Ein Datenschutzrecht für Europa - eine schöne Utopie oder irgendwann ein gelungenes europäisches Experiment?


 

Dr. Jyn Schultze-Melling

ist Rechtsanwalt in Berlin, Leiter Mitarbeiterdatenschutz (CDM) der DB Mobility Logistics AG und Mitglied des Wissenschaftsbeirats der ZD.

 

ZD 2012, 97         Die ersten Ankündigungen zur EU-Datenschutz-Grundverordnung klangen wahrscheinlich wie Musik in den Ohren der meisten - heutzutage gerade legislativ nicht unerheblich leidgeplagten - europäischen Datenschützer: Europa bekommt ein einheitliches Datenschutzrecht. Jeder Betroffene in den 27 Mitgliedstaaten hat dieselben Rechte. Jedes Unternehmen und jede Behörde weiß, was mit personenbezogenen Kunden- und Beschäftigtendaten getan werden darf und was nicht. Jeder weiß, was ihm von wem droht, wenn er diese Spielregeln ignoriert. Und am Ende ist guter Datenschutz auch noch für alle Beteiligten erheblich billiger, weil alles vereinfacht und vereinheitlicht wurde. 

Schnell kamen aber die ersten ernüchternden Kommentare. Deutsche Verfassungsrichter beschrieben in bundesweit erscheinenden Tageszeitungen Dinge, die selbst für Nicht-Verfassungsrechtler bedrückend schlüssig und ziemlich vernichtend klangen. Politiker aller Lager meldeten sich mit seichten Wahrheiten zu Wort und forderten erst einmal grundlegende Debatten, Lobbyisten der Direktwerbeindustrie malten im öffentlich-rechtlichen Fernsehen Horrorszenarien an die Wand und befreundete Datenschutzexperten riefen einem nach erster Lektüre des Kommissionsentwurfs zynisch Zeilen aus Tolkiens Herr der Ringe ins Gedächtnis: „Eine Verordnung, sie zu knechten, ins Dunkel zu treiben und ewig zu binden...". Droht am Ende eine gute Idee an der Komplexität der Realität zu scheitern? 

Ein einheitliches Regelwerk zum Datenschutz, das in ganz Europa gleiche Anforderungen an Unternehmen stellt, ist speziell für multinational tätige Datenschützer ein Wunschtraum. Der datenschutzrechtliche Flickenteppich, der sich infolge der von den Mitgliedstaaten in Anspruch genommenen Freiheiten bei der Umsetzung der EU-Richtlinie über ganz Europa gebreitet hat, beschert zwar der rechtsberatenden Zunft immer sattere Umsätze, macht es Unternehmen und Aufsichtsbehörden aber gleichermaßen schwer, das eigentlich gewünschte einheitliche Datenschutzniveau in Europa zu gewährleisten.

Trotzdem sollte bei aller Häme über diese unrühmliche Lage nicht vergessen werden, dass auf dieser Grundlage - mit mal mehr und mal weniger intellektuellem Aufwand der nationalen Gesetzgeber - in den Mitgliedstaaten viele im Detail unterschiedliche Lösungen entwickelt wurden, unter denen zweifelsfrei auch einige gute Ansätze sind. Wer sich also an den Tisch setzt, um eine europaweit einheitlich gültige Verordnung zum Datenschutz zu schreiben, sollte tunlichst diese unterschiedlichen Lösungsansätze analysiert, gegeneinander abgewogen und soweit dies sinnvoll möglich ist berücksichtigt haben. Besonders die Fehler und Unzulänglichkeiten bestehender Regelungen sollten dabei schonungslos identifiziert und in der neuen Lösung ausgemerzt werden. Ansonsten ist doch zu erwarten, dass das Ergebnis in Europa nicht hinreichend akzeptiert werden wird und für eine sehr lange Zeit - nämlich bis der EuGH für die wichtigsten der zahlreichen Auslegungsfragen und verfassungsrechtlichen Probleme halbwegs brauchbare Lösungen entwickelt hat - mehr Probleme aufwirft, als es zu lösen in der Lage sein wird. Das wäre eine Verschlechterung der jetzigen Situation und für die Persönlichkeitsrechte der davon betroffenen Menschen in Europa katastrophal. Diese Sorge ist es, die im Moment echte Freude über den großen Schritt der EU-Kommission vereitelt. 

Das eigentliche Problem dabei sind weniger die bereits im Vorfeld viel gepriesenen neuen Denkansätze. Die Integration von Privacy by Design in das europäische Datenschutzrecht ist zweifelsohne eine gute Idee, und zwar spätestens seit dem Tag, als Dr. Ann Cavoukian als Datenschutzbeauftragte von Ontario in den neunziger Jahren dem Konzept diesen Namen gab. Und auch das jetzt viel zitierte „Recht vergessen zu werden", das von einigen auch etwas schlichter als „Online-Radiergummi" bezeichnet wird, ist sicherlich eine prinzipiell wertvolle Idee - trotz der Zeitgenossen, die derzeit einige nicht völlig von der Hand zu weisende technische Vorbehalte geltend machen. Und die ausführliche Regelung von Datenschutz-Folgeabschätzungen, die unter der Bezeichnung „Privacy Impact Assessment" (oder kurz: PIA) gleich erheblich bekannter klingen und deren Durchführung bereits 2009 vom englischen Information Commissioner in einem guten und sogar online verfügbaren Handbuch umfangreich beschrieben wurde, wird dafür sorgen, dass sich mehr Leute frühzeitig, strukturiert und prozessorientiert Gedanken zum Thema Datenverarbeitung und deren Konsequenzen machen. Das ist alles durchaus begrüßenswert. 

Das wirkliche Problem sind die fehlenden Dinge oder anders gesagt: die verpassten Chancen, alte Mängel des Datenschutzrechts jetzt nachhaltig anzugehen und sinnvolle, pragmatische Lösungen dafür zu finden. Das Konzernprivileg ist hierfür ein gutes Beispiel. Die Diskussion darum trägt - spätestens wenn Konzerndatenschützer die Bühne betreten - mittlerweile Züge eines ceterum censeo. Die Wirtschafts- und Steuerrechtler erkennen europaweit die Existenz und sogar die Notwendigkeit von Konzernen als einem Gestaltungsmittel zur wirtschaftlichen und rechtlichen Verknüpfung von juristisch eigenständigen Unternehmen an. Nur die Datenschützer müssen sich laufend vor die Menge stellen und diese Wirklichkeit sehenden Auges ignorieren und verleugnen. Aus der recht lapidaren Aussage „Es gibt kein Konzernprivileg!" ist zudem mittlerweile schleichend ein „Es darf kein Konzernprivileg geben!" geworden. Hierzulande ist der Streit darüber mittlerweile so weit eskaliert, dass Konzerndatenschützern, die ihren Aufsichtsbehörden stolz pragmatische und vernünftige Lösungen zum begrenzten Austausch personenbezogener Beschäftigtendaten zwischen Konzernunternehmen vorstellen wollten, die Unterminierung eines angeblich bestehenden Verbots eines Konzernprivileges vorgeworfen wurde. 

Eine europäische Datenschutz-Verordnung wäre nun eigentlich ein ganz passabler Platz gewesen, um dieses leidige Thema im Interesse aller Beteiligten ein für alle Mal zu bewältigen. Tatsächlich wird schon in den Definitionen der Verordnung ein neuer Begriff gekürt: die Unternehmensgruppe, definiert als eine „Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht." In den Köpfen von vielen Konzerndatenschutzbeauftragten keimte schon die Hoffnung auf: Wenn es doch eine halbwegs vernünftige Beschreibung von Konzernstrukturen am Anfang des Entwurfs gibt, muss es weiter hinten dann auch Regelungen dazu geben. Aber die Ernüchterung kam recht schnell. Ja, Unternehmensgruppen existieren im Weltbild der Mannschaft von Viviane Reding, aber zunächst nur im Zusammenhang mit etwas, das in der deutschen Übersetzung der Verordnung „verbindliche unternehmensinterne Datenschutzregelungen" heißt und bislang - dem allgemeinen Trend zur Vermeidung von Anglizismen trotzend - von Datenschützern schlicht als „BCRs" (Binding Corporate Rules) bezeichnet wurde. Genau als solche finden sie sich folglich auch in der Verordnung: ein Vehikel, um grenzüberschreitende Datenübermittlungen in Drittstaaten zu ermöglichen. Innereuropäische oder gar inländische Datenübermittlungen zwischen Schwestergesellschaften oder zwischen Mutter- und Tochtergesellschaft sind hierbei ganz offenbar nicht gemeint. 

Außerhalb dieses Zusammenhangs existiert nur eine weitere relevante Erwähnung des neuen Begriffs der Unternehmensgruppe - unter der Überschrift „Auftragsdatenverarbeiter". Hier findet sich eine Ermächtigungsklausel, die es der Kommission erlaubt, durch delegierte Rechtsakte insbesondere die Bedingungen festzulegen, „durch die die Verarbeitung personenbezogener Daten in Unternehmensgruppen speziell zu Kontroll- und Berichterstattungszwecken vereinfacht werden kann". Damit wurde immerhin ein kleiner Teil des Problems erkannt, wenn auch nicht wirklich zufriedenstellend gelöst. Die Übermittlung von personenbezogenen Daten im Konzern erfolgt manchmal tatsächlich zum Zweck der Kontrolle und der Berichterstattung. Aber die Grenzen zwischen Auftragsdatenverarbeitung und der Übertragung von Funktionen sind bekanntlich unscharf, und schon nicht alles, was Konzerncontrolling-, Revisions- oder gar Complianceabteilungen so tun, lässt sich mit gutem Gewissen jemandem vom Fach noch als reine Auftragsdatenverarbeitung verkaufen. Bei anderen alltäglichen Themen wie konzernweit gemeinsam betriebenen Altersvorsorgelösungen, Gruppenfunktionen zur strategischen Personalplanung oder gar konzerninternen Stellen- und Bewerbermärkten scheitert auf Grund der dort jedoch gerade erwünschten selbstverantwortlichen Behandlung dieser Themen durch den konzerninternen Dienstleister eine Verarbeitung im Auftrag. Die Folge sind umfangreiche, störungsanfällige und damit wartungsaufwendige Vertragsstrukturen, intensiv verhandelte Konzernbetriebs- und Sprecherausschussvereinbarungen oder im besten Falle sehr fantasievolle Auslegungen vorhandener Gesetzeslagen. Und trotz alledem können sich Datenschützer in die sehr unschöne Notlage gedrängt sehen, sagen zu müssen, dass etwas eigentlich Vernünftiges ohne eine -- nur in der Theorie überhaupt einholbare, geschweige denn praktisch handhabbare -- Einwilligung der Betroffenen im Konzern nicht geht. 

Eine Lösung hierzu hätte in Europa nicht nur echte legislative Innovation bedeutet, sondern auch ein reelles rechtliches, politisches und letztlich auch nicht unerhebliches wirtschaftliches Problem beseitigt -- und das ist nur ein Beispiel für die noch bestehenden Unzulänglichkeiten der Verordnung. Die Anforderungen der jeden Tag mit teils hochkomplexen Datenschutzfragen arbeitenden Praktiker sind zwar hoch. Die, welche sich die EU selbst gesteckt hat, sind es aber auch. Die Kommission möchte den Datenschutz in ganz Europa vereinfachen, vereinheitlichen und absichern. So weit, so gut. Aber dafür brauchen wir keine Datenschutz-Grundverordnung, die - zumindest in ihrer jetzigen Gestalt - immer noch eher an eine Richtlinie erinnert. Was wir brauchen, ist ein handwerklich sorgfältiger, klar und verständlich geschriebener, inhaltlich ausdifferenzierter und tatsächlich die Anforderungen des Alltags reflektierender Kommissionsentwurf, der die EU-Richtlinie und die verschiedenen auf ihrer Grundlage erarbeiteten Datenschutzgesetze in den Mitgliedstaaten ersetzen kann, ohne dabei im sprichwörtlichen Sinne das Kind mit dem Bade auszuschütten. 

Wie Claus-Dieter Ulmer so passend in einem aktuellen Online-Beitrag schreibt: „Der Weg zur Verordnung ist lang und nicht wenige werden versuchen, auf den Inhalt im Rahmen des parlamentarischen Verfahrens noch gehörigen Einfluss zu nehmen". Dem ist kaum etwas hinzuzufügen - außer der Hoffnung, dass dieser Einfluss nicht wie üblich zu einer Aufweichung führt, sondern zu einer vernünftigen Lösung dieser dringenden Probleme. Man kann wirklich sehr gespannt sein, was am Ende bei diesem europäischen Experiment herauskommen wird.