Bericht und Antrag der Regierung an den Landtag des Fürstentums Liechtenstein
betreffend den Entwurf des Beschlusses des gemeinsamen EWR-Ausschusses
(Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung))
5
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung, DSGVO) wird ab dem 25. Mai 2018 für die EU-Staaten verpflichtend anwendbar. Mit dem Inkrafttreten wird die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) in der EU aufgehoben. Mit der Übernahme der DSGVO in den EWR wird die Datenschutzrichtlinie auch im EWR von der DSGVO abgelöst.
Durch die DSGVO soll - da Verordnungen anders als Richtlinien keiner Umsetzung bedürfen - ein einheitliches Regelwerk geschaffen werden, das Unternehmen die Geschäftstätigkeit im gesamten Binnenmarkt erleichtern und somit Kosten und Aufwendungen reduzieren will. Da die DSGVO bestimmte Wahlmöglichkeiten in Form von sogenannten "Öffnungsklauseln" vorsieht und auch Sanktionen im nationalen Recht verankert werden müssen, ergibt sich in Liechtenstein, ebenso wie in anderen EWR-Staaten, Rechtssetzungsbedarf.
Mit der DSGVO werden die in der Datenschutzrichtlinie von 1995 verankerten Grundsätze zum Schutz der Privatsphäre aktualisiert und modernisiert. Der Einzelne soll mehr Kontrolle über seine personenbezogenen Daten haben und leichter auf diese Daten zugreifen können. Personenbezogene Daten sollen in einer stark vernetzten Welt geschützt werden, unabhängig davon, wohin sie übermittelt und wo sie verarbeitet oder gespeichert werden. Möchte ein Bürger nicht, dass seine Daten verarbeitet werden, so müssen die Daten gelöscht werden, wenn kein berechtigter Grund für deren Speicherung vorliegt.
Die DSGVO befindet sich zurzeit im Übernahmeverfahren in das EWR-Abkommen. EWR-rechtlich galt es durch den Übernahmebeschluss die uneingeschränkte Teilnahme der datenschutzrechtlichen Aufsichtsbehörden der EWR/EFTA-Staaten im Europäischen Datenschutzausschuss sicherzustellen. Die Beschlüsse des Europäischen Datenschutzausschusses werden direkt auch für die datenschutzrechtlichen Aufsichtsbehörden der EWR/EFTA-Staaten gelten.
6
Die DSGVO wird in Liechtenstein durch eine Totalrevision des Datenschutzgesetzes (DSG) ergänzt. Zudem sind Anpassungen hinsichtlich der Datenschutzbestimmungen in zahlreichen Spezialgesetzen erforderlich.
Zuständiges Ministerium
Ministerium für Äusseres, Justiz und Kultur
Betroffene Stellen
Amt für Justiz
Stabsstelle EWR
Datenschutzstelle
7
Vaduz, 20. März 2018
LNR 2018-373
Sehr geehrter Herr Landtagspräsident,
Sehr geehrte Frauen und Herren Abgeordnete
Die Regierung gestattet sich, dem Hohen Landtag nachstehenden Bericht und Antrag zum Entwurf des Beschlusses des Gemeinsamen EWR-Ausschusses betreffend die Übernahme der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung) zu unterbreiten.
Aufgrund des Wunsches der liechtensteinischen Unternehmen, den betroffenen EU-Rechtsakt möglichst ohne Verzögerung in das EWR-Abkommen zu übernehmen, wird dem Hohen Landtag ausnahmsweise ein finaler Entwurf
1 eines EWR-Übernahmebeschlusses in englischer Fassung zur vorherigen Genehmigung vorgelegt
2.
8
Auf diese Weise kann sichergestellt werden, dass der EWR-Übernahmebeschluss am Tag nach seiner Unterzeichnung im Gemeinsamen EWR-Ausschuss in Kraft treten kann, sofern alle nationalen Zustimmungsverfahren zu diesem Zeitpunkt abgeschlossen sind. Auch in Liechtenstein ist dazu eine Befassung des Landtags mit dem EWR-Übernahmebeschluss vor seiner Unterzeichnung im Gemeinsamen EWR-Ausschuss notwendig.
Da neben Liechtenstein auch Norwegen und Island ihre nationalen Parlamente bereits vor Beschlussfassung im Gemeinsamen EWR-Ausschuss mit der Zustimmung zur Übernahme der DSGVO befassen wollen, könnte die DSGVO unmittelbar nach der Beschlussfassung im Gemeinsamen EWR-Ausschuss in das EWR-Abkommen übernommen werden.
Der Gemeinsame EWR-Ausschuss wird voraussichtlich Mitte 2018 beschliessen, die DSGVO in das EWR-Abkommen zu übernehmen. Bis dahin müssen die entsprechenden Verfahren auf EU-Seite durchlaufen werden (Zustimmung des Rates zu den im Beschlussentwurf vorgesehenen Anpassungen, Übersetzung des Beschlussentwurfs in alle EU-Amtssprachen).
| |
| 1 | Geringfügige Änderungen technischer Natur können sich allenfalls im Zuge der Verfahren auf EU-Seite ergeben. Sollten solche Änderungen vorgenommen werden, wird der Landtag bzw. die EWR-Landtagskommission entsprechend informiert werden und es kann entschieden werden, ob der Landtag erneut befasst werden soll (siehe dazu Seite 11). |
| |
| 2 | Eine solche Vorgehensweise wurde bereits im Zuge der Übernahme des ersten Paketes an Rechtsakten betreffend die Europäischen Finanzaufsichtsbehörden (ESAs) gewählt. Vgl. dazu BuA Nr. 34 - 39/2016. |
| |
Am 25. Mai 2018 wird die neue DSGVO in der EU Geltung erlangen und dann die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) ersetzen. Die Datenschutzrichtlinie wurde mit EWR-Übernahmebeschluss Nr. 83/1999 vom 25.
9
Juni 1999
3 in das EWR-Abkommen übernommen und im Datenschutzgesetz (DSG)
4 und der Datenschutzverordnung (DSV)
5 umgesetzt.
Im Gegensatz zur EU-Datenschutzrichtlinie, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die DSGVO ohne Umsetzungsakt in allen EU-Mitgliedsstaaten ab dem 25. Mai 2018 unmittelbar gelten. Es gibt allerdings Bereiche, in denen die Mitgliedsstaaten die Regelungen der DSGVO konkretisieren dürfen und so spezifische Regelungen schaffen können (sogenannte "Öffnungsklauseln").
Die Anpassung der Datenschutzgesetzgebung auf EU-Ebene erfolgte vor dem Hintergrund EU-weit einheitliche, an das digitale Zeitalter angepasste Regeln zu schaffen, die Rechtssicherheit zu verbessern und das Vertrauen der Bürgerinnen und Bürger, sowie der Unternehmen in den digitalen Binnenmarkt zu stärken.
Wie oben ausgeführt, wird die DSGVO nach der Übernahme in das EWR-Abkommen auch in Liechtenstein unmittelbar anwendbar. Im Rahmen einer Arbeitsgruppe wurde unter Einbezug verschiedener Verbände definiert, von welchen Öffnungsklauseln Gebrauch gemacht werden soll. Dementsprechend erfolgte die Ausarbeitung einer Totalrevision des Datenschutzgesetzes (DSG), welches die DSGVO im Bereich bestimmter Öffnungsklauseln und hinsichtlich des Sanktionsregimes ergänzen wird. Rezeptionsgrundlage ist dabei das neue deutsche Bundesdatenschutzgesetz (BDSG)
6.
Aufgrund eines ausgeweiteten räumlichen Anwendungsbereiches (Marktortprinzip) entfaltet die DSGVO ab dem 25. Mai 2018 auch im Fall einer noch nicht
10
stattgefundenen Übernahme in das EWR-Abkommen bereits Wirkung in den EWR/EFTA-Staaten bzw. ausserhalb der EU-Mitgliedstaaten:
1. Wenn der Verantwortliche oder Auftragsbearbeiter eine Niederlassung in der EU hat, findet die DSGVO automatisch Anwendung, unabhängig davon, ob die Bearbeitung in der EU stattfindet oder nicht.
2. Wenn sich die Niederlassung des Verantwortlichen ausserhalb der EU befindet, aber die Bearbeitung Waren oder Dienstleistungen betrifft, die für Personen in der EU bestimmt sind, oder die Bearbeitung die Beobachtung des Verhaltens einer betroffenen Person betrifft, soweit deren Verhalten in der EU erfolgt, findet die DSGVO ebenfalls Anwendung.
Insbesondere aufgrund dieser Ausgangslage wurde spezielles Augenmerk auf eine möglichst rasche Übernahme der DSGVO in das EWR-Abkommen gelegt.
Der Entwurf des EWR-Übernahmebeschlusses enthält, hinsichtlich der Frage der Einbindung der EWR/EFTA Staaten in das von der DSGVO neu vorgesehene institutionelle Konzept, folgende wesentliche Anpassungen:
Uneingeschränkte Teilnahme der datenschutzrechtlichen Aufsichtsbehörden der EWR/EFTA-Staaten im Europäischen Datenschutzausschuss ohne Stimmrecht, wodurch die Beschlüsse des Europäischen Datenschutzausschusses somit auch direkt für die datenschutzrechtlichen Aufsichtsbehörden der EWR/EFTA-Staaten gelten;
der EFTA-Überwachungsbehörde werden im Vergleich zur EU-Kommission analoge Kompetenzen und Rechte übertragen;
Teilnahmerecht der EWR/EFTA-Staaten am Unterausschuss des Europäischen Datenschutzausschusses.