Dennis-Kenji Kipker / Alexander Dix

EAID: Datenschutz-Grundverordnung - (wie) müssen das deutsche und das europäische Recht geändert werden?


Am 9.6.2016 veranstaltete die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) in den Räumlichkeiten der Europäischen Akademie Berlin (EAB) eine Vortrags- und Diskussionsveranstaltung unter dem Titel „Datenschutz-Grundverordnung – (wie) müssen das deutsche und das europäische Recht geändert werden?“.

ZD-Aktuell 2016, 04197     Als Referenten geladen waren Thomas Zerdick, LL.M., stellvertretender Leiter des Referats C.3 Schutz personenbezogener Daten bei der Generaldirektion Justiz und Verbraucher der Europäischen Kommission, Steve Wood, Head of Policy Delivery, Information Commissioner, Vereinigtes Königreich, Jörg Eickelpasch aus dem Referat Datenschutzrecht des Bundesministerium des Innern sowie Sven Hermerschmidt, Leiter der Projektgruppe Revision des Europäischen Datenschutzrechts bei der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Geleitet wurde die voll ausgebuchte Tagung vom Geschäftsführer der EAID, Karsten Neumann.

Nach Eröffnung der Veranstaltung stellte Peter Schaar, Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz, die wesentlichen Eckpunkte der aktuellen europäischen Datenschutzreform vor. Insbesondere zeigte er nach einer kurzen Vorstellung des Gesetzgebungsverfahrens die wesentlichen Fragen und Probleme auf, die mit der neuen europäischen Datenschutzregulierung verbunden sind. Der Verordnungscharakter des Instruments führe – anders als es noch bei der Datenschutzrichtlinie (RL 95/46/EG - DS-RL) von 1995 der Fall war – zu einer unmittelbaren Anwendbarkeit der DS-GVO in den Mitgliedstaaten. Deshalb stelle sich vor allem die Frage, welche bereichsspezifischen nationalen Regelungsspielräume, vor allem auch im Hinblick auf das BDSG, die Landesdatenschutzgesetze und das TMG, noch verblieben. Es sei ferner zu konkretisieren, wie diese Regelungsspielräume ausgefüllt würden, z.B. in Bezug auf den Beschäftigtendatenschutz. Auch sei klärungsbedürftig, wer die Vorgaben der Datenschutzgrundverordnung (DS-GVO) konkretisiere.

Hieran anknüpfend stellte Zerdick in seinem Vortrag den Fahrplan der EU-Kommission zur Durchführung der DS-GVO vor. Die Intention zur Schaffung einer europäischen Datenschutzverordnung sei es gewesen, ein einheitlich hohes Datenschutzniveau in der EU herzustellen, um den freien Verkehr der Daten zu ermöglichen. Bei der DS-RL habe es das Problem gegeben, dass das europäische Recht durch die nationalen Gesetzgeber eine unterschiedliche Umsetzung erfahren habe und eine unterschiedliche Bescheidung durch die mitgliedstaatlichen Datenschutzbehörden erfolgt sei. Mit der DS-GVO gelte nunmehr ein einheitliches Datenschutzniveau, das in allen Teilen gleichsam eine Verbindlichkeit besitze. Die Schaffung einer „Grundverordnung“ hingegen sei darauf zurückzuführen, dass auf europäischer Ebene nicht jedwedes Detail des Datenschutzes vollumfassend geregelt werden könne, weswegen die DS-GVO weiterhin Regelungsspielräume für die Mitgliedstaaten biete. Zwar sei die Grundverordnung noch nicht voll zur Anwendung gelangt, doch schon jetzt dürften die Mitgliedstaaten keine Rechtsakte mehr erlassen, die mit den Zielen der Verordnung in Widerspruch stünden. Auch sei der oftmals für die nationalen Regelungsspielräume verwendete Begriff einer „Öffnungsklausel“ unrichtig, denn der Anspruch der DS-GVO sei auf die Weise allumfassend, dass sämtliche mitgliedstaatlichen Regelungen mit ihr konform sein müssten. Im Einzelnen gebe es deshalb nur Konkretisierungsklauseln, Optionen, Ausnahmevorschriften und Regelungsaufträge. Die EU-Kommission wolle sich in den kommenden zwei Jahren vor allem auf die Aufklärungsarbeit gegenüber den Mitgliedstaaten und Betroffenen konzentrieren. Zerdick hob hervor, dass die Kommission nicht beabsichtige, in naher Zukunft von der Möglichkeit zum Erlass von delegierten Rechtsakten zur Konkretisierung der Verordnung Gebrauch zu machen; in diesem Punkt wolle sie zunächst abwarten, wie der Europäische Datenschutzausschuss (EDA) die von der Verordnung noch offengelassenen Fragen beantworten werde. Am 26. und 27.7.2016 fand darüber hinaus in Kooperation mit der Art. 29-Datenschutzgruppe eine Veranstaltung zur Konkretisierung der DS-GVO statt.

Wood ging in seiner Präsentation „What does the implementation roadmap look like in the UK?” auf die Erwartungen und Umsetzungsbestrebungen im Hinblick auf die DS-GVO im Vereinigten Königreich ein. Dort würden die neuen Regelungen mit Spannung erwartet, jedoch gebe es im Vorfeld ähnliche Implementierungsprobleme wie in Deutschland auch, insbesondere in Bezug auf die Spielräume des nationalen Gesetzgebers. Deshalb sei es wichtig, die datenverarbeitenden Stellen schon jetzt auf diejenigen Anforderungen vorzubereiten, die sie in zwei Jahren träfen. Aus britischer Perspektive seien vor allem Art. 6, 8 und 9 DS-GVO von Interesse. Speziell für die Einwilligungsfähigkeit stelle sich die Frage, wie diese in Zukunft konkretisiert würde und ob es zu einer Herabsetzung des einwilligungsfähigen Alters komme. Daneben sei zu klären, wie Abweichungen für bereichsspezifische Sektoren des Datenschutzes geregelt werden könnten, so in Bezug auf das Archivwesen, die wissenschaftliche Forschung, Medien und Journalismus. Abschließend erläuterte Wood verschiedene „Opt-outs“ der britischen Regierung für das europäische Datenschutzrecht. Die Dienststelle des Information Commissioner würde versuchen, die datenverarbeitenden Stellen schon jetzt auf die o.g. Probleme und Anwendungsschwierigkeiten aufmerksam zu machen. So wurde bereits eine Broschüre zur DS-GVO publiziert, die insgesamt zwölf Hinweise beinhalte, welche die datenverarbeitenden Stellen schon jetzt aufgreifen können, um den zukünftigen Anforderungen der Datenverarbeitung zu genügen. Ebenso wurde eine eigene Website zur DS-GVO eingerichtet. Ein aktuelles Schlüsselprojekt des britischen Information Commissioner sei darüber hinaus die Regelung der Datenschutzzertifizierung sowie von Datenschutzzertifikaten.

Eickelpasch erläuterte die Pläne der Bundesregierung zur Umsetzung der Grundverordnung. Danach soll in einem zweistufigen Verfahren, wie es schon bei der Umsetzung der Richtlinie angedacht war, das deutsche Recht den Anforderungen des Unionsrechts angepasst werden. Zunächst soll in einer ersten Stufe noch in dieser Legislaturperiode das BDSG aufgehoben und durch ein Ausführungsgesetz zur Grundverordnung abgelöst werden. Dieses Gesetz soll sich auf die nach Auffassung der Bundesregierung unmittelbar notwendigen Änderungen des allgemeinen Datenschutzrechts beschränken und sich dabei an der Struktur der Verordnung orientieren. Dabei betonte Eickelpasch die Absicht des Bundesinnenministeriums, bestimmte Regelungen des geltenden BDSG auch i.R.d. DS-GVO beibehalten zu wollen, soweit der dort vorgesehene Spielraum der Mitgliedstaaten dies zulässt. Während ein solcher Spielraum bei den Legaldefinitionen nicht gegeben sei und die Verordnung insoweit direkt gelte, sollen die Konkretisierungsmöglichkeiten, die der Unionsgesetzgeber eröffnet hat, i.S.e. weitgehenden Beibehaltung des datenschutzrechtlichen Status quo in Deutschland erhalten bleiben. Das gelte etwa für die Ausnahmen vom Verbot der automatisierten Einzelentscheidung in § 6b BDSG. Auch andere Sonderregelungen sollen – soweit möglich - erhalten bleiben. Dabei unterstrich Eickelpasch, dass der Spielraum im öffentlichen Bereich deutlich größer sei als im Bereich der Wirtschaft. So soll eine allgemeine (subsidiäre) Verarbeitungsbefugnis für öffentliche Stellen, wie sie die Verordnung zulässt, erhalten bleiben. Die DS-GVO sei im Vergleich zur deutschen Rechtslage und dem vom BVerfG betonten Vorbehalt des bereichsspezifischen Gesetzes „unterkomplex“. Die in der Verordnung vorgesehenen Möglichkeiten zur ausnahmsweisen Legitimation der Verarbeitung von sensitiven Daten z.B. im öffentlichen Interesse wolle die Bundesregierung nutzen. Auch erlaube die Verordnung in Art. 6 Abs. 3 die Beibehaltung von Regeln der Datenersterhebung durch Unternehmen im öffentlichen Interesse wie etwa zur Geldwäschebekämpfung. Die in Art. 23 DS-GVO vorgesehene Möglichkeit der Mitgliedstaaten, Ausnahmen von den Betroffenenrechten in einer Vielzahl von Situationen vorzusehen, kritisierte Eickelpasch als unklar und deutete an, dass der Bundesgesetzgeber etwaige Einschränkungen nach Art. 23 außerhalb des BDSG in Fachgesetzen regeln könnte. Er deutete zudem an, dass Ausnahmen von der Auskunftspflicht für Berufsgeheimnisträger (z.B. Anwälte) auf Art. 23 gestützt werden könnten. Während die Regelungen zu den Aufsichtsbehörden von der Verordnung weitgehend vorgegeben seien, bleibe eine wichtige Frage auf nationaler Ebene zu klären: wer soll die deutschen Datenschutzbehörden im EDA vertreten? Diese Frage sei deshalb wichtig, weil die Verordnung zwar die föderale Struktur der Bundesrepublik ausdrücklich anerkenne, Deutschland auf europäischer Ebene gerade bei den künftig verbindlichen Entscheidungen des EDA im Kohärenzverfahren aber nur eine Stimme hat. Angesichts der hier sowohl zwischen Bund und Ländern als auch unter den Datenschutzbeauftragten des Bundes und der Länder bestehenden Meinungsverschiedenheiten betonte Eickelpasch, die Bundesregierung bemühe sich um eine einvernehmliche Lösung. Zwar sei die Gesetzgebungskompetenz des Bundes in dieser Frage zweifelhaft, die Bundesregierung gehe aber davon aus, dass eine entsprechende bundesgesetzliche Regelung der Zustimmung des Bundesrats bedürfe. Hinsichtlich des Beschäftigtendatenschutzes sprach sich Eickelpasch für eine Beibehaltung des § 32 BDSG aus, weil nicht zu erwarten sei, dass bis zur kommenden Bundestagswahl noch eine Einigung über ein Beschäftigtendatenschutzgesetz, wie es Art. 88 DS-GVO ermöglicht, erzielt werden könne. Auch vertrat er die Auffassung, dass die Zutritts- und Prüfrechte der Datenschutzbehörden bei Berufsgeheimnisträgern (z.B. Ärzten und Anwälten) nach Art. 90 DS-GVO eingeschränkt werden sollten, um den Zugriff auf Patienten- und Mandantenakten zu begrenzen. Eickelpasch deutete schließlich an, dass die Bundesregierung den Wünschen sowohl der Kreditwirtschaft als auch der Verbraucherschützer Rechnung tragen will, die Regelungen des BDSG zum Scoring (§§ 28a, 28b) weitgehend beizubehalten. Er deutete mehrere Varianten an, wie dies nach der Verordnung gerechtfertigt werden könnte, betonte aber, dass insoweit noch keine Entscheidung gefallen sei. Das gerade in Deutschland (auch im Vergleich zu Großbritannien) sehr ausgeprägte bereichsspezifische Datenschutzrecht solle erst in einer zweiten Stufe an die DS-GVO angepasst werden, wobei dies aus Zeitgründen erst nach der Bundestagswahl 2017 erfolgen könne.

Abschließend umriss Hermerschmidt die Haltung der deutschen Datenschutzbehörden und gab der Hoffnung Ausdruck, dass das von der Bundesregierung geplante zweistufige Vorgehen zur Anpassung an das Unionsrecht diesmal erfolgreicher sein werde als 1990, als die zweite Stufe dieser Anpassung im Sande verlief. Auch seien neben dem Bundesgesetzgeber auch die Landesgesetzgeber in der Pflicht, die Verordnung durch eine Anpassung der Landesdatenschutzgesetze umzusetzen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich 2016 in drei Entschließungen zur Umsetzung der DS-GVO geäußert und die deutschen Gesetzgeber aufgefordert, die Spielräume der Verordnung dazu zu nutzen, um das hohe Datenschutzniveau in Deutschland nicht nur beizubehalten, sondern soweit möglich auch zu stärken. Auch haben die Datenschutzbeauftragten die schnelle Einführung einer Klagemöglichkeit für die Aufsichtsbehörden gefordert, wie sie der EuGH in der Safe Harbor-Entscheidung von 2015 schon jetzt für geboten hielt. Hermerschmidt führte aus, dass  sich gegenwärtig eine Arbeitsgruppe der Datenschutzkonferenz mit den Innenministerien von Bund und Ländern über die Umsetzung der Verordnung austausche. Er erinnerte daran, dass sich die Datenschutzbeauftragten des Bundes und der Länder bereits 2010 in einem Eckpunktepapier zur Modernisierung des Datenschutzrechts für eine Entschlackung der komplexen Regelwerks in Deutschland ausgesprochen hätten, ohne dass dadurch das materielle Schutzniveau abgesenkt werden dürfe. Der jetzt anstehende Prozess der Anpassung an den neuen europäischen Rechtsrahmen in diesem Sinne biete auch die Chance zu einer „Entschlackung“ des bisherigen nationalen Rechts. Hermerschmidt sprach sich für eine zu Gunsten des informationellen Selbstbestimmungsrechts zurückhaltende Nutzung der Regelungsmöglichkeiten des Art. 23 DS-GVO zur Schaffung von Ausnahmen von den Betroffenenrechten aus. Er befürwortete ebenfalls eine Beibehaltung der Scoring-Vorschriften des BDSG, bemerkte allerdings zu den von Eickelpasch genannten Möglichkeiten der unionskonformen „Rettung“ dieser Regelungen, man bewege sich hier auf „dünnem Eis“. Zudem sei völlig offen, was mit derartigen deutschen Vorschriften in einem möglichen Kohärenzverfahren geschehe werde, da kein anderer Mitgliedstaat über entsprechende Regelungen verfüge. Hermerschmidt begrüßte die Beibehaltung des Zwei-Säulen-Modells der Datenschutzkontrolle durch die Datenschutzaufsichtsbheörden und die behördlichen und betrieblichen Datenschutzbeauftragten und vertrat die Auffassung, dass der Kündigungsschutz für die internen Datenschutzbeauftragten als nicht-datenschutzrechtliche Regelung qualifiziert werden könnte und damit nicht von der Grundverordnung verdrängt würde, sondern im Arbeitsrecht geregelt und damit beibehalten werden könne. Auch die Beibehaltung des § 32 BDSG bis zur Schaffung eines Beschäftigtendatenschutzgesetzes hielt er für richtig. Hermerschmidt hob zudem die neuen Befugnisse hervor, die die Datenschutzbeauftragten in Bund und Ländern im öffentlichen Bereich erhalten, um rechtswidriges Verhalten von Behörden zu ahnden. Er hielt es zumindest im Bereich der mittelbaren Bundesverwaltung (z.B. bei Krankenkassen) für denkbar, dass die Bundesbeauftragte die Befugnis zur Verhängung von Bußgeldern erhält. Auch sollte die Stellung der Aufsichtsbehörden im Bußgeldverfahren gestärkt werden, wo bisher die Staats- bzw. Amtsanwaltschaft nach Einlegung von Einsprüchen die Verfahren übernimmt und häufig einstellt, ohne die Auffassung der Bußgeldbehörde berücksichtigen zu müssen. Hinsichtlich der Vertretung auf europäischer Ebene muss es nach Ansicht von Hermerschmidt gewisse Regularien geben, wobei die Details auch in der Geschäftsordnung der deutschen Datenschutzkonferenz festgelegt werden können. Hermerschmidt hob schließlich auch die Herausforderungen hervor, denen sich die Datenschutzbehörden hinsichtlich ihrer neuen Aufgaben im Bereich der Zertifizierung, aber auch der Öffentlichkeitsarbeit gegenüber sehen. Hier lobte er die von Wood beschriebenen Anstrengungen des britischen Information Commissioner und empfahl den deutschen Aufsichtsbehörden, sich in vergleichbarer Weise möglichst früh auf die neuen Aufgaben vorzubereiten und die Öffentlichkeit zu informieren.

Im Anschluss an jeden Vortrag fand eine durch den EAID-Geschäftsführer Neumann moderierte Diskussion statt, in deren Rahmen das interessierte Fachpublikum zahlreiche Fragen stellen konnte, die von den jeweiligen Referenten beantwortet wurden. Die EAID wird ihre Veranstaltungsreihe zur DS-GVO begleitend zum Einführungsprozess der neuen europäischen Regelungen fortsetzen.

 

Dennis-Kenji Kipker ist wissenschaftlicher Assistent am Institut für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen und Mitglied im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

Dr. Alexander Dix, LL.M., ist ehem. Beauftragter für Datenschutz und für Informationsfreiheit in Berlin und stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.