichen für die Möglichkeiten und Grenzen der Verarbeitung personenbezogener Daten im Kontext von Industrie 4.0 gestellt. Es gilt, einen Ordnungsrahmen zu schaffen, der sowohl den Unternehmen die Verarbeitung und Nutzung der Daten erlaubt, als auch die Persönlichkeitsrechte der Betroffenen angemessen schützt. Im Kontext von Industrie 4.0 setzt sich dabei zunehmend die Erkenntnis durch, dass ein besserer Datenschutz gemeinsam mit und nicht gegen die Datenverarbeiter erreicht werden kann. Zertifikate und Verhaltensregelungen spielen dabei eine wichtige Rolle. Das Bewusstsein eines Datenverarbeiters für datenschutzkonformes Verhalten wird gestärkt, wenn er durch einen Verhaltenskodex zur Einhaltung datenschutzrechtlicher Regelungen gezwungen und ihm durch eine Zertifizierung die Eigenschaft seines Produktes vor Augen geführt wird. Verhaltenskodizes und Zertifizierungen tragen damit zu einer Stärkung des Datenschutzes bei. Die vorliegenden Entwürfe zur DatenschutzGrundverordnung des Europäischen Parlaments und des Rates stellen einen klaren Schritt in die richtige Richtung dar, weil sie erstmals konkrete Vorgaben für die Ausgestaltung sowohl von Zertifizierungsprozessen als auch von Verfahren der Ko-Regulierung machen. Sie stellen eine gute Grundlage dar, damit diese beiden Instrumente künftig einen wichtigen Baustein für einen effektiven Datenschutz bei Industrie 4.0 spielen können.

Prof. Dr. Günter Krings Dr. Günter Krings, MdB, ist seit Dezember 2013 Parlamentarischer Staatssekretär beim Bundesminister des Innern und Mitglied des Deutschen Bundestages seit 2002. Von 2002 bis 2005 war er Vorsitzender der Jungen Gruppe der CDU/CSU Bundestagsfraktion und von 2006 bis 2009 u.a. Vorsitzender des Parlamentarischen Beirates für nachhaltige Entwicklung.

Von 2008 bis 2009 war er Justitiar der CDU/CSU-Bundestagsfraktion und von 2009 bis 2013 deren stellvertretender Vorsitzender. Zudem ist er Vorsitzender des Bundesarbeitskreises Christlich-Demokratischer Juristen und der Deutschen Gesellschaft für Gesetzgebung. Dr. Günter Krings studierte Rechtswissenschaft und Geschichte in Köln und internationales und amerikanisches Recht in Philadelphia und wurde 2002 zum Dr. jur. promoviert. Von 1998 bis 2013 war er als Rechtsanwalt in Mönchengladbach tätig, seit 2004 ist er Lehrbeauftragter und seit 2010 Inhaber einer Honorarprofessur an der Universität Köln.

Dr. Lars Mammen

Dr. Lars Mammen ist als Referent im Bundesministerium des Innern tätig und hat dort als Mitglied der Projektgruppe Datenschutzreform die Verhandlungen zur Datenschutz-Grundverordnung mit begleitet. Zuvor war er für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Berlin sowie als Anwalt in Brüssel tätig.

* Der Beitrag gibt ausschließlich die persönliche Auffassung der Autoren wieder.

[1] Schliesky, Eine Verfassung für den digitalen Staat?, ZRP 2015, S. 56 ff (S. 56).

[2] Rogall-Grothe, Ein neues Datenschutzrecht für Europa, ZRP 2012, S. 193 ff (S. 195).

[3] Siehe weiterführend Bräutigam/Klindt, Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137

[4] Brink/Eckhardt, Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts, ZD 2015, S. 205 ff, S. 6.

[5] Gola/Schomerus, BDSG, 2015, § 3 Rn. 10 ff.

[6] Zur Begriffsbestimmung und Abgrenzung statt vieler Scholz in Simitis, BDSG, 2014, § 3a BDSG Rn. 45 ff.

[7] Hornung/Hartl, Datenschutz durch Marktanreize – auch in Europa?, ZD 2014, 219.

[8] Kompetenzzentrum Trusted Cloud, „Datenschutz-Zertifizierung für Cloud Dienste“, 2015, S. 9.

[9] Schwartmann, Ein Zertifikat reicht nicht. Der Nutzer muss auch wissen, wie geprüft wurde, FAZ vom 6. Mai 2015, S. 16.

[10] Art. 39 Abs. 1 DSGVO (KOM)

[11] Art. 39 Abs. 2 und Abs. 3 DSGVO (KOM)

[12] Für eine erste Bewertung siehe Roßnagel/Kroschwald, Was wird aus der Europäischen Datenschutzgrundverordnung? – Die Entschließung des Europäischen Parlaments über ein Vetragsdokument, ZD 2014, S. 495 ff., 498.

[13] Art. 39 Abs. 1a DSGVO (EP)

[14] Art. 39 Abs. 1 DSGVO (Rat)

[15] Art. 39 Abs. 4 DSGVO (Rat)

[16] Hornung/Hartl, aa.O., S. 221.

[17] Kompetenzzentrum Trusted Cloud, Thesenpapier – Datenschutz-Zertifizierung durch private Stellen, 2015, S. 12.

[18] Kranich/Peintinger, Selbstregulierung im Datenschutzrecht – Rechtslage in Deutschland, Europa und den USA unter Berücksichtigung des Vorschlags zur DS-GVO, ZD, 2014, S. 3 ff., S.9.

[19] „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft (Code of Conduct)” in der Fassung v. 7.9.2012; abrufbar unter: http://www.gdv.de/wp-content/uploads/2013/03/GDV_Code-of-Conduct_Datenschutz_2012.pdf.

[20] Art. 38 Abs. 3 DSGVO (KOM)

[21] Spindler / Thorun, Eckpunkte einer Digitalen Ordnungspolitik – Politikempfehlungen zur Verbesserung der Rahmenbedingungen für eine effektive Ko-Regulierung in der Informationsgesellschaft, 2015, S. 33.

[22] Art. 38 Abs. 2 DSGVO (EP): „(…) Die Aufsichtsbehörde nimmt unverzüglich zu der Frage Stellung, ob die Verarbeitung nach dem betreffenden Entwurf von Verhaltensregeln (…) mit dieser Verordnung vereinbar ist (…)“.

[23] Art. 38 Abs. 4 DSGGVO (EP).

[24] Siehe im Einzelnen Art. 64 DSGVO ff.

[25] Art. 38 Abs. 2 und 2a DSGVO (Rat).

[26] Art. 39a DSGVO (Rat).

[27] Von Braunmühl, Ansätze zur Ko-Regulierung in der DatenschutzGrundverordnung, PinG 2015, S. 231 ff, S. 232; Kranich / Peintinger, a.a.O., S. 4.