Modernisierung des Datenschutzrechts - ausschließlich eine europäische Aufgabe?


Joachim Herrmann

ist Bayerischer Staatsminister des Innern.

 

ZD 2012, 69            Bereits die erste Ausgabe dieser Zeitschrift vom September 2011 widmete sich mit einem Beitrag der EU-Justizkommissarin und Vizepräsidentin der Europäischen Kommission Dr. Viviane Reding der anstehenden Reform der EU-Datenschutzvorschriften. Nach allen Vorzeichen werden diese Legislativakte 2012 endgültig zum Spitzenthema aller Debatten um besseren Datenschutz werden. Die derzeit bekannten, noch inoffiziellen Entwürfe für eine Verordnung zur einheitlichen Regelung des Datenschutzes für öffentliche und nicht-öffentliche Stellen sowie für eine Richtlinie zum Datenschutz bei Polizei und Justiz erlauben einen ersten Ausblick auf die anstehenden Streitfragen.

 

Handlungsbedarf beim Datenschutz

Dass das Datenschutzrecht gerade durch den technologischen Wandel einer grundlegenden Reform bedarf, steht seit längerem außer Streit. Erste Vorschläge zu den notwendigen Anpassungen an die Erfordernisse der Informationsgesellschaft hat bereits 2001 das im Auftrag des Bundesministeriums des Innern erstellte Gutachten zur „Modernisierung des Datenschutzrechts" aufgezeigt. Seine Kernforderungen wurden seitdem mehrfach aufgegriffen, variiert und fortentwickelt. Ähnlich der Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu den Eckpunkten eines modernen Datenschutzrechts für das 21. Jahrhundert hat auch der Bundesrat zuletzt mit seiner Entschließung v. 9.7.2010 und Gesetzentwürfen zum Datenschutz bei Geodatendiensten (BR-Drs. 259/10 (B)) sowie zum Datenschutz in sozialen Netzwerken (BT-Drs. 17/6765) die aktuellen datenschutzrechtlichen Handlungsfelder des Gesetzgebers abgesteckt. Unter den Bedingungen globalisierten Datenaustauschs steht indessen ebenfalls außer Frage, dass eine nur nationale Regulierung, ob durch Gesetz oder in rechtlich letztlich unverbindlicher Form der Selbstregulierung, weder datenschutz- noch wirtschaftspolitisch befriedigende Ergebnisse verspricht.

 

Abschied vom Bundesdatenschutzgesetz

Daher mag es auf ersten Blick fast zwingend erscheinen, die Lösung aller Fragen moderner Datenverarbeitung wie den Umgang mit Sozialen Netzwerken, Geodatendiensten oder Cloud Computing in einem einheitlichen und verbindlichen, jede Rechtssetzung der Mitgliedstaaten verdrängenden Regelwerk der EU zu suchen. Jedenfalls in dem bislang bekannten Entwurf einer EU-Verordnung über den Schutz personenbezogener Daten geht die Kommission indessen weit über diese durch das Internet gestellten Regelungsaufgaben hinaus. Da der Verordnungsentwurf anders als das Bundesdatenschutzgesetz (BDSG) nur in wenigen eigens bestimmten Sachbereichen fachrechtlichen Datenschutzregelungen den Vorrang lässt, würden nach In-Kraft-Treten des Rechtsakts nicht nur das BDSG, sondern auch die Mehrzahl der bereichsspezifischen Datenschutzregelungen unwirksam. Hinzu kommt, dass der Verordnungsentwurf wie bereits die Datenschutzrichtlinie nicht-öffentliche und öffentliche Datenverarbeitungsverfahren grundsätzlich gleichstellt. Für das nach dem Volkszählungsurteil des BVerfG in fast dreißig Jahren feindifferenziert entwickelte System deutschen Datenschutzrechts drohen damit Einschnitte, die nicht auf das BDSG beschränkt blieben, sondern zahllose gesetzliche und untergesetzliche Einzelgewährleistungen der informationellen Selbstbestimmungen im Bundes- und Landesrechts vom Archivwesen über den Sozialdatenschutz bis zum Vergaberecht außer Kraft setzten. Selbst in Rechtsbereichen, die grundsätzlich außerhalb des Anwendungsbereichs des Unionsrechts liegen, wie etwa dem Pass- und Meldewesen, ergeben sich Abgrenzungsschwierigkeiten. So können z.B. die für den Geschäftsverkehr relevanten Regelungen zum elektronischen Identitätsnachweis oder die Regelungen zur gewerblichen Nutzung von Meldedaten die Frage nach dem Anwendungsvorrang einer künftigen EU-Datenschutzverordnung aufwerfen. Überzeugende Gründe, die diesen Kahlschlag im nationalen Datenschutzrecht rechtfertigen könnten, sind bislang nicht erkennbar. Die Interessen der Betroffenen und der Wirtschaft nach einheitlichen und effizienten Gewährleistungen des Datenschutzes insbesondere unter den Bedingungen globalisierter Datenverarbeitung können zwar eine verbindliche Harmonisierung grundlegender Datenschutzstandards im Bereich des nicht-öffentlichen Datenschutzes rechtfertigen. Insbesondere internetfähiges Datenschutzrecht für die private Datenverarbeitung kann durch die Europäische Union besser als durch die Mitgliedstaaten verwirklicht werden. Daneben sollte aber Raum für die Rechtssetzung der Mitgliedstaaten bleiben, die die unionsrechtlichen Datenschutzprinzipien für spezifische nationale Sachverhalte, insbesondere für die öffentliche Verwaltung, im Gesundheits- und Bildungswesen konkretisiert und ergänzt.

 

EU-Datenschutzverordnung: Mehrwert der Zentralisierung?

Mit der Reform des Europäischen Datenschutzrechts sind hohe Erwartungshaltungen an die Verbesserung der Gewährleistung des Datenschutzes unter den Bedingungen des Internet verknüpft. Der derzeitige Verordnungsentwurf trägt dem auf den ersten Blick mit einer Reihe von Präzisierungen oder Fortentwicklungen der Datenschutzrichtlinie wie der Einführung eines Rechts auf Vergessen, der Verbesserung des Datenschutzes Minderjähriger, Schranken für die Profilbildung oder Ansätzen zur Erstreckung europäischer Datenschutzstandards auch auf außereuropäische Anbieter Rechnung. Konkrete Lösungen zur Umsetzung dieser Gewährleistungen fehlen allerdings, obwohl gleichzeitig empfindliche -- und unter den Gesichtspunkten rechtsstaatlicher Bestimmtheit auch bedenkliche -- verwaltungsrechtliche Sanktionsbefugnisse bis hin zu Gewinnabschöpfungsmöglichkeiten geschaffen werden. Nähere Einzelheiten bleiben wie viele andere Fragen delegierten Rechtsakten der Kommission vorbehalten, für die nahezu jeder dritten Regelung der Verordnung Ermächtigungstatbestände angefügt werden. Der von der Kommission als wesentlicher Vorteil der Verordnungsregelung vermittelte Vereinheitlichungs- und sogar Deregulierungseffekt sollte daher schon mit Blick auf diese absehbaren zahlreichen Folgeregelungen kritisch hinterfragt werden. Auch die Ankündigungen materiell spürbaren Bürokratieabbaus dürften einer näheren Überprüfung kaum standhalten: Vermeintlichen Erleichterungen wie der Abschaffung des bisherigen Meldeverfahrens oder eine Anhebung der Schwelle für die Bestellung eines betrieblichen Datenschutzbeauftragten in den Bereich mittelständischer Großunternehmen auf mehr als 250 Beschäftigte stehen zahlreiche Zusatzverpflichtungen gegenüber: hart sanktionierte Informations- und Publizitätspflichten, eine bereits bei einfacher Fahrlässigkeit drohende Haftung oder die umfassende Darlegungslast für die Rechtmäßigkeit der Datenverarbeitung.

Die Vorteile einer verbindlichen EU-Regelung des allgemeinen Datenschutzes werden zudem mit einem Verlust parlamentarischer Entscheidungsrechte auf nationaler und europäischer Ebene wie auch einer für den Grundrechtsschutz nachteiligen Verlagerung des Rechtsschutzes auf unionsrechtliche Rechtsbehelfe erkauft. Der Verordnungsentwurf steht auch im Konflikt mit dem Wesentlichkeitsvorbehalt, der gerade in den grundrechtssensiblen Fragen des Datenschutzes regelmäßig Entscheidungen des Gesetzgebers selbst fordert, wie sie das nationale Recht bisher z.B. für die Videoüberwachung vorsieht, die im Verordnungsentwurf aber fehlen.

Ein modernes Datenschutzrecht für das 21.Jahrhundert, wie es die Kommission ankündigt, bedarf anstelle europäischer Zentralisierung vor allem neuer Instrumente und Anreizmechanismen, die datenschutzrechtliche Anforderungen von Anfang an in neue Informationstechnologien einbetten, datenschutzfreund-liche Verfahren belohnen und Transparenz über datenschutz-kritische Technologien herstellen. Die Stärkung der Betroffenenrechte, technische Leitprinzipien wie das Gebot datenschutzfreundlicher Voreinstellungen oder das Verfahren der Datenschutzfolgeabschätzung sind daher richtige, aber noch konkretisierungs- und ergänzungsbedürftige Ansätze. Ebenso fehlen abschließende Konzepte für zahlreiche längst bekannte Problembereiche oder Defizite wie z.B. zum Datenschutz in verbundenen Unternehmen, zur Entwicklung verbindlicher technischer Standards, wie sie in Deutschland z.B. durch das BSI vorangebracht werden, oder zur Auditierung und Zertifizierung datenschutzfreundlicher Verfahren und ihren Rechtsfolgen.

 

Kontrolle trotz Unabhängigkeit

Ein weiteres Grundelement der Vollharmonisierung des Europäischen Datenschutzrechts stellt ein sog. Konsistenzverfahren dar, das den Vollzug des Datenschutzrechts wegen der Unabhängigkeit der Kontrollstellen statt an parlamentarisch verantwortete Regierungen letztlich an die EU-Kommission bindet. Nicht die Mitgliedstaaten, sondern unmittelbar die unabhängigen Kontrollstellen sollen künftig ähnlich dem europäischen Vertragsverletzungsverfahren Stellungnahmepflichten und letztlich sogar Weisungsrechten der Kommission unterliegen. Sie verselbstständigen sich damit zu einer neuen, national finanzierten, aber europäisch gelenkten Verwaltungsebene, die schwerlich mit der europäischen Kompetenzverteilung und dem Integrationsvorbehalt des Grundgesetzes vereinbar scheint. Außerdem verliert das erst jüngst vom Europäischen Gerichtshof auf Klage der Kommission angeordnete Verbot einer parlamentarischen Regierungsverantwortung der Datenschutzkontrolle auch im nicht-öffentlichen Bereich dadurch an Überzeugungskraft.

 

Datenschutz für Polizei und Justiz

Auch nach dem Vertrag von Lissabon ist die Regelung des Datenschutzes bei Polizei und Justiz nur hinsichtlich der Zusammenarbeit der Mitgliedstaaten eine Aufgabe der Europäischen Union. Die rein innerstaatliche Datenverarbeitung von Polizei und Justiz unterliegt nicht der Rechtssetzungskompetenz der EU. Angesichts grundlegender struktureller Unterschiede zwischen den Mitgliedstaaten besteht hier für rein innerstaatliche Datenverarbeitungsfragen weder Harmonisierungs- noch Handlungsbedarf. Da erst im Jahre 2014 eine Evaluation der Umsetzung des geltenden Rahmenbeschlusses zur polizeilichen und justiziellen Zusammenarbeit zu erwarten ist, sollten die Regelungsabsichten im Bereich der ehemaligen Dritten Säule zurückgestellt werden. Für die Reform des allgemeinen Datenschutzrechts bleibt zu wünschen, dass im Fortgang des europäischen Rechtssetzungsverfahrens das Prinzip der Subsidiarität und die drängenden Kernaufgaben einer Modernisierung des Datenschutzrechts stärker als bisher im Mittelpunkt stehen.